Ab 2. August 2026: Der AI Act bringt neue Pflichten für KI im Personalwesen

KI und personenbezogene Daten – Arbeitserleichterung oder Risiko?

Immer mehr Unternehmen greifen auf Künstliche Intelligenz zurück. In den vergangenen zwei Jahren hat sich der Einsatz von KI in Unternehmen (laut Handelsblatt) verfünffacht. Nicht zuletzt werden KI-Systeme im Personalwesen eingesetzt, etwa zur Verwaltung von Personaldaten, zur Gehaltsabrechnung oder zur Verarbeitung von Urlaubsanträgen. Auch beim Recruiting kommt teils bereits KI zum Einsatz. Künstliche Intelligenz errechnet aber nur dann sinnvolle Lösungen, wenn sie Zugriff auf alle benötigten Daten bekommt – und die Daten im Personalwesen sind naturgemäß heikel, da personenbezogen.
In der EU schafft der AI Act den Rahmen dafür, dass KI sicher und vertrauenswürdig eingesetzt wird, auch im Personalwesen. Der AI Act stellt Compliance-Anforderungen an Unternehmen, fördert aber auch Innovationen, indem er klare Richtlinien für die Entwicklung neuer europäischer KI-Lösungen vorgibt. Grundsätzlich zielt der AI Act auf folgende Aspekte:

• Sicherheit und Zuverlässigkeit: KI-Systeme müssen verlässlich und vertrauenswürdig sein und dürfen keine Gefahr für die öffentliche Sicherheit oder die Rechte der Bürgerinnen und Bürger darstellen.
• Schutz der Grundrechte: KI-Technologien dürfen die Grundrechte und -freiheiten, einschließlich Datenschutz und Nichtdiskriminierung, nicht verletzen.
• Transparenz und Verantwortlichkeit: Die Funktionsweise von KI-Systemen soll nachvollziehbar sein. Die Zuständigkeiten bei KI-Entwicklung und Anwendung werden klar geregelt.
• Innovation und Wettbewerbsfähigkeit: Der AI Act soll die Entwicklung neuer KI-Technologien in der EU fördern, um die weltweite Wettbewerbsfähigkeit zu stärken, ohne Sicherheit und ethische Standards zu gefährden.
• Schaffung eines einheitlichen Rechtsrahmens: Das EU-weit schlüssige und einheitliche Regelwerk soll Rechtssicherheit für Unternehmen schaffen.

Wie passt der Datenschutz mit dem AI Act zusammen?

Die Europäische Kommission hält fest, dass die Datenschutz-Grundverordnung unverändert weiter gilt – auch in Zeiten der KI. Das bedeutet, dass die DSGVO und der AI Act parallel Gültigkeit haben und Unternehmen, die KI-Technologien einsetzen, sowohl die Vorgaben der DSGVO als auch des AI Act zu erfüllen haben. Während die DSGVO den Schutz der Rechte der einzelnen Person in Bezug auf ihre Daten gewährleistet, bezieht sich der AI Act auf die Verarbeitung von (personenbezogenen) Daten durch KI-Systeme und macht Vorgaben für die Sicherheit, Transparenz und ethische Nutzung von KI. Damit wird ein umfassender Rahmen für den verantwortungsvollen Umgang mit Daten und KI-Technologien geschaffen. Der AI Act legt großen Wert auf den Schutz personenbezogener Daten und die Einhaltung der Vorgaben der DSGVO. Die wichtigsten Datenschutz-Anforderungen des AI Act sind:

• Datenschutzgerechte Gestaltung des KI-Systems: Minimierung der Datenerhebung und -verarbeitung sowie Datenschutz in der Gestaltung (Privacy by Design)
• Datenschutzfolgenabschätzung: besonders für Hochrisiko-KI-Systeme vorgeschrieben
• Transparenz der Datenverarbeitung: eindeutige und verständliche Information der Nutzerinnen und Nutzer darüber, wie ihre Daten von KI-Systemen verarbeitet werden
• Rechte der betroffenen Personen: Wahrung der Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung und Widerspruch gegen die Datenverarbeitung

Der Einsatz von KI ist somit immer auch von der DSGVO aus zu denken – und die AI Act-Compliance immer verquickt mit der DSGVO-Compliance.

Was gilt ab 2. August 2026 für KI im Personalwesen?

Der AI Act gilt grundsätzlich schon seit 1. August 2024, er tritt aber zeitlich gestaffelt nach und nach in Kraft. Schon seit dem 2. Feber 2025 gilt das Verbot bestimmter KI-Praktiken sowie die Pflicht zur KI-Kompetenz (Schulungen für Mitarbeiter:innen). Seit dem 2. August 2025 sind die Governance-Regeln und Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) „scharf geschaltet“ – mit Haftungsrisiken und Bußgeldern (wir berichteten: siehe Beitrag „Geldbußen nach der KI-Verordnung: Was auf Unternehmen zukommt“).
Ab 2. August 2026 tritt nun der umfangreichste Teil der Verordnung in Kraft. Der laufende Prozess zum Digital Omnibus wirft dabei zwar Fragen zum Stichtag 2. August 2026 auf, aktuell gibt es aber noch keinen beschlossenen Rechtsakt, der den Stichtag verändern würde. Wer sich auf eine mögliche Verschiebung verlässt, geht also ein großes Risiko ein!
Die neuen Pflichten des AI Acts ab 2. August 2026 gelten für:

• Unternehmen, die KI-Modelle mit allgemeinem Verwendungszweck anbieten,
• Unternehmen, die Hochrisiko-KI-Systeme anbieten oder betreiben (hier können sich KI-Systeme im Personalwesen wiederfinden!),
• Unternehmen mit Transparenzpflichten nach Art 50 AI Act.

Die Transparenzpflichten nach Art 50 betreffen alle Anbieter von KI-Systemen, die mit natürlichen Personen interagieren. Sie müssen ab 2. August 2026 natürliche Personen, die mit ihren KI-Systemen interagieren, darüber informieren, dass sie es mit einem KI-System zu tun haben. Die betreffenden Inhalte müssen maschinenlesbar als KI-generiert gekennzeichnet werden (lesen Sie mehr dazu im Beitrag „Transparenzpflichten für KI-generierte Inhalte“). Diese Transparenzpflichten sind von der Diskussion um den Digital Omnibus unabhängig – sie treten jedenfalls mit 2. August 2026 in Kraft.

Datenschutz-Folgenabschätzung und Grundrechte-Folgenabschätzung

Die Risikoanalyse nach Art 35 DSGVO – kurz Datenschutz-Folgenabschätzung – ist besonders für Hochrisiko-KI-Systeme vorgeschrieben. Sie zeigt mögliche Verletzungen der Privatsphäre von Nutzerinnen und Nutzern auf und gibt Maßnahmen zu deren Vermeidung vor. Sie wird fällig, wenn hohe Risiken für Personen absehbar sind – zB Scoring/Profiling (automatisierte Bewertung), sensible Daten oder Überwachung. Zwei österreichische Verordnungen regeln darüber hinaus, wann die Datenschutz-Folgenabschätzung Pflicht ist (DSFA-V) und wann sie laut österreichischem Gesetzgeber entfallen kann (DSFA-AV).

Eine Grundrechte-Folgenabschätzung nach Art 27 AI Act ist – ab 2. August 2026 – vor der ersten Nutzung bestimmter Hochrisiko-KI nach dem AI Act Pflicht. Sie betrifft va

• alle Arbeitgeber, wenn sie Hochrisiko-KI-Systeme in Beschäftigung und Personalmanagement nach Anhang III Z 5(b)/(c) verwenden (zB Recruiting-/Screening-KI, Personalsteuerung) sowie
• öffentliche Stellen und private Anbieter öffentlicher Dienste, wenn sie Hochrisiko-KI-Systeme nach Anhang III (außer im Strafverfolgungsbereich) einsetzen.

Die Grundrechte-Folgenabschätzung in Bezug auf Hochrisiko-KI-Systeme muss umfassen:

• Verfahrensbeschreibung des KI-Systems,
• Nutzungszeitraum und Häufigkeit der Verwendung,
• betroffene Personen(gruppen),
• spezifische Schadensrisiken,
• Beschreibung der Überwachungsmaßnahmen durch Menschen,
• Konzepte für den Eintritt der Risiken einschließlich Beschwerdemechanismus.

Fazit

Ab 2. August 2026 gilt: Wer ein KI-System im Bereich Beschäftigung und Personalmanagement (nach Anhang III des AI Act) verwendet, muss vor dessen Einsatz eine Grundrechte-Folgenabschätzung durchführen, weil es dabei um sensible personenbezogene Daten und Entscheidungen geht. Die schon früher in Kraft getretenen Pflichten im Umgang mit solcher Hochrisiko-KI bleiben weiterhin bestehen:

• menschliche Aufsicht über das KI-System durch nachweislich geschultes Personal,
• Aufbewahrung der automatisch generierten Protokolle des Systems (mind. 6 Monate),
• Information betroffener Personen, dass eine Entscheidung, die sie betrifft, unter Beteiligung eines Hochrisiko-KI-Systems gefallen ist.