Kaffee, KI, Kollegen: KI gehört bei vielen Unternehmen mittlerweile zur Grundausstattung. Gerade Personalabteilungen sparen durch die intelligenten Systeme oft viel Zeit bei langwierigen Vorauswahlen ein. Doch wie es nun einmal so ist bei neuen Technologien: Erst kommt die Einführung, dann folgen die gesetzlichen Regulierungen. Wir erklären Ihnen, was der EU AI Act ab dem 02.08.2025 vorschreibt.
Schon ein Jahr ist vergangen: Am 2. August 2024 ist der mit Spannung erwartete EU AI Act in Kraft getreten. Was der AI Act der EU für HR-Abteilungen grundsätzlich bedeutet, haben wir bereits beleuchtet. Spannend wird es nun Stück für Stück: Der nächste rot im Kalender zu markierende Stichtag ist der 2. August. Ab dann gelten Verpflichtungen für KI-Modelle, die allgemeine Verwendungszwecke mit sich bringen.
Die wichtigsten Takeaways für HR-Abteilungen
- Die am 2.8.2025 im Rahmen des EU AI Act in Kraft tretenden Regeln werden im Laufe des kommenden Jahres unter anderem für Personalabteilungen wichtig, die KI nutzen.
- Künstliche Intelligenz, die im Personalwesen eingesetzt wird, zählt zur Hochrisiko-KI.
- Unternehmen, die solche Hochrisiko-KI einsetzen, müssen von neu geschaffenen notifizierten Stellen eine Risikobewertung vornehmen lassen und Auflagen erfüllen.
- Neben Dokumentation und Schulungen wird künftig auch eine Transparenzpflicht für den Einsatz von KI im Bewerbungsunternehmen wichtig.
EU AI Act ab 2. August 2025: Diese Regeln sind neu
Schon seit dem 2. Februar 2025 sind KI-Systeme verboten, die Nutzer manipulieren können, ein Social Scoring vornehmen oder eine biometrische Kategorisierung respektive eine Emotionserkennung erlauben.
Mit dem 2. August 2025 treten Regeln in Kraft, die zukünftig für Sie wichtig werden, wenn Sie KI in der Personalabteilung nutzen. Laut einer aktuellen Studie der ManpowerGroup tun das bereits 44 Prozent der deutschen Unternehmen.
Anbieterverpflichtungen bei KI-Modellen für allgemeine Verwendungszwecke
Anbieter von General Purpose Artificial Intelligence (GPAI) müssen zahlreiche Auflagen erfüllen. Zu GPAI gehören etwa Large Language Models wie ChatGPT oder Bild-KIs wie Midjourney. Zu den neuen Verpflichtungen zählen:
- die permanent aktuelle Dokumentation des Modells und ihre Bereitstellung für Anbieter nachgelagerter KI-Systeme
- die Entwicklung einer Strategie zur Einhaltung des Urheberrechts
- die Zusammenfassung und Veröffentlichung der für das Training verwendeten Inhalte
So weit, so kompliziert. Das Positive für Sie als Nutzer dieser KI-Systeme ist: Sie haben nach dem neuen Gesetz zunächst keine speziellen Pflichten. Es lohnt sich aber, im Blick zu behalten, inwieweit die Anbieter den Verpflichtungen nachkommen.
Governance-Regeln
Für die EU und die einzelnen Mitglieder besteht die Verpflichtung, Behörden und Anlaufstellen zu schaffen. Die EU muss ein Büro für KI einrichten, dem Gremium für KI eine Struktur verleihen und seine Aufgaben festlegen. Es gilt, ein Beratungsforum zur Verfügung stellen, ein wissenschaftliches Gremium unabhängiger Sachverständiger einzurichten und den Mitgliedsstaaten Zugang zu diesem Sachverständigenpool zu ermöglichen.
Die einzelnen Mitgliedsstaaten der EU, zu denen auch Deutschland zählt, haben die Verpflichtung, zuständige nationale Behörden und zentrale Anlaufstellen einzurichten. An diese können sich Unternehmen wenden, um die Konformitätsbewertung ihrer Hochrisiko-KI-Systeme vornehmen zu lassen.
So betreffen die mit dem EU AI Act ab August 2025 kommenden Neuerungen Ihr Unternehmen
Anbieter und Regierungen, schön und gut – aber wie betrifft der EU AI Act denn jetzt Ihr Unternehmen? Systeme, die personalrelevante Entscheidungen treffen, gelten als Hochrisiko-KI. Sie müssen daher künftig Maßnahmen zur Risikobewertung ergreifen und ihre Systeme sorgfältig prüfen und dokumentieren.
Das bedeutet, dass die Unternehmen selbst in der Verantwortung stehen, sich an eine der ab dem 2. August 2025 eröffneten Beratungsstellen zu wenden, um sich möglichst genau erklären zu lassen, welche Verpflichtungen im Rahmen der KI-Nutzung auf Sie zukommen.
Ab dem 2. August 2026 – also wiederum ein Jahr später – müssen Sie dann nämlich eine Konformitätsbewertung durch notifizierte Stellen durchführen lassen. Hochrisikosysteme werden registriert. Ihnen obliegt dann die Einhaltung der Vorschriften und die Dokumentation der Nutzung – es wird auch eine Berichtspflicht geben. Weiterhin sind Sie verpflichtet, Ihre Mitarbeitenden sorgfältig zu schulen, damit diese jederzeit professionell und verantwortungsbewusst mit den intelligenten Systemen umgehen können.
Die Kennzeichnungspflicht für KI-Inhalte und die Arbeit damit kommt
In Artikel 50 des EU AI Acts ist festgelegt, dass Unternehmen und Behörden, die mit KI arbeiten, dies kenntlich machen müssen. Das kann ganz unterschiedliche Inhalte betreffen.
- Sie haben einen Text mit KI hergestellt.
- Sie haben ein Bild mit KI generiert.
- Sie lassen einen Chatbot auf Fragen antworten.
- Sie nutzen KI bei der Vorauswahl von Bewerbungen.
In all diesen Fällen greift die Kennzeichnungspflicht. Vor allem im Bewerbungsprozess entscheidet sie über das Vertrauensverhältnis zwischen Interessierten und dem Unternehmen, wie der Fachanwalt für IT-Recht Marian Härtel weiß: „Transparenz über den Einsatz von KI in Bewerbungsprozessen ist gesetzlich gefordert und für Vertrauensbildung wichtig.“
Achtung: Sie dürfen Daten aus den Bewerbungsprozessen nicht für das Training Ihrer Recruiting-KI anwenden, wenn Sie nicht die ausdrückliche Erlaubnis dafür einholen oder die Daten im Vorfeld komplett anonymisieren!
Geplante Strafen, wenn die Regelungen aus dem EU AI Act nicht eingehalten werden
Es ist geplant, dass die Mitgliedsstaaten der EU bei Zuwiderhandlung Strafen erheben sollen, die wirksam, verhältnismäßig und abschreckend sind. Möglich sind in diesem Zusammenhang Geldbußen, die entweder sieben Prozent des weltweiten Vorjahresumsatzes ausmachen oder solche bis zu einer Summe von 35 Millionen Euro. Bei Start-ups und KMU wird hinsichtlich dieser Strafen immer mit dem geringeren Betrag gerechnet, bei großen Unternehmen mit dem höheren. Diese Strafen können ab dem 2. August 2027 verhängt werden.
Fazit: Nicht nur alles Zukunftsmusik
Bis zum 2. August 2026 ist noch jede Menge Zeit, oder? Eher nicht. Denn: Ein Jahr ist wenig Zeit, um einerseits neue Behörden einzurichten und andererseits derartige Anpassungen im Unternehmen durchzuführen, dass Sie zum Stichtag rechtlich auf der sicheren Seite sind.
Bereiten Sie sich besser schon jetzt vor:
- Nehmen Sie die Kennzeichnung der KI-Inhalte vor und klären Sie Bewerber transparent darüber auf, welche Schritte des Bewerbungsprozesses von künstlicher Intelligenz unterstützt werden.
- Führen Sie Schulungen für Ihre Mitarbeitenden durch, in denen diese mit den genutzten KI-Systemen vertraut gemacht werden.
- Dokumentieren Sie den Einsatz der KI für die späteren Berichte und für die Risikobewertung durch die neuen Behörden.
Je routinierter Ihr Unternehmen darin ist, mit dem KI-System umzugehen und die Arbeit zu dokumentieren, desto leichter wird es Ihnen fallen, die wahrscheinlich notwendigen Anpassungen nach der Risikobewertung vorzunehmen.
Mit der passenden Software fällt es Ihnen leicht, die kommenden Aufgaben zu bewältigen. Die rexx Suite etwa erleichtert Ihnen das Bewerbungsmanagement, arbeitet DSGVO-konform und wird allen neuen gesetzlichen Regelungen laufend angepasst. So sind Sie bei der KI-Nutzung in Ihrer Personalabteilung ganz auf der sicheren Seite.
Das könnte Sie auch interessieren:
