KI-Verordnung HR: Pflichten, Risiken und praktische Umsetzung für Personalverantwortliche

May 5, 2026

KI-Verordnung und HR: Was Personalverantwortliche jetzt wissen und tun müssen

Viele HR-Teams nutzen bereits KI-Tools – für Bewerbermanagement, Personalentwicklung oder Performance-Analysen. Doch während die Technologie längst im Einsatz ist, hinkt das rechtliche Bewusstsein oft hinterher. Mit der EU-KI-Verordnung (KI-VO) hat sich das geändert: Seit Februar 2025 gelten verbindliche Regeln, die HR-Verantwortliche nicht länger ignorieren können.

Die gute Nachricht: Die KI-Verordnung ist kein Innovationsstopp. Sie ist ein Regelrahmen – und wer ihn versteht, kann KI im HR-Bereich souveräner, rechtssicherer und langfristig wirksamer einsetzen. Dieser Artikel zeigt, was die Verordnung konkret bedeutet, welche Pflichten auf HR-Abteilungen zukommen und wie ein pragmatischer Fahrplan zur Compliance aussieht.

Was die KI-Verordnung für HR bedeutet – ein Überblick

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Regulierungswerk und gilt unmittelbar in allen EU-Mitgliedstaaten. Ihr Kernprinzip: Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Auflagen.

Für HR ist dieses Prinzip besonders relevant – denn Personalentscheidungen gehören zu den sensibelsten Bereichen überhaupt.

Die vier Risikokategorien

Die Verordnung unterteilt KI-Systeme in vier Kategorien:

Unzulässige Systeme sind seit Februar 2025 vollständig verboten. Darunter fallen beispielsweise Systeme zur biometrischen Kategorisierung nach ethnischer Herkunft oder KI-gestützte Social-Scoring-Systeme.

Hochrisiko-KI-Systeme unterliegen strengen Betreiberpflichten. Im HR-Kontext fallen darunter unter anderem Systeme, die bei der Einstellung, Beförderung, Kündigung oder Leistungsbewertung von Mitarbeitenden eingesetzt werden.

KI-Systeme mit Transparenzanforderungen müssen Nutzerinnen und Nutzer klar kennzeichnen, wenn sie mit KI interagieren – etwa bei Chatbots im Bewerbungsprozess.

KI-Systeme mit niedrigem oder keinem Risiko unterliegen keinen spezifischen Pflichten, profitieren aber von freiwilligen Verhaltenskodizes.

Warum HR besonders im Fokus steht

Personalentscheidungen betreffen direkt die Rechte und Lebensrealität von Menschen. Ein KI-System, das Lebensläufe filtert, Gehaltsbänder empfiehlt oder Fluktuation vorhersagt, hat erhebliches Potenzial für Bias und Diskriminierung. Genau deshalb werden viele HR-KI-Systeme als Hochrisiko eingestuft – mit entsprechend umfangreichen Betreiberpflichten.

Hochrisiko-KI im HR: Diese Pflichten gelten für Sie als Betreiber

Wer ein Hochrisiko-KI-System im Unternehmen einsetzt, gilt als Betreiber im Sinne der KI-VO – unabhängig davon, ob das System selbst entwickelt oder zugekauft wurde. Die Pflichten sind umfangreich:

Überwachungspflichten: Betreiber müssen sicherstellen, dass die KI-Systeme kontinuierlich überwacht werden und wie vorgesehen funktionieren. Eine einmalige Prüfung bei der Einführung reicht nicht.

Schulungspflicht zur Sicherstellung der KI-Kompetenz: Alle Personen, die mit dem System arbeiten, müssen ausreichend geschult sein – mehr dazu im folgenden Abschnitt.

Aufzeichnungspflichten: Der Einsatz von Hochrisiko-KI muss dokumentiert werden. Protokolle über Entscheidungen, Systemverhalten und Abweichungen sind Pflicht.

Informationspflichten gegenüber Mitarbeitenden: Beschäftigte müssen über den Einsatz von KI-Systemen informiert werden, die sie betreffen. Transparenz ist keine Option, sondern Anforderung.

Risikomanagement und Grundrechtefolgenabschätzung: Unternehmen müssen systematisch prüfen, welche Risiken für Mitarbeitende durch den KI-Einsatz entstehen – und diese Risiken bewerten sowie ggf. ausschließen.

Sicherstellung der Datenqualität: Die Trainingsdaten und Eingabedaten des Systems müssen qualitativ hochwertig, repräsentativ und frei von erheblichen Verzerrungen sein.

Diese Pflichten klingen zunächst aufwendig. In der Praxis bedeuten sie vor allem: systematisches Vorgehen statt Ad-hoc-Einsatz. Unternehmen, die KI strukturiert einführen, erfüllen viele dieser Anforderungen ohnehin – sie müssen sie nur explizit dokumentieren.

Schulungspflicht nach Art. 4 KI-VO: Was HR jetzt organisieren muss

Artikel 4 der KI-Verordnung formuliert eine klare Anforderung: Anbieter und Betreiber müssen eine ausreichende KI-Kompetenz sicherstellen. Das Ziel ist ein sicherer, verantwortungsvoller und rechtskonformer Einsatz von KI-Systemen im Unternehmen.

Für HR bedeutet das eine konkrete Organisationsaufgabe.

Wer muss geschult werden?

Die Schulungspflicht gilt gegenüber allen Personen, die mit KI-Systemen des Unternehmens befasst sind – intern wie extern:

Festangestellte, die KI-Tools in ihrer täglichen Arbeit nutzen
Leiharbeitnehmerinnen und Leiharbeitnehmer, soweit sie in die betrieblichen Abläufe eingebunden und weisungsgebunden sind
Freie Dienstleister und Subdienstleister, soweit sie in die KI-Nutzung des Unternehmens eingebunden sind

Entscheidend ist dabei nicht das Beschäftigungsverhältnis, sondern die tatsächliche Einbindung in die KI-Prozesse des Unternehmens. Wer mit dem System arbeitet, trägt Verantwortung – und muss entsprechend qualifiziert sein.

Was umfasst KI-Kompetenz konkret?

KI-Kompetenz im Sinne der Verordnung ist dreidimensional:

Technisches Grundverständnis: Wie funktioniert ein KI-System? Was sind Trainingsdaten, was sind Modelle, wo liegen systembedingte Grenzen? Mitarbeitende müssen nicht zu Datenwissenschaftlerinnen werden – aber sie sollten verstehen, warum eine KI zu bestimmten Ergebnissen kommt und wo sie irren kann.

Praktische Anwendungskompetenz: Wie und wofür kann ich die KI sinnvoll einsetzen? Welche Aufgaben eignen sich, welche nicht? Hier geht es um konkretes Handlungswissen im jeweiligen Arbeitskontext.

Rechtliches und ethisches Verständnis: Was darf ich eingeben? Welche Ergebnisse darf ich wie verwenden? Gerade im HR-Umfeld – mit sensiblen Personaldaten und weitreichenden Entscheidungen – ist dieses Wissen unverzichtbar.

Ein wichtiger Grundsatz der Verordnung: Die Schulungsinhalte richten sich nach dem KI-System, dem Einsatzbereich und dem potenziellen Risiko. Es gibt keine Einheitslösung. Ein generisches KI-Training für alle Mitarbeitenden erfüllt die Anforderung allein nicht – es braucht rollenspezifische Schulungskonzepte.

Für HR-Abteilungen bedeutet das: Wer Schulungsformate konzipiert oder beauftragt, muss selbst verstehen, welche KI-Systeme im Unternehmen in welchen Risikobereichen eingesetzt werden.

KI und Datenschutz: Der 4-Phasen-Ansatz für rechtssichere Implementierung

Neben der KI-Verordnung bleibt die DSGVO vollumfänglich anwendbar. KI-Modelle – insbesondere große Sprachmodelle (LLMs) – wurden teilweise mit personenbezogenen Daten trainiert, was sie in den Fokus europäischer Datenschutzbehörden rückt. Beide Regelwerke müssen parallel eingehalten werden.

Ein strukturiertes Vorgehen über vier Phasen hilft dabei:

Phase 1: Vor der Auswahl des KI-Tools

Bevor überhaupt ein Anbieter ausgewählt wird, sind grundlegende Fragen zu klären: Sind die geplanten Einsatzbereiche datenschutzrechtlich zulässig? Lassen sich vollautomatisierte Entscheidungen – die nach DSGVO grundsätzlich einer eigenen Rechtsgrundlage bedürfen – vermeiden? Können personenbezogene Daten durch Anonymisierung oder Pseudonymisierung reduziert werden? Und: Sind die Mitarbeitenden zum Thema Datenschutz und KI-Kompetenz bereits sensibilisiert?

Phase 2: Bei der Auswahl des KI-Tools

Der Datenschutzbeauftragte und weitere relevante Stellen sollten frühzeitig in den Auswahlprozess einbezogen werden – nicht als nachgelagerte Prüfinstanz, sondern als aktive Mitgestaltende. Zentral ist die Prüfung, ob das KI-Tool mit den Eingabedaten des Unternehmens weitertrainiert wird. Viele Standardverträge erlauben dies standardmäßig – mit erheblichen datenschutzrechtlichen Konsequenzen.

Phase 3: Bei der Implementierung des KI-Tools

Die Implementierungsphase erfordert die umfangreichste rechtliche Vorarbeit. Notwendig sind interne Richtlinien und Nutzungsbestimmungen, eine Aufklärung der Mitarbeitenden über zulässige Nutzungsweisen sowie – bei voraussichtlich hohem Risiko – eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Urheberrechtliche Fragen (z. B. beim Output von KI-generierten Texten oder Bildern) und betriebliche Account-Strukturen sind ebenfalls zu regeln.

Phase 4: Bei der laufenden Nutzung des KI-Tools

Auch nach der Einführung bleibt Wachsamkeit gefragt. Mitarbeitende sollten personenbezogene Daten sparsam und bewusst eingeben. KI-Ergebnisse müssen regelmäßig auf Richtigkeit geprüft werden – KI-Systeme können halluzinieren, verzerren und diskriminieren. Auftretende Bias-Probleme sind zu dokumentieren und zu melden. Protokolle über die Nutzung sind regelmäßig zu prüfen.

Dieser 4-Phasen-Ansatz ist kein bürokratisches Ideal – er ist das Minimum für eine rechtssichere KI-Nutzung in HR.

In 4 Schritten zur KI-Compliance: Der praktische Fahrplan

Theorie ist gut. Ein konkreter Aktionsplan ist besser. Für Unternehmen, die jetzt mit der Umsetzung beginnen, empfiehlt sich folgendes Vorgehen:

Schritt 1 – Allgemeine Bestandsaufnahme:
Erstellen Sie ein Register aller KI-Systeme, die im Unternehmen genutzt oder entwickelt werden. Klären Sie Verantwortlichkeiten und benennen Sie Personen, die die Einhaltung der KI-VO vorantreiben. Klären Sie, wer im Unternehmen Mitarbeiterschulungen zu KI-Themen durchführen kann.

Schritt 2 – Anwendbarkeit der KI-VO prüfen:
Prüfen Sie für jedes identifizierte System, ob die KI-Verordnung gilt (Definition und Anwendungsbereich). Klären Sie die Rollenverteilung: Ist Ihr Unternehmen Anbieter (das System wird entwickelt und vertrieben) oder Betreiber (das System wird genutzt)? Die Pflichten unterscheiden sich erheblich.

Schritt 3 – Risikoeinordnung vornehmen:
Für jedes relevante System: Fällt es unter die Definition eines unzulässigen Systems? Ist es als Hochrisiko einzustufen oder liegt es im Bereich der Transparenzpflichten bzw. des niedrigen Risikos? Je nach Einordnung folgen unterschiedliche Pflichten, die geprüft und umgesetzt werden müssen.

Schritt 4 – Weitere Rechtsfragen abklären:
Wurden datenschutzrechtliche Vorgaben eingehalten? Sind urheberrechtliche Anforderungen erfüllt – etwa beim KI-generierten Content? Könnten sich Probleme mit dem Geschäftsgeheimnisschutz ergeben, wenn Mitarbeitende interne Informationen in externe KI-Systeme eingeben?

Dieser Fahrplan ist kein einmaliger Sprint, sondern ein kontinuierlicher Prozess. KI-Systeme verändern sich, neue Tools kommen hinzu, das Risikoumfeld entwickelt sich weiter.

Die strategische Chance: HR als Gestalter der KI-Transformation

KI-Compliance ist nicht das Ende der Geschichte – sie ist der Ausgangspunkt für eine größere Transformation. Denn die KI-Verordnung zwingt HR dazu, KI-Einsatz systematisch zu reflektieren, zu dokumentieren und zu verantworten. Das ist keine Last. Das ist eine Einladung zur strategischen Neupositionierung.

HR steht an einem Wendepunkt: Die Rolle entwickelt sich vom operativen Personalverwalter zum strategischen Gestalter der Arbeitszukunft. KI ist dabei kein Selbstläufer, sondern ein Werkzeug, das Führung, Gestaltung und Verantwortung erfordert.

Konkret bedeutet das: HR muss Talentgewinnung neu denken – mit KI-gestützten Prozessen, die Bias reduzieren statt verstärken. HR muss Kompetenzmanagement und Umschulung steuern – in einer Zeit, in der sich Skill-Anforderungen durch KI fundamental verschieben. HR muss neue Rollenprofile entwickeln – für eine Arbeitswelt, in der Mensch-Maschine-Zusammenarbeit zur Selbstverständlichkeit wird. Und HR muss den kulturellen Wandel gestalten, der mit der KI-Integration einhergeht.

Die KI-Verordnung gibt dabei einen wichtigen Grundsatz vor, der für HR-Profis eigentlich selbstverständlich sein sollte: Der Mensch steht im Mittelpunkt. KI-Systeme sollen Fachkräfte unterstützen – nicht ersetzen oder entmündigen. Compliance und Human-Centricity sind hier kein Widerspruch, sondern zwei Seiten derselben Medaille.

Fazit: Compliance als Fundament für verantwortungsvolle KI im HR

Die KI-Verordnung verbietet nicht – sie reguliert. Und sie tut das mit einem klaren Ziel: qualitativ hochwertige, sichere und grundrechtskonforme KI-Systeme zum Standard zu machen. HR-Abteilungen, die das verstehen, gewinnen einen entscheidenden Vorteil: Sie können KI-Systeme nicht nur einsetzen, sondern souverän einsetzen.

Die konkrete Handlungsagenda ist klar: KI-Inventar erstellen, Risiken einordnen, Schulungen organisieren, Datenschutz strukturiert angehen. Wer heute beginnt, ist morgen nicht nur compliant – sondern auch glaubwürdiger Treiber der KI-Transformation im eigenen Unternehmen.

Möchten Sie erfahren, wie Mentessa Sie dabei unterstützen kann, KI-Kompetenz in Ihrem Unternehmen systematisch aufzubauen? [Jetzt einen unverbindlichen Termin buchen →]

Learning in the flow of work

Browse knowledge articles and announcements from our blog “High-tech & high-human”

April 23, 2026

Best Mentor Matching Apps for Career Development: An HR Leader’s Guide (2025)

Best Practices, Matching, Mentoring, Talent Development

April 22, 2026

Die besten Mentor-Matching-Apps für Karriereentwicklung: Ein Vergleich für HR-Entscheider (2026)

Best Practices, Matching, Mentoring, Talent Development

March 31, 2026

Mentoring-Programme konzipieren: Die 7 Fragen, die über Erfolg oder Misserfolg entscheiden

Best Practices, Matching, Mentoring

March 27, 2026

Mentoring ROI messen: Frameworks, KPIs und der Weg zur datenbasierten Programmsteuerung

HR-Strategie, Mentoring, People Analytics, Talent Development