|
Getting your Trinity Audio player ready...
|
Vom Vorsortieren von Lebensläufen per Algorithmus, der automatisierten Erstellung von Schichtplänen, bis hin zu KI-gestützten Analysen zu Kündigungsrisiken, Vergütungsstrukturen oder Mitarbeiterfeedback– künstliche Intelligenz ist längst kein Zukunftsthema mehr, sondern betrieblicher Alltag. Doch mit der Leistungsfähigkeit der Technologie wächst auch das regulatorische Korsett: Was vielen Unternehmen noch nicht bewusst ist: Ab dem 2. August 2026 gelten europaweit verschärfte Pflichten, und mit dem neuen KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) zieht auch der deutsche Gesetzgeber die Zügel an. Was bedeutet das konkret – und wo lauern die größten Stolperfallen?
Der AI Act – ein Regelwerk nach Risikoklassen
Die europäische KI-Verordnung (AI Act[1]), die bereits seit August 2024 in Kraft ist und ab August 2026 vollständig anwendbar wird, verfolgt ein klares Prinzip: Je riskanter der KI-Einsatz, desto strenger die Auflagen. Der AI Act schafft damit einen einheitlichen europäischen Rechtsrahmen für KI-gestützte Produkte und Dienstleistungen und soll zugleich Grundrechte, Demokratie und Rechtsstaatlichkeit schützen.
Was heißt das in der Praxis?
Nutzt ein Unternehmen beispielsweise eine KI-Software, die eingehende Bewerbungen automatisch bewertet und nach einem Ranking vorsortiert, handelt es sich um ein sogenanntes Hochrisikosystem. Dasselbe gilt für KI-gestützte Leistungs- und Verhaltensüberwachung von Beschäftigten – etwa Tools, die die Produktivität im Homeoffice tracken oder Anwesenheitszeiten automatisiert auswerten. Für solche Systeme gelten besonders strenge Anforderungen, darunter umfassende Risikominderungs- und Informationspflichten. Manche KI-Anwendungen gehen dem Gesetzgeber sogar zu weit und sind schlicht verboten: Wer etwa Software einsetzt, die Emotionen von Beschäftigten am Arbeitsplatz erkennen soll – sei es durch Gesichtsanalyse in Videokonferenzen oder Stimmungsanalyse in E-Mails – verstößt gegen den AI Act. Gleiches gilt für den Einsatz solcher Systeme im Bewerbungsprozess.
Nationale Umsetzung des AI Act: Das KI-MIG – und wer künftig kontrolliert
Zur nationalen Umsetzung des AI Act in Deutschland hat der Bundestag am 11. Juni 2026 das Gesetz zur Marktüberwachung und Innovationsförderung von künstlicher Intelligenz (KI-MIG) beschlossen. Das Gesetz regelt vor allem die behördliche Aufsicht: Die Bundesnetzagentur wird zur zentralen Marktüberwachungsbehörde und kann künftig die Einhaltung des AI Act kontrollieren und durchsetzen. Die materiellen Pflichten für Unternehmen (z.B. Schulungs-, Dokumentations- und Aufsichtspflichten) – also das, was im Tagesgeschäft wirklich zählt – ergeben sich aber weiterhin unmittelbar aus dem AI Act selbst.
Was müssen Unternehmen zukünftig beachten?
Der AI Act ersetzt nicht etwa das bestehende Recht, sondern kommt als weitere Regulierungsschicht hinzu. Setzt ein Arbeitgeber beispielsweise ein KI-gestütztes Bewerbertool ein, muss er schon heute die DSGVO beachten (Rechtsgrundlage für die Datenverarbeitung, Informationspflichten, ggf. Datenschutz-Folgenabschätzung) und das AGG einhalten (keine Diskriminierung nach Geschlecht, Alter, ethnischer Herkunft etc.). Künftig kommen nun die spezifischen Anforderungen des AI Act hinzu – etwa Transparenz- und Informations-, Dokumentations- sowie Registrierungspflichten (vgl. Details unten), die über die bisherigen Vorgaben hinausgehen. Die Regelwerke ergänzen sich also gegenseitig; keines macht das andere entbehrlich.
Dabei werden nicht nur selbst entwickelte KI-Systeme erfasst – auch die weit verbreiteten eingekauften Softwarelösungen fallen unter die Regulierung. Ein Unternehmen, das beispielsweise ein KI-gestütztes HR-Tool eines externen Anbieters nutzt, gilt als „Betreiber“ im Sinne des AI Act und muss eigene Compliance-Pflichten erfüllen. Wer KI-Systeme selbst entwickelt oder wesentlich verändert, wird sogar zum „Anbieter“ mit noch umfangreicheren Pflichten. Je nach Gefährdungsrisiko umfassen diese insbesondere:
- Transparenz- und Informationspflichten – Betroffene Personen (z.B. Beschäftigte und Bewerbende) müssen wissen, dass ein KI-System Entscheidungen vorbereitet oder trifft,
- Dokumentationspflichten – Einsatzzweck, Funktionsweise und Datengrundlage der KI müssen lückenlos dokumentiert werden,
- Registrierungspflichten – Hochrisikosysteme müssen in einer EU-Datenbank registriert werden,
- (Menschliche) Aufsichtspflichten – es muss stets ein „Human in the Loop“ vorhanden sein, der KI-Entscheidungen überprüfen und übersteuern kann,
- Meldepflichten bei schwerwiegenden Vorfällen – etwa wenn ein KI-System diskriminierende Entscheidungen trifft,
- Schulungspflichten – alle Mitarbeitenden, die mit KI-Systemen arbeiten, müssen eine ausreichende KI-Kompetenz aufbauen,
- Grundrechte-Folgenabschätzungen – insbesondere bei Hochrisikosystemen im Personalbereich ist vor dem Einsatz eine systematische Bewertung der Auswirkungen auf die Grundrechte der Betroffenen erforderlich, sowie
- Risikomanagementsysteme für Hochrisiko-KI-Systeme – zur fortlaufenden Identifizierung, Minimierung und Kontrolle der Risiken für Gesundheit, Sicherheit und Grundrechte über den gesamten Lebenszyklus des KI-Systems.
Praxistipp
„Das macht doch alles unser Softwareanbieter“ – diese verbreitete Annahme ist ein gefährlicher Trugschluss. Eine Abwälzung der genannten Pflichten auf den Softwareanbieter ist nicht möglich. Unternehmen bleiben als Betreiber selbst in der Verantwortung. Und die Konsequenzen bei Verstößen sind schwerwiegend: Bußgelder von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Unternehmen sollten daher jetzt handeln: Alle genutzten KI-Systeme identifizieren, nach Risikoklassen einordnen und die jeweiligen Schutzpflichten des AI Act umsetzen. Gerade im Personalbereich, wo fast jedes KI-System als Hochrisikosystem eingestuft werden dürfte, ist mit einer besonders genauen behördlichen Prüfung zu rechnen.
Und noch ein Punkt, der in der Praxis gerne übersehen wird: Soweit der Einsatz von KI-Systemen geplant ist, sind stets die gesetzlichen Mitbestimmungsrechte des Betriebsrats zu beachten – denn die Einführung und Anwendung von KI-gestützten Systemen zur Überwachung von Verhalten oder Leistung der Arbeitnehmer unterliegt der Mitbestimmung. Wer hier den Betriebsrat nicht rechtzeitig einbindet, riskiert, dass die Einführung des KI-Systems untersagt wird.
Hochrisikosysteme, Transparenzpflichten, Bußgelder in Millionenhöhe – was bedeuten AI Act und KI-MIG konkret für Ihr Unternehmen? Bei Fragen zu den angesprochenen Themen melden Sie sich gerne bei Nadine Birke unter nadine.birke@gowlingwlg.com.
Dieser Blogbeitrag wurde von Nadine Birke in Zusammenarbeit mit Katharina Schapfeld, Trainee im Arbeitsrecht, erstellt.
[1] Verordnung (EU) 2024/1689.
Über den Autor
Nadine Birke is a German qualified lawyer working for the employment & labour law practise of Gowling WLG's Frankfurt office.

