Viele Projektdienstleister setzen KI bereits im Personalbereich ein, ohne es so zu nennen. Ein Tool filtert Bewerbungen vor. Eine Software schlägt vor, wer für ein Projekt eingeplant wird. Ein Auswertungsmodul markiert Auslastungsmuster einzelner Mitarbeitender. Ab dem 2. August 2026 fallen genau diese Anwendungen unter die Hochrisiko-Regeln des EU AI Act, und Geschäftsführung sowie HR-Leitung haften für die Umsetzung.
Das wirtschaftliche Problem ist konkret: Wer bis dahin keine Informationspflichten, keine menschliche Aufsicht und keine Dokumentation für den KI-Einsatz im Personalbereich eingerichtet hat, riskiert Bußgelder, Abmahnungen durch Betriebsräte und im Zweifel den Stopp des betroffenen Systems.
Auf Projektebene wirkt sich das an mehreren Stellen aus:
- Ressourcen: Jedes Tool, das Mitarbeitende für Projekte vorschlägt oder bewertet, braucht ab August 2026 eine dokumentierte menschliche Kontrollinstanz.
- Forecast: Compliance-Prüfungen und Nachrüstungen binden Kapazität, die sonst für Projektarbeit zur Verfügung steht.
- Projektkosten: Bußgelder und nachträgliche Systemanpassungen sind ungeplante Kosten, die kein Projektbudget vorsieht.
- Marge: Wer nicht vorbereitet ist, zahlt später mehr für Nachbesserung als für eine geordnete Einführung.
- Auslastung: Ein rechtlich nicht abgesicherter Einsatz von KI zur Personaleinsatzplanung kann im Streitfall komplett ausgesetzt werden, wodurch die Planung auf den Vor-KI-Stand zurückfällt.
Der folgende Beitrag zeigt, welche Pflichten konkret gelten, wo sie im Arbeitsalltag von Projektdienstleistern greifen und wie sich die Umsetzung ohne Prozessbruch organisieren lässt.
Was der EU AI Act für Personal-KI konkret regelt
Der EU AI Act (Verordnung (EU) 2024/1689) trat am 1. August 2024 in Kraft und wird seitdem stufenweise wirksam. Seit Februar 2025 gelten die Verbote für bestimmte KI-Praktiken. Seit August 2025 greifen die Regeln für KI-Modelle mit allgemeinem Verwendungszweck. Am 2. August 2026 wird der überwiegende Teil der Verordnung anwendbar, darunter die Pflichten für sogenannte Hochrisiko-KI-Systeme im Beschäftigungskontext.
Welche Personal-KI als Hochrisiko gilt
Anhang III der Verordnung listet KI-Systeme im Bereich Beschäftigung und Personalmanagement explizit als Hochrisiko-Anwendungen. Dazu zählen Systeme, die für die Personalauswahl eingesetzt werden, etwa durch gezielte Stellenausschreibung, Vorauswahl von Bewerbungen oder Bewertung von Kandidaten. Ebenso erfasst sind Systeme, die über Beförderung, Kündigung oder Vertragsbedingungen mitentscheiden, die Aufgaben aufgrund von individuellem Verhalten oder Persönlichkeitsmerkmalen zuweisen, sowie Systeme zur Überwachung und Bewertung von Leistung und Verhalten am Arbeitsplatz.
Welche Pflichten Arbeitgeber als Betreiber treffen
Als Betreiber eines Hochrisiko-Systems müssen Unternehmen laut Artikel 26 der Verordnung eine menschliche Aufsicht über das System sicherstellen, es ausschließlich gemäß der Gebrauchsanweisung des Anbieters einsetzen, den laufenden Betrieb überwachen und Protokolle für einen im Gesetz vorgesehenen Mindestzeitraum aufbewahren. Zusätzlich verpflichtet Artikel 26 Absatz 7 Arbeitgeber, betroffene Mitarbeitende sowie Arbeitnehmervertretungen vor dem Einsatz eines Hochrisiko-Systems zu informieren. In Deutschland kommt regelmäßig ein Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG hinzu, sobald ein System zur Verhaltens- oder Leistungskontrolle geeignet ist. Ergänzend verlangt Artikel 50 Transparenzpflichten für KI-Systeme, die mit natürlichen Personen interagieren oder deren Emotionen erkennen: Betroffene müssen wissen, dass sie mit einem KI-System interagieren oder von ihm bewertet werden.
Wo die Umsetzung im Unternehmensalltag scheitert
Regelwissen ist die eine Seite. Die andere Seite ist, dass die genannten Pflichten in gewachsenen Tool-Landschaften kaum sauber zu erfüllen sind, solange Personal-, Projekt- und Zeitdaten in getrennten Systemen liegen.
Das Dokumentationsproblem bei HR- und Operations-Verantwortlichen
Wer für Personalprozesse verantwortlich ist, kennt das Muster: Bewerberdaten liegen im Recruiting-Tool, Leistungsbeurteilungen in einer Excel-Liste, Projekteinsatzpläne in einem dritten System. Sobald eines dieser Systeme KI-gestützte Vorschläge liefert, etwa bei der Vorauswahl von Bewerbungen oder bei der Bewertung von Auslastungsmustern, fehlt die Grundlage für eine belastbare Dokumentation der menschlichen Kontrollinstanz. Ohne einheitliche Personalstammdaten mit klarer Rollenlogik lässt sich im Streitfall nicht nachweisen, wer eine KI-gestützte Entscheidung wann überprüft und freigegeben hat. Das ist genau die Lücke, die Aufsichtsbehörden und Betriebsräte zuerst prüfen.
Das Zuweisungsproblem bei Projektleitung und Delivery
Für Projektleiter wird es konkret, sobald Ressourcenplanung teilautomatisiert läuft. Ein System, das Mitarbeitende aufgrund von Verhaltensmustern, Auslastungshistorie oder Skill-Scores automatisch für Projekte vorschlägt, fällt unter die Hochrisiko-Kategorie der Aufgabenzuweisung. Projektleiter, die solche Vorschläge unreflektiert übernehmen, weil die Ressourcenplanung ohnehin unter Zeitdruck steht, unterlaufen faktisch die geforderte menschliche Aufsicht. Die Konsequenz ist doppelt: Erstens ein Compliance-Risiko, zweitens der Verlust an Nachvollziehbarkeit, wenn ein Projekt später wegen Fehlbesetzung eskaliert und niemand rekonstruieren kann, auf welcher Datengrundlage die Zuweisung erfolgte.
Das Steuerungsproblem auf Ebene von Geschäftsführung und Controlling
Für COO, Operations-Leitung und Geschäftsführung verschärft sich das Bild, sobald mehrere Standorte oder Mandanten betroffen sind. Jede Niederlassung, die eigene Tools für Recruiting, Leistungsbewertung oder Ressourcenplanung einsetzt, erzeugt einen eigenen Compliance-Fall. Ohne konsolidierte Personal- und Projektstammdaten lässt sich weder zentral nachweisen, welche Systeme im Unternehmen überhaupt als Hochrisiko-KI einzustufen sind, noch lässt sich eine einheitliche Informationspflicht gegenüber Mitarbeitenden und Arbeitnehmervertretungen umsetzen. Genau hier entsteht der Punkt, an dem Tool-Wildwuchs von einem Effizienzproblem zu einem Haftungsproblem wird.
Warum Excel und Insellösungen strukturell nicht ausreichen
Excel-Listen und isolierte Fachtools haben für diese Aufgabe drei strukturelle Schwächen. Sie bieten keine Versionshistorie, die belegt, wann eine Entscheidung von einer verantwortlichen Person geprüft wurde. Sie trennen Personal-, Projekt- und Zeitdaten in einer Weise, die eine einheitliche Auskunft gegenüber Aufsichtsbehörden erschwert. Und sie erlauben keine rollenbasierte Zugriffskontrolle, die nachweist, wer auf welche personenbezogenen Bewertungsdaten zugreifen konnte. Für ein einzelnes Team ist das im Alltag noch beherrschbar. Sobald mehrere Projekte, Standorte oder Mandanten hinzukommen, wächst der Dokumentationsaufwand schneller als die verfügbare Kapazität in HR und Operations.
Ein Praxisbeispiel aus dem IT-Consulting
Ein IT-Beratungshaus mit 120 Mitarbeitenden an drei Standorten nutzt ein Recruiting-Tool mit KI-gestützter Vorauswahl, eine separate Ressourcenplanung mit automatisierten Staffing-Vorschlägen und eine Excel-Auswertung für Leistungsbeurteilungen. Alle drei Systeme fallen unter die Hochrisiko-Kategorie Beschäftigung. Die Personalleitung muss ab August 2026 nachweisen können, wer die KI-Vorschläge in jedem einzelnen System prüft, wie die Arbeitnehmervertretung informiert wurde und wie lange die Protokolle aufbewahrt werden.
Ohne konsolidierte Datenbasis bedeutet das drei getrennte Nachweisketten, drei unterschiedliche Rollenkonzepte und drei separate Abstimmungen mit dem Betriebsrat, je Standort potenziell noch einmal gesondert. Mit einer einheitlichen Personal- und Projektstammdatenstruktur reduziert sich der Aufwand auf eine zentrale Informationspflicht mit klar dokumentierten Verantwortlichkeiten je System, die für alle Standorte gleichermaßen gilt. Der entscheidende Unterschied liegt in der Frage, ob die zugrunde liegenden Personendaten aus einer nachvollziehbaren Quelle stammen, unabhängig davon, wie viele Systeme weiterhin genutzt werden.
Folgen bei Nichtbeachtung
Die Aufsicht über Hochrisiko-KI im Beschäftigungskontext liegt in Deutschland bei den Marktüberwachungsbehörden der Länder, die eng mit den Datenschutzaufsichtsbehörden zusammenarbeiten. Beschwerden von Mitarbeitenden oder Betriebsräten sind ein realistischer Auslöser für eine Prüfung, da die Informationspflicht nach Artikel 26 Absatz 7 direkt bei den Betroffenen ansetzt. Wird im Rahmen einer Prüfung festgestellt, dass weder eine dokumentierte menschliche Aufsicht noch eine ordnungsgemäße Information der Belegschaft vorliegt, drohen neben Bußgeldern auch behördliche Anordnungen, den Einsatz des betroffenen Systems auszusetzen, bis die Anforderungen erfüllt sind. Für ein Unternehmen, dessen Ressourcenplanung auf ein solches System angewiesen ist, bedeutet das einen ungeplanten Rückfall auf manuelle Prozesse mitten im laufenden Projektgeschäft.
Eine strukturierte Personal- und Projektzeitplattform löst das Problem über die Grundlage, auf der Dokumentation überhaupt erst möglich wird. Ein separates Compliance-Modul allein reicht dafür nicht aus, solange die zugrunde liegenden Personal- und Projektdaten weiterhin verstreut liegen. Wenn Personalstammdaten, Projektzuordnung und Rollen- und Rechtelogik in einem System liegen, lässt sich für jede Zuweisungsentscheidung nachvollziehen, welche Daten zugrunde lagen und wer Zugriff hatte. ZEP bildet genau diese Struktur ab: Personalstammdaten, Projektstammdaten und Rollenrechte liegen in einer durchgängigen Logik, sodass Auskunfts- und Informationspflichten gegenüber Mitarbeitenden und Arbeitnehmervertretungen nicht für jedes Tool einzeln zusammengesucht werden müssen. Für den Einsatz eigener KI-Funktionen gilt dabei derselbe Grundsatz, der auch der Transparenzpflicht aus Artikel 50 zugrunde liegt: Nutzende müssen erkennen können, dass sie mit einer KI-Funktion interagieren und Vorschläge bleiben eine Grundlage für eine menschliche Entscheidung, keine automatisierte Festlegung.
{{blog-cta}}
Warum jetzt eine systematische Lösung notwendig wird
Der Zeitpunkt ist keine Randnotiz. Zwischen der Bestandsaufnahme, welche Systeme im Unternehmen überhaupt als Hochrisiko-KI gelten, und dem Stichtag 2. August 2026 liegt für viele Projektdienstleister ein enges Zeitfenster. Wer erst nach dem Stichtag beginnt, Informationspflichten nachzuholen, Protokolle aufzubauen und Betriebsräte einzubinden, tut das unter Zeitdruck und mit höherem Fehlerrisiko als bei einer geplanten Einführung.
Wachsende Organisationen mit mehreren Standorten, paralleler Nutzung von Recruiting- und Planungstools sowie zunehmendem Einsatz KI-gestützter Vorschläge stehen vor der Entscheidung, ob sie Compliance-Nachweise weiter manuell über verstreute Systeme zusammentragen oder auf eine konsolidierte Datenbasis umstellen. Für COO, Operations-Leitung und Finance gilt zusätzlich: Der EU AI Act ist einer von mehreren Treibern für Tool-Konsolidierung, neben Margendruck und Skalierungsanforderungen. Wer ohnehin über die Ablösung von Best-of-Breed-Tools nachdenkt, sollte die anstehenden Compliance-Pflichten in die Entscheidung einbeziehen, statt sie als separates Projekt zu behandeln.
Für Projektdienstleister liegt der nächste Schritt nahe: Sobald Personalentscheidungen, Ressourcenplanung und Reporting über mehrere Standorte oder Mandanten hinweg konsolidiert werden müssen, deckt ZEP Professional die kaufmännische und organisatorische Tiefe ab, die für eine einheitliche Informations- und Dokumentationspraxis notwendig ist. Das betrifft insbesondere Unternehmen, die durch die anstehenden Pflichten erstmals systematisch prüfen, welche ihrer Tools tatsächlich als Hochrisiko-KI im Personalbereich einzustufen sind.
Für Management-Beratungen kommt ein weiterer Aspekt hinzu: Staffing-Entscheidungen basieren dort häufig auf Auslastungs- und Bench-Auswertungen, die zunehmend automatisiert erstellt werden. Sobald ein System aus diesen Auswertungen konkrete Vorschläge für die Beraterzuteilung ableitet, ist die Grenze zur Hochrisiko-Aufgabenzuweisung schnell erreicht. Beratungen, die ihre Utilization- und Bench-Daten bereits in einer Plattform konsolidiert haben, können die geforderte menschliche Prüfung direkt an der bestehenden Datenquelle dokumentieren, statt ein zusätzliches Nachweissystem aufzubauen.
Für Ingenieurbüros mit mehreren Fachdisziplinen und langlaufenden Projekten stellt sich die Frage anders, aber mit vergleichbarer Konsequenz: Wo Kapazitätsplanung über mehrere Gewerke hinweg automatisiert unterstützt wird, braucht es eine nachvollziehbare Zuordnung von Personal-, Projekt- und Freigabedaten, damit im Prüfungsfall belegt werden kann, wer eine Zuweisungsentscheidung getroffen und freigegeben hat. Auch hier gilt: Je verteilter die Datenlage, desto aufwendiger die Nachweisführung.
Ein weiterer Punkt betrifft die laufende Pflege der Dokumentation. Die Pflichten aus dem EU AI Act sind kein einmaliger Projektabschluss, sondern eine dauerhafte Aufgabe, solange die betroffenen Systeme im Einsatz bleiben. Jede Erweiterung der Ressourcenplanung, jedes neue Recruiting-Modul und jede Änderung an der Rollenlogik erfordert eine Aktualisierung der Nachweise. Unternehmen, deren Personal- und Projektdaten in einer zusammenhängenden Struktur liegen, können diese Aktualisierung in den bestehenden Pflegeprozess integrieren. Wo Daten über mehrere Tools verteilt bleiben, wächst der Pflegeaufwand mit jeder neuen Anwendung weiter an, unabhängig davon, wie gut die ursprüngliche Dokumentation aufgebaut war.
Was Projektdienstleister jetzt konkret tun sollten
- Beginnen Sie mit einer Bestandsaufnahme: Welche im Unternehmen genutzten Tools für Recruiting, Leistungsbewertung oder Ressourcenplanung treffen automatisierte Vorschläge oder Bewertungen zu einzelnen Mitarbeitenden. Diese Liste ist die Grundlage für alles Weitere.
- Legen Sie danach fest, wer im Unternehmen die menschliche Aufsicht über jedes identifizierte System verantwortet, und dokumentieren Sie diese Zuständigkeit schriftlich. Binden Sie den Betriebsrat oder die Arbeitnehmervertretung frühzeitig ein, nicht erst kurz vor dem Stichtag, da die Mitbestimmungsrechte nach deutschem Recht parallel zur EU-Verordnung greifen.
- Prüfen Sie anschließend, ob Ihre Personal- und Projektdaten in einer Struktur liegen, die eine einheitliche Auskunft ermöglicht, oder ob sie über mehrere Insellösungen verteilt sind. Wo Letzteres der Fall ist, sollte die Konsolidierung der Datenbasis Teil der Vorbereitung auf den 2. August 2026 werden, nicht ein nachgelagerter Schritt.
- Planen Sie außerdem einen festen Prüfrhythmus für die Protokolle und Freigabeentscheidungen ein, statt die Dokumentation nur bei Bedarf nachzureichen. Ein monatlicher Abgleich zwischen den identifizierten Hochrisiko-Systemen, den zuständigen Aufsichtspersonen und dem aktuellen Stand der Arbeitnehmerinformation reduziert das Risiko, dass einzelne Standorte oder Teams von der zentralen Vorbereitung abgekoppelt bleiben. Gerade in Unternehmen mit mehreren Niederlassungen ist dieser Rhythmus der Unterschied zwischen einer einmaligen Compliance-Übung und einer belastbaren, dauerhaften Praxis.
Wer diese vier Schritte vor dem Stichtag umsetzt, geht mit einer geprüften und dokumentierten Struktur in die neue Rechtslage, statt im Nachhinein unter Zeitdruck nachzurüsten. Der Aufwand dafür ist überschaubar, solange er jetzt beginnt und nicht erst, wenn die erste Anfrage einer Aufsichtsbehörde oder eines Betriebsrats auf dem Tisch liegt. Für Projektdienstleister, die ihre Personal- und Projektdaten schon heute in einer konsolidierten Struktur führen, verkürzt sich die Vorbereitungszeit spürbar, weil die Nachweiskette bereits existiert und nur noch um die neuen Informationspflichten ergänzt werden muss.
FAQ
Ab wann gilt der EU AI Act für Personal-KI in Unternehmen?
Die Hochrisiko-Regeln für KI-Systeme im Beschäftigungskontext werden am 2. August 2026 anwendbar. Bis zu diesem Stichtag müssen Arbeitgeber, die entsprechende Systeme einsetzen, menschliche Aufsicht, Informationspflichten gegenüber Mitarbeitenden und Arbeitnehmervertretungen sowie eine Protokollierung eingerichtet haben.
Welche KI-Systeme im Personalbereich gelten als Hochrisiko-KI nach dem EU AI Act?
Anhang III der Verordnung nennt KI-Systeme zur Personalauswahl, etwa bei gezielter Stellenausschreibung, Vorauswahl von Bewerbungen oder Bewertung von Kandidaten, sowie Systeme, die über Beförderung, Kündigung oder Vertragsbedingungen mitentscheiden, Aufgaben aufgrund von Verhaltensmustern zuweisen oder Leistung und Verhalten am Arbeitsplatz überwachen und bewerten.
Muss der Betriebsrat vor dem Einsatz von KI-Systemen im Personalbereich informiert werden?
Ja, in zweifacher Hinsicht. Der EU AI Act verpflichtet Arbeitgeber nach Artikel 26 Absatz 7, betroffene Mitarbeitende und Arbeitnehmervertretungen vor dem Einsatz eines Hochrisiko-Systems zu informieren. Zusätzlich greift in Deutschland regelmäßig das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG, sobald ein System zur Verhaltens- oder Leistungskontrolle geeignet ist.
Welche Bußgelder drohen bei Verstößen gegen den EU AI Act?
Die Verordnung sieht gestaffelte Bußgelder vor. Für die schwersten Verstöße, etwa gegen verbotene KI-Praktiken, drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Verstöße gegen die Pflichten für Hochrisiko-Systeme können mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden.
Was bedeutet die Transparenzpflicht nach Artikel 50 EU AI Act für Arbeitgeber?
Artikel 50 verpflichtet Anbieter und Betreiber bestimmter KI-Systeme, betroffene Personen darüber zu informieren, dass sie mit einem KI-System interagieren oder von einem System zur Emotionserkennung oder biometrischen Kategorisierung erfasst werden. Im Beschäftigungskontext betrifft das etwa Chatbots im Bewerbungsprozess oder Systeme, die Verhalten am Arbeitsplatz auswerten.
Wie können mittelständische Projektdienstleister sich auf den EU AI Act vorbereiten?
Der erste Schritt ist eine vollständige Bestandsaufnahme aller im Unternehmen genutzten Tools mit automatisierten Vorschlägen oder Bewertungen zu Mitarbeitenden. Darauf folgen die Benennung verantwortlicher Aufsichtspersonen, die frühzeitige Einbindung der Arbeitnehmervertretung und die Prüfung, ob Personal- und Projektdaten in einer konsolidierten Struktur liegen, die eine einheitliche Dokumentation ermöglicht.








