Eine AI Governance Checkliste für HR schafft gemeinsame Leitplanken für HR, IT, Recht und Betriebsrat — keine neue Bürokratie. Sie legt fest, wer welche KI-Entscheidungen trifft, welche Dokumentation pro Einsatz verpflichtend ist und wie Transparenz gegenüber Mitarbeitenden aussieht. Ab dem 2. August 2026 sind Hochrisiko-KI-Systeme in HR nach EU AI Act Annex III verpflichtend zu belegen — dieser Leitfaden liefert den strukturierten Einstieg mit 4 Reifegraden und 7 Risikodomänen für Unternehmen in DACH.
Warum HR 2026 eine eigene AI Governance Checkliste braucht
KI-Tools sind in HR längst Alltag: Bewerbungsscreening, Performance-Auswertungen, Lernplattformen mit personalisierten Empfehlungen. Was viele HR-Teams unterschätzen: Diese Systeme fallen unter den EU AI Act als Hochrisiko-KI (Annex III, Punkt 4). Ab dem 2. August 2026 gelten strenge Dokumentations- und Transparenzpflichten für alle HR-AI-Systeme, die Recruiting-, Performance- oder Karriereentscheidungen wesentlich beeinflussen (Quelle: enkaconsulting.de).
Gleichzeitig ist DACH arbeitsrechtlich ein Sonderfall: Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung technischer Systeme, die geeignet sind, Verhalten oder Leistung von Beschäftigten zu überwachen. Der EU AI Act verstärkt diese Position, weil er für Hochrisiko-KI genau die technische Dokumentation vorschreibt, die ein Betriebsrat für eine informierte Verhandlung braucht. Wer diese Dokumentation früh erstellt, spart sich spätere Konflikte.
Wichtig: Ein Teil der Pflichten gilt schon heute, nicht erst ab 2026. Artikel 4 EU AI Act verpflichtet Anbieter und Betreiber bereits seit dem 2. Februar 2025 dazu, ein angemessenes KI-Kompetenzniveau bei Mitarbeitenden sicherzustellen, die mit KI-Systemen arbeiten oder deren Einsatz betreuen. Diese KI-Kompetenz-Pflicht ist von der Hochrisiko-Klassifizierung nach Annex III unabhängig und betrifft praktisch jedes HR-Team, das KI-Tools nutzt — unabhängig davon, wann die Annex-III-Pflichten für das konkrete System greifen.
Hinzu kommt die DSGVO: Für jedes HR-AI-System, das personenbezogene Daten verarbeitet und ein hohes Risiko für Betroffene birgt, ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtend. Eine funktionierende AI Governance Checkliste für HR integriert deshalb drei Ebenen: EU AI Act, DSGVO und BetrVG.
Die 4 Reifegrade: Wo steht Ihr Unternehmen heute?
Bevor Sie eine Checkliste abarbeiten, lohnt eine ehrliche Standortbestimmung. Aus der Arbeit mit HR-Teams in DACH sehen wir vier typische Reifegrade. Laut einer Untersuchung von witness.ai befinden sich rund 14 % der Unternehmen noch auf Stufe 1, während nur etwa 11 % die voll automatisierte Stufe 4 erreichen — die Mehrheit steckt auf Stufe 2.
| Reifegrad | Merkmale | Typische HR-AI-Situation | Nächster Schritt |
|---|---|---|---|
| 1 – Ad-hoc | KI-Tools werden spontan getestet. Kein Inventar, keine Richtlinie, kein klarer Verantwortlicher. | Recruiter nutzen ChatGPT für Stellenanzeigen, IT weiß nichts davon. Kein AVV mit dem Anbieter. | Bestandsaufnahme aller genutzten KI-Tools. Eine einseitige Policy mit „erlaubt / genehmigungspflichtig / verboten". |
| 2 – Emerging | Erste Richtlinien vorhanden, aber Durchsetzung inkonsistent. Einzelne AVVs und DPIAs existieren, Abdeckung lückenhaft. | Recruiting-Tool hat AVV und DPIA. Performance-Software läuft ohne vergleichbare Prüfung. Betriebsrat nicht systematisch eingebunden. | Standardprozess einführen: jedes neue HR-AI-System durchläuft denselben Prüfpfad (Risikoklasse → DPIA → AVV → Betriebsrat). |
| 3 – Managed | Crossfunktionales AI-Committee (HR, IT, Recht, BR). Jedes System hat dokumentierten Use-Case-Owner. Governance-KPIs werden berichtet. | Bias-Tests für Recruiting und Performance laufen quartalsweise. BR sitzt im Steuerkreis. Ergebnisse fließen in Performance-Ziele ein. | Governance-Kennzahlen an Unternehmensleitung reporten. Betriebsvereinbarungen vereinheitlichen statt je Tool neu verhandeln. |
| 4 – Optimised | Governance ist Teil des HR-Betriebsmodells. Automatisierte Audits, kontinuierliches Monitoring, externe Reviews. Lernloop aus Incidents. | Fairness-Dashboards laufen in Echtzeit. Jeder Vendor-Vertragsabschluss enthält AI-spezifische Audit-Klauseln. HR setzt firmenweit AI-Standards mit. | Learnings aus Vorfällen systematisch in Training und Templates einarbeiten. Jährliche externe Revision. |
Die 7 Risikodomänen: AI Governance Checkliste für HR im Überblick
Die folgende Übersicht zeigt, welche sieben Bereiche eine vollständige AI Governance Checkliste für HR abdecken muss — und was konkret zu tun ist.
| Risikodomäne | Was ist zu prüfen? | DACH-Besonderheit |
|---|---|---|
| 1. Strategie & Use-Case-Priorisierung | Welche KI-Einsätze in HR sind dokumentiert? Gibt es eine priorisierte Roadmap mit Verantwortlichen und Erfolgsmetriken? | Ohne klaren Use-Case-Owner ist die EU-AI-Act-Pflicht zur menschlichen Aufsicht nicht erfüllbar. |
| 2. Datenschutz & Privatsphäre | Liegt für jeden HR-AI-Einsatz ein AVV vor? Wurde eine DPIA nach Art. 35 DSGVO durchgeführt? Sind Datenfelder auf das Notwendige begrenzt? | DSGVO + EU AI Act überlappen: Hochrisiko-Systeme brauchen DPIA nach Art. 35 DSGVO UND Folgenabschätzung nach Art. 26 EU AI Act. |
| 3. Fairness, Bias & Nicht-Diskriminierung | Werden Screening- und Matching-Tools auf disparate Auswirkungen nach Geschlecht, Alter und weiteren AGG-Merkmalen getestet? Ist ein Remediation-Prozess definiert? | AGG-Konformität ist Pflicht. Automatisiertes Recruiting ohne dokumentierten Bias-Test birgt erhebliches Haftungsrisiko. |
| 4. Employee Experience & Change Management | Wissen Mitarbeitende, welche KI-Systeme sie betreffen, was diese entscheiden dürfen und welche Rechte sie haben? Gibt es strukturierte Trainings und Feedbackkanäle? | Transparenzpflicht aus EU AI Act (Art. 13): Betroffene müssen über den KI-Einsatz informiert werden, bevor Entscheidungen getroffen werden. |
| 5. Betriebsrat & Mitbestimmung | Wurde der Betriebsrat rechtzeitig eingebunden? Existieren Betriebsvereinbarungen für alle relevanten Systeme? Ist der BR im Steuerkreis vertreten? | § 87 Abs. 1 Nr. 6 BetrVG: Zustimmung des BR erforderlich vor Einführung überwachungsgeeigneter Systeme. Ständige Rechtsprechung des BAG bestätigt weite Auslegung bei digitalen Tools. |
| 6. Tooling, Vendor & Verträge | Decken Verträge AI-spezifische Risiken ab (Modellwechsel, Explainability, Bias-Tests, Audit-Rechte)? Ist ein Vendor-Due-Diligence-Prozess etabliert? | Anbieter sind für EU AI Act verantwortlich für Konformitätsbewertung (CE-Kennzeichnung). Betreiber tragen eigene, davon unabhängige Pflichten. |
| 7. Monitoring, Vorfälle & Verbesserung | Sind KPIs für jeden KI-Einsatz definiert? Gibt es einen Incident-Prozess? Fließen Erkenntnisse aus Vorfällen zurück in Policies und Trainings? | EU AI Act verlangt Protokollierung (Art. 12) und nachmarktliche Überwachung — das ist keine freiwillige Qualitätssicherung, sondern Pflicht. |
Die vollständige Checkliste: 4 Reifegrade × 7 Risikodomänen im Überblick
Die beiden Übersichten oben zeigen Reifegrade und Risikodomänen getrennt. Für die praktische Selbsteinschätzung im Team ist die Kombination hilfreicher: Wo steht jede der sieben Domänen konkret auf der Reifegrad-Skala? Die folgende Matrix füllt alle 28 Felder aus einer typischen DACH-HR-Organisation aus — nutzen Sie sie als Ausgangspunkt für Schritt 1 der Implementierung (siehe unten). Wer den organisatorischen Governance- und Skills-Stack dahinter (Tool-Freigabe-Prozess, Rollenmodell, Shadow-AI-Umgang) vertiefen will, findet das im Spoke-Beitrag KI-Befähigung im Personalbereich: Governance und Skills-Stack — diese Checkliste hier bleibt bewusst auf die Reifegrad-Selbsteinschätzung fokussiert.
| Risikodomäne | 1 – Ad-hoc | 2 – Emerging | 3 – Managed | 4 – Optimised |
|---|---|---|---|---|
| 1. Strategie & Use-Case-Priorisierung | Kein KI-Inventar, Tools laufen unkoordiniert ohne Verantwortlichen. | KI-Inventar begonnen, aber unvollständig; keine Priorisierung nach Risiko. | Vollständiges, gepflegtes Inventar mit Use-Case-Owner und Risikoklasse je System. | Inventar wird laufend aktuell gehalten, Roadmap jährlich mit der Unternehmensleitung abgestimmt. |
| 2. Datenschutz & Privatsphäre | Keine DPIA, AVVs lückenhaft oder fehlend. | DPIA für einzelne Hochrisiko-Systeme vorhanden, Abdeckung uneinheitlich. | DPIA + AVV als Standardprozess vor jedem Go-live, DSB fest eingebunden. | Kontinuierliches Datenschutz-Monitoring, jährliche externe Prüfung der DPIA-Qualität. |
| 3. Fairness, Bias & Nicht-Diskriminierung | Keine Bias-Tests, AGG-Risiko unbekannt. | Vereinzelte Bias-Tests nach Beschwerden, kein fester Rhythmus. | Quartalsweise Bias-Tests mit definierten Thresholds und Remediation-Prozess. | Kontinuierliches Fairness-Monitoring, Vendor vertraglich zur Bias-Offenlegung verpflichtet. |
| 4. Employee Experience & Change Management | Mitarbeitende wissen nicht, welche KI-Systeme sie betreffen. | Punktuelle Kommunikation bei Rollout, keine strukturierten Schulungen. | Rollenspezifische KI-Schulungen (Art. 4 EU AI Act) etabliert, Feedbackkanäle aktiv. | KI-Kompetenz Teil der Skill-Matrix, Sentiment-Tracking nach jedem Rollout. |
| 5. Betriebsrat & Mitbestimmung | BR nicht eingebunden, kein Abgleich mit §§ 87/90/95 BetrVG. | BR wird informiert, aber erst nach der Kaufentscheidung. | BR sitzt im Steuerkreis, Betriebsvereinbarungen pro System dokumentiert. | Standardisierter BV-Rahmen für alle HR-AI-Systeme, BR wertet Pilotergebnisse aktiv mit aus. |
| 6. Tooling, Vendor & Verträge | Standardverträge ohne AI-Klauseln, kein Vendor-Screening. | Einzelne AI-Klauseln bei neuen Verträgen, Bestandsverträge ungeprüft. | Vendor-Checkliste + AI-Klauseln (Audit-Rechte, Modellwechsel-Meldung) als Standard. | Jährliches Vendor-Rating gegen Governance-KPIs, Audit-Rechte werden aktiv genutzt. |
| 7. Monitoring, Vorfälle & Verbesserung | Kein Incident-Prozess, keine KPIs definiert. | KPIs für einzelne Systeme, Incident-Meldung ad hoc. | KPIs je System, definierter Incident-Prozess, quartalsweise Review. | Automatisierte Protokollierung (Art. 12 EU AI Act), Learnings fließen systematisch zurück in Policies. |
Risikodomäne 1: Strategie & Use-Case-Priorisierung
Gute AI Governance in HR beginnt nicht mit einem Compliance-Dokument, sondern mit einer klaren Antwort auf die Frage: Welche KI-Systeme nutzen wir, wofür, mit welchem Ziel und unter wessen Verantwortung? Ohne ein gepflegtes KI-Inventar ist keine der anderen sechs Risikodomänen sauber bearbeitbar.
- Legen Sie ein KI-Inventar für HR an: Tool, Use-Case, Datenfelder, Risikoklasse nach EU AI Act, Verantwortlicher.
- Priorisieren Sie Use-Cases nach Impact, Risiko und Aufwand — nicht nach Vendor-Pitch-Kalender.
- Definieren Sie, welche AI-Ideen vor Pilotstart ein Committee-Sign-off brauchen.
- Verbinden Sie Ihre AI-Roadmap mit der Skill-Management-Strategie und DEI-Zielen.
- Bennen Sie einen Use-Case-Owner pro System, der für KPIs und Compliance verantwortlich ist.
Risikodomäne 2: Datenschutz & Privatsphäre (DSGVO)
Jeder HR-AI-Einsatz, der personenbezogene Beschäftigtendaten verarbeitet und ein erhöhtes Risiko birgt, löst eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO aus. Für Hochrisiko-KI nach EU AI Act kommt zusätzlich eine Grundrechte-Folgenabschätzung nach Art. 26 EU AI Act hinzu — ein Konzept, das über den Datenschutz hinausgeht und Auswirkungen auf Nichtdiskriminierung und den Zugang zu Rechtsmitteln einschließt.
Laut dem teamazing-Praxisleitfaden sollte pro KI-Deployment ein vollständiges Compliance-Paket aus acht Dokumenten vorliegen: rechtliche Grundlage (Art. 6 DSGVO), DPIA (Art. 35 DSGVO), AVV, Risikoklassifizierung nach EU AI Act, technische Dokumentation (Anhang IV), AIBOM, Betriebsvereinbarung (§ 87 BetrVG) und NIS2-Lieferkettenhinweis.
Zwei weitere Normen sind für HR-AI-Systeme in DACH zentral, werden in generischen Checklisten aber oft ausgelassen: Art. 22 DSGVO gibt Beschäftigten das Recht, keiner ausschließlich automatisierten Entscheidung mit rechtlicher oder vergleichbar erheblicher Wirkung unterworfen zu werden — relevant für vollautomatisiertes Bewerber-Scoring ohne menschliche Letztentscheidung. Und § 26 BDSG regelt speziell die Verarbeitung von Beschäftigtendaten für das Arbeitsverhältnis — die Rechtsgrundlage, auf die sich viele HR-AI-Deployments stützen, bevor eine Einwilligung überhaupt in Betracht kommt.
- DPIAs für alle Hochrisiko-HR-Systeme durchführen — vor dem Go-live, nicht danach.
- AVVs prüfen: Decken sie KI-Verarbeitung, Sub-Prozessoren und Modelltraining auf Beschäftigtendaten ab?
- Prüfen, ob ein System eine "ausschließlich automatisierte" Entscheidung nach Art. 22 DSGVO trifft — wenn ja, menschliche Letztentscheidung im Prozess verankern und dokumentieren.
- Rechtsgrundlage nach § 26 BDSG für jeden HR-AI-Einsatz explizit festhalten, statt sich pauschal auf Einwilligung zu verlassen.
- Datenfelder in Prompts und Trainingsdaten auf das Notwendige begrenzen; freie Texteingaben vermeiden, wo strukturierte Felder ausreichen.
- Lösch- und Aufbewahrungsfristen für KI-Logs, Prompts und Outputs dokumentieren.
- Mitarbeitende über den KI-Einsatz und ihre Rechte informieren — Transparenzpflicht nach Art. 13/14 DSGVO und Art. 13 EU AI Act.
Risikodomäne 3: Fairness, Bias & Nicht-Diskriminierung
Automatisierte Entscheidungen in Recruiting, Performance und interner Mobilität können bestehende Ungleichheiten reproduzieren oder verstärken. Das AGG (Allgemeines Gleichbehandlungsgesetz) verbietet Diskriminierung aufgrund von Geschlecht, Alter, Herkunft und weiteren Merkmalen — KI-gestützte Prozesse sind davon nicht ausgenommen. Der EU AI Act verlangt für Hochrisiko-Systeme zudem eine fortlaufende Überwachung auf nachteilige Auswirkungen.
- Screening- und Matching-Tools auf disparate Impact-Raten nach Geschlecht, Alter und weiteren AGG-Merkmalen testen.
- Vendoren verpflichten, Bias-Testmethoden und Ergebnisse offenzulegen — als Vertragsbestandteil.
- Thresholds definieren: Ab welcher Abweichungsrate wird ein System gestoppt oder angepasst?
- Remediation-Schritte dokumentieren (Threshold-Anpassung, zusätzliche menschliche Überprüfung).
- Bewerber:innen und Mitarbeitenden Beschwerdewege anbieten.
Risikodomäne 4: Employee Experience & Change Management
Selbst technisch einwandfreie KI-Systeme scheitern, wenn Mitarbeitende nicht verstehen, was die KI tut, was sie nicht darf und welche Rechte sie haben. Vertrauen ist kein Nice-to-have — es ist eine Voraussetzung dafür, dass Governance-Standards im Alltag gelebt werden. Rechtlich ist das kein freiwilliges Nice-to-have: Art. 4 EU AI Act verpflichtet Sie bereits seit 2. Februar 2025, ein angemessenes KI-Kompetenzniveau bei allen Mitarbeitenden sicherzustellen, die mit KI-Systemen arbeiten. HR-Teams sollten dabei auf gezielte KI-Schulungen für HR-Teams setzen, um intern Kompetenz aufzubauen, bevor neue Systeme ausgerollt werden.
- Jeden AI-Einsatz in einfacher Sprache erklären: Zweck, Grenzen, menschliche Override-Möglichkeit.
- Rollenspezifische KI-Weiterbildung für Mitarbeitende anbieten, bevor KI-gestützte Prozesse verpflichtend werden.
- Sentiment nach AI-Rollouts messen — kurze Puls-Umfragen, keine langen Jahresumfragen.
- Ein FAQ-Log mit wiederkehrenden Mitarbeiterfragen und den offiziellen Antworten pflegen.
- Feedbackkanäle einrichten, die nicht nur bei Beschwerden aktiv werden.
Risikodomäne 5: Betriebsrat & Mitbestimmung
In deutschen Unternehmen mit Betriebsrat ist die frühzeitige Einbindung keine Empfehlung, sondern Pflicht — und zwar an drei Stellen im BetrVG, nicht nur einer. Nach § 87 Abs. 1 Nr. 6 BetrVG besteht ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die geeignet sind, Verhalten oder Leistung der Arbeitnehmer zu überwachen. Die ständige Rechtsprechung des BAG legt diesen Begriff weit aus — digitale Monitoring-Features in HR-Plattformen fallen grundsätzlich darunter. Bereits davor greift § 90 BetrVG: Der Betriebsrat muss schon in der Planungsphase neuer technischer Systeme rechtzeitig unterrichtet und angehört werden, nicht erst bei der Einführung. Und für KI-gestütztes Recruiting/Auswahl ist § 95 BetrVG (Auswahlrichtlinien) einschlägig — seit der BetrVG-Reform 2021 gilt die Mitbestimmungspflicht für Auswahlrichtlinien bei Einstellung, Versetzung, Umgruppierung und Kündigung explizit auch dann, wenn diese Richtlinien mithilfe von KI erstellt werden.
Der EU AI Act stärkt dabei die Position des Betriebsrats: Die technische Dokumentation, die für Hochrisiko-Systeme vorgeschrieben ist (Anhang IV), enthält genau die Informationen — Funktionsweise, Trainingsdaten, Limitationen, Aufsichtskonzept — die ein BR für eine informierte Verhandlung benötigt.
- Mit Legal klären, wann §§ 87/90/95 BetrVG bei einem konkreten KI-Tool greifen — im Zweifel frühzeitig.
- Konzepte und DPIAs dem Betriebsrat in der Planungsphase (§ 90 BetrVG) vorlegen, nicht nach dem Kauf.
- Bei KI-gestützten Auswahlrichtlinien für Recruiting/Beförderung: § 95 BetrVG von Anfang an mitdenken, nicht erst wenn das Tool schon läuft.
- Konsultationsschritte und Vereinbarungen für jedes relevante KI-System dokumentieren.
- Den BR in die Auswertung von Pilot-Ergebnissen und Mitarbeiterfeedback einbeziehen.
- Einen standardisierten Betriebsvereinbarungsrahmen für HR-AI-Systeme entwickeln, statt jeden Fall neu zu verhandeln.
Risikodomäne 6: Tooling, Vendor & Verträge
Vendoren sind keine neutralen Dienstleister — sie sind Teil Ihrer AI-Risikooberfläche. Der EU AI Act unterscheidet klar zwischen Anbieter (trägt Verantwortung für Konformitätsbewertung und CE-Kennzeichnung) und Betreiber (trägt eigene, davon unabhängige Pflichten). Wer als HR-Organisation ein Hochrisiko-KI-System einsetzt, kann sich nicht hinter der Compliance des Anbieters verstecken.
- Vendor-Checkliste erstellen: Sicherheit, Datennutzung, Explainability, Bias-Tests, EU-Hosting, AI-Act-Readiness.
- AI-spezifische Vertragsklauseln einfordern: Benachrichtigung bei Modellwechseln, Audit-Rechte, Incident-Pflichten, AVV-Templates.
- Klären, wie der Vendor Betriebsratsprozesse und DSGVO-Pflichten unterstützt (DPIA-Templates, AVVs).
- Procurement, IT-Sicherheit und HR auf ein gemeinsames Bewertungsschema für AI-Vendoren einigen.
- Vendor-Performance gegenüber Governance-KPIs jährlich bewerten.
Risikodomäne 7: Monitoring, Vorfälle & kontinuierliche Verbesserung
Governance endet nicht mit dem Go-live. Der EU AI Act schreibt für Hochrisiko-Systeme eine automatische Protokollierung (Art. 12) und nachmarktliche Überwachung vor — kein freiwilliges Qualitätsmanagement, sondern gesetzliche Pflicht. Aus der Praxis zeigt sich: Teams, die ein funktionierendes Incident-Monitoring haben, erkennen Governance-Probleme frühzeitig und lösen sie deutlich günstiger als nach einem externen Audit.
- 3–5 KPIs pro KI-Einsatz definieren (z. B. Time-to-Hire, Diversity-Rate, Beschwerderate).
- Was zählt als „KI-Vorfall" festlegen — und wer die Response-Führung übernimmt.
- Quartalsweise Reviews von HR-AI-Dashboards und Incident-Logs einplanen.
- Erkenntnisse aus Incidents in Policies, Templates und KI-Trainingsprogrammen verarbeiten.
- Jährliche Revision: Reifegrad neu einschätzen, neue AI-Regulierung einarbeiten.
Das 8-Dokumente-Paket: Was pro HR-AI-Einsatz vorliegen muss
Für jedes HR-AI-System, das Beschäftigtendaten verarbeitet, sollte ein vollständiges Compliance-Paket hinterlegt sein. Dieses Paket bildet die Grundlage für DSGVO-Audits, Betriebsratskonsultationen und EU-AI-Act-Nachweise (Teamazing-Praxisleitfaden).
| Dokument | Rechtsgrundlage | Wer verantwortet es? |
|---|---|---|
| Rechtliche Grundlage für Datenverarbeitung | Art. 6 DSGVO | Datenschutzbeauftragte:r (DSB) |
| Datenschutz-Folgenabschätzung (DPIA) | Art. 35 DSGVO | DSB + HR |
| Auftragsverarbeitungsvertrag (AVV) | Art. 28 DSGVO | Legal + HR |
| Risikoklassifizierung nach EU AI Act | EU AI Act Annex III | HR + IT + Legal |
| Technische Dokumentation (Hochrisiko) | EU AI Act Anhang IV | IT + Vendor |
| AIBOM (KI-Stückliste) | EU AI Act | IT |
| Betriebsvereinbarung | § 87 Abs. 1 Nr. 6 BetrVG | HR + Betriebsrat |
| NIS2-Lieferkettenhinweis (falls anwendbar) | NIS2-Richtlinie | IT-Sicherheit |
Implementierung in 7 Schritten
AI Governance muss pragmatisch genug sein, dass Sie morgen anfangen können — aber strukturiert genug, um DSGVO, Mitbestimmung und EU AI Act standzuhalten.
- Schritt 1 — Schnelle Selbsteinschätzung: Aktuellen Stand pro Risikodomäne mit einer kleinen Gruppe (HR, IT, Legal, BR) einschätzen. Kein Wortklauben — 1–2 Belege pro Bewertung genügen.
- Schritt 2 — Zielreifegrade festlegen: Wo wollen Sie in 12–24 Monaten stehen? Beispiel: Reifegrad 3 bei Datenschutz und Betriebsrat, Reifegrad 2 bei Monitoring.
- Schritt 3 — Lücken priorisieren: 2–3 Lücken mit hohem Risiko oder hoher Sichtbarkeit wählen, etwa fehlende DPIAs für bestehende Tools.
- Schritt 4 — Partner einbinden: Aktionspläne gemeinsam mit IT, Legal und BR erstellen. Verantwortlichkeiten, Zeitpläne und Dokumentationsbedarfe klären.
- Schritt 5 — Mit Skills verknüpfen: AI-Governance-Kompetenzen in Lernpfade und Entwicklungspläne integrieren. Reifegrad-Fortschritt als Entwicklungsziel verankern.
- Schritt 6 — In Systeme einbetten: Governance-Checkpoints in bestehende Workflows integrieren: Vendor-RFPs, HRIS-Change-Requests, Performance-Kalibrierung, Beförderungskommissionen.
- Schritt 7 — Jährlich überprüfen: Vorfälle, Audits und Mitarbeiterfeedback auswerten. Level-Beschreibungen, Checklisten und Trainingsinhalte aktualisieren.
Regelmäßige Check-in-Formate
Auch die beste AI Governance Checkliste für HR verkommt zur statischen PDF, wenn keine lebendigen Review-Formate dahinterstehen.
Format 1 — Monatliches HR-AI-Huddle (45–60 Minuten): Ein HR-AI-System schnell über die sieben Domänen bewerten. Lücken werden zu Follow-up-Actions.
Format 2 — Halbjährliche crossfunktionale Kalibrierung: HR, IT, Legal, DSB und Betriebsrat bewerten gemeinsam 3–5 Kernsysteme (ATS, Performance-Plattform, Learning-System). Jede Funktion bringt Belege mit.
Format 3 — Incident-Drills: Einmal jährlich einen Datenleck- oder Bias-Vorfall simulieren. Playbook durchspielen: Meldung an DSB und BR, Kommunikation an Mitarbeitende.
- Sessions zeitboxen und auf Belege fokussieren, nicht auf Meinungen.
- Moderation rotieren, damit AI-Governance-Wissen sich verteilt.
- Entscheidungen und Verantwortliche direkt im Performance- oder Talent-System festhalten.
- Nicht-sensible Learnings unternehmensweit teilen, um Vertrauen zu stärken.
Fazit
KI in HR schafft echten Mehrwert — aber nur, wenn Mitarbeitende, Betriebsrat und Führungskräfte den Prozessen dahinter vertrauen. Eine strukturierte AI Governance Checkliste für HR mit vier Reifegraden und sieben Risikodomänen gibt Ihnen drei Dinge: Klarheit darüber, wer was entscheidet; Fairness durch messbare Standards und Audits; und eine Entwicklungsperspektive, damit Governance zur Karrierekompetenz wird — nicht zum „Zusatzaufwand".
Starten Sie mit einer Selbsteinschätzung in einer kleinen crossfunktionalen Runde. Wählen Sie zwei Governance-Lücken, benennen Sie einen Verantwortlichen und planen Sie in sechs Monaten eine crossfunktionale Revision mit IT, Legal und Betriebsrat. Nach ein bis zwei Zyklen ist Ihre AI Governance Checkliste für HR ein lebendiger Bestandteil von Performance, Entwicklung und Talent-Entscheidungen — kein abgeheftetes Dokument.
FAQ
Muss ich mit AI Governance in HR warten, bis die Hochrisiko-Pflichten 2026 greifen?
Nein. Die Annex-III-Pflichten (technische Dokumentation, Konformitätsbewertung) für Hochrisiko-Systeme gelten ab 2. August 2026 — aber die KI-Kompetenz-Pflicht nach Art. 4 EU AI Act ist bereits seit 2. Februar 2025 in Kraft und betrifft jedes Unternehmen, das KI-Systeme einsetzt oder deren Einsatz betreut, unabhängig von der Risikoklasse. Wer heute schon Schulungs- und Kompetenznachweise aufbaut, startet 2026 nicht bei null.
Welche HR-KI-Systeme gelten ab 2. August 2026 als Hochrisiko nach EU AI Act?
Annex III, Punkt 4 des EU AI Act klassifiziert KI-Systeme als Hochrisiko, die für Recruiting (Screening, Matching, Vorauswahl), Performance-Bewertung, Beförderungs- und Entlassungsentscheidungen sowie interne Mobilität eingesetzt werden, sofern sie diese Entscheidungen wesentlich beeinflussen. Die Klassifizierung richtet sich nach dem beabsichtigten Einsatz, nicht nach der zugrundeliegenden Technologie (Quelle).
Was ist der Unterschied zwischen einer DPIA (DSGVO) und einer Grundrechte-Folgenabschätzung (EU AI Act)?
Die DPIA nach Art. 35 DSGVO prüft Risiken für den Schutz personenbezogener Daten. Die Grundrechte-Folgenabschätzung nach Art. 26 EU AI Act geht weiter: Sie erfasst Auswirkungen auf Nichtdiskriminierung, Chancengleichheit und den Zugang zu Rechtsmitteln — also Grundrechte jenseits des Datenschutzes. Beide Prüfungen sind für Hochrisiko-HR-AI-Systeme in DACH verpflichtend.
Brauche ich für jedes HR-KI-Tool eine Betriebsvereinbarung?
Nicht zwingend für jedes Tool — aber für alle Systeme, die geeignet sind, Verhalten oder Leistung von Beschäftigten zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG). Die ständige Rechtsprechung des BAG legt diesen Begriff weit aus. Im Zweifel sollten Sie frühzeitig mit Legal und Betriebsrat klären, ob ein Mitbestimmungsrecht besteht, statt im Nachhinein Konflikte zu lösen.
Wie verhindere ich, dass Governance-Prozesse AI-Projekte ausbremsen?
Indem Sie Prozesse nach Risikohöhe abstufen und Standardvorlagen nutzen: Für Niedrigrisiko-Einsätze (z. B. AI-gestützte Schreibhilfe für Stellenanzeigen ohne Filterautomatik) reicht ein einfaches Freigabeformular. Für Hochrisiko-Systeme gilt der volle Prüfpfad. Vorlagen für DPIAs, AVVs und Betriebsvereinbarungen senken den Aufwand erheblich. Das Ziel ist beherrschbare, nicht maximale Kontrolle.
Wer sollte AI Governance in HR-Organisationen verantworten?
Die Governance-Verantwortung liegt sinnvollerweise gemeinsam bei HR (Use-Case-Ownership), Legal/DSB (Compliance), IT (Technik und Vendor-Management) und dem Betriebsrat (Mitbestimmung). Ein zentrales AI-Committee mit klarem Mandat ist effizienter als verstreute Einzelverantwortungen — und ist das einzige Modell, das allen vier Anforderungsebenen (EU AI Act, DSGVO, BetrVG, AGG) gerecht wird.
Was droht bei Verstößen gegen den EU AI Act für HR-Systeme?
Bußgelder von bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes — je nachdem, was höher ist. Hinzu kommen DSGVO-Bußgelder von bis zu 20 Millionen Euro oder 4 % des Umsatzes sowie AGG-Schadensersatzansprüche bei nachgewiesener Diskriminierung. Die drei Regime greifen unabhängig voneinander (Quelle).



