Die Februar-Leitlinien — und warum sie kaum jemand gelesen hat
Im Februar 2026 hat die EU-Kommission ergänzende Leitlinien zu Annex III des AI Act veröffentlicht. Der Punkt 4 — "Beschäftigung, Personalmanagement und Zugang zu selbstständiger Tätigkeit" — wurde dabei deutlich präziser gefasst.
Die Folge: KI-Systeme, die Schichtpläne erstellen, Touren zuweisen, Akkordleistung bewerten oder Bewerbungen vorsortieren, gelten ab sofort als Hochrisiko-Systeme. Das betrifft nicht nur Konzerne — sondern jeden Betrieb, der eine KI-Logik in HR, Disposition oder Außendienst-Steuerung einsetzt.
Konkret heißt das: Auch ein SHK-Betrieb mit 30 Monteuren, der eine KI für die optimale Tourenplanung nutzt, ist betroffen. Auch eine Hausverwaltung, die KI für die Hausmeister-Disposition einsetzt. Auch ein Bauunternehmen, das KI zur Akkord-Auswertung nutzt.
Was Hochrisiko konkret bedeutet
Die Pflichten aus Artikel 9 bis 15 des AI Act sind kein Papiertiger. Sie umfassen:
- →Ein dokumentiertes Risikomanagement-System über den gesamten Lebenszyklus
- →Daten-Governance mit nachvollziehbaren Trainings- und Testdatensätzen
- →Technische Dokumentation, die einer Marktaufsichtsbehörde standhält
- →Logging-Pflichten für jede automatisierte Entscheidung
- →Menschliche Aufsicht ("human oversight") mit dokumentiertem Eingriffsrecht
- →Genauigkeit, Robustheit und Cybersicherheit auf nachweisbarem Niveau
Die meisten KI-Anbieter, die Mittelständlern aktuell "Tourenoptimierung mit KI" verkaufen, erfüllen davon — ehrlich gesagt — nichts.
Der blinde Fleck: White-Label-Tools
Besonders heikel ist die Lage bei White-Label-Lösungen. Viele Disposition-Tools im Markt nutzen unter der Haube ChatGPT-API-Calls oder generische Optimierungsmodelle, ohne dass der Endbetrieb das überhaupt weiß.
Wer als Betreiber so ein System einsetzt, übernimmt die volle Compliance-Verantwortung — auch wenn der eigentliche Anbieter im Ausland sitzt. Eine Geldbuße im Bereich von bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes ist theoretisch möglich, in der Praxis trifft das Mittelständler eher über Marktaufsichtsverfahren der Bundesnetzagentur.
Wo NovaData ansetzt
Wir bauen Annex-III-konforme Systeme von Grund auf — kein nachträgliches Compliance-Pflaster.
Risikoklassifikation als erster Schritt
Bevor wir eine Zeile Code schreiben, klären wir mit Ihnen: Fällt die geplante Anwendung unter Annex III? In rund 40 % der Fälle lässt sich der Use Case so zuschneiden, dass die Hochrisiko-Schwelle gar nicht erreicht wird — etwa indem die KI nur Vorschläge macht, die finale Entscheidung aber zwingend durch einen Menschen getroffen wird.
Audit-fähige Logs ab Tag 1
Jede Entscheidung unseres Systems wird mit Eingabedaten, verwendetem Modell, Modellversion und Zeitstempel geloggt. Das genügt nicht nur dem AI Act, sondern auch der DSGVO und einer möglichen NIS2-Prüfung.
Human-in-the-Loop als Default
Bei jeder Disposition, Bewertung oder Zuweisung sieht ein Mensch den Vorschlag, bevor er ausgeführt wird. Das ist kein Hindernis für die Geschwindigkeit — es ist der Unterschied zwischen einem belastbaren System und einem juristischen Blindflug.
Was Sie jetzt tun sollten
Drei konkrete Schritte für die nächsten 14 Tage:
- →Listen Sie alle Tools auf, in denen "KI", "Machine Learning" oder "intelligent" im Namen oder Marketing vorkommt
- →Klären Sie pro Tool: Trifft es Entscheidungen über Personen — Schichten, Bewertungen, Touren, Bezahlung?
- →Fordern Sie vom Anbieter eine Annex-III-Selbstauskunft an. Wer keine liefert, ist ein Risiko.
Fazit
Annex III ist kein abstraktes Brüsseler Thema mehr. Es betrifft jeden Mittelständler, der KI in Personalprozessen nutzt — und die meisten wissen es noch nicht.
Ihr nächster Schritt
Wir prüfen Ihre bestehenden KI-Anwendungen kostenlos auf Annex-III-Relevanz und zeigen Ihnen, welche Anpassungen nötig sind.
→ Discovery Call buchen und Annex-III-Risiko-Check anfordern.
*NovaData — KI-Lösungen, die auch in fünf Jahren noch compliant sind. Made in Bavaria.*