KI-Regulierung trifft betriebliche Altersversorgung: Der perfekte Sturm für HR-Abteilungen bis August 2026

Die Hochrisiko-Klassifikation: Warum HR-KI besonders betroffen ist

Der entscheidende Punkt, den viele Unternehmen noch nicht vollständig erfasst haben, ist die Klassifikation von HR-Systemen als "Hochrisiko-KI" im EU AI Act. Recruiting-Tools, Leistungsbeurteilungssysteme und sogar KI-gestützte bAV-Verwaltung fallen unter diese Kategorie, weil sie direkt über Beschäftigungschancen, Karrierewege und Sozialleistungen entscheiden.

Konkret betroffen sind:

• Automatisierte Bewerbungsauswahl und CV-Screening
• KI-basierte Eignungsdiagnostik und Assessment-Tools
• Algorithmen zur Leistungsbewertung und Beförderungsentscheidungen
• Automatisierte Systeme für bAV-Berechnungen und Opting-out-Prozesse
• Personaleinsatzplanung mit KI-Komponenten

Die Ironie: Während das BRSG II Unternehmen ermutigt, durch Automatisierung die Betriebsrente für 52% mehr Beschäftigte zugänglich zu machen, verlangt der AI Act gleichzeitig aufwendige Kontrollen für genau diese Automatisierung.

Das 7-Monats-Fenster: Was bis August passieren muss

Phase 1: Vollständige KI-Inventarisierung (Januar-Februar 2026)

Unternehmen müssen ihre gesamte KI-Landschaft kartieren – nicht nur offensichtliche Tools, sondern auch "versteckte KI" in SaaS-Lösungen, HR-Plattformen und eingekauften Bewerbermanagementsystemen. Viele Unternehmen unterschätzen, wie viel KI bereits in ihren Systemen steckt.

Praxis-Checkliste KI-Inventar:

• Alle HR-Software auf KI-Komponenten prüfen
• Recruiting-Plattformen und deren Algorithmen dokumentieren
• bAV-Verwaltungssysteme auf Automatisierung analysieren
• Externe Dienstleister nach KI-Nutzung befragen
• Shadow-AI der Mitarbeiter identifizieren

Phase 2: Risikobewertung und Klassifikation (März 2026)

Nicht jede KI ist Hochrisiko-KI. Systeme müssen nach ihrem tatsächlichen Einfluss auf Personalentscheidungen bewertet werden. Ein Chatbot für FAQ ist anders zu bewerten als ein System, das Bewerbungen vorsortiert.

Phase 3: Governance und Dokumentation (April-Mai 2026)

Für alle als hochriskant klassifizierten Systeme müssen robuste Governance-Strukturen etabliert werden. Das bedeutet: Risikomanagementsysteme, Datenqualitätsprüfungen, technische Dokumentation und vor allem – menschliche Aufsicht, die mehr ist als formale Abzeichnung.

Die bAV-Digitalisierung im Spannungsfeld der KI-Regulierung

Das BRSG II eröffnet durch das Opting-out-Modell neue Möglichkeiten für automatisierte Betriebsrenten. Arbeitgeber können Mitarbeiter automatisch in Betriebsrenten einschließen, sofern sie einen 20%-Zuschuss leisten und der Arbeitnehmer nicht widerspricht. Diese Automatisierung ist erwünscht – aber nur, wenn sie AI-Act-konform erfolgt.

Die Herausforderung: KI-Systeme, die automatisch entscheiden, welche Mitarbeiter für welche bAV-Modelle geeignet sind, oder die Risikoprofile für Versorgungsansprüche erstellen, fallen unter die Hochrisiko-Kategorie. Sie müssen nachweisen, dass sie nicht diskriminieren – weder nach Geschlecht, Alter, noch anderen geschützten Merkmalen.

Praktische Umsetzung: Das Aon-Beispiel

Anbieter wie Aon haben bereits reagiert und zentrale Plattformen entwickelt ("Aon PensionHub"), die alle bAV-Prozesse vernetzen. Solche Systeme zeigen den Weg: integrierte Lösungen, die Compliance und Effizienz verbinden. Aber auch sie müssen bis August AI-Act-konform werden.

Unser Ansatz: Lokale KI mit eingebauter Compliance

Bei IT Warehouse haben wir diese Herausforderung antizipiert. Unsere smart!bAV-Plattform verarbeitet KI-gestützte Analysen vollständig lokal in unserem Hamburger Rechenzentrum – kein Datenabfluss in US-Clouds, keine Abhängigkeit von Drittanbietern mit unklarer Compliance-Lage. In über 2,5 Millionen verwalteten bAV-Verträgen setzen wir Human-in-the-Loop konsequent um: Keine automatisierte Entscheidung ohne menschliche Kontrolle.

Unsere veröffentlichte KI-Richtlinie dokumentiert transparent, wie wir KI einsetzen – ein Schritt, den wir jedem Unternehmen empfehlen, das sich auf den AI Act vorbereitet.

Diskriminierungsrisiko: Das unterschätzte Compliance-Problem

Ein kritischer Aspekt, den viele übersehen: KI-Systeme reproduzieren historische Diskriminierung, selbst wenn geschützte Merkmale wie Geschlecht aus den Daten entfernt wurden. Das Amazon-Beispiel ist legendär – das interne Recruiting-Tool bevorzugte männliche Bewerber, weil die Trainingsdaten historisch männlich dominiert waren.

Für die bAV bedeutet dies: Automatisierte Systeme, die auf historischen Daten trainiert wurden, könnten systematisch bestimmte Beschäftigtengruppen benachteiligen – etwa Frauen in Teilzeit oder Beschäftigte mit Migrationshintergrund. Der AI Act verlangt explizit Bias-Analysen und Fairness-Tests.

Menschliche Aufsicht: Mehr als Formalität

Der AI Act verlangt "meaningful human oversight" – keine formale Abzeichnung, sondern echte Kontrollfähigkeit. HR-Mitarbeiter müssen verstehen, wie KI-Systeme zu ihren Entscheidungen gelangen, und die Kompetenz haben, einzugreifen. Wie das konkret aussehen kann, zeigt unsere KI-Richtlinie – ein Dokument, das wir bewusst öffentlich gemacht haben.

Das bedeutet konkret:

• Recruiting-Verantwortliche müssen KI-Empfehlungen kritisch hinterfragen können
• bAV-Manager müssen automatisierte Berechnungen nachvollziehen können
• Es muss jederzeit möglich sein, KI-Entscheidungen zu überstimmen

Shadow-AI: Das versteckte Risiko

Bis zu 42% der Unternehmen vermuten, dass Mitarbeiter private KI-Tools nutzen – von ChatGPT für E-Mails bis zu KI-Bewerbungstools. Diese "Shadow-AI" ist ein Compliance-Risiko, da das Unternehmen keine Kontrolle über Datenverarbeitung und Bias hat.

Die Lösung: Sichere, DSGVO-konforme KI-Tools bereitstellen, die der Shadow-AI den Rang ablaufen. Verbote funktionieren nicht – Alternativen schon.

NIS2 und DORA: Die Cybersecurity-Komponente

Parallel verschärfen NIS2 (seit Dezember 2025) und DORA die Cybersecurity-Anforderungen. Für HR bedeutet dies: Personaldaten und bAV-Systeme müssen gegen Cyberbedrohungen geschützt werden, die zunehmend selbst KI nutzen.

Der GDV warnt vor einem 20%-Anstieg bei KI-gestützten Betrugsfällen, insbesondere CEO-Fraud. Unternehmen müssen ihre Kontrollen stärken – ein weiterer Compliance-Layer zusätzlich zum AI Act.

Handlungsempfehlungen: Der Weg zur Compliance

Sofortmaßnahmen (Januar-Februar 2026)

1. KI-Task-Force etablieren: Legal, IT, HR und Datenschutz müssen zusammenarbeiten
2. Vollständige KI-Inventarisierung: Auch versteckte KI in zugekauften Systemen
3. Externe Expertise: Bei komplexen Systemen Berater hinzuziehen

Mittelfristige Schritte (März-Juni 2026)

1. Governance-Strukturen: Risikomanagementsysteme für Hochrisiko-KI
2. Mitarbeiter-Schulungen: HR-Teams für KI-Kontrolle qualifizieren
3. Vendor-Management: Lieferanten zur AI-Act-Compliance verpflichten

Langfristige Strategie

1. Compliance als Wettbewerbsvorteil: Vertrauen durch Transparenz schaffen
2. Kontinuierliches Monitoring: KI-Systeme regelmäßig auf Bias prüfen
3. Innovation ermöglichen: Sichere KI-Tools bereitstellen statt verbieten

Fazit: Wer jetzt startet, hat im August noch Puffer

Die regulatorische Konvergenz von bAV-Reform und AI Act ist kein Zufall – beide Gesetze zielen auf Fairness und Transparenz. In unseren aktuellen bAV-Projekten sehen wir: Unternehmen, die jetzt mit Phase 1 starten, haben im August noch Zeit für Nachbesserungen. Wer erst im Mai aufwacht, wird hektisch – und hektisch wird teuer.

Die gute Nachricht: Sie müssen das Rad nicht neu erfinden. Mit der richtigen Plattform – einer, die Compliance von Anfang an mitdenkt – wird aus dem „perfekten Sturm" ein handhabbares Projekt. Wir begleiten seit 1996 Versicherer und Makler durch regulatorische Umbrüche. Der AI Act ist anspruchsvoll, aber lösbar.

Mein Rat: Fangen Sie diese Woche mit der KI-Inventarisierung an. Nicht nächsten Monat. Diese Woche.