Gemini überall — EU-Compliance pro Anwendungsfall

Von David Schulte-Herbrüggen · 21.05.2026

Was Google auf der I/O 2026 angekündigt hat

Auf der jährlichen I/O-Konferenz am 20. Mai 2026 hat Google das neue Modell Gemini 3.5 Flash vorgestellt und in jede zentrale Anwendungs-Oberfläche eingebettet. Suche, Gmail, Google Docs, Chrome, Android und Workspace laufen jetzt mit derselben Modell-Familie als gemeinsamer Unterbau. Sundar Pichai sprach in der Keynote von 3,2 Billionen Tokens pro Monat. Die Gemini-App selbst wuchs in einem Jahr von 400 auf 900 Millionen aktive Nutzer.

Hinzu kommt Gemini Spark, ein 24/7-Personal-Agent, der über mehrere Workspace-Apps Aufgaben übernimmt. Die Funktion ist zunächst auf zahlende Nutzer in den USA beschränkt; die EU-Verfügbarkeit steht laut Google-Blog noch nicht fest. Auch das ist ein Hinweis darauf, dass die regulatorische Lage in der EU andere Rollout-Geschwindigkeiten erzwingt.

Pichai brachte den strategischen Punkt selbst auf den Satz: „We're now in the part of the AI cycle where people want to see the value in the products they use every day." Gemini ist damit kein eigenständiges Produkt mehr, sondern eine Schicht unter den Anwendungen, mit denen Hunderte Millionen Nutzende ohnehin täglich arbeiten.

Wie die EU-AI-Act-Hochrisiko-Klassifizierung funktioniert

Einen Tag vor der I/O-Keynote, am 19. Mai 2026, hat die EU-Kommission ihre Entwurfs-Leitlinien zur Klassifizierung von Hochrisiko-KI-Systemen veröffentlicht. Die Konsultationsfrist läuft bis zum 23. Juni 2026. Die zentrale Aussage des Dokuments lautet: Eingestuft wird nicht das Modell, sondern der konkrete Anwendungsfall.

Dasselbe Modell, egal ob Gemini, GPT oder Claude, kann in der einen Oberfläche ein niedriges Risiko haben und in einer anderen Anwendung in die Hochrisiko-Kategorie fallen. Der Spam-Filter im Postfach bleibt unkritisch. Sobald derselbe Assistent allerdings Bewerbungen vorsortiert, ist die Anwendung nach Anhang III Nummer 4 der KI-Verordnung dem Bereich Beschäftigung zuzuordnen und unterliegt der Hochrisiko-Pflicht.

Die Anhang-III-Liste deckt jene Bereiche ab, in denen KI bisher die meisten arbeitsrechtlichen, sozialen und finanziellen Konsequenzen für Einzelne ausgelöst hat. Dazu gehören neben Recruiting und Personalmanagement auch Bildung, Bonitätsbewertung, Sozialleistungen und Strafverfolgung. Für jeden dieser Anwendungsfälle gilt: Sobald ein KI-System dort eingesetzt wird, greifen die Pflichten aus Kapitel III der KI-Verordnung.

Der Artikel-25-Integrator-Flip: vom Anwender zum Anbieter

Die folgenreichste Mechanik der KI-Verordnung steht in Artikel 25. Dort wird klargestellt: Wer ein Allzweck-KI-Modell wie Gemini für einen Anhang-III-Anwendungsfall konfiguriert und unter eigenem Namen oder eigener Marke einsetzt, wird selbst zum Anbieter eines Hochrisiko-KI-Systems. Bird & Bird nennt diesen Mechanismus in ihrem Erstkommentar zu den Leitlinien den Integrator-Flip.

Das bedeutet praktisch: Ein Mittelständler, der den Workspace-Agenten so einrichtet, dass dieser Bewerbungen vorfiltert, wird in der Wahrnehmung der Aufsicht zum Provider des Hochrisiko-Systems. Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht und Information der Arbeitnehmervertretung liegen dann nicht bei Google, sondern beim Anwender selbst. Hinzu kommt die Anti-Circumvention-Regel: Wenn mehrere KI-Komponenten zu einem System kombiniert werden, das wesentliche Entscheidungen beeinflusst, wird die Gesamtkonfiguration als ein einziges KI-System bewertet.

Die AI-Act-Omnibus-Einigung vom 13. Mai 2026 hat den ursprünglichen Stichtag für die Hochrisiko-Pflichten verschoben. Statt am 2. August 2026 greifen sie nun erst ab dem 2. Dezember 2027. An der Logik ändert das nichts: Audits werden später scharf, die Klassifizierungs-Mechanik bleibt identisch.

Genau in dieser Konstellation entsteht das Spannungsfeld, das Mistral-Gründer Arthur Mensch am 13. Mai 2026 vor der französischen Nationalversammlung als „Vasallenstaat"-Risiko bezeichnete. Während die EU-Aufsicht die Klassifizierungs-Frist nach hinten schiebt, integriert Google Gemini bereits jetzt in jede produktive Oberfläche. Die Aufsicht wird auf Anwendungsfälle treffen, die in einer Pilotphase längst etabliert sind. Kent Walker, Googles President Global Affairs, nannte den GPAI Code of Practice der EU-Kommission im vergangenen Jahr einen „Schritt in die falsche Richtung" und verweist regelmäßig auf eine dänische Regierungsstudie, die EU-Regulierungskosten von 124 Milliarden Euro jährlich annimmt.

Was das für Payroll-Verantwortliche im Mittelstand bedeutet

Payroll Fuchs sieht in dieser Konstellation einen klaren Handlungsbedarf bei Geschäftsführungen, die Workspace-AI oder ähnliche eingebettete Assistenten freischalten. Drei Stellschrauben sind aus Sicht des Payroll-Fuchs-Teams am wichtigsten.

Zunächst braucht es eine Bestandsaufnahme aller KI-Anwendungsfälle im Unternehmen, nicht der Tools selbst, sondern jeder konkreten Nutzung. Eine einzige Lizenz für Google Workspace kann mehrere Anhang-III-relevante Anwendungen auslösen, wenn der eingebettete Assistent über Bewerbungs-Vorfilterung, Leistungsbeurteilung oder Mitarbeiter-Coaching genutzt wird. Jede Zeile in dieser Inventarliste bekommt eine Anhang-III-Einstufung.

Im zweiten Schritt lohnt sich der Blick in die Verträge mit Google, Microsoft und SAP, also den großen GPAI-Providern. Die entscheidende Frage lautet: Wer trägt die Hochrisiko-Pflicht, wenn der Anwender ein Modul aktiviert, das in den Anhang-III-Bereich rutscht? Eine saubere Integrator-Klausel verschafft Verhandlungsposition und Klarheit über Haftung, Logging und Dokumentationszusagen.

Der dritte Hebel ist die aktive Nutzung der Konsultationsfrist bis zum 23. Juni 2026. Wer Schwächen in der Auslegung der Leitlinien sieht, kann über Verbände oder den eigenen Datenschutzbeauftragten Stellung nehmen. Die Verschiebung der Hochrisiko-Pflichten auf den 2. Dezember 2027 ist Vorbereitungszeit, kein Aufschub. Wer diese 18 Monate als Audit-Vorbereitung versteht, geht später nicht unter Zeitdruck in die Konformitätsbewertung.

Für die Payroll-Praxis ist die Frage besonders heikel. Lohnabrechnung berührt automatisch Anhang III in mehreren Punkten: bei Vorgesetzten-Auswertungen, bei Krankenstands-Mustern, bei automatisierten Coaching-Hinweisen aus Workspace-Daten. Ein Gemini-gestützter Assistent, der die HR-Inbox eines Mittelständlers analysiert und Vorschläge für Personalentwicklung macht, ist potenziell ein Hochrisiko-System, auch wenn niemand das Tool jemals so genannt hat.

FAQ

Was ist Gemini 3.5 Flash und seit wann ist es verfügbar?

Gemini 3.5 Flash ist Googles neues Standard-Modell für schnelle Antworten, Agenten und längere Aufgaben. Es wurde auf der I/O 2026 am 20. Mai 2026 vorgestellt und ist seit demselben Tag in Suche, Gmail, Docs, Chrome, Android und Workspace eingebettet. Die EU-Verfügbarkeit gilt für die meisten Funktionen sofort; einzelne Agentenfunktionen wie Gemini Spark sind zunächst nur in den USA verfügbar.

Was bedeutet „pro Anwendungsfall klassifizieren" konkret?

Die EU-Kommission stellte am 19. Mai 2026 klar, dass die Hochrisiko-Einstufung der KI-Verordnung nicht das Modell selbst betrifft, sondern den konkreten Anwendungsfall. Dasselbe Modell kann in einem Spam-Filter unkritisch sein und im Bewerbungs-Ranking als Hochrisiko-System gelten. Maßgeblich ist die Anhang-III-Liste, die unter anderem Recruiting, Personalmanagement und Bildung umfasst.

Wer trägt die Hochrisiko-Pflicht: Google oder der Anwender?

Nach Artikel 25 der KI-Verordnung trägt der Anwender die Pflicht, sobald er ein GPAI-Modell für einen Anhang-III-Anwendungsfall konfiguriert und unter eigenem Namen einsetzt. Google bleibt Provider des Modells. Der Mittelständler, der den Workspace-Assistenten für Bewerbungs-Vorsortierung einrichtet, wird zum Provider des Hochrisiko-Systems.

Welche Frist gilt nach der Omnibus-Einigung?

Die Hochrisiko-Pflichten aus Anhang III wurden mit der Omnibus-Einigung vom 13. Mai 2026 vom ursprünglichen 2. August 2026 auf den 2. Dezember 2027 verschoben. Die Konsultation zu den Entwurfs-Leitlinien läuft bis zum 23. Juni 2026.

Was sollten Payroll-Verantwortliche jetzt tun?

Drei Schritte: Inventar aller KI-Anwendungsfälle erstellen, Verträge mit GPAI-Providern auf Integrator-Klauseln prüfen, die Konsultationsfrist und die 18 Monate bis zur Geltung als Audit-Vorbereitung nutzen. Wer das versäumt, riskiert eine späte Konformitätsbewertung unter Zeitdruck.

Vollständige Quellenliste