AI Act für HR und Recruiting: Der vollständige Compliance-Leitfaden
KI im Recruiting und in der Beschäftigung ist die mit Abstand häufigste Hochrisiko-Kategorie unter dem EU AI Act und diejenige, die die breiteste Spanne von Organisationen betrifft. Sie müssen kein Technologieunternehmen sein, um in den Anwendungsbereich zu fallen. Wenn Ihre Organisation KI bei der Einstellung, beim CV-Screening, bei der Bewertung von Interviews, beim Ranking von Kandidaten, bei der Leistungsüberwachung oder bei Beförderungsentscheidungen einsetzt, gilt für Sie die Frist am 2. August 2026 für die Compliance von Hochrisiko-Systemen. Diese Frist ist nicht fern. Sie ist Monate entfernt. Und die Pflichten, die sie auslöst, sind erheblich: Konformitätsbewertungen, technische Dokumentation, Verfahren zur menschlichen Aufsicht, Bias-Tests, Information der Kandidaten, Aufbewahrung von Protokollen und, für bestimmte Betreiber, eine Grundrechte-Folgenabschätzung. Einige Praktiken im Recruiting-Einsatz von KI sind bereits gänzlich verboten, mit Bußgeldern von bis zu 35 Millionen EUR oder 7 % des weltweiten Umsatzes. Dieser Leitfaden behandelt jede Pflicht, die für KI in HR und Recruiting gilt, vom Anbieter, der das Tool baut, bis zum Arbeitgeber, der es nutzt, mit praktischen Schritten, Compliance-Checklisten und Praxisbeispielen.
TL;DR, das Wichtigste zu AI Act und HR
- Standardmäßig Hochrisiko: KI-Systeme, die im Recruiting, bei der Einstellung, bei Beförderung, Kündigung, Aufgabenverteilung und Leistungsüberwachung eingesetzt werden, sind in Anhang III, Nummer 4 des EU AI Act ausdrücklich als Hochrisiko aufgeführt.
- Frist 2. August 2026: Die Hochrisiko-Pflichten werden zu diesem Datum durchsetzbar. Bereits auf dem Markt befindliche Systeme müssen compliant sein, sofern sie keine wesentliche Änderung erfahren.
- Bereits verboten: Emotionserkennung am Arbeitsplatz und im Recruiting, biometrische Kategorisierung zur Ableitung geschützter Merkmale, Social Scoring und unterschwellige Manipulation sind nach Artikel 5 seit dem 2. Februar 2025 verboten.
- Zwei Pflichtenkreise: Der KI-Anbieter (Provider) und der Arbeitgeber, der das Tool nutzt (Deployer), haben jeweils eigene Compliance-Pflichten. Compliance des Anbieters bedeutet nicht Compliance des Arbeitgebers.
- Rechte der Kandidaten: Kandidaten und Beschäftigte müssen darüber informiert werden, dass sie einer KI-Entscheidungsfindung unterliegen, haben ein Recht auf Erläuterung und ein Recht auf menschliche Überprüfung.
- Bias-Tests sind verpflichtend: Artikel 10 verlangt die Prüfung von Datensätzen auf Verzerrungen, besonders kritisch im Beschäftigungskontext, wo geschützte Merkmale wie Alter, Geschlecht, Ethnie und Behinderung unmittelbar relevant sind.
- Sanktionen: Bis zu 35 Millionen EUR oder 7 % des weltweiten Umsatzes für verbotene Praktiken; bis zu 15 Millionen EUR oder 3 % des weltweiten Umsatzes für Verstöße gegen Hochrisiko-Pflichten. Siehe den vollständigen Leitfaden zu Sanktionen.
- Bewertungstool: Nutzen Sie die Legalithm AI-Act-Bewertung, um Ihre HR-KI-Systeme einzustufen und Ihre Pflichten zu bestimmen.
Welche HR-KI-Tools sind Hochrisiko?
Anhang III, Nummer 4 des AI Act stuft KI-Systeme, die in Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit eingesetzt werden, als Hochrisiko ein. Der Anwendungsbereich ist bewusst breit gefasst. Der europäische Gesetzgeber hat erkannt, dass KI-gesteuerte Entscheidungen über die Existenzgrundlage von Menschen von Natur aus hohe Grundrechtsrisiken bergen und das Recht auf Nichtdiskriminierung, Würde, faire Arbeitsbedingungen und wirksamen Rechtsbehelf berühren.
Die Einstufung nach Artikel 6 hängt nicht davon ab, wie ausgereift die KI ist. Ein einfacher Keyword-Matching-Algorithmus, der Lebensläufe automatisch ablehnt, unterliegt demselben Hochrisiko-Regime wie ein Deep-Learning-Modell, das Videointerviews analysiert. Entscheidend sind die Funktion und der Kontext, nicht die technische Komplexität.
Als Hochrisiko eingestufte HR-KI-Systeme
Die Schwelle des "wesentlichen Einflusses"
Ein entscheidender Punkt, den viele Organisationen übersehen: Das KI-System muss nicht die endgültige Entscheidung treffen, um Hochrisiko zu sein. Wenn das KI-System das Ergebnis wesentlich beeinflusst, indem es Kandidaten aussortiert, bevor ein Mensch sie sieht, indem es Kandidaten in eine Reihenfolge bringt, die bestimmt, wer zum Interview eingeladen wird, oder indem es einen Score vergibt, auf den sich ein menschlicher Prüfer stützt, fällt es in den Anwendungsbereich. Die gesetzgeberische Absicht ist klar: Die Hochrisiko-Einstufung zielt auf Systeme, deren Ergebnis eine erhebliche Wirkung auf das Beschäftigungsverhältnis hat, unabhängig davon, ob ein Mensch formal abzeichnet.
Praxisbeispiel: Ein Unternehmen nutzt ein KI-Tool, um 5.000 eingehende Lebensläufe zu bewerten, und legt menschlichen Recruitern die besten 200 vor. Der Recruiter trifft die "endgültige" Entscheidung, welche 20 Kandidaten zum Interview kommen, aber die KI hat bereits 4.800 Menschen aussortiert. Dieses KI-Tool ist Hochrisiko, und dass ein Mensch die endgültige Auswahl aus der Shortlist der KI trifft, ändert an der Einstufung nichts.
Eine ausführliche Anleitung zum Einstufungsprozess finden Sie unter Ist mein KI-System Hochrisiko? Leitfaden zur Einstufung.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenBereits verbotene Praktiken im Recruiting
Bevor wir die Hochrisiko-Pflichten behandeln, die im August 2026 in Kraft treten, müssen Organisationen verstehen, dass bestimmte KI-Praktiken im Recruiting bereits verboten sind. Die Verbote verbotener KI-Praktiken nach Artikel 5 sind am 2. Februar 2025 in Kraft getreten. Verstöße sind bereits durchsetzbar und tragen die höchste Sanktionsstufe des AI Act.
Emotionserkennung in Interviews und am Arbeitsplatz
Artikel 5 Absatz 1 Buchstabe f verbietet den Einsatz von KI-Systemen zur Ableitung von Emotionen natürlicher Personen in den Bereichen Arbeitsplatz und Bildung, außer wenn das KI-System aus medizinischen oder Sicherheitsgründen in Verkehr gebracht oder in Betrieb genommen werden soll.
Das bedeutet, dass jedes KI-Tool, das die Gesichtsausdrücke, den Stimmklang, Mikroexpressionen, die Körpersprache oder physiologische Signale einer kandidierenden Person während eines Bewerbungsgesprächs analysiert, um emotionale Zustände, Stress, Begeisterung, Selbstvertrauen oder Täuschung abzuleiten, verboten ist. Das Verbot gilt unabhängig davon, ob die Emotionsableitung die Hauptfunktion oder ein Nebenmerkmal ist. Wenn das System ein Ergebnis über den emotionalen Zustand der kandidierenden Person erzeugt und dieses Ergebnis im Recruiting-Kontext genutzt wird, ist es verboten.
Praxisbeispiel: Eine Videointerview-Plattform bietet eine Funktion, die Gesichtsausdrücke und Stimmklang von Kandidaten analysiert, um einen "Engagement-Score" und ein "Confidence-Rating" zu erzeugen. Diese Funktion ist eine verbotene KI-Praktik unter dem AI Act. Sie nach dem 2. Februar 2025 weiter zu nutzen, setzt sowohl den Anbieter als auch den Arbeitgeber Sanktionen von bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes aus, je nachdem, welcher Betrag höher ist.
Biometrische Kategorisierung zur Ableitung geschützter Merkmale
Artikel 5 Absatz 1 Buchstabe g verbietet KI-Systeme, die natürliche Personen anhand ihrer biometrischen Daten kategorisieren, um ihre Rasse, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugung, ihr Sexualleben oder ihre sexuelle Orientierung abzuleiten oder zu erschließen. KI zu nutzen, um eines dieser Merkmale aus dem Foto, dem Videobild oder der Stimme einer kandidierenden Person abzuleiten, ist verboten.
Social Scoring
Artikel 5 Absatz 1 Buchstabe c verbietet KI-Systeme, die natürliche Personen anhand ihres sozialen Verhaltens oder bekannter, abgeleiteter oder vorhergesagter persönlicher Merkmale bewerten oder einstufen, wenn der daraus resultierende Social Score zu einer benachteiligenden Behandlung in Kontexten führt, die nichts mit der ursprünglichen Datenerhebung zu tun haben, oder zu einer im Verhältnis zum sozialen Verhalten unverhältnismäßigen Behandlung. Dies erfasst jedes KI-System, das Kandidaten anhand aggregierter Verhaltensdaten einen "Social Score" oder "Reputations-Score" zuweist.
Unterschwellige Manipulation
Artikel 5 Absatz 1 Buchstabe a verbietet KI-Systeme, die unterschwellige Techniken jenseits des Bewusstseins einer Person einsetzen, um ihr Verhalten in einer Weise wesentlich zu verzerren, die ihr erhebliche Schäden zufügt oder mit hinreichender Wahrscheinlichkeit zufügen dürfte. Im Recruiting könnte dies KI-gesteuerte Oberflächen erfassen, die darauf ausgelegt sind, die Antworten oder das Verhalten von Kandidaten während Assessments durch Techniken zu manipulieren, die die kandidierende Person nicht bewusst wahrnehmen kann.
Sanktionsstruktur für verbotene Praktiken
Für KMU und Startups gilt jeweils der niedrigere der beiden Beträge. Für große Unternehmen, die Recruiting-KI im großen Maßstab einsetzen, kann die umsatzbasierte Berechnung jedoch gewaltige Summen ergeben. Siehe den Leitfaden zu Sanktionen und Bußgeldern für die vollständige Berechnungsmethodik, einschließlich der Frage, wie der Konzernumsatz bewertet wird.
Pflichten von Anbieter vs. Arbeitgeber (Betreiber)
Eine der gefährlichsten Annahmen bei der Compliance von HR-KI ist, dass der Kauf eines "compliant" Tools von einem Anbieter die Pflichten des Arbeitgebers erfüllt. Das tut er nicht. Der AI Act weist sowohl dem Anbieter (dem Anbieter, der das KI-System baut oder verkauft) als auch dem Betreiber (dem Arbeitgeber, der es nutzt) eigene, sich überschneidende Pflichten zu. Einen umfassenden Vergleich über alle Pflichtenarten hinweg finden Sie unter Pflichten von Anbieter vs. Betreiber im Vergleich.
Anbieterpflichten (der KI-Anbieter)
Der Anbieter (Provider) ist die natürliche oder juristische Person, die das KI-System entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Marke in Verkehr bringt oder in Betrieb nimmt. Für HR-KI ist das typischerweise das Softwareunternehmen, das das Recruiting- oder Personalmanagement-Tool verkauft.
Zentrale Anbieterpflichten für Hochrisiko-HR-KI:
- Risikomanagement-System (Artikel 9): Ein Risikomanagement-System über den gesamten Lebenszyklus einrichten und pflegen, das speziell Diskriminierungsrisiken und die unfaire Ausgrenzung qualifizierter Kandidaten adressiert.
- Daten-Governance (Artikel 10): Sicherstellen, dass Trainingsdaten relevant und repräsentativ sind und auf mögliche Verzerrungen geprüft werden, besonders kritisch dort, wo historische Einstellungsdaten systematische Diskriminierung enthalten. Siehe KI-Bias-Tests für die EU-AI-Act-Compliance.
- Technische Dokumentation (Artikel 11, Anhang IV): Verwendungszweck, Design, Tests, Leistungskennzahlen, bekannte Grenzen und die Betriebsanleitung des Systems dokumentieren.
- Automatische Protokollierung (Artikel 12): Protokollierungsfunktionen aufbauen, sodass jeder Kandidaten-Score, jedes Ranking und jedes Screening-Ergebnis nachvollziehbar ist.
- Transparenz (Artikel 13): Betreibern klare Informationen zu Fähigkeiten, Grenzen, Anforderungen an die menschliche Aufsicht und bekannten Verzerrungen bereitstellen.
- Funktionen zur menschlichen Aufsicht (Artikel 14): Das System so gestalten, dass menschliche Prüfer Ergebnisse verstehen, Entscheidungen überstimmen und das System anhalten können.
- Konformitätsbewertung (Artikel 43): Vor dem Inverkehrbringen abschließen, für HR-KI typischerweise eine Selbstbewertung nach Anhang VI. Siehe Konformitätsbewertung: Selbstbewertung vs. benannte Stelle.
- Marktbeobachtung (Artikel 72): Leistung, Risiken und Compliance nach dem Einsatz systematisch überwachen.
- Registrierung in der EU-Datenbank (Artikel 49): Das System vor dem Inverkehrbringen registrieren.
Betreiberpflichten (der Arbeitgeber, der das Tool nutzt)
Der Betreiber (Deployer) ist die Organisation, die das KI-System unter ihrer eigenen Verantwortung nutzt. Im Recruiting ist das der Arbeitgeber, die Personalvermittlung oder die HR-Abteilung. Die Pflichten des Betreibers bestehen getrennt von dem und zusätzlich zu allem, was der Anbieter getan hat.
Zentrale Betreiberpflichten für Hochrisiko-HR-KI:
- Nutzung gemäß Anleitung (Artikel 26): Das System im Einklang mit der Betriebsanleitung des Anbieters betreiben und dabei seinen Verwendungszweck, die Eingabeanforderungen und die dokumentierten Grenzen beachten.
- Menschliche Aufsicht (Artikel 14, Artikel 26): Kompetente, geschulte Personen einsetzen, die die Fähigkeiten, Grenzen und bekannten Verzerrungen des Systems verstehen und die echte Befugnis haben, KI-Entscheidungen zu überstimmen oder rückgängig zu machen.
- Qualität der Eingabedaten (Artikel 26): Sicherstellen, dass die in das System eingegebenen Daten relevant und repräsentativ sind. Wenn das System auf strukturierten Lebensläufen validiert wurde, Sie ihm aber unstrukturierte Bewerbungsformulare zuführen, sind Sie für diese Diskrepanz verantwortlich.
- Aufbewahrung von Protokollen (Artikel 26): Automatisch erzeugte Protokolle mindestens sechs Monate aufbewahren. Da Klagen wegen Beschäftigungsdiskriminierung noch Jahre später erhoben werden können, sollten Sie erwägen, Protokolle für die geltende Verjährungsfrist aufzubewahren.
- Betroffene Personen informieren (Artikel 26 Absatz 11): Kandidaten und Beschäftigte darüber informieren, dass KI eingesetzt wird, auch wenn das System des Anbieters keine eingebaute Benachrichtigungsfunktion hat.
- Grundrechte-Folgenabschätzung (Artikel 27): Erforderlich für Arbeitgeber des öffentlichen Sektors, Anbieter wesentlicher Dienste sowie Bildungs- und Berufsbildungseinrichtungen. Vor der ersten Nutzung abschließen. Siehe den FRIA-Leitfaden.
- Zusammenarbeit mit Behörden: Marktüberwachungsbehörden auf Anfrage Zugang zu Protokollen und Dokumentation gewähren.
Vergleichstabelle: Anbieter vs. Betreiber für HR-KI
Rechte von Kandidaten und Beschäftigten
Der AI Act schafft eine Reihe von Rechten für Personen, die von Hochrisiko-KI-Systemen betroffen sind. Im Beschäftigungskontext bedeutet das, dass Kandidaten und Beschäftigte durchsetzbare Rechte haben, wenn KI zu ihrer Bewertung eingesetzt wird.
Benachrichtigung über den KI-Einsatz
Nach Artikel 26 Absatz 11 müssen Betreiber natürliche Personen darüber informieren, dass sie dem Einsatz eines Hochrisiko-KI-Systems unterliegen. Bewerber müssen vor oder zum Zeitpunkt der KI-gestützten Bewertung informiert werden. Beschäftigte müssen informiert werden, wenn KI zur Leistungsüberwachung, für Beförderungsentscheidungen oder zur Aufgabenverteilung eingesetzt wird. Die Benachrichtigung muss klar und verständlich sein, nicht auf Seite 47 einer Datenschutzerklärung versteckt.
Recht auf Erläuterung einzelner Entscheidungen
Wenn ein Hochrisiko-KI-System eine Entscheidung mit rechtlichen Wirkungen trifft oder eine Person in ähnlicher Weise erheblich beeinträchtigt, kann die betroffene Person eine klare Erläuterung der Rolle der KI in der Entscheidung verlangen. Eine abgelehnte kandidierende Person kann eine Erläuterung verlangen, wie die KI zur Ablehnung beigetragen hat. Eine Person, die einer KI-gestützten Leistungsbeurteilung unterliegt, kann eine Erläuterung verlangen, welche Faktoren die Bewertung bestimmt haben. Dies überschneidet sich mit DSGVO-Artikel 22 und verstärkt ihn, der bei HR-KI in der EU fast immer zusätzlich gilt.
Recht auf menschliche Überprüfung
Artikel 14 verlangt, dass menschliche Prüfer das Ergebnis der KI überstimmen, außer Acht lassen oder rückgängig machen können. Wenn eine kandidierende Person überwiegend auf Basis eines KI-Screening-Scores abgelehnt wird und eine menschliche Überprüfung verlangt, muss der Arbeitgeber sicherstellen, dass eine qualifizierte Person die Entscheidung tatsächlich überprüft und das KI-Ergebnis nicht einfach abnickt.
Anforderungen an die Grundrechte-Folgenabschätzung (FRIA)
Artikel 27 verlangt von bestimmten Betreibern, vor der ersten Nutzung eine FRIA abzuschließen. Für HR umfasst das Arbeitgeber des öffentlichen Sektors (Behörden, Kommunen, öffentliche Universitäten), Anbieter wesentlicher Dienste (Banken, Versicherungen) sowie Bildungs- und Berufsbildungsanbieter. Die FRIA muss die Auswirkungen auf Nichtdiskriminierung, Würde, Privatsphäre, wirksamen Rechtsbehelf und faire Arbeitsbedingungen bewerten. Der FRIA-Leitfaden liefert eine Schritt-für-Schritt-Methodik.
Anforderungen an Bias-Tests für HR-KI
Bias-Tests sind für Hochrisiko-KI-Systeme nicht optional, sie sind eine gesetzliche Anforderung nach Artikel 10. Im Recruiting- und Beschäftigungskontext steht besonders viel auf dem Spiel, denn die für das Arbeitsrecht relevantesten geschützten Merkmale, Alter, Geschlecht, Ethnie, Behinderung, Religion, sind genau die Merkmale, die am ehesten in historischen Einstellungsdaten enthalten sind. Die vollständige technische Methodik finden Sie unter KI-Bias-Tests für die EU-AI-Act-Compliance.
Geschützte Merkmale im Beschäftigungskontext
Die EU-Charta der Grundrechte, die Gleichbehandlungsrahmenrichtlinie für den Bereich Beschäftigung (2000/78/EG) und die Antirassismusrichtlinie (2000/43/EG) legen die für Beschäftigungsentscheidungen relevanten geschützten Merkmale fest:
Wie Bias in Recruiting-KI gelangt
Recruiting-KI ist aus drei Gründen besonders anfällig für Bias. Erstens sind historische Einstellungsdaten per Definition verzerrt, Trainingsdaten aus vergangenen Entscheidungen enthalten alle bewussten oder unbewussten Verzerrungen, die in den Recruiting-Praktiken der Organisation vorhanden waren. Zweitens sind Proxy-Variablen allgegenwärtig, selbst wenn geschützte Merkmale entfernt werden, lernen KI-Modelle Korrelationen mit Postleitzahl (Ethnie, sozioökonomischer Status), Universitätsname (soziale Schicht) und Beschäftigungslücken (Geschlecht, Behinderung). Drittens verstärken Rückkopplungsschleifen den Bias, wenn ein verzerrtes Tool unterrepräsentierte Kandidaten ablehnt, enthalten künftige Trainingsdaten weniger erfolgreiche Beispiele aus diesen Gruppen, was das Muster über aufeinanderfolgende Trainingszyklen verstärkt.
Praktischer Bias-Test-Workflow für HR-KI
Schritt 1, Relevante geschützte Attribute bestimmen: Ordnen Sie die geschützten Merkmale aus dem Arbeitsrecht den Merkmalen und Proxys in Ihren Daten zu. Die obige Tabelle ist ein Ausgangspunkt, kontextualisieren Sie sie aber für Ihr System.
Schritt 2, Leistungskennzahlen aufschlüsseln: Berechnen Sie die zentralen Leistungskennzahlen Ihres Systems (Annahmequote, Score-Verteilung, Falsch-Positiv-/Falsch-Negativ-Raten), aufgeschlüsselt nach jedem geschützten Attribut. Die aggregierte Genauigkeit des Systems ist bedeutungslos, wenn es für Mehrheitsgruppen gut und für Minderheiten schlecht funktioniert.
Schritt 3, Passende Fairness-Metriken wählen: Keine einzelne Fairness-Metrik erfasst alle Aspekte von Bias, und es ist mathematisch unmöglich, alle Metriken gleichzeitig zu erfüllen. Für das Recruiting sind die relevantesten:
- Demographic Parity: Werden Kandidaten aus verschiedenen Gruppen zu ähnlichen Raten ausgewählt?
- Equalized Odds: Werden Kandidaten aus verschiedenen Gruppen bei gleichem Qualifikationsniveau gleich behandelt?
- Predictive Parity: Bedeutet ein bestimmter KI-Score unabhängig von der Gruppenzugehörigkeit dasselbe?
- Vier-Fünftel-Regel: Die 80-%-Regel der US-EEOC (die Auswahlquote einer Gruppe muss mindestens 80 % der Quote der bestbewerteten Gruppe betragen) ist ein nützlicher praktischer Maßstab, auch wenn sie nach EU-Recht nicht rechtlich vorgeschrieben ist.
Schritt 4, Mit realistischen Daten testen: Nutzen Sie produktionsrepräsentative Daten, keine synthetischen oder idealisierten Testsätze. Bias entsteht im Zusammenspiel von Modell, Datenverteilung und operativem Kontext, das Testen mit bereinigten Daten übersieht reale Ungleichheiten.
Schritt 5, Alles dokumentieren: Anhang IV verlangt die Dokumentation Ihrer Maßnahmen zur Datenprüfung, Ihrer Methodik zur Bias-Erkennung und Ihrer Abhilfeschritte. Halten Sie fest, was Sie getestet haben, was Sie gefunden haben, welche Schwellenwerte Sie angewendet haben und welche Maßnahmen Sie ergriffen haben.
Schritt 6, In der Produktion überwachen: Bias-Tests sind kein einmaliges Tor. Artikel 9 verlangt ein laufendes Risikomanagement, und Artikel 72 verlangt eine Marktbeobachtung. Verfolgen Sie die Fairness-Metriken fortlaufend und lösen Sie eine Neubewertung aus, wenn sich die Verteilungen verschieben.
Compliance-Checkliste für HR-Teams
Diese Checkliste ist für HR-Abteilungen und HR-Technologieunternehmen gedacht, die sich auf die Frist am 2. August 2026 vorbereiten. Sie deckt sowohl Anbieter- als auch Betreiberpflichten ab. Passen Sie sie an Ihre Rolle an, nutzen Sie die Legalithm AI-Act-Bewertung, um Ihre Einstufung und Pflichten zu bestimmen.
-
Alle in HR genutzten KI-Systeme inventarisieren. Listen Sie jedes Tool, jede Plattform und jeden Algorithmus auf, die an Recruiting, Leistungsmanagement, Personalplanung, Aufgabenverteilung oder Kündigung beteiligt sind, einschließlich Funktionen, die Sie vielleicht nicht als "KI" betrachten. Siehe So erstellen Sie ein KI-Systeme-Inventar.
-
Das Risikoniveau jedes Systems einstufen. Wenden Sie Artikel 6 und Anhang III, Nummer 4 an. Nutzen Sie den Leitfaden zur Hochrisiko-Einstufung für Grenzfälle.
-
Ihre Rolle für jedes System bestimmen. Anbieter (intern entwickelt), Betreiber (vom Anbieter lizenziert) oder beides? Wenn Sie das System eines Anbieters wesentlich verändert haben, könnten Sie nach Artikel 25 ein Anbieter sein. Siehe Pflichten von Anbieter vs. Betreiber.
-
Auf bereits verbotene Praktiken prüfen. Prüfen Sie auf verbotene Praktiken: Emotionserkennung, biometrische Kategorisierung, Social Scoring, unterschwellige Manipulation. Stellen Sie sie sofort ein, diese Verbote sind bereits in Kraft.
-
Anbieterdokumentation anfordern. Fordern Sie für jedes Drittanbieter-Tool an: technische Dokumentation, Betriebsanleitung, Nachweis der Konformitätsbewertung, CE-Kennzeichnung und Registrierung in der EU-Datenbank. Ohne diese können Sie Ihre Betreiberpflichten nicht erfüllen.
-
Verfahren zur menschlichen Aufsicht umsetzen. Benennen Sie geschultes Personal für die menschliche Aufsicht jedes Hochrisiko-Systems. Dokumentieren Sie ihre Befugnis, Schulung und den Prüf-/Überstimmungsprozess.
-
Benachrichtigung von Kandidaten und Beschäftigten einrichten. Erstellen Sie klare Benachrichtigungen für Bewerbungsformulare, Karriereportale, Interview-Einladungen und Mitarbeiterhandbücher.
-
Protokollierung konfigurieren und prüfen. Stellen Sie sicher, dass die Protokollierung Eingaben, Ausgaben und Entscheidungen erfasst. Legen Sie eine Aufbewahrungsrichtlinie von mindestens sechs Monaten fest.
-
Bias-Tests durchführen. Testen Sie gegen die für das Arbeitsrecht relevanten geschützten Merkmale. Dokumentieren Sie Methodik, Ergebnisse und Abhilfe. Siehe den Leitfaden zu Bias-Tests.
-
FRIA abschließen, sofern zutreffend. Arbeitgeber des öffentlichen Sektors und Anbieter wesentlicher Dienste müssen vor dem Einsatz eine Grundrechte-Folgenabschätzung abschließen.
-
Überwachung und Meldung von Vorfällen einrichten. Erkennen Sie Fehlfunktionen, Leistungsabbau und Bias-Drift. Legen Sie Eskalationswege fest. Siehe Artikel 99 für Durchsetzungsfristen.
-
Alles dokumentieren. Pflegen Sie eine Compliance-Akte je System: Einstufungsbegründung, Anbieterdokumentation, Aufsichtsverfahren, Bias-Berichte, Benachrichtigungsvorlagen, Aufzeichnungen zur Protokollaufbewahrung, FRIA und Vorfallsberichte.
Eine breitere Compliance-Checkliste, die alle AI-Act-Pflichten abdeckt, finden Sie in der EU-AI-Act-Compliance-Checkliste 2026.
Praxisnahe Compliance-Szenarien
Szenario 1: HR-Tech-Startup bietet KI-CV-Screening als SaaS
Unternehmen: TalentFilter ist ein Startup mit 40 Beschäftigten, das ein KI-gestütztes CV-Screening-Tool gebaut hat. Arbeitgeber laden Stellenbeschreibungen hoch und erhalten gerankte Kandidatenlisten. Das System nutzt NLP, um Lebensläufe zu parsen, Fähigkeiten und Erfahrung zu extrahieren und einen "Match-Score" zu vergeben, der die Arbeitsleistung vorhersagt.
Rolle: TalentFilter ist der Anbieter unter dem AI Act. Es entwickelt das KI-System und bringt es unter eigenem Namen in Verkehr.
Zentrale Pflichten: TalentFilter muss das Risikomanagement nach Artikel 9 abschließen und dabei das Risiko adressieren, dass sein Match-Score Kandidaten aufgrund geschützter Merkmale benachteiligt. Es muss eine technische Dokumentation nach Anhang IV mit nach geschützten Gruppen aufgeschlüsselten Leistungskennzahlen erstellen. Es muss Bias-Tests nach Artikel 10 mit repräsentativen Trainingsdaten durchführen. Es muss Funktionen zur menschlichen Aufsicht gestalten, damit Arbeitgeber Rankings prüfen und überstimmen können. Und es muss vor August 2026 die Konformitätsbewertung und die Registrierung in der EU-Datenbank abschließen.
Praxisbeispiel: TalentFilter stellt bei Bias-Tests fest, dass sein System Kandidaten mit nicht-westeuropäischen Namen systematisch niedrigere Match-Scores zuweist, weil die Trainingsdaten Lebensläufe westeuropäischer Kandidaten überrepräsentierten, die anschließend eingestellt wurden. Das System hat gelernt, westeuropäische Namensmuster mit höherer Qualität zu verknüpfen. TalentFilter muss dies mindern, durch Debiasing-Techniken, neu ausbalancierte Trainingsdaten oder nachgelagerte Score-Anpassungen, und die Abhilfe in seiner technischen Dokumentation festhalten.
Szenario 2: Großer Arbeitgeber nutzt Videointerview-KI
Unternehmen: Die EuroBank AG ist eine große europäische Bank mit 45.000 Beschäftigten. Sie lizenziert "InterviewIQ", eine Videointerview-Plattform, die Kandidatenantworten aufzeichnet und KI-generierte Scores für verbale Gewandtheit, strukturiertes Denken und Fachwissen erzeugt. InterviewIQ bot früher eine "Engagement-Analyse" auf Basis von Gesichtsausdruckserkennung an.
Rolle: EuroBank ist der Betreiber. Der Anbieter von InterviewIQ ist der Provider.
Zentrale Pflichten: EuroBank muss die Konformitätsbewertung, die CE-Kennzeichnung und die Registrierung von InterviewIQ in der EU-Datenbank prüfen. Sie muss die "Engagement-Analyse" sofort einstellen, die Analyse von Gesichtsausdrücken ist eine verbotene Praktik, die seit dem 2. Februar 2025 untersagt ist und Sanktionen von bis zu 35 Millionen EUR oder 7 % des weltweiten Umsatzes nach sich zieht. EuroBank muss geschulte HR-Fachkräfte einsetzen, um eine echte menschliche Aufsicht auszuüben, und jede kandidierende Person vor dem Interview darüber informieren, dass eine KI ihre Antworten analysiert. Als Bankinstitut muss EuroBank eine FRIA abschließen und Protokolle mindestens sechs Monate aufbewahren.
Praxisbeispiel: Während einer FRIA stellt EuroBank fest, dass die Bewertung der verbalen Gewandtheit von InterviewIQ stark mit muttersprachlicher Sprachkompetenz korreliert und Kandidaten systematisch benachteiligt, deren Erstsprache nicht die Interviewsprache ist, selbst wenn diese Kandidaten über die für die Stelle erforderlichen fachlichen Fähigkeiten verfügen. EuroBank meldet dies dem Anbieter von InterviewIQ und setzt, bis zur Abhilfe, menschliche Prüfer ein, um Kandidaten mit unterdurchschnittlichen Gewandtheits-Scores vor jeder Ablehnungsentscheidung manuell zu bewerten.
Szenario 3: Personalvermittlung nutzt KI-Kandidaten-Matching
Unternehmen: StaffConnect ist eine Personalvermittlung, die eine KI-Plattform nutzt, um Kandidaten aus ihrer Datenbank mit offenen Stellen von Kunden abzugleichen. Die Plattform analysiert Kandidatenlebensläufe, frühere Vermittlungsergebnisse und Kundenfeedback, um die Passung zwischen Kandidat und Stelle vorherzusagen. StaffConnect hat den Matching-Algorithmus intern gebaut, nutzt für das Parsen der Lebensläufe aber NLP-Modelle eines Drittanbieters.
Rolle: Dies ist ein Mischszenario. StaffConnect ist der Anbieter des Matching-Algorithmus (es hat ihn entwickelt und betreibt ihn unter eigener Verantwortung). Es ist außerdem Betreiber des Drittanbieter-NLP-Modells, das für das Parsen der Lebensläufe genutzt wird. Die Einstufung nach Artikel 25 hängt davon ab, ob StaffConnect das NLP-Modell wesentlich verändert hat oder es lediglich wie vorgesehen nutzt.
Zentrale Pflichten: Für den Matching-Algorithmus trägt StaffConnect volle Anbieterpflichten, Risikomanagement, technische Dokumentation, Konformitätsbewertung, Bias-Tests und Marktbeobachtung. Für das Drittanbieter-NLP-Modell muss es die Compliance des Anbieters prüfen und die Betreiberpflichten erfüllen. StaffConnect muss auf Rückkopplungsschleifen achten: Wenn der Matching-Algorithmus auf früheren Vermittlungsergebnissen trainiert, die Verzerrungen der Berater widerspiegeln, wird er diese lernen und verstärken. Wenn StaffConnect das NLP-Modell feingetunt oder wesentlich verändert hat, hat es möglicherweise Anbieterpflichten nach Artikel 25 übernommen.
Praxisbeispiel: Der Matching-Algorithmus von StaffConnect ist auf 10 Jahren Vermittlungsdaten trainiert. Eine Analyse zeigt, dass der Algorithmus Kandidaten stark bevorzugt, die zuvor bei Fortune-500-Unternehmen gearbeitet haben, nicht weil diese Kandidaten in den zu besetzenden Rollen besser abschneiden, sondern weil die Berater von StaffConnect diese Kandidaten historisch bevorzugten und das System gelernt hat, diese Präferenz zu replizieren. Der Bias richtet sich nicht per se gegen ein geschütztes Merkmal, korreliert aber mit dem sozioökonomischen Hintergrund und, indirekt, mit Ethnie und Staatsangehörigkeit. StaffConnect muss auf diese indirekten Effekte testen und sie mindern.
Häufige Fehler, die Sie vermeiden sollten
1. Annehmen, dass die Compliance des Anbieters die Pflichten des Arbeitgebers abdeckt. Der häufigste Fehler. Die Konformitätsbewertung, CE-Kennzeichnung und technische Dokumentation eines KI-Anbieters erfüllen die Pflichten des Anbieters. Sie erfüllen nicht die eigenständigen Betreiberpflichten des Arbeitgebers: menschliche Aufsicht, Information der Kandidaten, Aufbewahrung von Protokollen, Qualität der Eingabedaten und, sofern zutreffend, FRIA. Das sind separate rechtliche Pflichten. Sie können sie nicht per Vertrag auslagern. Siehe Pflichten von Anbieter vs. Betreiber.
2. Kandidaten nicht über den KI-Einsatz informieren. Artikel 26 Absatz 11 legt die Benachrichtigungspflicht eindeutig auf den Betreiber. Viele Arbeitgeber gehen davon aus, dass die Recruiting-Plattform das übernimmt oder dass eine allgemeine Datenschutzerklärung ausreicht. Das ist nicht der Fall. Kandidaten müssen eine konkrete, klare Benachrichtigung erhalten, dass ein KI-System zu ihrer Bewertung eingesetzt wird, idealerweise bevor die Bewertung erfolgt.
3. Automatisch erzeugte Protokolle nicht aufbewahren. Die Mindestaufbewahrungsfrist beträgt sechs Monate. Viele Arbeitgeber konfigurieren ihre Systeme nicht so, dass sie KI-Entscheidungsprotokolle aufbewahren, oder verlassen sich darauf, dass Anbieter sie aufbewahren, ohne das zu prüfen. Wenn eine Marktüberwachungsbehörde bei einer Untersuchung Protokolle anfordert und diese nicht existieren, drohen dem Arbeitgeber Sanktionen wegen Verstoßes gegen Artikel 26, und er verliert die Möglichkeit nachzuweisen, dass das System bestimmungsgemäß funktioniert hat.
4. Das Verbot der Emotionserkennung ignorieren. Zahlreiche Videointerview-Plattformen boten historisch Funktionen an, die Gesichtsausdrücke, Stimmklang oder Körpersprache von Kandidaten analysieren. Diese Funktionen sind nach Artikel 5 Absatz 1 Buchstabe f verboten, wenn sie am Arbeitsplatz oder im Recruiting-Kontext eingesetzt werden. Das Verbot ist am 2. Februar 2025 in Kraft getreten. Wenn Sie solche Funktionen noch nutzen, verstoßen Sie bereits. Prüfen Sie jede Funktion jeder Interview-Plattform, die Sie nutzen, die Emotionsanalyse kann eine optionale Einstellung sein, die standardmäßig aktiviert war.
5. "Human in the Loop" als automatische Compliance behandeln. Dass ein Mensch eine KI-generierte Entscheidung formal genehmigt, erfüllt die Anforderung der menschlichen Aufsicht nicht. Der Mensch muss kompetent, geschult und über die Methodik und Grenzen des Systems informiert sein und die echte Befugnis und Kapazität haben, zu überstimmen. Wenn ein Recruiter 500 KI-gerankte Lebensläufe pro Tag bearbeitet und das Ranking abnickt, weil er keine praktische Kapazität hat, einzeln zu prüfen, ist das keine echte menschliche Aufsicht.
6. KI übersehen, die in bestehender HR-Software steckt. Vielen Organisationen ist nicht bewusst, dass ihre bestehenden HR-Plattformen KI-Funktionen enthalten. ATS-Systeme mit automatischem Ranking, Leistungsmanagement-Tools mit prädiktiver Analytik, Personalplanungsmodule mit algorithmischen Empfehlungen, diese werden oft als Standardfunktionen statt als KI-Systeme vermarktet. Führen Sie ein gründliches KI-Systeme-Inventar durch, um alle KI-Komponenten in Ihrem HR-Technologie-Stack zu bestimmen.
7. Nicht auf Bias gegenüber Proxy-Variablen testen. Geschützte Merkmale aus den Modelleingaben zu entfernen, verhindert keine Diskriminierung. KI-Modelle lernen routinemäßig, anhand von Proxy-Variablen zu diskriminieren, Postleitzahl, Universitätsname, Beschäftigungslücken, Hobbys, Sprachmuster, die mit geschützten Merkmalen korrelieren. Ihre Bias-Tests müssen die Ergebnisse aufgeschlüsselt nach geschützten Attributen prüfen, nicht nur bestätigen, dass geschützte Attribute von den Eingaben ausgeschlossen sind.
Häufig gestellte Fragen
Ist mein Bewerbermanagementsystem (ATS) Hochrisiko?
Das hängt davon ab, was das ATS tut. Wenn es lediglich Bewerbungen speichert und die Terminplanung erleichtert, ist es wahrscheinlich kein KI-System und damit nicht im Anwendungsbereich. Wenn es Algorithmen nutzt, um Kandidaten zu ranken, zu bewerten, zu filtern oder zu empfehlen, sind diese Funktionen nach Anhang III, Nummer 4 Hochrisiko. Viele moderne ATS-Plattformen haben KI-Funktionen standardmäßig aktiviert, fragen Sie bei Ihrem Anbieter nach.
Was ist, wenn wir KI nur für das erste Screening nutzen und Menschen die endgültige Entscheidung treffen?
Das KI-System ist trotzdem Hochrisiko. Wenn die KI 90 % der Bewerber aussortiert, bevor ein Mensch sie sieht, hat sie das Ergebnis für diese 90 % wesentlich bestimmt. Die menschliche Entscheidung gilt nur für den Pool, den die KI bereits kuratiert hat. Es gelten die vollen Compliance-Pflichten.
Müssen wir Kandidaten mitteilen, dass wir im Recruiting KI nutzen?
Ja. Artikel 26 Absatz 11 verlangt von Betreibern, betroffene Personen zu informieren, das ist eine Arbeitgeberpflicht, nicht die des Anbieters. Die Benachrichtigung sollte klar und konkret sein und vor der KI-gestützten Bewertung erfolgen. Fügen Sie sie auf der Karriereseite, im Bewerbungsformular und in Interview-Einladungen ein.
Dürfen wir weiterhin KI-Videointerview-Plattformen nutzen?
Ja, aber Sie dürfen KI nur nutzen, um den Inhalt der Antworten zu bewerten (strukturiertes Denken, Fachwissen). Sie dürfen KI nicht nutzen, um Emotionen, Gesichtsausdrücke, Stimmklang oder Körpersprache zu bewerten, das ist verbotene Emotionserkennung nach Artikel 5 Absatz 1 Buchstabe f. Prüfen Sie das bei Ihrem Anbieter und deaktivieren Sie dauerhaft alle Funktionen zur Emotionsableitung.
Unser KI-Anbieter sagt, er sei "AI-Act-compliant". Reicht das aus?
Nein. Die Compliance des Anbieters deckt nur die Anbieterpflichten ab. Ihre Betreiberpflichten, menschliche Aufsicht, Information der Kandidaten, Aufbewahrung von Protokollen, FRIA, sind separat und eigenständig. Fordern Sie die Dokumentation der Konformitätsbewertung, die EU-Konformitätserklärung, die CE-Kennzeichnung und die Registrierungsnummer aus der EU-Datenbank des Anbieters an. Behauptungen ohne Dokumentation sind nicht ausreichend. Siehe Pflichten von Anbieter vs. Betreiber.
Gilt der AI Act für KI-Tools, die wir für interne HR-Prozesse nutzen, nicht nur für externes Recruiting?
Ja. Anhang III, Nummer 4 umfasst Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit, einschließlich Leistungsüberwachung, Beförderungsentscheidungen, Aufgabenverteilung, Schichtplanung und Kündigungsempfehlungen. Auch rein interne Tools sind im Anwendungsbereich.
Nächste Schritte
Die Frist am 2. August 2026 für die Compliance von Hochrisiko-KI-Systemen rückt näher. Für HR-Abteilungen und HR-Technologieunternehmen erfordert der Weg nach vorn sofortiges Handeln:
-
Mit der Einstufung beginnen. Nutzen Sie die Legalithm AI-Act-Bewertung, um jedes KI-System in Ihrem HR-Technologie-Stack einzustufen und Ihre Rolle und Pflichten für jedes zu bestimmen.
-
Verbotene Praktiken jetzt beseitigen. Wenn ein Recruiting-Tool Emotionserkennung, biometrische Kategorisierung geschützter Merkmale oder Social Scoring nutzt, stellen Sie es sofort ein. Diese Praktiken sind bereits verboten.
-
Ihre Anbieter einbinden. Fordern Sie von jedem KI-Anbieter in Ihrem HR-Technologie-Stack Compliance-Dokumentation an. Wenn ein Anbieter keinen klaren Weg zur Compliance bis August 2026 nachweisen kann, beginnen Sie, Alternativen zu prüfen.
-
Interne Kompetenzen aufbauen. Schulen Sie HR-Fachkräfte in ihren Verantwortlichkeiten für die KI-Aufsicht. Entwickeln Sie Benachrichtigungsvorlagen, Richtlinien zur Protokollaufbewahrung und Bias-Test-Workflows.
-
Fortlaufend dokumentieren. Jede Compliance-Maßnahme, Einstufungsentscheidungen, Anbieterbewertungen, Bias-Test-Ergebnisse, Aufsichtsverfahren, muss dokumentiert werden. Die Dokumentation ist keine Bürokratie; sie ist Ihr Nachweis der Compliance.
Die EU-AI-Act-Compliance-Checkliste 2026 bietet einen umfassenden Rahmen für alle Pflichten. Durchsetzungsfristen und wichtige Daten finden Sie unter Artikel 99.


