EU AI Act2026-04-175 min Lesezeit

EU AI Act im Recruiting: Wann Ihre KI zum Hochrisiko-System wird

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 011. Annex III Nr. 4 im Klartext
  2. 022. Konkrete HR-Tools und ihre Einstufung
  3. 033. DSGVO-Überschneidung: Art. 22 Automatisierte Einzelentscheidung
  4. 044. Pflichten des Arbeitgebers (als Betreiber)
  5. 055. Fünf-Schritte-Plan für HR-Abteilungen
  6. 066. Betriebsrat und Mitbestimmung
  7. 07Fazit

EU AI Act im Recruiting: Wann Ihre KI zum Hochrisiko-System wird

KI-Tools zur Kandidatenfindung, zum CV-Screening, für Video-Interview-Analysen und zur Leistungsbewertung sind in deutschen HR-Abteilungen bereits Alltag. Der EU AI Act stuft viele dieser Tools als Hochrisiko-KI ein — mit weitreichenden Pflichten für Arbeitgeber, die sie einsetzen.

Dieser Artikel zeigt, welche HR-KI konkret unter Annex III Nr. 4 fällt, wie das Zusammenspiel mit der DSGVO funktioniert und welche fünf Maßnahmen Arbeitgeber jetzt einleiten müssen.

1. Annex III Nr. 4 im Klartext

Der Anhang III listet unter Nr. 4 als Hochrisiko-KI:

"KI-Systeme, die im Bereich Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit eingesetzt werden sollen, insbesondere:
(a) zur Einstellung oder Auswahl natürlicher Personen, insbesondere für die gezielte Platzierung von Stellenanzeigen, die Analyse und Filterung von Bewerbungen sowie die Bewertung von Bewerbern;
(b) zur Entscheidungsfindung über die Bedingungen von arbeitsbezogenen Beziehungen, Beförderungen oder Beendigungen arbeitsbezogener Vertragsbeziehungen, zur Aufgabenzuweisung auf der Grundlage individuellen Verhaltens oder persönlicher Merkmale und Eigenschaften oder zur Überwachung und Bewertung der Leistung und des Verhaltens von Personen im Rahmen solcher Beziehungen."

Das deckt praktisch jede KI-gestützte HR-Entscheidung ab.

2. Konkrete HR-Tools und ihre Einstufung

Hochrisiko-KI

  • CV-Screening-Algorithmen (z.B. in ATS-Systemen wie Workday, SAP SuccessFactors, Greenhouse, wenn KI-Module aktiv sind)
  • KI-gestützte Video-Interview-Analyse (z.B. HireVue, Interview Kickstart) — zusätzlich oft verboten wegen Emotionserkennung am Arbeitsplatz (Art. 5)
  • Automatisches Bewerber-Ranking
  • KI für Leistungsbeurteilung (z.B. People Analytics, automatisierte Zielerreichungs-Scores)
  • Skills-Matching-Engines, die Bewerber nach Fit scoren
  • KI-gestützte Beförderungs-Empfehlungen
  • Kündigungs-Vorhersagemodelle (Attrition Prediction mit Konsequenzen)
  • Automatisierte Aufgabenzuweisung auf Basis von Verhalten/Persönlichkeit

Verbotene KI (Art. 5)

  • Emotionserkennung am Arbeitsplatz — in Bewerbungsgesprächen und der laufenden Beschäftigung. Ausnahmen nur aus medizinischen/Sicherheitsgründen.
  • Biometrische Kategorisierung nach sensiblen Merkmalen (Ethnizität, politische Meinung etc.)

Ausnahmen nach Art. 6 Abs. 3

  • KI, die nur eng gefasste prozedurale Aufgaben ausführt: z.B. automatische Absageversand-Tool ohne Entscheidungsbeitrag
  • KI als Verbesserung einer abgeschlossenen menschlichen Entscheidung: z.B. Grammatik-Korrektur in einer bereits geschriebenen Absage
  • KI zur reinen Mustererkennung ohne Entscheidungsersatz: z.B. Statistik-Dashboards ohne individuelle Vorschläge

Wichtig: Die Ausnahmen müssen dokumentiert und begründet sein. Ein "ist nicht Hochrisiko" in der Selbsteinschätzung reicht nicht.

3. DSGVO-Überschneidung: Art. 22 Automatisierte Einzelentscheidung

HR-KI trifft fast immer auch auf Art. 22 DSGVO, der verbietet, dass Personen "einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt".

Eine automatisierte Ablehnung in der Bewerbung ist eindeutig so eine Entscheidung. Der EuGH hat dies im Urteil C-634/21 (SCHUFA) bestätigt: Schon ein algorithmisch erstellter Scoring-Wert kann unter Art. 22 fallen, wenn er maßgeblich in die Entscheidung einfließt.

Konsequenz: Hochrisiko-HR-KI ist doppelt reguliert:

  • DSGVO Art. 22: Recht auf menschliches Eingreifen, Darlegung der Logik, Anfechtung
  • EU AI Act Annex III Nr. 4: technische Dokumentation, menschliche Aufsicht, Transparenz gegenüber Betroffenen

Eine Multi-Framework-Plattform wie Matproof bildet beide Frameworks parallel ab.

4. Pflichten des Arbeitgebers (als Betreiber)

Als Betreiber einer Hochrisiko-HR-KI haben Sie nach Art. 26 folgende Pflichten:

  1. Gebrauchsanweisung des Anbieters befolgen — nicht off-label einsetzen
  2. Menschliche Aufsicht sicherstellen — jede KI-Entscheidung muss von qualifiziertem Personal überprüfbar sein
  3. Input-Daten im Einklang mit dem Zweck — keine sensible Datenverwendung für Scoring
  4. Überwachung auf Funktionsfähigkeit — regelmäßige Tests, Bias-Monitoring
  5. Schwere Vorfälle melden — an nationale Marktüberwachungsbehörde
  6. Logs aufbewahren — mindestens 6 Monate, gemäß Anbieter-Gebrauchsanweisung
  7. Betroffene informieren — Bewerber müssen wissen, dass KI eingesetzt wird
  8. Grundrechte-Folgenabschätzung — Pflicht für öffentliche Arbeitgeber, empfohlen für alle

Zusätzlich: KI-Kompetenz nach Art. 4 für alle HR-Mitarbeiter, die mit der KI arbeiten.

5. Fünf-Schritte-Plan für HR-Abteilungen

Schritt 1: KI-Inventar (2-3 Wochen)

Was ist im Einsatz? Meist mehr als die HR-Leitung weiß:

  • ATS-System (KI-Module aktiviert? Welche?)
  • Active Sourcing Tools
  • Interview-Software
  • Performance Management Tools
  • Learning-Plattformen mit KI-Empfehlungen

Schritt 2: Klassifizierung (1 Woche)

Für jedes System: Hochrisiko? Ausnahme? Verboten? Siehe Checkliste zur Hochrisiko-Klassifizierung.

Schritt 3: Verträge und Anbieter (2-4 Wochen)

  • Anbieter müssen CE-konforme Hochrisiko-KI liefern (ab 2. August 2026)
  • Gebrauchsanweisung, technische Dokumentation, EU-Konformitätserklärung einfordern
  • Vertragsklauseln zur AI-Act-Compliance des Anbieters hinzufügen

Schritt 4: Prozesse anpassen (laufend)

  • Menschliche Letztentscheidung dokumentiert bei jeder KI-beeinflussten Personalentscheidung
  • Bewerber-Information (DSGVO Art. 13 + AI Act Art. 26 Abs. 7)
  • Widerspruchsmöglichkeit nach Art. 22 DSGVO
  • Internes Register über KI-Entscheidungen

Schritt 5: Schulung (rolling)

  • KI-Kompetenz-Training für HR-Team
  • Datenschutz-Update (Art. 22 DSGVO)
  • Umgang mit KI-generierten Empfehlungen

6. Betriebsrat und Mitbestimmung

Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen. HR-KI fällt fast immer darunter.

In der Praxis heißt das:

  • Keine KI-Einführung ohne Betriebsvereinbarung
  • Betriebsvereinbarungen müssen AI-Act-konforme Standards abbilden
  • Neue Urteile zur KI-Überwachung (LAG Nürnberg, BAG) verschärfen die Anforderungen

Fazit

HR ist eines der am stärksten vom EU AI Act betroffenen Funktionsbereiche in deutschen Unternehmen. Die Kombination aus Hochrisiko-Einstufung (AI Act), DSGVO Art. 22 und Mitbestimmung macht die Einführung jeder HR-KI zu einem strukturierten Compliance-Projekt.

Der positive Nebeneffekt: Wer die Hausaufgaben macht, gewinnt deutlich rechtssichere und oft auch fairere Entscheidungsprozesse. Die Dokumentationspflicht zwingt zur Reflexion darüber, wie KI im eigenen Recruiting wirklich funktioniert.

Weiterführend:

EU AI Act RecruitingKI RecruitingHR KI ComplianceBewerber-Screening KIKI PersonalentscheidungAnnex III Recruiting

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern