HireSift
ENKostenlos testen
Recht & Compliance

EU AI Act und Recruiting: Was HR-Teams jetzt wissen müssen

HireSift17. März 202611 Min Lesezeit
EU AI Act und Recruiting: Was HR-Teams jetzt wissen müssen

Seit August 2025 gilt der EU AI Act. Er reguliert den Einsatz von künstlicher Intelligenz in Europa. Für HR-Teams ist ein Punkt besonders relevant: KI im Recruiting wird als Hochrisiko eingestuft.

Das klingt dramatisch. Ist es aber nicht — wenn Sie wissen, was zu tun ist.

Was ist der EU AI Act?

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er legt fest, welche KI-Systeme erlaubt sind, welche Auflagen erfüllt werden müssen und welche verboten sind.

Das Gesetz wurde im März 2024 vom Europäischen Parlament verabschiedet. Der Rat der EU stimmte im Mai 2024 zu. Die Verordnung trat am 1. August 2024 in Kraft.

Die Timeline im Detail

Die Umsetzungsfristen staffeln sich über 3 Jahre. Jede Frist bringt neue Pflichten:

Februar 2025: Verbotene Praktiken

Seit dem 2. Februar 2025 sind verbotene KI-Praktiken untersagt. Dazu gehören Social Scoring, manipulative KI-Systeme und biometrische Echtzeit-Überwachung in öffentlichen Räumen. Für die meisten HR-Teams ist das nicht direkt relevant.

August 2025: Hochrisiko-Pflichten

Seit dem 2. August 2025 gelten die Pflichten für Hochrisiko-KI-Systeme. Das betrifft Recruiting direkt. Wenn Sie KI für CV-Screening, Bewerbervorauswahl oder Score-basierte Rankings einsetzen, müssen Sie seit diesem Datum compliant sein.

August 2025: Transparenzpflichten für General-Purpose AI

Ebenfalls seit August 2025: Anbieter von General-Purpose AI (wie GPT-4 oder Gemini) müssen Transparenzpflichten erfüllen. Wenn Ihr Screening-Tool ein solches Modell nutzt, muss der Anbieter die Pflichten erfüllen.

August 2026: Vollständige Anwendung

Ab August 2026 gelten alle Bestimmungen. Spätestens jetzt müssen alle KI-Systeme im HR-Bereich vollständig compliant sein.

August 2027: Bestandsschutz endet

KI-Systeme, die vor August 2025 im Einsatz waren, hatten eine Übergangsfrist bis August 2027. Danach müssen auch Bestandssysteme alle Anforderungen erfüllen.

Die 4 Risikoklassen im Detail

Der EU AI Act teilt KI-Systeme in 4 Risikoklassen ein. Die Einstufung bestimmt, welche Pflichten gelten.

1. Unannehmbares Risiko (verboten)

Social Scoring, manipulative KI, Ausnutzung von Vulnerabilität, biometrische Echtzeit-Identifizierung in öffentlichen Räumen, Emotionserkennung am Arbeitsplatz und biometrische Kategorisierung anhand sensibler Merkmale. Diese Systeme sind komplett verboten.

Für HR-Teams wichtig: Emotionserkennung in Vorstellungsgesprächen ist verboten. Tools, die Gesichtsausdrücke oder Stimmlage analysieren, dürfen nicht eingesetzt werden.

2. Hohes Risiko (streng reguliert)

Hier fällt Recruiting hinein. Konkret: KI-Systeme, die für „Einstellung oder Auswahl natürlicher Personen" eingesetzt werden. Dazu zählen:

  • Automatisiertes CV-Screening
  • KI-gestützte Bewerbervorauswahl
  • Automatisierte Interview-Analyse
  • Score-basierte Kandidatenrankings
  • KI-gestützte Assessment-Tools
  • Automatisierte Eignungstests

Die Einstufung als Hochrisiko bedeutet nicht, dass diese Systeme verboten sind. Sie bedeutet, dass sie strenge Anforderungen erfüllen müssen.

3. Begrenztes Risiko (Transparenzpflichten)

Chatbots, Deepfakes, KI-generierte Inhalte. Hier gilt eine zentrale Pflicht: Nutzer müssen wissen, dass sie mit KI interagieren. Wenn Sie einen KI-Chatbot auf Ihrer Karriereseite einsetzen, der Bewerberfragen beantwortet, müssen Sie das kennzeichnen.

4. Minimales Risiko (keine Auflagen)

Spamfilter, KI in Videospielen, einfache Automatisierungen, KI-gestützte Rechtschreibprüfung. Keine besonderen Auflagen.

Was bedeutet „Hochrisiko" für Ihr HR-Team?

Die Einstufung als Hochrisiko bringt 7 konkrete Pflichten mit sich:

1. Risikomanagement-System

Sie brauchen einen dokumentierten Prozess zur Identifikation und Minimierung von Risiken. Das muss kein 50-seitiges Dokument sein. Aber Sie müssen nachweisen können, dass Sie Risiken kennen und aktiv managen.

Konkret bedeutet das: Beschreiben Sie, welche KI-Systeme Sie einsetzen. Identifizieren Sie die Risiken (Bias, Fehlbewertungen, Datenschutz). Dokumentieren Sie, welche Maßnahmen Sie dagegen ergreifen. Überprüfen Sie die Maßnahmen regelmäßig.

2. Datenqualität

Die Trainingsdaten des KI-Systems müssen relevant, repräsentativ und fehlerfrei sein. Als Nutzer des Systems sind Sie nicht für die Trainingsdaten verantwortlich — der Anbieter schon. Aber Sie müssen prüfen, ob der Anbieter das nachweisen kann.

Fordern Sie vom Anbieter eine Erklärung an: Auf welchen Daten wurde das System trainiert? Wie wird Datenqualität sichergestellt? Gibt es regelmäßige Audits?

3. Technische Dokumentation

Der Anbieter muss eine technische Dokumentation bereitstellen. Diese muss enthalten: Zweck des Systems, Funktionsweise, Leistungskennzahlen, bekannte Einschränkungen und Risiken. Sie als Anwender müssen diese Dokumentation aufbewahren und bei Bedarf vorlegen können.

Wichtig: „Bei Bedarf vorlegen" bedeutet nicht nur bei einer Behördenprüfung. Auch Bewerber können Auskunft verlangen. Auch der Betriebsrat hat Informationsrechte.

4. Protokollierung

Alle relevanten Vorgänge müssen protokolliert werden. Wer hat wann welches System für welche Stelle eingesetzt? Welche Ergebnisse wurden erzielt? Welche Entscheidungen wurden auf Basis der KI-Ergebnisse getroffen?

Die Protokolle müssen mindestens 6 Monate aufbewahrt werden. Bei Bewerbungsverfahren empfehlen Juristen eine Aufbewahrung von 6 Monaten nach Abschluss des Verfahrens — das deckt sich mit der AGG-Frist für Diskriminierungsklagen.

5. Transparenz gegenüber Bewerbern

Bewerber haben das Recht zu erfahren, dass KI an der Bewertung beteiligt ist. Das muss vor oder spätestens bei der Bewerbung kommuniziert werden.

6. Menschliche Aufsicht

Keine vollautomatisierten Ablehnungen. Ein Mensch muss die KI-Ergebnisse prüfen, bevor eine Entscheidung getroffen wird. Das bedeutet: KI erstellt die Shortlist. Der Recruiter entscheidet.

Die menschliche Aufsicht muss qualifiziert sein. Der Mensch muss die Ergebnisse der KI verstehen und hinterfragen können. Ein bloßes „Absegnen" ohne inhaltliche Prüfung erfüllt die Anforderung nicht.

7. Genauigkeit und Robustheit

Das System muss zuverlässig funktionieren. Fehlerraten müssen dokumentiert und akzeptabel sein. Das System muss robust gegen Manipulation sein — Bewerber sollen nicht durch bestimmte Keywords oder Formatierungen die Scores künstlich erhöhen können.

Transparenzpflichten im Detail

Die Transparenzpflicht ist der Punkt, der HR-Teams am meisten betrifft. Hier die konkreten Anforderungen:

Was Sie kommunizieren müssen:

  • Dass KI im Bewerbungsprozess eingesetzt wird.
  • Welche Art von KI-System verwendet wird (z. B. CV-Screening, Score-basierte Vorauswahl).
  • Dass ein Mensch die finale Entscheidung trifft.
  • Welche Daten verarbeitet werden.
  • Wie Bewerber eine menschliche Überprüfung der KI-Entscheidung anfordern können.

Wann Sie kommunizieren müssen:

  • Idealerweise in der Stellenanzeige.
  • Spätestens beim Eingang der Bewerbung (z. B. in der Eingangsbestätigung).
  • Nicht erst nach der Entscheidung. Nachträgliche Information reicht nicht.

Wie Sie kommunizieren:

  • In klarer, verständlicher Sprache.
  • Kein Juristendeutsch. Kein Kleingedrucktes.
  • In der Sprache der Stellenanzeige.

Beispielformulierung: „Zur Unterstützung der Vorauswahl nutzen wir KI-gestützte Software. Die Software analysiert Ihren Lebenslauf anhand der Stellenanforderungen und erstellt eine Bewertung. Die finale Entscheidung trifft immer ein Mitglied unseres HR-Teams. Sie haben jederzeit das Recht, eine menschliche Überprüfung der automatisierten Bewertung zu verlangen."

Dokumentationspflichten im Detail

Die Dokumentation ist der Bereich, den viele Unternehmen unterschätzen. Der EU AI Act verlangt:

Vom Anbieter (Provider):

  • Technische Dokumentation des KI-Systems
  • Beschreibung der Trainingsdaten und -methoden
  • Leistungskennzahlen und bekannte Einschränkungen
  • Gebrauchsanweisung für Anwender

Von Ihnen als Anwender (Deployer):

  • Nachweis, dass Sie die Gebrauchsanweisung befolgen
  • Protokolle über den Einsatz des Systems
  • Dokumentation der menschlichen Aufsicht
  • Ergebnisse Ihrer Risikobewertung
  • Nachweis über die Information der Bewerber

Aufbewahrungspflichten:

Alle Dokumentationen müssen aufbewahrt werden, solange das KI-System im Einsatz ist — plus mindestens 6 Monate danach. Bei Recruiting-Verfahren empfehlen wir: Aufbewahrung bis 6 Monate nach dem letzten Kontakt mit dem Bewerber.

Was passiert bei Verstößen?

Die Strafen sind empfindlich und abgestuft:

Verbotene KI-Praktiken:

Bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Das betrifft den Einsatz verbotener Systeme (z. B. Emotionserkennung in Interviews).

Verstöße gegen Hochrisiko-Auflagen:

Bis zu 15 Millionen EUR oder 3 % des Umsatzes. Das betrifft fehlende Dokumentation, mangelnde Transparenz oder fehlende menschliche Aufsicht.

Falsche Angaben gegenüber Behörden:

Bis zu 7,5 Millionen EUR oder 1,5 % des Umsatzes.

Sonderregelung für KMU:

Für KMU (unter 250 Mitarbeitende oder unter 50 Mio. EUR Umsatz) gelten reduzierte Höchstsätze. Aber auch die können existenzbedrohend sein.

Wer kontrolliert?

Jeder EU-Mitgliedstaat benennt Marktüberwachungsbehörden. In Deutschland wird die Bundesnetzagentur voraussichtlich eine zentrale Rolle übernehmen. Zusätzlich können Datenschutzbehörden tätig werden, wenn DSGVO und AI Act gleichzeitig betroffen sind.

Was HireSift konkret tut

HireSift wurde von Anfang an mit dem EU AI Act im Blick entwickelt. Konkret:

Zwei transparente Scores

Der CV Match und der HireSift Score sind nachvollziehbar. Sie sehen für jeden Kandidaten, welche Kriterien wie bewertet wurden. Keine Blackbox. Jeder Score lässt sich auf die zugrunde liegenden Datenpunkte zurückführen.

Keine automatisierten Entscheidungen

HireSift erstellt Rankings und Scores. Die Entscheidung liegt immer beim Menschen. Es gibt keinen „Auto-Reject"-Button. Kein Kandidat wird ohne menschliche Prüfung abgelehnt.

Dokumentation

Jede Bewertung wird gespeichert und ist nachvollziehbar. Sie können bei Rückfragen von Bewerbern oder Behörden jederzeit erklären, wie eine Bewertung zustande kam. Die Protokolle enthalten: Zeitstempel, verwendete Kriterien, Gewichtungen, Einzelbewertungen und Gesamtscores.

DSGVO-konforme Datenverarbeitung

Alle Daten werden in der EU verarbeitet. Es gibt einen Auftragsverarbeitungsvertrag (AVV). Bewerberdaten können jederzeit gelöscht werden. Es findet kein Transfer in Drittländer statt.

Bewerber-Information

HireSift stellt Textbausteine bereit, die Sie in Stellenanzeigen und Eingangsbestätigungen verwenden können. Sie erfüllen die Transparenzpflichten des EU AI Act. Die Texte sind in Deutsch und Englisch verfügbar.

Technische Dokumentation

HireSift stellt eine technische Dokumentation bereit, die die Anforderungen des EU AI Act erfüllt. Diese können Sie bei Bedarf der Aufsichtsbehörde oder dem Betriebsrat vorlegen.

Checkliste für HR-Teams

Nutzen Sie diese Checkliste, um Ihren KI-Einsatz im Recruiting EU-AI-Act-konform zu gestalten:

Vor dem Einsatz:

  • KI-Anbieter auf Compliance prüfen (technische Dokumentation anfordern)
  • Risikobewertung durchführen und dokumentieren
  • Datenschutzfolgenabschätzung erstellen (Art. 35 DSGVO)
  • Betriebsrat informieren und Stellungnahme einholen (falls vorhanden)
  • Textbausteine für Stellenanzeigen vorbereiten
  • Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abschließen
  • Internen Prozess für menschliche Aufsicht definieren
  • Verantwortliche Person für KI-Compliance benennen

Im laufenden Betrieb:

  • Bewerber in Stellenanzeige über KI-Einsatz informieren
  • KI-Ergebnisse vor Entscheidung manuell prüfen
  • Ergebnisse dokumentieren und aufbewahren
  • Regelmäßig prüfen: Sind die Ergebnisse fair und konsistent?
  • Feedback-Kanal für Bewerber einrichten
  • Anfragen von Bewerbern zur KI-Bewertung innerhalb von 30 Tagen beantworten
  • Protokolle mindestens 6 Monate nach Verfahrensende aufbewahren

Quartalsweise:

  • Ergebnisse nach Bewerbergruppen analysieren (Bias-Check)
  • Prüfen, ob der Prozess der menschlichen Aufsicht eingehalten wird
  • Dokumentation auf Vollständigkeit prüfen

Jährlich:

  • Risikobewertung aktualisieren
  • Prüfen, ob der Anbieter weiterhin compliant ist
  • Neue gesetzliche Anforderungen prüfen
  • Schulung für Recruiter zum Umgang mit KI-Systemen durchführen
  • Externe Audit-Ergebnisse einholen (empfohlen, ab 2027 möglicherweise Pflicht)

Fazit: Regulierung als Chance

Der EU AI Act schafft Klarheit. Er zwingt Anbieter und Anwender zu Transparenz und Fairness. Das ist keine Bürde — es ist ein Qualitätsmerkmal.

Unternehmen, die KI im Recruiting transparent und regelkonform einsetzen, stärken ihr Employer Branding. Bewerber vertrauen Prozessen, die nachvollziehbar sind. Und Recruiter arbeiten mit Systemen, auf die sie sich verlassen können.

Die Alternative — KI ohne Regulierung — hat die Beispiele Amazon und AMS gezeigt. Unkontrollierte Algorithmen diskriminieren. Regulierte Algorithmen können fairer sein als Menschen.

Mehr zum Thema Bias und Fairness: KI-Bias im Recruiting: Risiken erkennen und vermeiden.

Den vollständigen Überblick über KI-Recruiting finden Sie hier: KI im Recruiting: Der ultimative Leitfaden.

Weniger screenen. Mehr einstellen.

HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.

→ 7 Tage kostenlos testen

Weniger screenen. Mehr einstellen.

HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.

7 Tage kostenlos testen

Weitere Artikel

DSGVO-konformes Recruiting: Die Checkliste für HR-Teams
Recht & Compliance

DSGVO-konformes Recruiting: Die Checkliste für HR-Teams

12-Punkte-Checkliste für DSGVO-konformes Recruiting — von der Einwilligung bis zur Löschfrist.

17. März 20266 Min