Kostenlos beraten
EU AI Act KI-Recruiting Compliance Deutschland — Hochrisiko Anhang III
ai-act

EU AI Act und KI im Recruiting: Compliance-Pflichten 2026

Kurzantwort

KI-Systeme im Recruiting sind Hochrisiko-KI nach Anhang III EU AI Act. Arbeitgeber müssen menschliche Aufsicht, technische Dokumentation und Bewerbertransparenz sicherstellen — spätestens ab 2. August 2026.

  • EU AI Act Anhang III stuft KI im Recruiting, bei Einstellungsentscheidungen und im Beschäftigungsbereich als hochriskant ein.
  • Sowohl Anbieter der KI-Systeme als auch Arbeitgeber, die sie einsetzen, tragen ab August 2026 verbindliche Pflichten.
  • Menschliche Kontrolle bei KI-gestützten Einstellungsentscheidungen ist Pflicht — reine Automatisierung verstößt gegen AI Act und DSGVO Artikel 22.
  • Der Betriebsrat hat nach BetrVG § 87 Abs. 1 Nr. 6 zwingendes Mitbestimmungsrecht bei der Einführung von KI-Recruiting-Tools.

KI-Systeme im Recruiting — von Algorithmen zur Lebenslaufanalyse bis zu automatisierten Interview-Auswertungsplattformen — sind Hochrisiko-KI-Systeme nach Anhang III des EU AI Act. Arbeitgeber, die solche Systeme einsetzen, tragen verbindliche Compliance-Pflichten, die ab dem 2. August 2026 vollständig wirksam werden. Dieser Leitfaden erläutert, was der AI Act fordert, wie er mit der DSGVO und dem deutschen Betriebsverfassungsgesetz zusammenwirkt, und was HR-Teams jetzt tun sollten.

Was der EU AI Act als Recruiting-KI einstuft

EU AI Act Anhang III, Abschnitt 4 benennt als Hochrisiko-KI-Systeme im Beschäftigungsbereich:

  • KI zur Sichtung oder Filterung von Bewerbungen und Lebensläufen
  • KI zur Bewertung von Kandidaten in Tests im Rahmen oder zur Vorbereitung von Auswahlverfahren
  • KI, die Entscheidungen über Beförderung, Kündigung, Aufgabenzuteilung oder Leistungsbewertung trifft oder wesentlich beeinflusst

Die Klassifikation ist bewusst weit gefasst. Ein Ranking-Algorithmus in einem Bewerbermanagementsystem ist hochriskant. Eine Video-Interview-Plattform, die emotionale Merkmale bewertet, ist hochriskant. Ein Tool, das aus Bewerbungsunterlagen einen „Cultural-Fit-Score” generiert, ist hochriskant. Das entscheidende Kriterium ist nicht die Technologie — es ist, ob das System wesentliche Beschäftigungsentscheidungen beeinflusst.

Was nicht hochriskant ist: Administrative Tools ohne Einfluss auf individuelle Beschäftigungsentscheidungen — Terminkoordination, Raumverwaltung, allgemeine Produktivitäts-KI — unterliegen nur den leichteren Allgemeinpflichten des AI Act und sind nicht von Anhang III erfasst.

Betroffene Parteien — Anbieter und Betreiber

Der AI Act unterscheidet zwei Kategorien mit getrennten Pflichten:

Anbieter (Unternehmen, die Recruiting-KI entwickeln und vermarkten) müssen eine Konformitätsbewertung durchführen, eine technische Dokumentation erstellen, ein Qualitätsmanagementsystem einrichten, das System in der EU-Hochrisiko-KI-Datenbank registrieren und vor dem Inverkehrbringen die CE-Kennzeichnung anbringen.

Betreiber (Arbeitgeber in Deutschland, die Recruiting-KI im eigenen Unternehmen einsetzen) müssen:

  • Ausschließlich CE-konforme Systeme einsetzen, die den AI-Act-Anforderungen genügen
  • Menschliche Aufsichtsmaßnahmen entsprechend der Anbieter-Spezifikation umsetzen
  • Das System auf unerwartete Risiken im Betrieb überwachen
  • Vor dem Einsatz hochriskanter Systeme, die Grundrechte im Beschäftigungsbereich berühren, eine Grundrechte-Folgenabschätzung durchführen
  • Das System ausschließlich im dokumentierten Verwendungszweck des Anbieters betreiben

Als Arbeitgeber in Deutschland sind Sie in erster Linie als Betreiber betroffen. Wer eigene KI-Funktionen mit Drittanbieter-Modellen oder APIs in HR-Prozesse integriert, kann für diese Eigenentwicklungen zusätzlich als Anbieter eingestuft werden.

Hochrisiko-Pflichten in der Praxis

Technische Dokumentation und Konformitätsbewertung

Anbieter müssen in der technischen Dokumentation Verwendungszweck, Architektur, Trainings- und Testmethodik, Leistungskennzahlen nach Bevölkerungsgruppen und Risikomanagementmaßnahmen festhalten. Diese Dokumentation bildet die Grundlage der Konformitätsbewertung — für die meisten Anhang-III-Systeme eine Eigenbewertung, in bestimmten Fällen eine Drittprüfung.

Als Betreiber sollten Sie die technische Dokumentation und den CE-Kennzeichnungsstatus Ihrer Anbieter vor der nächsten Vertragsverlängerung einfordern.

Risikomanagement und Bias-Tests

Artikel 9 des AI Act verlangt ein kontinuierliches Risikomanagementsystem über den gesamten Lebenszyklus. Für Recruiting-KI bedeutet das regelmäßige Bias-Tests nach Geschlecht, Alter, ethnischer Herkunft und Behinderungsstatus. Ein System, das insgesamt gut abschneidet, aber bestimmte geschützte Gruppen systematisch benachteiligt, erfüllt diese Anforderung nicht.

Anbieter sind im Rahmen der Transparenzpflichten gehalten, Bias-Testmethodik und Ergebnisse offenzulegen. Fordern Sie diese Unterlagen vor dem Einsatz und jährlich im laufenden Betrieb an.

Menschliche Aufsicht

Artikel 14 verlangt, dass hochriskante KI-Systeme fachkundigen Personen eine wirksame Überwachung und Eingriffsmöglichkeit ermöglichen. Im Recruiting-Kontext bedeutet das:

  • HR-Mitarbeiterinnen und -Mitarbeiter müssen in den Grenzen und Fehlerquellen des Systems geschult werden
  • Es muss einen echten menschlichen Prüfschritt geben — nicht nur eine Oberfläche zum Durchwinken des KI-Ergebnisses
  • Prüfende Personen müssen das Ergebnis der KI praktisch übersteuern, ignorieren oder korrigieren können

Diese Anforderung verstärkt unmittelbar DSGVO Artikel 22, der rein automatisierte Entscheidungen mit erheblichen Auswirkungen auf Bewerber grundsätzlich verbietet. Der AI Act operationalisiert damit die menschliche Aufsichtspflicht, die die DSGVO schon heute vorschreibt. Die vollständige DSGVO-Analyse finden Sie in unserem KI-Recruiting-Compliance-Leitfaden für Deutschland.

Transparenz gegenüber Bewerbern

Nach Artikel 13 müssen Betreiber Bewerberinnen und Bewerber darüber informieren, dass ein Hochrisiko-KI-System ihre Bewerbung bewertet, den Zweck des Systems verständlich erläutern und über ihre Rechte aufklären — einschließlich des Rechts auf menschliche Überprüfung nach DSGVO Artikel 22 Abs. 3.

Diese Information gehört in die Datenschutzinformation für Bewerber — vor Beginn des Auswahlverfahrens, nicht nachträglich.

DSGVO und AI Act — Doppelte Pflicht

Im deutschen Recruiting gelten zwei Regelwerke gleichzeitig, von denen keines das andere verdrängt:

DSGVO Artikel 22 verbietet rein automatisierte Einzelentscheidungen mit erheblichen Auswirkungen, sofern keine Ausnahme greift (Vertragserforderlichkeit, gesetzliche Grundlage oder ausdrückliche Einwilligung). Selbst bei einer einschlägigen Ausnahme verlangt Artikel 22 Abs. 3 Schutzmaßnahmen einschließlich des Rechts auf menschliche Überprüfung und Anfechtung.

BDSG § 26 ist die maßgebliche Rechtsgrundlage für die Verarbeitung von Bewerberdaten in Deutschland. Er erlaubt die Verarbeitung, soweit sie für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich ist. Einwilligung ist aufgrund des bestehenden Machtgefälles regelmäßig keine geeignete Grundlage.

Die Erfüllung der AI-Act-Aufsichtspflichten ersetzt die DSGVO-Compliance nicht — beide Anforderungen müssen unabhängig voneinander erfüllt werden. Wer nur einen der beiden Rahmen adressiert, trägt erhebliche rechtliche Risiken.

Mitbestimmungsrecht des Betriebsrats nach BetrVG § 87

Für Unternehmen mit fünf oder mehr Beschäftigten hat der Betriebsrat nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) zwingend mitzubestimmen bei der Einführung und Anwendung technischer Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer geeignet sind.

Arbeitsgerichte haben wiederholt entschieden, dass KI-gestützte Einstellungs- und HR-Systeme von diesem Mitbestimmungstatbestand erfasst sind — auch für Bewerber, die noch keine Arbeitnehmer sind. Begründung: Solche Systeme beeinflussen die Belegschaftszusammensetzung, werden von HR-Mitarbeitenden bedient und bleiben nach der Einstellung für die laufende Personalsteuerung im Einsatz.

In der Praxis:

  1. Betriebsrat vor der Einführung eines KI-Recruiting-Tools informieren
  2. Technische Dokumentation und Einsatzbeschreibung des Anbieters vorlegen
  3. Betriebsvereinbarung aushandeln — Regelungsgegenstände: verarbeitete Daten, Aufbewahrungsfristen, Zugriff auf Systemausgaben, menschlicher Prüfschritt und Beschwerdemöglichkeiten für Bewerber
  4. Kommt keine Einigung zustande, kann der Betriebsrat den Einsatz des Systems gerichtlich blockieren — die Einstellungsentscheidung kann er jedoch nicht verhindern

Die vom AI Act geforderte Grundrechte-Folgenabschätzung lässt sich gut mit der Betriebsratskonsultation verbinden. Beides parallel zu führen ist effizient und erzeugt die Dokumentation, die beide Regelwerke verlangen.

Was Arbeitgeber jetzt tun sollten

Der 2. August 2026 ist der Compliance-Stichtag für Hochrisiko-KI-Systeme. Systeme, die nach diesem Datum eingesetzt werden, müssen von Anfang an konform sein. Für Systeme, die bereits im Einsatz sind, gilt eine Übergangsfrist bis zum 2. August 2027, allerdings müssen Anbieterpflichten und die Registrierungspflicht bereits ab August 2026 erfüllt werden.

Empfohlene Schritte für Arbeitgeber in Deutschland:

  1. HR-Tech-Inventur: Alle Tools mit KI-gestützter Sichtung, Bewertung, Scoring oder Entscheidungsunterstützung im Einstellungs- und Beschäftigungsbereich erfassen.
  2. Klassifikation prüfen: Fällt das jeweilige Tool unter Anhang III des AI Act? Bei Unklarheit rechtliche Beratung einholen — Fehlklassifikation in beide Richtungen birgt Risiken.
  3. Anbieter-Compliance anfragen: Jetzt nach AI-Act-Dokumentation fragen. Nicht-Konformität in Vertragsverlängerungsentscheidungen einkalkulieren.
  4. DSFA durchführen: Eine Datenschutz-Folgenabschätzung nach DSGVO Artikel 35 ist bei systematischer automatisierter Bewerberdatenverarbeitung mit Profiling nahezu immer erforderlich.
  5. Betriebsrat frühzeitig einbinden: Frühzeitige Einbeziehung verhindert Verzögerungen beim Go-live und führt zu praxistauglicheren Betriebsvereinbarungen.
  6. Datenschutzinformation aktualisieren: AI-Act-Transparenzangaben jetzt aufnehmen — dies entspricht bereits heute der Erwartungshaltung mancher Aufsichtsbehörden und ist unabhängig vom August-2026-Stichtag empfehlenswert.

Compound Law berät Arbeitgeber in Deutschland zu AI-Act-Betreiberpflichten, DSFA-Scoping und Betriebsratskonsultation beim Einsatz von HR-Technologie. Für individuelle Beratung sprechen Sie mit unserem Team.

Dieser Leitfaden stellt allgemeine rechtliche Informationen bereit. Er stellt keine Rechtsberatung dar. Konkrete Compliance-Fragen — insbesondere Betriebsratsverhandlungen, Vertragsverhandlungen mit Anbietern und DSFA-Abgrenzung — erfordern individuelle rechtliche Beratung.

Weitere Branchen-Guides

EU KI-Gesetz August 2026 Frist – Compliance-Checkliste für Unternehmen in Deutschland
ai-act

KI-Verordnung Frist August 2026 — Was Unternehmen jetzt tun müssen

Noch 90 Tage bis zur EU AI Act Frist: Hochrisiko-KI-Pflichten ab 2. August 2026, GPAI-Anbieterpflichten und 6-Schritte-Plan für Unternehmen.
KI-Compliance Landwirtschaft: EU AI Act für Agrarbetriebe 2026
ai-act

KI-Verordnung Landwirtschaft: Compliance-Leitfaden 2026

AI Act Landwirtschaft 2026: Welche KI-Systeme hochriskant sind, was bis August gilt und wie Agrarbetriebe compliant werden.
KI-Compliance für Finanzdienstleister unter dem EU AI Act 2026
ai-act

KI-Verordnung Finanzdienstleistungen: Compliance-Leitfaden Deutschland 2026

KI-Verordnung Finanzdienstleistungen in Deutschland: Kreditscoring-Pflichten, BaFin-Anforderungen und Compliance-Checkliste für 2026.

Häufige Fragen

Ist KI zur Lebenslaufanalyse nach dem EU AI Act hochriskant?

Ja. KI, die Bewerbungen sichtet, filtert oder rankt, ist nach EU AI Act Anhang III Abschnitt 4 ausdrücklich als hochriskant eingestuft. Das gilt unabhängig davon, ob das Tool als reine Entscheidungsunterstützung vermarktet wird — entscheidend ist, ob es wesentliche Beschäftigungsentscheidungen beeinflusst.

Welche Anforderungen stellt der EU AI Act an Hochrisiko-KI im Recruiting?

Hochrisiko-KI im Recruiting braucht: eine technische Dokumentation zu Aufbau und Leistung, ein Risikomanagementsystem einschließlich Bias-Tests, Maßnahmen zur menschlichen Aufsicht, Transparenz gegenüber Bewerbern und ein Überwachungssystem nach dem Inverkehrbringen.

Ab wann gelten die AI-Act-Pflichten für Recruiting-KI?

Die vollständigen Hochrisiko-Pflichten gelten ab dem 2. August 2026 für neue Systeme. Systeme, die vor diesem Datum bereits im Einsatz sind, haben bis zum 2. August 2027 Zeit zur Anpassung. Die Registrierungspflicht im EU-Datenbankregister und die Anbieterpflichten gelten jedoch bereits ab August 2026.

Dürfen Unternehmen weiterhin Workday oder SAP SuccessFactors KI-Funktionen nutzen?

Ja, aber Arbeitgeber müssen sicherstellen, dass der Anbieter AI-Act-konforme Dokumentation vorweisen kann — CE-Kennzeichnung, technische Dokumentation, Konformitätsbewertung. Ab August 2026 drohen bei Einsatz nicht konformer Hochrisiko-Systeme Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.

Muss der Betriebsrat der Einführung eines KI-Recruiting-Tools zustimmen?

Der Betriebsrat kann die Einstellungsentscheidung nicht verhindern. Er hat jedoch nach BetrVG § 87 Abs. 1 Nr. 6 zwingendes Mitbestimmungsrecht bei technischen Überwachungseinrichtungen. Ohne Betriebsvereinbarung kann der Betriebsrat den Einsatz des Systems durch das Arbeitsgericht blockieren lassen.

Kostenlos beraten