Published on

Hochrisiko-KI im Recruiting: Pflichten unter EU AI Act Annex III

Authors

KI im Recruiting ist kein Randthema mehr. Lebenslauf-Screening, Video-Interview-Analyse, Skill-Matching, automatisierte Vorauswahl von Bewerberinnen und Bewerbern — all das läuft in vielen Unternehmen längst über KI-gestützte Systeme. Der EU AI Act ordnet diese Anwendungen klar zu: Sie sind Hochrisiko-KI im Sinne von Anhang III (Annex III). Wer sie einsetzt, übernimmt Pflichten, die in der Praxis weit über eine DSGVO-Folgenabschätzung hinausgehen.

Dieser Beitrag erklärt, was Annex III für HR-KI bedeutet, welche Rollen Arbeitgeber tragen, welche Evidenz Audits in DE, EU27-Rest, UK und CH erwarten — und warum der 02.12.2027 als Enforcement-Datum jede HR-Roadmap betrifft, in der KI eine Rolle spielt.

Was Annex III für Recruiting-KI sagt

Der EU AI Act (Verordnung (EU) 2024/1689) klassifiziert KI-Systeme nach Risikostufen. Hochrisiko-Systeme sind in Anhang III aufgeführt. Punkt 4 dieses Anhangs adressiert ausdrücklich KI im Beschäftigungs- und Personalmanagement-Kontext:

"KI-Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu analysieren und zu filtern und Bewerber zu bewerten."

Punkt 4 erfasst zusätzlich KI für Entscheidungen über Arbeitsbedingungen, Beförderungen, Kündigungen sowie Aufgaben­zuweisung. Sobald ein System eine dieser Funktionen erfüllt, gilt es als Hochrisiko — unabhängig davon, ob die finale Entscheidung ein Mensch trifft. Der "Human in the Loop" reduziert das Risiko, hebt die Klassifizierung aber nicht auf. Das ist der entscheidende Punkt, den viele Personalabteilungen heute noch unterschätzen: Auch ein "nur unterstützendes" KI-Tool, das Bewerbungen vorsortiert, ist regulatorisch Hochrisiko.

Ausnahmen nach Artikel 6 Absatz 3 sind eng. Wer sich auf sie beruft, muss das schriftlich begründen, dokumentieren und im EU-Datenbank-Register hinterlegen. Das ist kein Ausweg, das ist eine zusätzliche Beweislast.

Provider und Deployer: Wer trägt was?

Der EU AI Act trennt sauber zwischen Provider (Anbieter, der das System entwickelt oder unter eigenem Namen in Verkehr bringt) und Deployer (Betreiber, der das System einsetzt). Im Recruiting ist der Arbeitgeber regelmäßig Deployer — auch dann, wenn er ein SaaS-Tool eines Drittanbieters nutzt.

Deployer-Pflichten ergeben sich primär aus Artikel 26:

  • Das System ist gemäß Hersteller-Anweisung zu verwenden. Eigene Customizations, die das Risikoprofil verändern, können den Deployer in eine Provider-Rolle drücken (Artikel 25).
  • Eingabedaten müssen für den beabsichtigten Zweck repräsentativ sein. Wer ein Modell mit einseitigen Bewerberprofilen füttert, haftet für die Folgen.
  • Der Betrieb ist zu überwachen. Anomalien, Bias-Auffälligkeiten und schwerwiegende Vorfälle (Artikel 73) sind zu melden.
  • Es gilt eine Informationspflicht gegenüber den betroffenen Bewerberinnen und Bewerbern — sie müssen wissen, dass ein Hochrisiko-KI-System sie bewertet.
  • Vor Inbetriebnahme ist eine Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment, Artikel 27) durchzuführen, wenn der Deployer eine öffentliche Stelle ist oder bestimmte private Akteure (Bank-/Versicherungs-Sektor). Für andere private Arbeitgeber ist sie nicht Pflicht, aber gute Praxis.

Wer als Provider auftritt — also ein HR-KI-Tool entwickelt oder unter eigenem Label vertreibt — trägt deutlich umfangreichere Pflichten: Konformitätsbewertung, technische Dokumentation, Qualitätsmanagementsystem, CE-Kennzeichnung, EU-Datenbank-Registrierung.

Welche Evidenz Audits in DE, EU27-Rest, UK und CH erwarten

Die Pflicht endet nicht bei der Implementierung. Audits — durch die zuständige Marktüberwachungsbehörde, durch interne Revision, durch Konzern-Compliance — prüfen ab dem 02.12.2027 systematisch, ob die Deployer-Pflichten dokumentiert nachweisbar sind. Drei Kategorien von Evidenz stehen im Vordergrund:

1. Systemnachweis. Welches HR-KI-System wird wo eingesetzt? Welche Version? Welche Konfiguration? Welche Daten fließen ein? Die Antwort darf nicht aus Slack-Threads zusammengesucht werden. Sie muss in einer maschinell lesbaren System-Karte vorliegen, die zu jedem Audit-Zeitpunkt einen konsistenten Stand zeigt.

2. Entscheidungsnachweis. Bei welchem Bewerber hat das System welche Empfehlung ausgegeben, mit welcher Begründung, in welchem Zeitraum? Audit-Logs müssen unveränderbar, zeitlich geordnet und an die zugrunde liegende Modellversion bindbar sein.

3. Governance-Nachweis. Wer hat das System freigegeben? Wer überprüft es zyklisch? Wer ist verantwortlich, wenn ein Vorfall meldepflichtig wird? Diese Rollen müssen benannt, geschult und durch Nachweise belegt sein.

In DE liegt die Marktüberwachung künftig bei einer noch zu benennenden zuständigen Behörde, die Bundesnetzagentur ist als Koordinationsstelle vorgesehen. EU27-Rest folgt dem gleichen Verordnungsrahmen, nationale Behörden setzen ihn um. UK orientiert sich am sektoralen Ansatz seines AI Regulation White Paper, akzeptiert aber EU-AI-Act-Konformität faktisch als Marktstandard, wenn Mitarbeiter in der EU sitzen oder Bewerber dort ansässig sind. CH kennt keinen vergleichbaren horizontalen KI-Rechtsakt, aber Schweizer Arbeitgeber, die mit EU-Personal arbeiten, sind über die extraterritoriale Reichweite des AI Acts (Artikel 2) regelmäßig erfasst.

Was bis zum 02.12.2027 zu tun ist

Der Forcing Event 02.12.2027 ist nicht das Ende einer Übergangsfrist im klassischen Sinn, sondern der Zeitpunkt, ab dem die Hochrisiko-Pflichten nach Kapitel III voll greifen. Wer am 02.12.2027 ohne dokumentierte Deployer-Pflichten-Erfüllung Recruiting-KI betreibt, läuft in messbare Bußgeldrisiken nach Artikel 99 sowie zivilrechtliche Folgen aus Diskriminierungsklagen.

Eine realistische 18-Monats-Roadmap für HR-Verantwortliche umfasst: Inventar aller KI-gestützten HR-Tools (inklusive eingebetteter KI-Funktionen in ATS und HRIS), Risikoklassifizierung pro System, Provider-Verträge auf AI-Act-Klauseln prüfen, Audit-Logging aufsetzen oder vom Anbieter einfordern, Trainings für HR-Personal und Hiring Manager dokumentieren, Vorfall-Reporting-Prozess definieren.

Das ist viel — und es ist nicht die Aufgabe, die HR-Abteilungen alleine stemmen sollten. Es ist eine Trust-Infrastructure-Aufgabe: System, Evidenz und Governance laufen quer durch IT, Legal, HR, Datenschutz und Geschäftsführung. Eine belastbare Trust-Schicht macht aus den verstreuten Pflichten einen wiederholbaren Prozess. Compliance wird damit zur Folge, nicht zum Ausgangspunkt.

Mehr zum Ansatz Evidence-based AI Trust und zur Land-Tier-Architektur (AI Navigator, AI Guardian, AI Commander) findet sich unter aegira.ai.

Kernpunkte

KI im Recruiting fällt unter Annex III Punkt 4 des EU AI Act und ist damit Hochrisiko. Arbeitgeber sind regelmäßig Deployer und treffen die Pflichten aus Artikel 26: Hersteller-konformer Betrieb, repräsentative Eingabedaten, Monitoring, Informations- und Meldepflichten. Audits ab dem 02.12.2027 prüfen Systemnachweis, Entscheidungsnachweis und Governance-Nachweis. Für CH-Arbeitgeber mit EU-Bezug greift der AI Act extraterritorial. Wer jetzt die Trust-Infrastructure aufbaut, hat im 18-Monats-Fenster die belastbare Audit-Lage, die der Forcing Event verlangt.

Primärquelle: Verordnung (EU) 2024/1689 — Anhang III Nr. 4 sowie Artikel 6, 25, 26, 27, 73, 99. Konsolidierte Fassung im EUR-Lex.

Discuss on TwitterView on GitHub