KI im Recruiting: Was bedeutet der AI Act für HR?

Foto des Autors: Patrick Wunsch

Autor: Patrick Wunsch
Senior Marketing Manager & KI-Beauftragter 

Einerseits Fachkräftemangel, andererseits Bewerbungsflut: Für viele HR-Teams im Mittelstand klingen KI-Systeme, die sowohl schnellere als auch bessere Recruiting-Entscheidungen treffen sollen, nach einer willkommenen Entlastung. Aber ist das eigentlich erlaubt?

Smarte Tools, die Lebensläufe vorsortieren, Kandidaten nach Cultural Fit bewerten oder automatisch Stellenanzeigen ausspielen, versprechen eine Steigerung von Tempo und Trefferquoten.

Mit der europäischen KI-Verordnung erhält dieses Thema eine neue Dimension. Denn einige Anwendungen im Personalwesen können in die Kategorie der KI-Systeme mit hohem Risiko fallen. Das heißt nicht, dass sie grundsätzlich verboten sind – der Einsatz ist jedoch an bestimmte Bedingungen geknüpft.

Die müssen Sie im HR kennen!

Dieser Artikel erklärt, was die Hochrisiko-Einstufung bedeutet, welche Pflichten auf Unternehmen zukommen und wie KI im HR verantwortungsvoll genutzt werden kann.

Die wichtigsten Fakten zum EU AI Act

Bevor wir ins eigentliche Thema einsteigen, hier die wichtigsten Infos zur KI-Verordnung der Europäischen Union im Überblick:

Was ist der EU AI Act?

Der EU AI Act ist die erste umfassende KI-Verordnung der Welt. Sie gilt in allen EU-Mitgliedstaaten und legt fest, wie KI-Systeme entwickelt, veröffentlicht und eingesetzt werden dürfen.

Das primäre Ziel besteht darin, Grundrechte, Gesundheit und Sicherheit zu schützen. Der EU Ai Act ist, wenn man so will, das neue europäische Grundgesetz für künstliche Intelligenz.

Für wen gilt der EU AI Act?

Die Verordnung unterscheidet mehrere Rollen:

  • Provider (Anbieter), die KI-Systeme entwickeln und veröffentlichen,
  • Deployer (Anwender), die KI im eigenen Unternehmen nutzen – also zum Beispiel HR-Teams – sowie
  • Importeure und Händler.

Für jedes Profil gibt es eigene Pflichten.

Ab wann gilt der EU AI Act?

Die Verordnung ist seit dem 1. August 2024 in Kraft. Die meisten Pflichten greifen gestaffelt. Zentrale Regeln für Hochrisiko-Systeme im Recruiting gelten ab dem 2. August 2026.

Was der EU AI Act mit Recruiting zu tun hat

Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein:

  • minimales Risiko
  • geringes Risiko
  • hohes Risiko
  • unannehmbares Risiko

Je höher das Risiko – insbesondere für Grundrechte, Gesundheit oder Sicherheit –, desto strenger die Verbote und Vorgaben.

Recruiter sollten sich vor allem mit einer Kategorie beschäftigen: den KI-Systemen mit hohem Risiko. Denn der Gesetzgeber klassifiziert unter anderem solche KI-Systeme als hochriskant, die darüber (mit)entscheiden, wer für einen Job oder eine Beförderung in Frage kommt, oder wie Arbeitsumfeld und Arbeitsbedingungen gestaltet werden.

In Anhang III der KI-Verordnung werden KI-Systeme für “Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit” genannt, die in die Kategorie “hohes Risiko“ fallen. Dazu gehören unter anderem Systeme, die:

  • Stellenanzeigen gezielt an bestimmte Gruppen ausspielen,
  • Bewerbungen analysieren und filtern oder
  • Kandidaten bewerten und Entscheidungen im Auswahlprozess beeinflussen.

Wer KI im Recruiting einsetzt, bewegt sich also schnell im Hochrisiko-Bereich.

Wie ein KI-System tatsächlich eingestuft wird, hängt vom Einsatzzweck ab. Sobald es Bewerbungen analysiert, filtert oder bewertet, gilt es in der Regel als hochriskant – auch dann, wenn Menschen die finale Entscheidung treffen.

Wichtig zu wissen: Die Verordnung ist seit 1. August 2024 in Kraft. Zentrale Pflichten für kritische KI-Systeme im Recruiting (High-Risk-Systeme nach Anhang III) gelten zwar erst ab dem 2. August 2026, Unternehmen sollten ihre Prozesse aber schon jetzt daran ausrichten, um rechtzeitig compliant zu sein. Wir geben Ihnen in diesem Artikel daher Empfehlungen, die den Anforderungen von 2026 entsprechen.

Warum ist KI gerade im Recruiting so kritisch?

Zuallererst: Nach dem EU AI Act tabu sind …

  • Emotionserkennung von Bewerbern oder Mitarbeitern (z. B. mittels Audio- oder Videoaufnahmen);
  • manipulative Praktiken, die gezielt Schwächen oder Abhängigkeiten ausnutzen, und
  • Social-Scoring-ähnliche Bewertungen, die Menschen über mehrere Lebensbereiche hinweg in Klassen einteilen.

Der Grund für die High-Risk-Einstufung vieler KI-Systeme, die bei Personalentscheidungen genutzt werden, ist leicht nachzuvollziehen: Hier greift eine Maschine unter Umständen tief in die Lebenswirklichkeit von Menschen ein. Ein Algorithmus, der Bewerbungen vorsortiert oder bewertet, entscheidet darüber, wer überhaupt eine Chance auf ein Gespräch erhält – und damit vielleicht auf eine dramatische Verbesserung seiner Situation.

Das Risiko liegt vor allem in zwei Punkten begründet:

1) Bias: Diskriminierung durch Daten

KI-Modelle lernen aus historischen Daten, die mal mehr, mal weniger gründlich selektiert wurden. Wenn Unternehmen in der Vergangenheit nach bestimmten Präferenzen eingestellt oder befördert haben – egal, ob bewusst oder unbewusst –, kann ein Modell diese Muster übernehmen.

Auch scheinbar unzusammenhängende Merkmale wie bestimmte Kombinationen von Studienfächern, Arbeitgebern oder sogar Hobbys können indirekt zu diskriminierenden Entscheidungsprozessen führen.

Auch wenn eine Entscheidung statistisch betrachtet „Sinn ergibt“, weil bestimmte Korrelationen bestehen und somit die Wahrscheinlichkeit auf eine spätere Absage hoch ist, kann sie auf individueller Basis trotzdem ungerecht sein.

2) Blackbox: Intransparente Entscheidungen

Viele der genutzten KI-Systeme sind weder für Recruiter noch für Kandidaten zu verstehen. Selbst Anbieter wissen meist nicht alles über Ihr Produkt. Entwickler von Large Language Models – zum Beispiel OpenAI oder Anthropic – müssen ihre eigenen Systeme beforschen, um herauszufinden, wie sie funktionieren. Die Prozesse, die zwischen Eingabe und Ausgabe ablaufen, sind unvorstellbar komplex und kaum nachzuvollziehen und auszuwerten.

In einem Artikel von 2022 – veröffentlicht noch vor der ersten Version von ChatGPT! – heißt es:

„Many AI systems that make important decisions are black boxes: how they function is opaque even to their developers. This is due to their high complexity and to the fact that they are trained rather than programmed. Efforts to alleviate the opacity of black box systems are typically discussed in terms of transparency, interpretability, and explainability. However, there is little agreement about what these key concepts mean, which makes it difficult to adjudicate the success or promise of opacity alleviation methods.“

Salopp ausgedrückt: Man weiß nicht mal, wo man anfangen soll!

Warum das KI-System also eine Bewerbung mit einem bestimmten Score bewertet hat, bleibt oft unklar. Dadurch wird es schwierig, ungerechtfertigte Benachteiligung zu erkennen, geschweige denn zu korrigieren.

Genau hier setzt der EU AI Act an: Er stuft KI-Systeme, die über Einstellungen, Beförderungen oder Arbeitsbedingungen mitentscheiden, als Hochrisiko-Systeme ein und macht strenge Vorgaben zu Transparenz, Risikomanagement und menschlicher Aufsicht. Vollständig automatisierte Entscheidungen mit weitreichenden Folgen sind nur in engen rechtlichen Grenzen zulässig und müssen insbesondere mit der DSGVO vereinbar sein.

Für HR heißt das: Künstliche Intelligenz im Recruiting ist möglich – aber nur mit Einschränkungen.

Arbeitgeber als „Deployer“: HR ist mitverantwortlich

Laut EU AI Act können Unternehmen im Kontext KI verschiedene Rollen einnehmen: Sie können „Provider“ (Anbieter) sein, das heißt: KI-Systeme entwickeln und auf den Markt bringen. Sie können aber auch als „Deployer“ (Anwender) bestehende KI-Systeme nutzen – womit sie eine andere Verantwortung tragen.

Die strengen Anforderungen der KI-Verordnung hinsichtlich der Technik und der Dokumentation liegen beim Anbieter des KI-Systems.

Mittelständische Unternehmen, die Recruiting-KI einsetzen, sind in aller Regel nur Anwender – es sei denn, es werden wesentliche Modifikationen am System vorgenommen.

Zu den Pflichten für einfache Anwender von hochriskanten KI-Systemen gehören insbesondere die folgenden:

1) Verwendung nach Anleitung

Zunächst einmal ist sicherzustellen, dass alle Anwender von KI-Systemen über ein ausreichendes Maß an Kompetenz (“AI literacy”) verfügen. Das bedeutet insbesondere, dass sie im Bilde darüber sind, wie KI-Systeme in groben Zügen funktionieren und welche Risiken mit der Nutzung einhergehen. Die Vermittlung dieses Wissens kann beispielsweise in Schulungen erfolgen.

Anwender dürfen ein Hochrisiko-System nicht „zweckentfremden“. Es muss so eingesetzt werden, wie es der Anbieter vorgesehen hat, denn Technik und Dokumentation basieren auf genau diesen Anwendungsfällen.

Wenn das KI-System also nur als Unterstützung für die Bewerberauswahl konzipiert wurde, darf es nicht als alleinige Entscheidungsinstanz dienen.

2) Menschliche Aufsicht sicherstellen

Der EU AI Act verlangt, dass hochriskante Systeme unter angemessener menschlicher Kontrolle stehen.

Im Recruiting bedeutet das: Wer KI-Systeme einsetzt, muss deren Entscheidungen (in gewissem Maße) nachvollziehen, hinterfragen und korrigieren können.

Vollständig automatisierte Absagen ohne angemessene Prüfung bewegen sich rechtlich in der Hochrisiko-Zone: Der AI Act verlangt menschliche Aufsicht, und die DSGVO schränkt automatisierte Entscheidungen zusätzlich ein. Die vor einiger Zeit gegen Workday erhobenen Vorwürfe hinsichtlich automatisierter und diskriminierender Absagen zeigen, wie schnell Unternehmen hier in Erklärungsnot geraten können.

3) Eingabedaten verantwortungsvoll managen

Anwender müssen darauf achten, welche Art von Daten sie in ein KI-System eingeben. Das gilt vor allem für sensible Daten wie …

  • personenbezogene Daten,
  • urheberrechtlich geschützte Daten und
  • Geschäftsgeheimnisse.

Im Recruiting spielt natürlich vor allem die erste Kategorie eine wichtige Rolle. Achten Sie unbedingt darauf, dass Sie nur die wirklich erforderlichen personenbezogenen Daten verarbeiten, eine Legitimation gemäß DSGVO vorweisen können und die Daten, wo immer möglich und sinnvoll, pseudonymisieren oder anonymisieren.

Verlassen Sie sich bei der Risikoeinschätzung nicht allein auf die Angaben der Anbieter, wie und wo die verarbeiteten Daten gespeichert und gegebenenfalls weiterverwendet werden (beispielsweise zu Trainingszwecken). Da die KI-Verordnung erst seit Kurzem klare Vorschriften macht, sollten Sie nicht darauf vertrauen, dass alle verfügbaren KI-Systeme sich bereits daran halten und dass die Standardeinstellungen die Vorschriften vollständig abbilden.

Beschränken Sie die Daten, die Sie hinterlassen, grundsätzlich auf ein Minimum. Je nach Art und Funktionsumfang des KI-Systems sollten Sie …

  • temporäre Chats nutzen,
  • regelmäßig den Such- und Anfragenverlauf leeren,
  • Dateien in Mediatheken löschen und
  • Memory-Funktionen deaktivieren, die dazu dienen, Sie als Nutzer mit der Zeit besser kennenzulernen.

Kurz: Machen Sie sich und Ihr Unternehmen so unsichtbar wie möglich, wo immer dies zulässig und sinnvoll ist.

4) Monitoring, Logging und Incident Management

Unternehmen sollten die Ergebnisse des Systems laufend beobachten, relevante Protokolle über den vorgeschriebenen Zeitraum aufbewahren (trotz des allgemeinen Gebots der Datenminimierung) und Auffälligkeiten prüfen.

Wenn sich abzeichnet, dass eine bestimmte Gruppe von Bewerbern systematisch benachteiligt wird, müssen Sie handeln: Es besteht die Pflicht, solche Risiken zu identifizieren, Gegenmaßnahmen zu ergreifen und den Anbieter oder die zuständigen Behörden zu informieren.

Tipp: Um herauszufinden, ob ein KI-System systematisch benachteiligt, sollten Sie eine Test-Bewerbung und Varianten erstellen, die sich in einzelnen Merkmalen unterscheiden. Lassen Sie das KI-System die Test-Bewerbung und die Varianten bewerten und prüfen Sie, ob sich beispielsweise eine Veränderung des Namens, des Alters oder der Herkunft auf die Bewertung auswirkt.

5) Information von Mitarbeitern und Bewerbern

Mitarbeiter und Bewerber müssen darüber in Kenntnis gesetzt werden, dass sie mit einem hochriskanten KI-System in Berührung kommen. Dazu gehören Hinweise innerhalb des Systems selbst, in Bewerbungsportalen und in Datenschutzhinweisen.

Für HR bedeutet das: Die Einführung von Recruiting-KI ist kein simpler Tool-Kauf, sondern ein Governance-Thema. Wer rechtskonform mit einem solchen System arbeiten will, braucht Vorkenntnisse in Bezug auf die europäische KI-Verordnung, außerdem klare Zuständigkeiten zwischen HR, IT, Rechtsabteilung oder Kanzlei und Datenschutzbeauftragtem sowie gegebenenfalls dem KI-Beauftragten und dem Betriebsrat.

Typische Recruiting-Use-Cases – und wie sie AI-Act-konform funktionieren können

Statt allgemein über „KI im Recruiting“ zu diskutieren, lohnt sich ein Blick auf konkrete Anwendungsfälle. Hier sind drei Beispiele, die im Mittelstand häufig vorkommen – und wie man sie gestalten sollte.

CV-Screening und -Ranking

Viele Tools eignen sich theoretisch dazu, Lebensläufe zu scannen und vorzusortieren – und so unter Umständen sehr viel Zeit zu sparen. Im Idealfall sehen Recruiter nur die Profile mit dem deutlichsten Match und fokussieren sich auf Bewerber, deren Qualifikationen und Erfahrungen am besten zum Aufgabenspektrum passen.

Wenn Sie ein Tool für das CV-Screening und -Ranking einsetzen wollen, ist jedoch einiges zu beachten:

  • Die KI darf nur als Assistent, nicht als Gatekeeper arbeiten. Ein vollautomatisches Aussortieren von (echten) Bewerbern ist nicht erlaubt.
  • Das HR-Team muss sich eingehend über die Funktionsweise des KI-Systems informieren, insbesondere über die Risiken.
  • Das HR-Team muss außerdem regelmäßig prüfen, wie das System Entscheidungen trifft und ob diese nachvollziehbar sind.

Entscheidend ist also, dass HR die Verantwortung behält. Das System darf helfen, aber nicht die Entscheidung über Einladungen und Absagen übernehmen.

Programmatic Job Ads und KI-Targeting

KI-gestützte Kampagnen versprechen, Stellenanzeigen dort zu platzieren, wo die „richtigen“ Kandidaten unterwegs sind. Das klingt effizient, birgt aber ein Risiko: Wenn bestimmte Personengruppen kaum oder gar nicht adressiert werden, kann auch das eine Ungerechtigkeit darstellen – und, davon abgesehen, die Bewerberauswahl zu Ihrem Nachteil einschränken.

Ein verantwortungsvoller Ansatz würde …

  • die Zielgruppen breiter denken, nicht nur „Lookalikes“ bisheriger Mitarbeiter ansprechen,
  • gezielt nachforschen, wie das KI-System mit Vorurteilen in Bezug auf Kanäle und Karrieren umgeht, und
  • die verschiedensten Kanäle kombinieren, um wirklich alle Chancen zu nutzen.

Eine Lösung kann darin bestehen, parallel zu KI-Stellenanzeigen auch konventionelle Stellenanzeigen auf gängigen, offenen Portalen zu platzieren – und Bewerbungen, die darüber eingehen, natürlich mit der gleichen Sorgfalt zu prüfen wie die anderen.

Chatbots für Bewerber

Chatbots beantworten Fragen zum Bewerbungsprozess, geben Status-Updates oder erklären die nächsten Schritte. Aus Sicht des EU AI Act bewegen Sie sich, solange es nur um einen Dialog geht und keinerlei Selektion und Evaluation stattfindet, nicht im Hochrisiko-Bereich.

Wichtig ist allerdings die Transparenz: Bewerber müssen erkennen können, dass sie es mit einer KI zu tun haben, und darauf hingewiesen werden, dass bei wichtigen Fragen (etwa zum Gehalt) nur eine reale Person Auskunft geben wird.

Von der Entscheidungs-Blackbox zum verantwortungsvoll eingesetzten Werkzeug

Wie können HR-Teams mittelständischer Unternehmen nun ganz praktisch starten – oder bereits bestehende Lösungen bewerten? Diese 5 Punkte sind besonders wichtig:

1) Bestandsaufnahme machen

HR-Teams sollten zunächst einmal prüfen, wo bereits KI eingesetzt wird. Viele Bewerbungs- oder Applicant-Tracking-Systeme (ATS) enthalten heute “intelligente” oder “smarte“ Funktionen, hinter denen sich oft eine KI verbirgt. Hier sollten Sie also einen Blick in die Funktionsbeschreibungen und Verträge werfen.

2) Risikoklassifizierung verstehen

Sobald ein KI-System Bewerbungen analysiert, filtert oder bewertet, bewegt man sich in Richtung Hochrisiko. Das heißt nicht zwangsläufig, dass das System in der EU unzulässig ist. Sie müssen jedoch, wie erwähnt, auch als „bloßer Anwender“ bestimmten Pflichten der KI-Verordnung nachkommen.

Nehmen Sie sich die Zeit, festzustellen, worin diese Pflichten in Ihrem Fall tatsächlich bestehen. Idealerweise ziehen Sie einen Rechtsexperten hinzu.

3) Governance implementieren

Im nächsten Schritt müssen Sie klären, wer in Ihrem Team beziehungsweise Ihrem Unternehmen verantwortlich ist für:

  • die Auswahl von Tools (also auch KI-Systemen) und
  • deren Grundeinstellungen,
  • die Definition von Bewertungskriterien und anderen relevanten Details,
  • das Monitoring der Prozesse und Ergebnisse sowie
  • die Abstimmung mit anderen Abteilungen (z. B. im Hinblick auf Fragen des Datenschutzes).

Erstellen Sie Richtlinien für den Einsatz von KI, die zum einen den EU AI Act, zum anderen jedoch auch die übrigen relevanten Gesetzestexte einbeziehen: die Datenschutz-Grundverordnung und das Arbeitsrecht.

Eine möglichst einfache Richtlinie, die diese Punkte festhält, ist oft der beste Startpunkt. Allgemein empfiehlt es sich, Richtlinien im Zusammenhang mit KI so zu formulieren, dass sie nicht nur Verbote beinhalten, sondern eine Balance finden zwischen Ermutigung und Risikosensibilisierung.

4) Ergebnisse regelmäßig prüfen

Bei diesem Punkt geht es natürlich nicht nur darum, ob das KI-System technisch funktioniert. Sie müssen darüber hinaus prüfen:

  • Sind bestimmte Gruppen über- oder unterrepräsentiert bei Absagen oder Einladungen?
  • Passen die Scores des KI-Systems zur Einschätzung von erfahrenen Recruitern?
  • Wo weicht die KI regelmäßig vom menschlichen Urteil ab – und warum?

Der letzte Punkt ist besonders wichtig. Nur wenn Sie die Eigenheiten Ihres KI-Systems kennen, können Sie die entsprechenden Einstellungen anpassen oder, falls das nicht möglich sein sollte, zumindest gegensteuern.

5) Offen kommunizieren

Transparenz gegenüber Bewerbern ist kein Risiko, sondern eine Chance: Wer darlegt, wie genau KI im Bewerbungsprozess eingesetzt wird, und klarstellt, dass die finale Entscheidung bei einem Menschen liegt, macht auf viele Bewerber einen fortschrittlichen und vertrauenswürdigen Eindruck – vor allem im Vergleich zum Konkurrenzunternehmen, das mit mäßigem Erfolg versucht, den Einsatz von Automatisierungen zu verbergen.

Fazit

Der EU AI Act macht Recruiting-KI weder unmöglich noch kompliziert. Er zwingt Unternehmen jedoch dazu, genau abzuwägen, welche KI-Systeme sie nutzen und wofür.

Für Unternehmen ist das auch eine Chance: Wer jetzt die KI-gestützten Recruiting-Prozesse sauber aufsetzt, klare Verantwortlichkeiten definiert und den Transparenzgedanken ernstnimmt, ist nicht nur rechtlich optimal aufgestellt. Er punktet auch gegenüber Bewerbern – gerade in einem Arbeitsmarkt, in dem zunehmend auch die Integrität von Unternehmen bewertet wird (Stichwort: Corporate Purpose).

HR muss dafür nicht unbedingt zum Technik- und Rechtsexperten werden. Es braucht jedoch ein Grundverständnis der Risikokategorien der europäischen KI-Verordnung, ein paar klare Guidelines und auch die Konsequenz, manche „intelligente“ oder „smarte“ Funktion zu deaktivieren oder zu ignorieren, wenn sie mehr Gefahr als Nutzen bringt.

Wenn Sie diese Punkte beachten, kann KI in Ihrem Recruiting das werden, was sie sein sollte: ein mächtiges Werkzeug – unter menschlicher Kontrolle.

Autoren-Vita

Foto des Autors: Patrick Wunsch

Patrick Wunsch ist Senior Marketing Manager und KI-Beauftragter der MBmedien Group. Er fokussiert sich seit 10 Jahren auf Content Creation, testet regelmäßig neue Plattformen, Apps und Tools und interessiert sich für die Einsatzmöglichkeiten innovativer Technologien sowohl im Arbeitsalltag als auch für private Projekte.