← Zur Wissens-Übersicht
AI Act HRAI Act RecruitingKI Verordnung Personalwesen

EU AI Act für HR-Abteilungen: Wann Recruiting-KI Hochrisiko ist

Warum CV-Screening, Candidate Matching und KI-gestütztes Bewerbermanagement unter den EU AI Act fallen und welche Pflichten HR-Abteilungen jetzt vorbereiten sollten.

Veröffentlicht: 21. Januar 2026Letzte Aktualisierung: 14. März 20266 Min. Lesezeit

Seit dem 2. August 2026 gelten für viele Recruiting-Anwendungen die Hochrisiko-Regeln der EU-VO 2024/1689. CV-Screening, Candidate Matching und KI-gestütztes Bewerbermanagement sind dann besonders relevant, wenn sie Bewerbungen analysieren, Kandidaten bewerten oder Auswahlentscheidungen wesentlich beeinflussen. Die Pflicht zur KI-Kompetenz nach Art. 4 gilt für HR-Teams bereits seit dem 2. Februar 2025.

Das Wichtigste in 60 Sekunden

  • HR-KI ist ausdrücklich im Gesetz genannt: Anhang III Nr. 4 erfasst Rekrutierung, Auswahl, Beförderung, Kündigung, Aufgabenverteilung und Leistungsüberwachung.
  • Nicht jede HR-Software ist automatisch Hochrisiko: Reine Speicher-, Termin- oder Workflow-Funktionen reichen nicht. Relevant wird es, wenn KI Bewertungen, Rankings, Scores oder Auswahlempfehlungen erzeugt.
  • HR ist meist Betreiber, nicht Anbieter: Die zentralen Pflichten liegen dann vor allem in Art. 26.
  • Art. 4 gilt schon heute: Mitarbeitende mit KI-Bezug müssen ausreichend geschult sein.
  • Art. 4 hat keinen eigenen harmonisierten Bußgeldtatbestand: Für Betreiberpflichten bei Hochrisiko-KI kann ab August 2026 aber der Bußgeldrahmen aus Art. 99 relevant werden.

Wenn Sie zunächst einschätzen möchten, ob Ihr Unternehmen betroffen ist, nutzen Sie den Compliance-Check auf der Startseite. Antworten zum Kursformat und zum Schulungszertifikat bündelt außerdem die FAQ-Seite.

Warum Recruiting-KI unter Anhang III fällt

Der EU AI Act nennt HR-Anwendungen ausdrücklich als Hochrisiko-Bereich. Anhang III Nr. 4 erfasst Systeme für Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit. Dort stehen nicht nur allgemeine HR-Prozesse, sondern sehr konkret Rekrutierung, Auswahl, Bewertung, Beförderung, Kündigung, Aufgabenverteilung und Leistungsüberwachung.

CV-Screening ist der Paradefall für Hochrisiko. Der Gesetzestext nennt ausdrücklich Systeme, die Bewerbungen analysieren und filtern oder Kandidaten evaluieren. Genau das machen moderne Screening-Lösungen: Sie extrahieren Informationen aus Lebensläufen, gewichten Merkmale, bilden Scores und sortieren Bewerber in eine Reihenfolge. Damit beeinflussen sie den Zugang zu Beschäftigung unmittelbar.

Candidate Matching fällt ebenfalls in den Kernbereich. Ein Matching-System vergleicht Bewerberprofile mit Stellenanforderungen, priorisiert Personen, schlägt Shortlists vor oder blendet Profile aus. Auch wenn die finale Entscheidung formal beim Recruiter bleibt, beeinflusst das System die Entscheidungsgrundlage materiell. Genau dieses Risiko adressiert Art. 6 in Verbindung mit Anhang III.

KI-gestütztes Bewerbermanagement ist dann Hochrisiko, wenn es mehr als reine Administration übernimmt. Ein Applicant-Tracking-System, das nur Unterlagen speichert, Termine koordiniert oder Statusfelder verwaltet, ist nicht automatisch Hochrisiko. Sobald dieselbe Plattform aber Kandidaten rankt, Eignungsscores erzeugt, automatische Ablehnungsvorschläge macht oder die Ausspielung von Stellenanzeigen personalisiert, bewegt sie sich in den ausdrücklich genannten Einsatzfällen der Recruiting- und Auswahlentscheidung.

Welche HR-Anwendungen besonders kritisch sind

AnwendungWarum relevantPraxisfrage für HR
CV-ScreeningAnalysiert und filtert Bewerbungen, oft mit Ranking oder ScoreSortiert das Tool Kandidaten vor, bevor ein Mensch prüft?
Candidate MatchingBewertet Passung zwischen Person und Stelle und priorisiert ShortlistsBeeinflusst das Matching die Reihenfolge, Einladung oder Absage?
KI-BewerbermanagementWird hochriskant, wenn das System Empfehlungen oder Entscheidungen vorbereitetBleibt das Tool administrativ oder bewertet es Eignung und Verhalten?
Interne Talent- oder Performance-KIAnhang III Nr. 4(b) deckt Beförderung, Kündigung und Überwachung abWerden Beschäftigte anhand von Verhalten, Traits oder Scores gesteuert?

Nicht jede Ausnahme hilft Recruitern weiter. Art. 6 Abs. 3 nimmt bestimmte eng begrenzte, rein vorbereitende oder prozedurale Aufgaben aus der Hochrisiko-Klassifikation aus. Für Recruiting-Tools greift diese Ausnahme aber oft gerade nicht, weil sie Auswahlentscheidungen materiell beeinflussen. Hinzu kommt: Sobald ein System nach Art. 6 Profiling natürlicher Personen vornimmt, gilt es immer als Hochrisiko.

Welche Pflichten HR-Abteilungen konkret treffen

HR-Abteilungen sind in der Regel Betreiber, nicht Anbieter. Wenn Sie Standardsoftware einkaufen und intern nutzen, trifft Sie vor allem der Pflichtenblock aus Art. 26. Für die Praxis heißt das: HR muss Anbietersteuerung, Betriebsprozess und interne Verantwortlichkeiten sauber aufsetzen.

1. Anwendungsfälle inventarisieren

Dokumentieren Sie für jedes Recruiting-Tool, ob es Stellenanzeigen ausspielt, Bewerbungen filtert, Kandidaten bewertet, Empfehlungen erzeugt oder Entscheidungen vorbereitet. Nur so können Sie sauber zwischen reiner Administration und Hochrisiko-Anwendung unterscheiden.

2. Anbieterunterlagen einholen

Verlangen Sie vom Anbieter die Nutzungsanweisungen, Informationen zu Leistungsgrenzen, Datenbasis, menschlicher Aufsicht und Logging. Diese Unterlagen sind die Grundlage dafür, dass HR die eigenen Betreiberpflichten überhaupt umsetzen kann. Für die menschliche Aufsicht ist besonders Art. 14 relevant.

3. Menschliche Aufsicht festlegen

Art. 26 Abs. 2 verlangt, dass natürliche Personen mit Kompetenz, Training, Autorität und Support die Aufsicht übernehmen. In HR genügt es daher nicht, wenn „irgendwer im Team“ den Score anschaut. Es braucht definierte Rollen, Eskalationswege und die reale Befugnis, KI-Ausgaben zu korrigieren oder zu verwerfen.

4. Eingabedaten prüfen

Soweit HR die Eingabedaten kontrolliert, müssen diese nach Art. 26 Abs. 4 relevant und hinreichend repräsentativ sein. Praktisch heißt das: keine veralteten Anforderungsprofile, keine unzulässigen Proxy-Merkmale und keine undokumentierten Importdaten aus anderen Systemen.

5. Betrieb überwachen und Vorfälle eskalieren

HR muss die tatsächliche Nutzung beobachten, auffällige Ergebnisse dokumentieren und den Einsatz stoppen, wenn das System trotz Gebrauch nach Anleitung ein Risiko darstellt. Bei schwerwiegenden Vorfällen verlangt Art. 26 Abs. 5 eine Meldung an Anbieter und zuständige Behörden.

6. Betroffene Personen informieren

Wenn ein Hochrisiko-System Entscheidungen über natürliche Personen trifft oder unterstützt, müssen diese Personen nach Art. 26 Abs. 11 wissen, dass sie einem solchen System unterliegen. Im Recruiting betrifft das typischerweise Bewerber. Für interne HR-Systeme kommen zusätzlich Informationsrechte von Beschäftigten und Arbeitnehmervertretungen hinzu.

7. Erklärbarkeit vorbereiten

Art. 86 gibt betroffenen Personen unter bestimmten Voraussetzungen ein Recht auf klare und aussagekräftige Erklärungen zur Rolle des Hochrisiko-Systems in einer Einzelentscheidung. HR sollte deshalb vorab festlegen, wer Rückfragen, Beschwerden und Auskunftsersuchen fachlich und rechtlich beantwortet.

Was schon vor August 2026 gilt

Art. 4 ist bereits in Kraft. Anbieter und Betreiber müssen seit dem 2. Februar 2025 nach bestem Bemühen ein ausreichendes Niveau an KI-Kompetenz sicherstellen. Für HR heißt das nicht nur eine Basisschulung für Recruiter, sondern rollenspezifisches Wissen für HR-Leitung, Recruiting Operations, Datenschutz, Compliance und alle Personen, die KI-Output interpretieren oder freigeben.

Eine Fundamental Rights Impact Assessment ist für private HR nicht pauschal vorgeschrieben. Art. 27 trifft vor allem öffentliche Stellen, private Anbieter öffentlicher Dienste und bestimmte Systeme aus Anhang III Nr. 5. Für private Recruiter bleibt aber oft eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO naheliegend, weil Bewerberdaten, Profiling und automatisierte Bewertungen regelmäßig sensible Risiken für Grundrechte und Diskriminierung mitbringen.

Was HR bis zum 2. August 2026 vorbereitet haben sollte

ZeitraumPrioritätErgebnis
SofortTool- und Prozessinventur, Rollen benennen, Art.-4-Schulung startenSie wissen, welche Recruiting-KI im Unternehmen tatsächlich läuft
Nächste 30 TageAnbieter-Dokumente, AVV-/DPIA-Prüfung, Aufsichts- und EskalationsprozessHR kann die Nutzung rechtlich und operativ nachvollziehbar steuern
Vor ProduktivbetriebBewerberinformation, Logging, Qualitätskontrollen, FreigabeprozessRecruiting-Entscheidungen sind nicht mehr Black-Box-getrieben
Spätestens bis 2. August 2026Hochrisiko-Setup vollständig dokumentiert und trainiertHR erfüllt Betreiber-Pflichten strukturiert statt ad hoc

Besonders riskant ist das Zusammenspiel aus Bias und Automatisierungsbias. Art. 14 verlangt menschliche Aufsicht nicht nur formal, sondern wirksam. Wer als Recruiter einen Score nur noch abnickt, erfüllt diesen Standard nicht. Deshalb sollte HR Prüfkriterien definieren, wann ein KI-Vorschlag hinterfragt, überstimmt oder ausgesetzt wird.

Auch Betriebsrat und Kommunikation gehören in die Vorbereitung. Sobald KI im Beschäftigungskontext eingesetzt wird, ist die Einführung nicht nur eine Softwarefrage, sondern ein Governance-Thema. Wer frühzeitig HR, Datenschutz, Compliance, IT und Arbeitnehmervertretung an einen Tisch holt, reduziert Reibungsverluste und kann Kandidatenprozesse deutlich konsistenter dokumentieren.

Häufige Fragen aus HR und Recruiting

Ist jede Recruiting-Software automatisch Hochrisiko?

Nein. Reine Workflow-, Termin- oder Speicherfunktionen fallen nicht automatisch unter Anhang III. Hochrisiko wird ein HR-System typischerweise dann, wenn es Bewerbungen analysiert, filtert, Kandidaten bewertet oder Entscheidungen materiell beeinflusst; Profiling natürlicher Personen bleibt nach Art. 6 Abs. 3 immer Hochrisiko.

Welche Pflicht gilt für HR schon vor August 2026?

Artikel 4 gilt bereits seit dem 2. Februar 2025. HR-Abteilungen müssen daher schon heute dafür sorgen, dass Mitarbeitende, die Recruiting-KI auswählen, bedienen oder überwachen, über ausreichende KI-Kompetenz verfügen.

Was müssen HR-Abteilungen bei Hochrisiko-KI praktisch vorbereiten?

HR sollte die betroffenen Einsatzfälle inventarisieren, Anbieterinformationen und Nutzungsanweisungen einsammeln, menschliche Aufsicht festlegen, Daten- und Monitoring-Prozesse dokumentieren, Bewerber informieren und ein Verfahren für Erklärungen sowie Eskalationen aufbauen.

CTA: HR-Team auf AI-Act-Pflichten vorbereiten

Wenn Recruiting, Bewerbermanagement oder interne HR-KI bei Ihnen bereits im Einsatz sind, sollte die Schulung nicht erst mit dem Enforcement-Stichtag beginnen. Starten Sie mit der Plattform, prüfen Sie Ihre Tools strukturiert und dokumentieren Sie die KI-Kompetenz Ihres Teams. Die öffentliche Kursübersicht zeigt Ihnen Aufbau, Inhalte und Nachweislogik vor dem Rollout.

Weiterlesen

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →