KI im Recruiting ist nach Anhang III Nr. 4 der EU-VO 2024/1689 in vielen Fällen Hochrisiko. Seit dem 2. August 2026 gelten deshalb strenge Vorgaben für CV-Screening, Candidate Matching und KI-gestütztes Bewerbermanagement, wenn diese Systeme Bewerbungen analysieren, Kandidaten bewerten oder Auswahlentscheidungen wesentlich beeinflussen. Die Pflicht zur KI-Kompetenz aus Art. 4 gilt für HR-Teams bereits seit dem 2. Februar 2025.
Frist
2. August 2026
Ab dann ist der Hochrisiko-Teil für Anhang-III-Systeme vollständig anwendbar.
Schon heute
Art. 4 gilt seit 2. Februar 2025
HR muss Mitarbeitende mit Recruiting-KI-Bezug bereits jetzt angemessen schulen.
Risiko
Bis zu 15 Mio. EUR oder 3 %
So hoch kann der Bußgeldrahmen für Verstöße gegen Betreiber-Pflichten aus Art. 26 ab August 2026 ausfallen; Art. 4 selbst hat keinen eigenen harmonisierten Bußgeldtatbestand.
Für HR bedeutet das praktisch: Die Frage lautet nicht mehr, ob Recruiting-KI reguliert wird, sondern welches Tool in Ihrem Prozess rechtlich als Hochrisiko-System einzuordnen ist. Wenn Sie zuerst die generelle Betroffenheit Ihres Unternehmens einschätzen möchten, nutzen Sie den kostenlosen Compliance-Check. Antworten zu Kursformat, Nachweis und Schulungszertifikat bündelt außerdem die FAQ-Seite.
Warum Recruiting-KI unter Anhang III fällt
Der AI Act nennt HR-Anwendungen ausdrücklich als Hochrisiko-Bereich. Anhang III Nr. 4 erfasst Systeme für Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit. Dort stehen nicht nur allgemeine HR-Prozesse, sondern sehr konkret Rekrutierung, Auswahl, Bewertung, Beförderung, Kündigung, Aufgabenverteilung und Leistungsüberwachung.
CV-Screening ist der Paradefall für Hochrisiko. Der Gesetzestext nennt ausdrücklich Systeme, die Bewerbungen analysieren und filtern oder Kandidaten evaluieren. Genau das machen moderne Screening-Lösungen: Sie extrahieren Informationen aus Lebensläufen, gewichten Merkmale, bilden Scores und sortieren Bewerber in eine Reihenfolge. Damit beeinflussen sie den Zugang zu Beschäftigung unmittelbar.
Candidate Matching fällt ebenfalls in den Kernbereich. Ein Matching-System vergleicht Bewerberprofile mit Stellenanforderungen, priorisiert Personen, schlägt Shortlists vor oder blendet Profile aus. Auch wenn die finale Entscheidung formal beim Recruiter bleibt, beeinflusst das System die Entscheidungsgrundlage materiell. Genau dieses Risiko adressiert Art. 6 in Verbindung mit Anhang III.
KI-gestütztes Bewerbermanagement ist dann Hochrisiko, wenn es mehr als reine Administration übernimmt. Ein Applicant-Tracking-System, das nur Unterlagen speichert, Termine koordiniert oder Statusfelder verwaltet, ist nicht automatisch Hochrisiko. Sobald dieselbe Plattform aber Kandidaten rankt, Eignungsscores erzeugt, automatische Ablehnungsvorschläge macht oder die Ausspielung von Stellenanzeigen personalisiert, bewegt sie sich in den ausdrücklich genannten Einsatzfällen der Recruiting- und Auswahlentscheidung.
| Anwendung | Warum relevant | Praxisfrage für HR |
|---|---|---|
| CV-Screening | Analysiert und filtert Bewerbungen, oft mit Ranking oder Score. | Sortiert das Tool Kandidaten vor, bevor ein Mensch prüft? |
| Candidate Matching | Bewertet Passung zwischen Person und Stelle und priorisiert Shortlists. | Beeinflusst das Matching die Reihenfolge, Einladung oder Absage? |
| KI-Bewerbermanagement | Wird hochriskant, wenn das System Empfehlungen oder Entscheidungen vorbereitet. | Bleibt das Tool administrativ oder bewertet es Eignung und Verhalten? |
| Interne Talent- oder Performance-KI | Anhang III Nr. 4(b) deckt Beförderung, Kündigung und Überwachung ab. | Werden Beschäftigte anhand von Verhalten, Traits oder Scores gesteuert? |
Nicht jede Ausnahme hilft Recruitern weiter. Art. 6 Abs. 3 nimmt bestimmte eng begrenzte, rein vorbereitende oder prozedurale Aufgaben aus der Hochrisiko-Klassifikation aus. Für Recruiting-Tools greift diese Ausnahme aber oft gerade nicht, weil sie Auswahlentscheidungen materiell beeinflussen. Hinzu kommt: Sobald ein System Profiling natürlicher Personen vornimmt, gilt es nach dem Gesetz immer als Hochrisiko.
Welche Pflichten treffen HR-Abteilungen konkret?
HR-Abteilungen sind in der Regel Betreiber, nicht Anbieter. Wenn Sie Standardsoftware einkaufen und intern nutzen, trifft Sie vor allem der Pflichtenblock aus Art. 26. Für die Praxis heißt das: HR muss Anbietersteuerung, Betriebsprozess und interne Verantwortlichkeiten sauber aufsetzen. Die wichtigsten Aufgaben sind:
- Anwendungsfälle inventarisieren. Dokumentieren Sie für jedes Recruiting-Tool, ob es Stellenanzeigen ausspielt, Bewerbungen filtert, Kandidaten bewertet, Empfehlungen erzeugt oder Entscheidungen vorbereitet. Nur so können Sie sauber zwischen reiner Administration und Hochrisiko-Anwendung unterscheiden.
- Anbieterunterlagen einholen. Verlangen Sie vom Anbieter die Nutzungsanweisungen, Informationen zu Leistungsgrenzen, Datenbasis, menschlicher Aufsicht und Logging. Diese Informationen müssen Anbieter von Hochrisiko-KI den Nutzern im Rahmen des Hochrisiko-Pflichtenblocks bereitstellen. Ohne diese Unterlagen kann HR die eigenen Pflichten kaum erfüllen. Für die menschliche Aufsicht ist insbesondere Art. 14 relevant.
- Menschliche Aufsicht benennen. Art. 26 Abs. 2 verlangt, dass natürliche Personen mit Kompetenz, Training, Autorität und Support die Aufsicht übernehmen. In HR genügt es daher nicht, wenn „irgendwer im Team“ den Score anschaut. Es braucht fest definierte Rollen, Eskalationswege und die reale Befugnis, KI-Ausgaben zu korrigieren oder zu verwerfen.
- Eingabedaten prüfen. Soweit HR die Eingabedaten kontrolliert, müssen diese nach Art. 26 Abs. 4 relevant und hinreichend repräsentativ sein. Praktisch heißt das: keine veralteten Anforderungsprofile, keine unzulässigen Proxy-Merkmale und keine undokumentierten Importdaten aus anderen Systemen.
- Betrieb überwachen und Vorfälle eskalieren. HR muss die tatsächliche Nutzung beobachten, auffällige Ergebnisse dokumentieren und den Einsatz stoppen, wenn das System trotz Gebrauch nach Anleitung ein Risiko darstellt. Bei schwerwiegenden Vorfällen verlangt Art. 26 Abs. 5 eine Meldung an Anbieter und zuständige Behörden.
- Betroffene Personen informieren. Wenn ein Hochrisiko-System Entscheidungen über natürliche Personen trifft oder unterstützt, müssen diese Personen nach Art. 26 Abs. 11 wissen, dass sie einem solchen System unterliegen. Im Recruiting betrifft das typischerweise Bewerber. Für interne HR-Systeme kommen zusätzlich Informationsrechte von Beschäftigten und Arbeitnehmervertretungen hinzu.
- Erklärbarkeit und Beschwerden vorbereiten. Art. 86 gibt betroffenen Personen unter bestimmten Voraussetzungen ein Recht auf klare und aussagekräftige Erklärungen zur Rolle des Hochrisiko-Systems in einer Einzelentscheidung. HR sollte deshalb vorab festlegen, wer Rückfragen, Beschwerden und Auskunftsersuchen fachlich und rechtlich beantwortet.
KI-Kompetenz ist der erste Pflichtbaustein und bereits fällig. Art. 4 verpflichtet Anbieter und Betreiber, nach bestem Bemühen ein ausreichendes Niveau an KI-Kompetenz sicherzustellen. Für HR heißt das nicht nur eine Basisschulung für Recruiter, sondern rollenspezifisches Wissen für HR-Leitung, Recruiting Operations, Datenschutz, Compliance und alle Personen, die KI-Output interpretieren oder freigeben.
Eine Fundamental Rights Impact Assessment ist für private HR nicht pauschal vorgeschrieben. Art. 27 trifft vor allem öffentliche Stellen, private Anbieter öffentlicher Dienste und bestimmte Systeme aus Anhang III Nr. 5. Für private Recruiter bleibt aber oft eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO naheliegend, weil Bewerberdaten, Profiling und automatisierte Bewertungen regelmäßig sensible Risiken für Grundrechte und Diskriminierung mitbringen.
Was HR bis zum 2. August 2026 vorbereitet haben sollte
Der Vorlauf bis August 2026 ist kein Schonraum mehr. Wer heute Recruiting-KI produktiv nutzt, sollte 2026 nicht mit einer Toolliste beginnen, sondern mit einer belastbaren Governance. Die folgende Reihenfolge ist für HR praxistauglich:
| Zeitraum | Priorität | Ergebnis |
|---|---|---|
| Sofort | Tool- und Prozessinventur, Rollen benennen, Art.-4-Schulung starten | Sie wissen, welche Recruiting-KI im Unternehmen tatsächlich läuft. |
| Nächste 30 Tage | Anbieter-Dokumente, AVV-/DPIA-Prüfung, Aufsichts- und Eskalationsprozess | HR kann die Nutzung rechtlich und operativ nachvollziehbar steuern. |
| Vor Produktivbetrieb | Bewerberinformation, Logging, Qualitätskontrollen, Freigabeprozess | Recruiting-Entscheidungen sind nicht mehr Black-Box-getrieben. |
| Spätestens bis 2. August 2026 | Hochrisiko-Setup vollständig dokumentiert und trainiert | HR erfüllt Betreiber-Pflichten strukturiert statt ad hoc. |
Besonders riskant ist das Zusammenspiel aus Bias und Automatisierungsbias. Art. 14 verlangt menschliche Aufsicht nicht nur formal, sondern wirksam. Wer als Recruiter einen Score nur noch abnickt, erfüllt diesen Standard nicht. Deshalb sollte HR Prüfkriterien definieren, wann ein KI-Vorschlag hinterfragt, überstimmt oder ausgesetzt wird, etwa bei systematischen Benachteiligungen, ungewöhnlichen Ablehnungsquoten oder unklaren Bewertungslogiken.
Auch Betriebsrat und Kommunikation gehören in die Vorbereitung. Sobald KI im Beschäftigungskontext eingesetzt wird, ist die Einführung nicht nur eine Softwarefrage, sondern ein Governance-Thema. Wer frühzeitig HR, Datenschutz, Compliance, IT und Arbeitnehmervertretung an einen Tisch holt, reduziert Reibungsverluste und kann Kandidatenprozesse deutlich konsistenter dokumentieren.
Häufige Fragen aus HR und Recruiting
Ist jede Recruiting-Software automatisch Hochrisiko?
Nein. Reine Workflow-, Termin- oder Speicherfunktionen fallen nicht automatisch unter Anhang III. Hochrisiko wird ein HR-System typischerweise dann, wenn es Bewerbungen analysiert, filtert, Kandidaten bewertet oder Entscheidungen materiell beeinflusst; Profiling natürlicher Personen bleibt nach Art. 6 Abs. 3 immer Hochrisiko.
Welche Pflicht gilt für HR schon vor August 2026?
Artikel 4 gilt bereits seit dem 2. Februar 2025. HR-Abteilungen müssen daher schon heute dafür sorgen, dass Mitarbeitende, die Recruiting-KI auswählen, bedienen oder überwachen, über ausreichende KI-Kompetenz verfügen.
Was müssen HR-Abteilungen bei Hochrisiko-KI praktisch vorbereiten?
HR sollte die betroffenen Einsatzfälle inventarisieren, Anbieterinformationen und Nutzungsanweisungen einsammeln, menschliche Aufsicht festlegen, Daten- und Monitoring-Prozesse dokumentieren, Bewerber informieren und ein Verfahren für Erklärungen sowie Eskalationen aufbauen.
Was jetzt sinnvoll ist
HR sollte Recruiting-KI nicht verbieten, sondern kontrollierbar machen. Genau dafür braucht Ihr Team zwei Dinge: ein gemeinsames Rechtsverständnis und einen kompakten, auditierbaren Schulungsnachweis. Der geschützte Kursbereich und das Team-Paket sind darauf ausgelegt, Art. 4, Hochrisiko-Logik, menschliche Aufsicht und Dokumentation in 90 Minuten verständlich zu vermitteln.
CTA
HR-Team auf AI-Act-Pflichten vorbereiten
Wenn Recruiting, Bewerbermanagement oder interne HR-KI bei Ihnen bereits im Einsatz sind, sollte die Schulung nicht erst mit dem Enforcement-Stichtag beginnen. Starten Sie mit dem Kurs, prüfen Sie Ihre Tools strukturiert und dokumentieren Sie die KI-Kompetenz Ihres Teams.