EU AI Act & Compliance im Recruiting

EU AI Act & Compliance im Recruiting

Der EU AI Act ist seit August 2024 in Kraft und verändert die Spielregeln für KI im Recruiting. Für Personalvermittler, Recruiter und HR-Manager heißt das: Chancen nutzen – und Compliance sauber aufsetzen. Dieser Leitfaden erklärt verständlich, was die Verordnung verlangt, welche Systeme als hochriskant gelten und wie Sie mit pragmatischen Maßnahmen heute rechtskonform arbeiten.

Kurz zusammengefasst

  • Der EU AI Act verfolgt einen risikobasierten Ansatz mit vier Kategorien (unzulässig, hoch, begrenzt, minimal).
  • KI im Recruiting (z. B. CV-Screening, Matching, Testauswertung) ist in der Regel hochriskant – mit strengen Pflichten.
  • Allgemeine KI-Modelle (GPAI) erhalten zusätzliche Leitplanken wie einen freiwilligen Verhaltenskodex und Vorlagen zur Datentransparenz.
  • Verstöße sind teuer: bis zu 7 % des weltweiten Umsatzes bei Verbotstatbeständen.
  • Mit einer klaren Governance, Dokumentation, Transparenz und Human-in-the-Loop ist Compliance machbar – und ein Wettbewerbsvorteil.

Inhaltsverzeichnis

Was ist der EU AI Act? Der risikobasierte Ansatz

Die EU-KI-Verordnung ist der erste umfassende Rechtsrahmen für Künstliche Intelligenz. Zentral ist der risikobasierte Ansatz, der KI-Systeme in vier Klassen einordnet:

  • Unzulässiges Risiko: z. B. Social Scoring oder biometrische Echtzeitüberwachung – verboten.
  • Hohes Risiko: u. a. KI in Beschäftigung, Bildung, kritischer Infrastruktur – strenge Vorgaben.
  • Begrenztes Risiko: spezifische Transparenzpflichten.
  • Minimales Risiko: keine besonderen Pflichten.

Offizielle Hintergründe und Überblick:

Der Anspruch: Innovation ermöglichen – und zugleich Grundrechte, Nichtdiskriminierung und Sicherheit wahren.

Welche Recruiting-Anwendungen sind betroffen?

KI, die Entscheidungen im Beschäftigungskontext vorbereitet oder trifft, gilt in der Regel als hochriskant. Dazu zählen insbesondere:

  • CV-Parsing, Ranking und Matching von Kandidaten
  • Automatisierte Eignungsdiagnostik, Test-Scoring, Videointerview-Analyse
  • Entscheidungsunterstützungstools für Shortlists oder Angebote

Warum hochriskant? Weil Fehlentscheidungen direkte Auswirkungen auf Zugänge zum Arbeitsmarkt haben können (Diskriminierung, Intransparenz, unfaire Ausschlüsse). Für Sie als Personalvermittler bedeutet das: höhere Sorgfalt, klare Kontrollen und belastbare Dokumentation.

Tipp: Grundlagen und Trends zur KI im Recruiting finden Sie in unserem Überblick zu Personalvermittlung und KI.

Pflichten für Anbieter vs. Anwender (Deployers)

Je nach Rolle unterscheiden sich Pflichten. Grob gilt:

  • Anbieter (Provider) von Hochrisiko-KI:
    • Risikomanagement, Daten- und Datenqualitätssicherung
    • Technische Dokumentation, Logging, Genauigkeits- und Robustheitsanforderungen
    • Menschliche Aufsicht ermöglichen, Informationen bereitstellen
  • Anwender (Deployers) von Hochrisiko-KI im Recruiting:
    • Nutzung gemäß Anbieteranweisungen und Zweckbindung
    • Geeignete menschliche Aufsicht sicherstellen (Human-in-the-Loop)
    • Relevante Logs bewahren, Performance überwachen, Vorfälle melden
    • Transparenz gegenüber Bewerbenden, insbesondere bei KI-gestützten Bewertungen
    • Datenmanagement nach DSGVO (Rechtsgrundlage, Informationspflichten, Betroffenenrechte)

Praxisnaher Einstieg: Der EU-AI-Act-Compliance-Checker hilft bei einer Selbstbewertung der Pflichten: https://artificialintelligenceact.eu/assessment/eu-ai-act-compliance-checker/

GPAI-Update 2025: Leitlinien, Kodex, Datentransparenz

Für allgemeine KI-Modelle (General Purpose AI, GPAI) hat die EU im Juli 2025 drei Instrumente eingeführt:

  1. Leitlinien für GPAI-Anbieter: klären Pflichten und Anwendungsbereich.
  2. Freiwilliger GPAI-Verhaltenskodex: praktische Anleitungen zu Transparenz, Urheberrecht sowie Sicherheits- und Schutzanforderungen.
  3. Vorlage für die öffentliche Zusammenfassung von Trainingsdaten: Überblick zu Quellen und Verarbeitung.

Diese Instrumente sollen den Umgang mit Basismodellen im HR-Alltag erleichtern und die administrative Last senken. Aktuelle Berichte zur Umsetzung:

Wichtig für Recruiter: Nutzen Sie GPAI (z. B. LLMs) in hochriskanten HR-Prozessen, greifen die strengeren Hochrisiko-Pflichten Ihrer Anwendung zusätzlich.

Praxisleitfaden: 10 Schritte zur AI-Compliance im Recruiting

Setzen Sie „Compliance by Design“ um – pragmatisch und messbar:

  1. Bestandsaufnahme Ihrer KI-Nutzung
    • Welche Tools nutzen Sie für Parsing, Matching, Scoring, Exposé-Erstellung?
    • Zweck, Datenarten, Schnittstellen, betroffene Prozesse erfassen.
  2. Risikoklassifizierung und Scope
    • Einordnung der Systeme (hochriskant, begrenztes Risiko). Dokumentieren Sie Annahmen.
  3. Governance & Verantwortlichkeiten
    • Rollen definieren: Product Owner, Responsible AI Lead, Datenschutz, IT-Security.
    • Eskalationswege und Freigabeprozesse festlegen.
  4. Datenqualität und Fairness
    • Trainings-/Referenzdaten prüfen (Repräsentativität, Bias, Aktualität).
    • Fairness-Metriken und regelmäßige Audits etablieren; Fehlerdaten nutzen, um Modelle zu verbessern.
  5. Transparenz für Bewerbende
    • Klare Hinweise, wo KI beteiligt ist (z. B. beim Matching).
    • Verständliche Erläuterungen zur Funktionsweise und zu Auswirkungen auf Entscheidungen.
    • Verweisen Sie in Kandidateninformationen auch auf Themen wie Arbeitszeugnis-Formulierungen, wenn relevant.
  6. Human-in-the-Loop
    • Kritische Schritte (z. B. endgültige Shortlist) werden von geschulten Recruitern überprüft.
    • Vier-Augen-Prinzip bei Ablehnungen, die primär KI-basiert vorbereitet wurden.
  7. Loggings und Monitoring
    • Versionierung von Modellen, Parameter-Changes, Score-Outputs.
    • Qualitätskennzahlen (Genauigkeit, Falsch-Negativ-Rate) regelmäßig prüfen.
  8. Dokumentation & Erklärbarkeit
    • „Model Cards“ und „Data Sheets“ pflegen.
    • Für Kandidaten verständliche Erklärungen bereitstellen (Warum wurde ich gematcht/ausgeschlossen?).
  9. Verträge und Lieferantensteuerung
    • Anbieter auf AI-Act-Konformität prüfen (Datenmanagement, Sicherheit, Support).
    • Vertragsklauseln zu Transparenz, Auditrechten, Incident-Handling und Subprozessoren.
  10. Datenschutz und Sicherheit (TOMs)
  • DSGVO-Check (Rechtsgrundlage, Informationspflichten, DPIA falls erforderlich).
  • Zugriffskontrollen, Verschlüsselung, Berechtigungskonzepte, Löschkonzepte.

Extra-Tipp: Nutzen Sie interne Schulungen. Ein kurzes, wiederkehrendes Training senkt Fehlbedienung und stärkt AI Governance im Recruiting.

One-Click-Bewerbung & automatische Exposés: so bleiben Sie konform

Unsere Zielgruppe arbeitet mit hoher Taktung. Gerade deshalb sollten „schnell“ und „rechtskonform“ Hand in Hand gehen:

  • One-Click-Bewerbung
    • Transparenzbanner: kurz erklären, welche KI-Schritte folgen (Parsing, Matching).
    • Einwilligungen sauber einholen (z. B. für Profilanreicherung oder Talentpool).
    • Barrierearme Opt-out-Optionen anbieten, ohne die Bewerbung zu benachteiligen.
  • Automatische Kandidaten-Exposés
    • Kennzeichnen, wenn Textelemente KI-gestützt generiert wurden.
    • Datenminimierung: nur relevante, aktuelle und verifizierte Informationen.
    • Menschliche Qualitätssicherung vor Versand an Kund:innen.
    • Nachvollziehbarkeit: Welche Quellen/Angaben flossen ein? Versionierte Exposé-Historie.
  • Bias vermeiden
    • Keine sensiblen Attribute (z. B. Geschlecht, Herkunft) für Matching/Scoring verwenden.
    • Regelmäßig stichprobenartige Prüfläufe auf Benachteiligungen.
  • Kandidatenrechte
    • Einfache Wege zur Auskunft, Korrektur, Widerspruch und Löschung.
    • Klarer Ansprechpartner, definierte Service-Level.

Vertiefendes Grundwissen zur Branche finden Sie in unserem Beitrag Personalvermittlung: Grundlagen, Prozesse, Tools sowie in unserem Überblick zur Arbeitnehmerüberlassung, wenn Sie in Mischmodellen arbeiten.

Durchsetzung und Sanktionen

Die Aufsicht liegt beim Europäischen KI-Büro und den nationalen Marktüberwachungsbehörden. Ein Europäischer Ausschuss für KI unterstützt Koordination und Auslegung:

Sanktionsrahmen bei Verstößen:

  • Bis zu 40 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken
  • Bis zu 20 Mio. € oder 4 % für Verstöße gegen Daten- und Transparenzanforderungen
  • Bis zu 10 Mio. € oder 2 % für sonstige Verstöße

Diese Größenordnung unterstreicht: Proaktive Compliance ist wirtschaftlich sinnvoll.

So unterstützt Sie unsere SaaS-Lösung

Unsere Software für Personalvermittler wurde entwickelt, um Geschwindigkeit mit Compliance zu verbinden:

  • Compliance by Design
    • Transparenzmodule für One-Click-Bewerbung, Einwilligungsmanagement
    • Kandidaten-Informationsseiten inkl. verständlicher KI-Hinweise
  • Dokumentation & Audit-Fähigkeit
    • Automatische Logs für Parsing, Matching, Exposé-Versionen
    • Model Cards und konfigurierbare Fairness-Reports
  • Human-in-the-Loop
    • Verpflichtende Review-Schritte vor finalen Entscheidungen
    • Rollen- und Rechtemanagement mit Vier-Augen-Prinzip
  • Datenschutz & Sicherheit
    • DSGVO-Features (Auskunft, Löschung, Widerspruch), Verschlüsselung, granularer Zugriff
  • Effizienz
    • Ein-Klick-Bewerbung ohne Reibungsverluste
    • KI-gestützte Exposés mit menschlicher Qualitätssicherung

Wenn Sie bestehende Prozesse modernisieren oder neue AI-gestützte Workflows einführen möchten, beraten wir Sie gern – von der Risikoklassifizierung bis zur Auditvorbereitung. Eine aktuelle Brancheneinordnung finden Sie auch in unserem Artikel Zeitarbeit: Absteigender Ast? mit Blick auf Marktdynamiken.

Hinweis: Einige Tech-Unternehmen haben sich unterschiedlich zu freiwilligen Instrumenten des AI Acts positioniert. Unabhängig davon gilt: Für Ihr Recruiting zählen die verbindlichen Anforderungen. Halten Sie sich an offizielle Leitlinien und sichern Sie sich mit klarer AI Governance ab.

Das könnte dich auch interessieren: