KI im Recruiting: Was der EU‑AI‑Act für Bewerbende und Unternehmen bedeutet

Wenn Bewerbungen heute automatisch gefiltert werden, passiert das nicht zufällig: Algorithmen ordnen Schlagworte, werten Tests aus und geben Ranglisten aus, bevor ein Mensch den ersten Blick wirft. Das betrifft nicht nur Konzerne, sondern auch kleine Firmen, Agenturen und Plattformen. Für alle Seiten geht es um Fairness, Privatsphäre und Vertrauen: Bewerbende wollen nachvollziehen können, wie Entscheidungen zustande kommen, Unternehmen brauchen rechtssichere Prozesse. Der EU‑AI‑Act schafft dafür einen rechtsverbindlichen Rahmen, der insbesondere Systeme im Bereich Beschäftigung als besonders risikoreich klassifiziert und damit neue Pflichten auslöst.

Die EU‑Regelung legt ein risikobasiertes System fest: Anwendungen, die Entscheidungen über Zugang zu Arbeit, Beförderung oder Kündigung beeinflussen, fallen unter die Kategorie “high‑risk”. Das betrifft etwa automatisiertes CV‑Ranking, Bewerber‑Assessments, Systeme zur Entscheidungsvorbereitung bei Einstellungen und Performance‑Monitoring. Solche KI‑Systeme unterliegen verbindlichen Anforderungen: Hersteller und Betreiber müssen Datenqualität sicherstellen, technische Dokumentation führen, Bias‑Tests und Monitoring durchführen und Möglichkeiten für menschliche Eingriffe vorhalten.

Der AI Act verlangt von Anbietern und Nutzern nachweisbare Maßnahmen zur Vermeidung von Diskriminierung und für die Nachvollziehbarkeit automatisierter Entscheidungen.

Außerdem nennt die Verordnung bestimmte Verbote: Systeme zur automatischen Erkennung emotionaler Zustände am Arbeitsplatz sind grundsätzlich untersagt, Ausnahmen gibt es nur eng begrenzt für medizinische oder sicherheitsrelevante Zwecke. Für viele HR‑Tools bedeutet das, dass Funktionen, die über reines Matching hinausgehen und intime Rückschlüsse erlauben, deaktiviert oder rechtlich abgesichert werden müssen.

Die praktische Folge ist ein zweistufiges Vorgehen: Zuerst prüfen, ob ein System in den Annex fällt; wenn ja, folgt ein kompletter Compliance‑Prozess inklusive möglicher Konformitätsbewertung. Für Unternehmen heißt das: Inventar der eingesetzten Tools, Risikoeinschätzung und Dokumentation.

Wenn Zahlen helfen: Die offizielle Verordnung (Regulation (EU) 2024/1689) ist die maßgebliche Primärquelle für diese Einordnung (Stand: 2025). Quellen wie die EU‑Kommission, EDPB und ENISA liefern ergänzende technische und datenschutzrechtliche Hinweise.

Wenn Zahlen hilfreich sind, kann eine einfache Tabelle gängige Fälle und Konsequenzen zusammenfassen.

Technisch basieren viele HR‑Tools auf Verfahren des maschinellen Lernens. Ein Modell erkennt Muster in Lebensläufen, Wortwahl oder Testergebnissen und verknüpft diese mit früheren Einstellungsentscheidungen. Kurz gesagt: Das System lernt aus Beispielen. Dabei entstehen zwei typische Fehlerquellen: erstens ungeeignete Trainingsdaten, die bestehende Ungleichheiten reproduzieren, zweitens verdeckte Merkmale (sogenannte Proxy‑Variablen), die indirekt auf Alter, Herkunft oder Geschlecht schließen lassen.

Konkrete Produkte im Markt reichen von Parsern, die Qualifikationen strukturieren, über Matching‑Algorithmen bis zu automatisierten Video‑Interviews mit Sprachanalyse. Manche Anbieter liefern Erklärungen auf Nachfrage; andere halten die internen Bewertungslogiken weitgehend geschlossen. Genau hier setzt die Regulierung an: Transparenz‑pflichten verlangen verständliche Hinweise für Bewerbende und die Möglichkeit, eine menschliche Überprüfung zu verlangen.

Die französische Datenschutzbehörde CNIL hat bereits konkrete Empfehlungen für Recruiting‑Prozesse herausgegeben und enforcement‑Fälle dokumentiert. Das “Guide du recrutement” der CNIL stammt aus dem Jahr 2023 und ist damit älter als zwei Jahre; seine Kernprinzipien zu Datensparsamkeit und AIPD‑Pflichten bleiben jedoch praktisch relevant. Ein Beispiel aus 2024 zeigt, wie streng Durchsetzung wirken kann: Eine Aufforderung zur Reduzierung übermäßiger Datensammlung unterstrich, dass nicht alle abgefragten Angaben rechtlich gerechtfertigt sind.

Für den Alltag bedeutet das: Vor dem produktiven Einsatz sollten Organisationen die Datenflüsse dokumentieren, prüfen, welche Felder wirklich notwendig sind, und automatisierte Bewertungen so gestalten, dass Menschen abschließend kontrollieren können. Modelle sollten regelmäßig nachgetestet und Protokolle geführt werden, damit im Zweifel nachvollziehbar bleibt, warum eine Entscheidung zustande kam.

KI kann Bewerbungsprozesse beschleunigen und administrativen Aufwand reduzieren. Sie hilft, große Bewerberpools zu sichten und Profile mit passenden Stellen abzugleichen. Besonders kleinere HR‑Teams profitieren, weil repetitive Arbeit entfällt und Stellen schneller besetzt werden können.

Auf der anderen Seite entstehen reale Risiken: Modelle, die vergangene Entscheidungen reproduzieren, können systematisch bestimmte Gruppen benachteiligen. Wenn die Bewertungslogik nicht nachvollziehbar ist, fällt es Bewerbenden schwer, gegen Fehlentscheidungen vorzugehen. Datenschutz‑ und Sicherheitspannen sind weitere Gefahren – sensible Bewerberdaten müssen besonders geschützt werden.

Rechtlich relevant sind drei Punkte: Erstens die Pflicht zur Datensparsamkeit und zur Wahl einer rechtssicheren Rechtsgrundlage (GDPR). Zweitens die Anforderung an technische und organisatorische Maßnahmen wie Bias‑Tests, Logging und Post‑Market‑Monitoring. Drittens die Notwendigkeit, menschliche Kontrollinstanzen einzubauen, damit automatisierte Ausgaben nicht automatisch bindend werden.

Die EDPB hat zu Überschneidungen zwischen Datenschutz und KI bereits Hinweise veröffentlicht; diese Dokumente stammen teilweise aus 2023 und sind damit älter als zwei Jahre, liefern aber nach wie vor wichtige Orientierungspunkte für AIPD‑Prozesse. ENISA‑Publikationen ergänzen technische Anforderungen an Sicherheit und Robustheit. Zusammengenommen ergeben sich konkrete Compliance‑Pflichten, die über reine Datenschutzaufgaben hinausgehen.

Aus den Regelungen und aktuellen Leitlinien lassen sich einige Entwicklungen ableiten. Zunehmend werden Zertifizierungen, standardisierte Prüfverfahren und EU‑weit abgestimmte Testprotokolle erwartet. Anbieter werden transparenter dokumentieren müssen, welche Daten für Trainings verwendet wurden und wie Modelle geprüft werden.

Für Unternehmen heißt das konkret: Ein Inventar aller eingesetzten KI‑Komponenten, regelmäßige Risikoanalysen und standardisierte Tests zur Fairness sollten Teil der HR‑Governance werden. Funktionen wie Emotionserkennung sollten deaktiviert werden, wenn sie nicht rechtlich eindeutig zulässig sind. Verträge mit Technologieanbietern müssen Rollen und Verantwortlichkeiten klar regeln, etwa wer für Bias‑Tests oder für die Konformitätserklärung verantwortlich ist.

Auf Ebene der Aufsicht ist mit einem Mix aus nationaler Kontrolle und EU‑Koordination zu rechnen. Nationale Datenschutzbehörden geben ergänzende Hinweise und können Sanktionen aussprechen; die EU‑Kommission und spezialisierte Stellen wie ENISA liefern technische Vorgaben. Beobachter erwarten, dass in den kommenden zwei Jahren konkrete Prüf‑ und Meldeprozesse stärker standardisiert werden.

Das bedeutet nicht, dass KI‑Systeme im Recruiting grundsätzlich unbrauchbar werden. Vielmehr wandelt sich die Verantwortung: Wer Technologie einsetzt, muss transparent arbeiten, Risiken messen und Menschen in die Entscheidung einbinden. Dieser Schritt schafft zugleich planbare Anforderungen und erhöht die Nachvollziehbarkeit von Auswahlprozessen.

Die Regulierung stellt klar: KI‑gestützte Entscheidungen in Beschäftigung sind besonders sensibel und unterliegen erhöhten Anforderungen. Für Bewerbende erhöht das die Chance auf nachvollziehbare Entscheidungen; für Unternehmen steigen die Pflichten in Dokumentation, Datenschutz und Tests. Praktisch empfiehlt sich ein abgestuftes Vorgehen: Bestandsaufnahme, Risikobewertung, technische und organisatorische Nachweise sowie die Absicherung durch menschliche Kontrolle. Damit lässt sich der Nutzen von Automatisierung sichern, ohne die Rechte und den Schutz von Bewerbenden zu gefährden.