Recruiting-Software unter dem EU AI Act: Warum ATS fast immer Hochrisiko sind
Annex III Nr. 4 EU AI Act klassifiziert KI-Systeme für Einstellung, Beförderung und Leistungsbewertung als Hochrisiko. Das betrifft ATS mit KI-Ranking, automatisches CV-Screening und KI-Videointerviews. Deployer haben 6 konkrete Pflichten ab 2. August 2026 — von menschlicher Aufsicht bis Bewerber-Information.
Recruiting ist einer der KI-affinsten Bereiche im DACH-Mittelstand — und gleichzeitig fast immer Hochrisiko unter dem EU AI Act. Wer Personio, HireVue, Workday oder ähnliche Tools einsetzt, muss handeln.
Was Annex III Nr. 4 konkret sagt
Annex III Nr. 4 listet als Hochrisiko: KI-Systeme für Einstellung oder Auswahl natürlicher Personen, insbesondere zur Veröffentlichung gezielter Stellenanzeigen, zur Auswertung und Filterung von Bewerbungen sowie zur Bewertung von Bewerbern. Ebenfalls: KI-Systeme für Entscheidungen über Beförderung, Beendigung von Arbeitsverhältnissen, Aufgabenzuweisung auf Basis individuellen Verhaltens, sowie Leistungsmonitoring und -bewertung.
Die Schwelle ist niedrig: Wenn ein Tool Einfluss auf Personalentscheidungen hat — auch nur "unterstützend" — ist es Hochrisiko.
Welche Tools sind betroffen?
Klar Hochrisiko:
- Personio mit aktivierter KI-Bewerber-Bewertung
- HireVue (Video-Interview-Analyse)
- Workday Recruiting mit Predictive-Funktionen
- Eightfold AI (Talent Intelligence)
- LinkedIn Recruiter mit AI-Matching
- Pymetrics (KI-Spielbasierte Assessments)
Im Graubereich:
- Generische ATS ohne aktive KI (z.B. einfache Filter-Logik)
- Job-Plattformen mit Algorithmus für Stellenanzeigen-Targeting
- Onboarding-Tools mit KI-Personalisierung
Nicht Hochrisiko:
- Bewerber-Tracking ohne automatische Bewertung
- E-Mail-Templates mit Variablen
- Kalender-Tools für Interview-Scheduling
Die 6 Deployer-Pflichten ab August 2026
Wer als Unternehmen ein Hochrisiko-Recruiting-Tool einsetzt (Deployer), hat folgende Pflichten aus Art. 26:
1. Anbieter-Anleitung befolgen (Art. 26 Abs. 1) Verwende das System nur im dokumentierten Einsatzbereich. Wenn der Anbieter sagt "nur für Erstscreening", darfst du es nicht für Endentscheidungen nutzen.
2. Menschliche Aufsicht sicherstellen (Art. 26 Abs. 2) Eine qualifizierte Person muss Ergebnisse überprüfen und übersteuern können. Praxis: HR-Verantwortliche müssen nachweisen, dass sie KI-Output nicht ungeprüft übernehmen.
3. Eingabedaten-Qualität (Art. 26 Abs. 4) Wenn du eigene Daten ins System einspielst (z.B. CV-Datenbank), bist du für deren Qualität und Repräsentativität verantwortlich.
4. Logs aufbewahren (Art. 26 Abs. 6) System-Logs müssen mindestens 6 Monate aufbewahrt werden — länger bei Branchen-Spezifika.
5. Bewerbende informieren (Art. 26 Abs. 11) Vor der Entscheidung muss der Bewerber wissen, dass KI eingesetzt wird. Die Information muss klar, verständlich und vor der Entscheidung erfolgen — nicht erst in einer Datenschutzerklärung versteckt.
6. Vorfälle melden (Art. 73) Schwerwiegende Vorfälle (z.B. systematische Diskriminierung erkannt) binnen 15 Tagen an Marktaufsicht melden.
Bewerber-Information: Was muss kommuniziert werden?
Konkrete Formulierung für Stellenausschreibung oder Bewerbungsportal:
"Wir verwenden ein KI-gestütztes System (Personio Recruiting AI) zur Vorauswahl von Bewerbungen. Das System analysiert Lebensläufe und schlägt eine Reihenfolge vor. Eine endgültige Entscheidung trifft jedoch immer ein:e qualifizierte:r Recruiter:in. Sie haben das Recht, eine rein menschliche Bewertung zu verlangen — kontaktieren Sie hierzu [E-Mail]. Mehr Informationen: [Link zu Datenschutz/AI-Hinweis]."
Sofortmassnahmen für DACH-KMU
Schritt 1 (diese Woche): Inventarisiere alle Recruiting-Tools im Unternehmen. Auch Drittanbieter-Plugins zählen.
Schritt 2 (binnen 30 Tagen): Klassifiziere jedes Tool — die meisten werden Hochrisiko sein.
Schritt 3 (binnen 60 Tagen): Hole vom Anbieter eine Konformitätserklärung nach Art. 47. Wenn der Anbieter keine liefern kann: Anbieter-Wechsel evaluieren.
Schritt 4 (binnen 90 Tagen): HR-Team in KI-Literacy schulen (Art. 4 — gilt seit Februar 2025).
Schritt 5 (vor August 2026): Bewerber-Information in alle Stellenausschreibungen einbauen.
Häufig gestellte Fragen
Sind alle Recruiting-Tools Hochrisiko?+
Nein, aber die meisten mit aktiver KI-Funktion. Die Grenze: Hat das Tool Einfluss auf Personalentscheidungen? Wenn ja — Hochrisiko nach Annex III Nr. 4. Reine Bewerber-Tracking-Systeme ohne automatische Bewertung sind nicht betroffen.
Was muss ich Bewerbenden konkret mitteilen?+
Drei Punkte: (1) dass KI eingesetzt wird, (2) was sie tut (z.B. Vorauswahl, Ranking), (3) dass eine endgültige menschliche Entscheidung folgt. Zusätzlich: Recht auf rein menschliche Bewertung anbieten. Information muss vor der Entscheidung erfolgen.
Reicht ein Hinweis im Datenschutz?+
Nein. Art. 26 Abs. 11 verlangt aktive Information vor der Entscheidung. Ein Hinweis tief in der Datenschutzerklärung versteckt erfüllt diese Pflicht nicht. Best Practice: prominente Information im Bewerbungsportal und in der Stellenausschreibung selbst.
Was ist mit LinkedIn Recruiter?+
LinkedIn Recruiter mit AI-Matching ist Hochrisiko. Microsoft (als Provider) muss Konformitätserklärung liefern, du als Deployer hast Art. 26 Pflichten. Frage Microsoft aktiv nach der EU-AI-Act-Konformitäts-Dokumentation — sie werden zunehmend bereit gestellt.
Drohen Bussgelder bei Verstoss?+
Ja, bis 15 Mio. EUR oder 3% Jahresumsatz (Art. 99 Abs. 4). Für KMU gilt Proportionalität — niedrigerer Wert wird angewendet. Realistisches Bussgeld bei Erstverstoss eines KMU mit kooperativer Haltung: 10.000-50.000 EUR.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Mai 2026