Freitagmorgen in einem mittelständischen Unternehmen. Ihr HR-Team öffnet das Bewerbermanagementsystem. Zweihundert Lebensläufe für eine Junior-Developer-Stelle. Jemand klickt auf „AI ranking", und innerhalb von 40 Sekunden bringt das System die 15 besten Kandidaten nach oben. Schnell, bequem und ab dem 2. August 2026 reguliert.
Die EU-KI-Verordnung (AI Act, Regulation 2024/1689) klassifiziert KI-Systeme nach Risikostufe. Alles, was mit Beschäftigung zu tun hat, fällt in die Kategorie „hohes Risiko". Genau die Ranking-Funktion, auf die sich Ihr Team täglich verlässt, bringt nun Pflichten zu Dokumentation, Transparenz und menschlicher Aufsicht mit sich. Und weil es sich um eine Verordnung (keine Richtlinie) handelt, gilt sie unmittelbar in allen EU-Mitgliedstaaten, ohne dass eine nationale Umsetzung nötig ist.
Was als hochriskante KI im Beschäftigungsbereich gilt
Anhang III des AI Act nennt ausdrücklich diese Anwendungsfälle im Beschäftigungsbereich:
- Ausrichtung von Stellenanzeigen mit KI (wer die Anzeige sieht und wer nicht)
- Filtern und Sortieren von Bewerbungen
- Bewertung von Kandidaten bei Vorstellungsgesprächen oder in Assessment-Centern
- Entscheidungen über Beförderung und Kündigung
- Überwachung der Arbeitsleistung und Zuweisung von Aufgaben
Wenn Ihr ATS, Ihre HR-Plattform oder ein internes Tool eines dieser Dinge mit einer automatisierten Komponente tut, haben Sie ein hochriskantes KI-System. Dabei spielt es keine Rolle, ob es sich um ein kommerzielles SaaS-Produkt oder ein selbst geschriebenes Python-Skript handelt, das jemand während eines Hackathons zusammengebaut hat.
Das gilt weitreichend. Die Recruiter-KI von LinkedIn? Hohes Risiko. Das Sentiment-Analyse-Tool, mit dem Ihr Callcenter Agenten bewertet? Hohes Risiko. Das interne Dashboard, das auf Basis von Leistungskennzahlen empfiehlt, welche Mitarbeiter befördert werden sollten? Ebenfalls hohes Risiko.
Was ein hochriskantes KI-System erfüllen muss
Die Anforderungen sind konkret und prüfbar. Es sind keine Prinzipien. Es sind Regeln, die ein Prüfer kontrollieren kann:
Risikomanagementsystem. Vor der Inbetriebnahme müssen Sie Risiken für die Grundrechte der Mitarbeiter identifizieren. Prüfen Sie diese regelmäßig. Dokumentieren Sie die Maßnahmen, die Sie ergriffen haben. Das ist keine einmalige Übung. Es läuft über die gesamte Betriebsdauer des Systems.
Qualität der Trainingsdaten. Wenn Sie das KI-Modell trainieren oder feinabstimmen, müssen Sie nachweisen, dass die Daten relevant, ausreichend repräsentativ und frei von systematischen Verzerrungen sind. In der Praxis: Wenn Sie auf Lebensläufen erfolgreicher Einstellungen der letzten fünf Jahre trainiert haben und 90 % davon Männer waren, haben Sie ein Problem. Das Modell hat gelernt, männliche Kandidaten zu bevorzugen, und nun müssen Sie beweisen, dass es das nicht tut.
Technische Dokumentation. Modellbeschreibung, Verwendungszweck, Trainingsdaten, Genauigkeitsmetriken, bekannte Grenzen. Eine README-Datei auf GitHub reicht nicht aus. Die Dokumentation muss detailliert genug sein, damit eine Aufsichtsbehörde versteht, wie das System funktioniert und wo es versagen könnte.
Protokollierung von Ereignissen (Logging). Das System muss automatisch protokollieren, wann es lief, welche Eingaben es erhielt und welche Ausgaben es produzierte. Die Protokolle müssen mindestens sechs Monate aufbewahrt werden. Für Unternehmen, die bisher höchstens HTTP-Requests protokolliert haben, erfordert das ein Umdenken darüber, was ein „Audit-Trail" bedeutet.
Transparenz gegenüber den Beschäftigten. Mitarbeiter und Kandidaten müssen wissen, dass KI an Entscheidungen über sie beteiligt ist. Ein Satz, der in einer internen Richtlinie versteckt ist, die niemand liest, reicht nicht aus. Die Information muss aktiv kommuniziert werden. Das ist rechtlich wichtig, denn wer nicht weiß, dass KI beteiligt war, kann die Entscheidung nicht wirksam anfechten.
Menschliche Aufsicht. Endgültige Entscheidungen über Einstellung, Kündigung oder Beförderung können nicht von der KI allein getroffen werden. Ein Mensch muss die echte Möglichkeit haben, die Entscheidung zu ändern, nicht nur einen formellen „Genehmigen"-Button. Das ist der Punkt, an dem viele Unternehmen scheitern. Technisch haben sie einen „Human in the Loop", aber in der Praxis stellt niemand die KI-Ausgabe infrage.
Cybersicherheit und Robustheit. Das KI-System muss gegen Manipulation resistent sein. Im HR-Kontext: Was passiert, wenn ein Kandidat seinen Lebenslauf absichtlich so formatiert, dass er den Parser täuscht? Was, wenn jemand herausfindet, welche Schlüsselwörter das System bevorzugt, und sie in weißer Schrift einbettet?
Ich arbeite mit Unternehmen, die KI in interne Arbeitsabläufe einführen. Die meisten HR-KI-Tools auf dem Markt erfüllen diese Anforderungen noch nicht. Nicht, weil die Tools schlecht wären, sondern weil sie entstanden sind, bevor es die Regulierung gab.
Häufige Lücken, die ich in verschiedenen Projekten sehe:
- Keine Protokolle darüber, warum die KI einen bestimmten Kandidaten eingestuft oder abgelehnt hat
- Fehlende Dokumentation zu den Trainingsdaten (der Anbieter hat sie oft nicht oder gibt sie nicht heraus)
- Kandidaten werden nicht darüber informiert, dass KI Teil des Prozesses ist
- „Human in the Loop" existiert nur auf dem Papier. In der Praxis klickt der HR-Manager auf „Alle genehmigen"
- Keine Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment), die der AI Act von Betreibern hochriskanter Systeme verlangt
Der letzte Punkt ist wichtig. Der AI Act unterscheidet zwischen dem Anbieter (Provider, der das System entwickelt hat) und dem Betreiber (Deployer, der es einsetzt). Selbst wenn Sie das KI-Tool nur gekauft haben, haben Sie Pflichten. Sie können sich nicht darauf berufen, dass „der Anbieter verantwortlich ist".
Der AI Act hört nicht beim Recruiting auf. Wenn Sie KI einsetzen, um die Leistung in einem Callcenter zu überwachen (Bewertung von Anrufen, Sentiment-Analyse, automatisches Rating von Agenten), ist das ebenfalls ein hochriskantes System. Dasselbe gilt, wenn die KI entscheidet, welcher Mitarbeiter eine Schicht bekommt, welches Arbeitspensum er trägt oder wer zur Schulung geschickt wird.
Diese Anwendungsfälle sind besonders häufig in Branchen mit großen Belegschaften: Fertigung, Logistik, Shared Service Center. Genau dort, wo Unternehmen KI am aggressivsten einsetzen.
Wo der AI Act auf die Entgelttransparenz trifft
Ab Juni 2027 gilt auch die Entgelttransparenzrichtlinie (2023/970). Wenn KI die Gehaltsstufe oder die Höhe des Bonus eines Mitarbeiters bestimmt, fällt das gleichzeitig unter beide Regelungen. HR-Systeme müssen nachweisen, dass die KI keine geschlechtsbezogenen Lohnunterschiede erzeugt. Über diese Überschneidung haben wir in unserem Artikel zur Entgelttransparenz geschrieben.
Unternehmen, die bis zur Durchsetzung warten, bevor sie handeln, stehen innerhalb eines einzigen Jahres vor zwei großen Compliance-Änderungen. Eine bessere Strategie ist, jetzt zu beginnen und AI Act und Entgelttransparenz in einem Projekt zu behandeln.
Eine praktische Checkliste für die nächsten vier Monate
- Kartieren Sie die KI in Ihren HR-Prozessen. Wo findet automatisierte Entscheidungsfindung statt? Welche Tools? Kommerziell oder selbst entwickelt? Beziehen Sie auch Tools ein, die das HR-Team nicht als „KI" betrachtet (z. B. schlüsselwortbasierte CV-Filterung).
- Fordern Sie Dokumentation von den Anbietern an. Wenn Sie ein kommerzielles ATS mit KI-Funktionen nutzen, fragen Sie nach technischer Dokumentation gemäß den Anforderungen des AI Act. Wenn sie diese nicht liefern können, ist das ein Warnsignal.
- Führen Sie Logging ein. Jede KI-Entscheidung im HR-Bereich muss aufgezeichnet und nachvollziehbar sein. Das bedeutet Eingaben, Ausgaben und Modellversion, nicht nur das Endergebnis.
- Informieren Sie Mitarbeiter und Kandidaten. Bereiten Sie klare, verständliche Hinweise darüber vor, wo und wie KI in die HR-Prozesse einfließt.
- Sorgen Sie für echte menschliche Aufsicht. Nicht zeremoniell. Die Person muss die KI-Ausgabe verstehen und die tatsächliche Befugnis haben, sie zu überstimmen. Schulen Sie Ihr HR-Team darin, was die KI-Ausgabe bedeutet und wann sie zu hinterfragen ist.
- Führen Sie eine Grundrechte-Folgenabschätzung durch. Das ist die Pflicht des Betreibers, nicht des Anbieters.
Was das für Ihr Unternehmen bedeutet
Beim AI Act geht es nicht darum, KI aus dem HR-Bereich zu verbannen. Sie dürfen sie einsetzen. Sie sollten es wahrscheinlich sogar, wenn sie Zeit spart und die Qualität der Einstellungen verbessert. Aber Sie müssen zeigen können, wie das System funktioniert, warum es eine bestimmte Entscheidung getroffen hat und dass ein Mensch das letzte Wort hatte.
Wenn Sie unsicher sind, ob Ihre HR-Tools die Anforderungen erfüllen, melden Sie sich für ein AI-Compliance-Audit. Wir prüfen KI-Systeme für Unternehmen, die vor der Frist bereit sein wollen, nicht danach.
Möglicherweise können Sie die Compliance-Arbeit auch über EU-Fördermittel für die Digitalisierung finanzieren, die auch KI-Compliance-Projekte abdecken.