Auf einen Blick: KI-Systeme in der Personalauswahl, Stellenanzeigen-Targeting, Performance-Bewertung und Beförderung sind nach Anhang III der KI-VO Hochrisiko-Systeme. Ab dem 02.08.2026 gelten die vollen Pflichten aus Art. 8-15 KI-VO plus die Deployer-Pflichten aus Art. 26. Konkret: Risikomanagement-System, Datenqualitaets-Check, technische Dokumentation, Logging, Bewerber-Information, menschliche Aufsicht. Bussgelder bis 15 Mio EUR oder 3 Prozent Jahresumsatz. HR-Verantwortliche haben noch knapp drei Monate für das Setup.
Die meisten HR-Abteilungen unterschaetzen, was ab August 2026 auf sie zukommt. KI im Personalwesen war jahrelang ein nettes Feature im Recruiting-Tool: Bewerber-Vorauswahl, Stellenanzeigen-Optimierung, Matching-Algorithmen. Mit dem 02.08.2026 wird daraus eine regulierte Aktivität mit harten Doku-Anforderungen. Wer ein KI-Recruiting-Tool nutzt, ist Deployer eines Hochrisiko-Systems im Sinne der EU-AI-Verordnung.
Die Hochrisiko-Einstufung ergibt sich aus Anhang III Nr. 4 der KI-VO. Dort heißt es konkret, dass KI-Systeme zur Beurteilung von Personen in Bezug auf Beschaeftigung, Personalmanagement und Zugang zu Selbststaendigkeit als Hochrisiko gelten. Das umfasst praktisch alle gaengigen Recruiting- und HR-Tools mit KI-Komponenten.
Welche Systeme konkret unter Anhang III fallen
Die Verordnung listet eine Reihe von Anwendungsfaellen. Die wichtigsten für KMU.
Bewerber-Vorauswahl (Screening). Tools, die Lebenslaeufe automatisch sichten und sortieren, gehören dazu. Klassisch: HireVue, Workday, Eightfold, aber auch deutsche Mittelstands-Tools wie softgarden, Personio oder rexx. Wenn dein Tool eine Match-Score-Berechnung macht oder Kandidaten in "passt"/"passt nicht"-Kategorien sortiert, ist es im Spiel.
Stellenanzeigen-Targeting. Plattformen, die Stellenanzeigen automatisch an bestimmte Zielgruppen ausspielen (LinkedIn Jobs, Indeed). Hier ist die Hochrisiko-Eigenschaft strittig: Die Verordnung adressiert primaer Systeme, die über Zugang zu einer Stelle entscheiden, nicht reine Marketing-Targeting-Plattformen. Aber: Wenn das Targeting bestimmte Zielgruppen systematisch ausschliesst, kommen ein anderes Gesetz dazu: das AGG (Allgemeines Gleichbehandlungsgesetz).
Asynchrone Video-Interviews mit KI-Auswertung. Hier ist die Lage am klarsten: Hochrisiko, weil das System eine Bewertung von Personen vornimmt, die direkt in Personalentscheidungen einfliesst. HireVue, MyInterview und aehnliche Tools fallen vollumfaenglich darunter.
Performance-Bewertung und Beförderung. Tools, die anhand von Metriken (Verkaufszahlen, Projektabschluesse, Kundenfeedback) automatisch Empfehlungen für Beförderungen oder Lohnerhoehungen geben. Workday, Lattice und SAP SuccessFactors haben solche Module. Die Hochrisiko-Einstufung greift, sobald die Empfehlung in eine Entscheidung umgesetzt wird.
Algorithmische Schicht- und Aufgabenzuteilung. Vor allem in der Gig-Economy, Pflege, Logistik: KI verteilt Schichten oder Auftraege automatisch. Wenn die Verteilung Konsequenzen für Einkommen oder Karriere hat, ist das Hochrisiko.
Was die HR-Doku enthalten muss
Als Deployer (Anwender) bist du nicht für die volle Liste aus Art. 8-15 verantwortlich, aber für die Deployer-Pflichten aus Art. 26 plus die operative Doku. Konkret.
1. Verzeichnis aller KI-Systeme in HR. Pro System: Name, Anbieter, Use-Case, betroffene Personen-Gruppen (Bewerber, Mitarbeiter, ehemalige Mitarbeiter), eingesetzte Datenkategorien. Dieses Verzeichnis muss bei jedem Marktueberwachungs-Termin vorliegen.
2. Konformitaetserklaerung des Anbieters. Jeder Anbieter eines Hochrisiko-Systems muss eine EU-Konformitaetserklaerung nach Art. 47 KI-VO vorlegen. Diese holst du dir aktiv und legst sie ins Verzeichnis. Wenn der Anbieter keine liefert, darfst du das System ab August 2026 nicht mehr einsetzen.
3. Technische Doku-Auszuege. Die vollstaendige technische Dokumentation nach Anhang IV ist Sache des Anbieters. Du als Deployer brauchst Auszuege, die dir erlauben, das System sicher einzusetzen: Performance-Metriken auf relevanten Datensätzen, bekannte Limitationen, Empfehlungen für den Einsatz.
4. Risiko-Bewertung im Einsatzkontext. Eine eigene Prüfung: Welche spezifischen Risiken hat das System in unserem Kontext (Branche, Region, Zielgruppe)? Wo sind die wahrscheinlichsten Fehler? Wie minimieren wir sie? Aufwand: 4-8 Stunden pro System bei einer kompetenten Person.
5. Schulung der HR-Verantwortlichen. Die menschliche Aufsicht nach Art. 14 muss von Personen erfolgen, die "die nötige Kompetenz, Schulung und Befugnisse" haben. Praktisch: Eine 60-90-minuetige Schulung pro Person, dokumentiert, mit Teilnehmer-Unterschriften.
6. Bewerber-Information. Vor jeder Bewerbungsphase, in der KI eingesetzt wird, bekommen Bewerber einen klaren Hinweis. Was wird verarbeitet, welche KI-Auswertung erfolgt, welche Rolle hat die KI in der Entscheidung, welche Rechte hat der Bewerber. Diese Information laesst sich gut in den Datenschutz-Hinweis im Bewerbungsformular einbauen.
7. Logs aufbewahren. Du musst die System-Logs so lange aufbewahren, wie nach den Umstaenden angemessen ist (in der Regel sechs Monate oder länger). Logging ist Anbieter-Pflicht (Art. 12), Aufbewahrung Deployer-Pflicht. Stelle sicher, dass du Zugriff auf die Logs hast.
8. Vorfall-Meldungs-Prozess. Wenn ein KI-System in der HR einen "schwerwiegenden Vorfall" verursacht (z.B. systematische Diskriminierung), musst du das innerhalb von 15 Tagen an die zuständige Marktueberwachungsbehoerde melden. Plus an den Anbieter. Ein einfacher interner Eskalations-Prozess (wer wird informiert, wer meldet) reicht aus.
Wo die Bussgeld-Hebel liegen
Art. 99 KI-VO regelt die Sanktionen. Die wichtigsten Fälle für HR.
| Verstoss | Maximales Bussgeld |
|---|---|
| Einsatz eines Hochrisiko-Systems ohne Konformitaetserklaerung | 15 Mio EUR oder 3% Jahresumsatz |
| Fehlende oder unzureichende Risiko-Bewertung | 15 Mio EUR oder 3% Jahresumsatz |
| Keine Bewerber-Information | 15 Mio EUR oder 3% Jahresumsatz |
| Fehlende menschliche Aufsicht | 15 Mio EUR oder 3% Jahresumsatz |
| Falsche Angaben gegenüber Behörden | 7,5 Mio EUR oder 1% Jahresumsatz |
Bei KMU werden die Bussgelder auf den jeweils niedrigeren Wert begrenzt (Art. 99 Abs. 6 KI-VO). Trotzdem können das für einen Mittelstaendler existenzbedrohende Summen werden.
Plus: Verstoesse gegen die KI-VO können Schadenersatzpflichten ausloesen. Wenn ein abgelehnter Bewerber nachweisen kann, dass eine fehlerhafte KI-Auswertung die Ablehnung verursacht hat, hat er nach § 15 AGG einen Schadenersatzanspruch bis zu drei Monatsgehaeltern. Bei systematischer Diskriminierung kommen Verbands-Klagen dazu.
Was du jetzt operativ tun solltest
Mai/Juni: Inventur. Liste alle HR-Tools auf, die in deinem Unternehmen laufen. Auch die, von denen du nicht sicher bist, ob sie KI nutzen. Frag bei jedem Anbieter explizit: Setzen Sie in unserem Account KI ein, für welche Funktionen, wie wird sie eingesetzt, wo finden sich die Konformitaets-Dokumente? Das ist die Grundlage für alles weitere.
Juni/Juli: Vertraege prüfen. Auftragsverarbeitung nach Art. 28 DSGVO plus jetzt die KI-VO-Doku. Wenn dein Anbieter dir keine Konformitaetserklaerung vorlegt oder keine Logs herausgibt, hast du ein Problem. Verhandle nach, eskaliere im Anbieter-Management oder bereite einen Wechsel vor.
Juli: Bewerber-Information und Schulung. Datenschutz-Hinweis im Bewerbungsformular um die KI-Information erweitern. HR-Team schulen (60-90 Minuten reichen, mit Teilnehmer-Protokoll). Eine Person als "KI-Aufsicht" benennen, die im Zweifel überstimmen kann.
Anfang August: Compliance-Check. Externe Prüfung durch Datenschutz-Beauftragten oder spezialisierte Kanzlei. Lieber zwei Wochen vor der Frist ein paar Korrekturen, als am 02.08. unvorbereitet zu sein.
Was die Vorlauf-Erfahrung lehrt
Aus der Beratungspraxis ein Eindruck. In den letzten Monaten haben mehrere KMU-HR-Abteilungen mit der Vorbereitung angefangen. Was sich gezeigt hat: Die groesste Überraschung ist nicht die Doku-Liste, sondern die Erkenntnis, wie viele KI-Funktionen die Standard-Tools heute schon enthalten. Personio mit Match-Score, LinkedIn Jobs mit algorithmischem Targeting, sogar das Outlook-Plugin für automatische E-Mail-Texte an Bewerber.
Wer einen Lebenslauf-Parser einsetzt, der Match-Scores berechnet, ist im Hochrisiko-Bereich. Das ist vielen HR-Leitern nicht klar gewesen. Die meisten haben gedacht: KI heißt, wir setzen explizit ein KI-Tool ein. Tatsächlich ist KI in viel mehr Tools, als man auf den ersten Blick denkt.
Empfehlung: Frag deinen HR-Tool-Anbieter aktiv. Wenn die Antwort vage ist, ist sie meistens ja.
FAQ
Bin ich auch Hochrisiko-Deployer, wenn ich nur LinkedIn Jobs nutze?
LinkedIn Jobs als reines Stellen-Anzeigen-Targeting fällt nicht unbedingt unter Hochrisiko, wenn das Targeting nur auf Basis allgemeiner Praeferenzen (Standort, Branche, Erfahrungslevel) erfolgt. Sobald aber algorithmisches Bewerber-Ranking, Match-Scores oder automatische Vorauswahl im Spiel sind, kommst du in die Hochrisiko-Zone. LinkedIn Recruiter mit InMail-Empfehlungen ist ein Grenzfall, der konservativ als Hochrisiko zu behandeln ist.
Wer ist im Unternehmen verantwortlich, HR oder Datenschutz?
Beide, aber unterschiedlich. Der Datenschutz-Beauftragte ist für die DSGVO-Konformität zuständig (Auftragsverarbeitung, Verzeichnis nach Art. 30, DSFA wenn nötig). HR ist für die KI-VO-Pflichten als Deployer zuständig (Konformitaetserklaerung einholen, Aufsicht organisieren, Bewerber informieren). In der Praxis arbeiten beide eng zusammen. Wer keinen eigenen Datenschutz-Beauftragten hat (KMU unter 20 Personen mit regelmaessiger Verarbeitung müssen einen benennen), holt sich externe Unterstützung.
Was, wenn mein Anbieter keine Konformitaetserklaerung vorlegt?
Ab dem 02.08.2026 ist der Einsatz eines Hochrisiko-Systems ohne gueltige Konformitaetserklaerung verboten (Art. 16 KI-VO). Du hast drei Optionen: (1) Anbieter wechseln zu einem konformen Tool, (2) KI-Funktion im Tool deaktivieren und das Tool ohne KI weiternutzen, falls technisch möglich, (3) das System einstellen und manuell arbeiten. Die Verantwortung für den Einsatz liegt bei dir als Deployer. Du kannst dich nicht damit verteidigen, dass der Anbieter nicht geliefert hat.
Wie wirkt sich das auf laufende Bewerbungsverfahren aus?
Die Pflichten gelten ab dem 02.08.2026 für alle KI-Systeme, auch für solche, die schon vorher im Einsatz waren. Es gibt keine Bestandsschutz-Regelung. Wenn du am 03.08. eine Bewerbung mit KI-Vorauswahl bearbeitest und die Bewerber-Information fehlt, ist das ein Verstoss. Pragmatischer Weg: Bewerbungsverfahren, die nach dem 02.08. abgeschlossen werden, ab Juli auf die neue Informations-Standard umstellen, damit du am 02.08. nicht im laufenden Verfahren wechseln musst.
Zuletzt geprüft am 17.05.2026.
Du baust deine HR-Compliance für den 02.08. auf? Im kostenlosen KI-Schnupperkurs zeigen wir dir die Art.-4-Grundlagen zur KI-Kompetenz. Für eine umfassende HR-Schulung mit Bildungsgutschein oder QCG-Förderung lohnt sich unser DigiMan-Kurs, der KI-Compliance, Datenschutz und HR-Praxis kombiniert.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspaedagoge, Gruender von SkillSprinters und seit über zehn Jahren in der digitalen Bildung tätig. Mit dem DEKRA-zertifizierten Bildungstraeger SkillSprinters betreut er bundesweit KMU bei der HR-Compliance und KI-Schulung. Mehr unter skill-sprinters.de/autor/jens-aichinger/.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.