Whitepaper zum EU KI Gesetz
KI im Recruiting: Zwischen Innovation und Compliance – was du wissen musst
'%3e%3cpath%20d='M26.6667%2020.022L30%2023.3553V26.6886H21.6667V36.6886L20%2038.3553L18.3333%2036.6886V26.6886H10V23.3553L13.3333%2020.022V8.35531H11.6667V5.02197H28.3333V8.35531H26.6667V20.022Z'%20fill='%230AA971'/%3e%3c/g%3e%3c/svg%3e)
Die wichtigsten Punkte auf einen Blick
- Vollautomatische Bewerbungsentscheidungen durch KI verstoßen in den meisten Fällen gegen DSGVO Art. 22
- KI im Recruiting fällt häufig unter die Hochrisiko-Kategorie des EU AI Acts
- Als Arbeitgeber bist du der DSGVO-Verantwortliche – nicht der Tool-Anbieter
- Es gibt konkrete Warnsignale, an denen du unseriöse AI HR-Tools sofort erkennst
Einleitung
Stell dir vor: Du hast vor sechs Monaten ein KI-HR-Tool für deine Bewerbungsprozesse eingeführt. Vorauswahl läuft automatisch, dein Team gewinnt Zeit. Dann kommt eine E-Mail von der Datenschutzbehörde. Ein abgelehnter Bewerber möchte wissen, nach welcher Logik die KI seine Bewerbung bewertet hat – und ob dabei überhaupt ein Mensch beteiligt war. Für immer mehr HR-Verantwortliche in KMUs ist das keine Fiktion.
KI im HR-Bereich zählt zu den rechtlich heikelsten Anwendungsfeldern überhaupt. Viele Unternehmen setzen KI-HR-Tools ein, ohne zu wissen, dass sie sich damit in ein Minenfeld aus DSGVO-Anforderungen und EU-AI Act-Vorgaben begeben. Dieser Artikel zeigt dir, wo die rechtlichen Grenzen liegen – und woran du problematische Tools erkennst, bevor sie zum Problem werden.
Inhaltsverzeichnis:
Warum KI im HR-Bereich besonders reguliert ist
KI im Personalwesen unterscheidet sich fundamental von anderen KI-Anwendungen. Es geht um Entscheidungen, die direkte Auswirkungen auf Lebenschancen, Karrierewege und finanzielle Existenz von Menschen haben.
Genau deshalb hat der Gesetzgeber hier besonders hohe Hürden gesetzt – höhere als bei KI im Marketing oder in der Logistik. Vier Gründe sind entscheidend:
- Sensible Daten: Im Recruiting werden häufig besonders schützenswerte Daten verarbeitet – von Alter und Geschlecht bis zu ethnischer Herkunft, etwa durch Fotos oder Namen auf Lebensläufen.
- Reproduktion von Vorurteilen: KI-HR-Systeme übernehmen bestehende Biases aus historischen Einstellungsdaten. Amazons internes Recruiting-Tool benachteiligte nachweislich Frauen – kein Einzelfall.
- Strukturelle Machtlosigkeit: Bewerber:innen können KI-Entscheidungen kaum anfechten und verlieren eine Jobchance, ohne je zu verstehen, warum.
- Verfassungsrechtlicher Schutz: Das Recht auf Arbeit und der Schutz vor Diskriminierung sind verfassungsrechtlich verankert – das setzt dem Einsatz automatisierter Systeme klare Grenzen.
Whitepaper zum EU KI Gesetz
DSGVO Art. 22: Das Verbot automatisierter Einzelentscheidungen
Das Herzstück der DSGVO-Anforderungen für KI im Recruiting ist Art. 22 DSGVO. Er verbietet grundsätzlich automatisierte Einzelentscheidungen, die für eine Person rechtliche Wirkung entfalten oder sie erheblich beeinträchtigen.
Was das konkret bedeutet
Eine rein automatisierte Entscheidung liegt vor, wenn ein KI-HR-System Bewerbungen analysiert und eigenständig entscheidet, wer abgelehnt wird – ohne dass ein Mensch die Empfehlung inhaltlich prüft.
“Wichtig: Eine Nicht-Einladung zum Vorstellungsgespräch gilt als erhebliche Beeinträchtigung. Bewerber:innen verlieren eine Jobchance – das reicht aus, um Art. 22 auszulösen.”
Die Ausnahmen helfen dir kaum
Art. 22 DSGVO kennt Ausnahmen – aber im Recruiting greifen sie typischerweise nicht: Eine Einwilligung ist kaum nutzbar, da Bewerber:innen unter Druck stehen und die Freiwilligkeit rechtlich fragwürdig ist. Vertragserfüllung greift nur bei bestehendem Arbeitsverhältnis. Und eine gesetzliche Erlaubnis für Recruiting-KI existiert nach aktuellem Stand nicht.
Die Konsequenz: Vollautomatische Bewerbungsentscheidungen ohne echte menschliche Prüfung sind in den meisten Fällen unzulässig. Ein simples Klicken auf "OK" bei KI-Vorschlägen reicht nicht aus.
EU AI Act: Wenn Recruiting KI zur Hochrisiko-Anwendung wird
Der EU AI Act verschärft die Anforderungen für KI im Personalwesen zusätzlich. Er kategorisiert KI-Systeme nach Risikoklassen – und ein Großteil der verfügbaren Tools fällt in die Hochrisiko-Kategorie.
Wann gilt ein AI HR-Tool als Hochrisiko?
KI-Systeme gelten als Hochrisiko, wenn sie für Bewerbungsverfahren – insbesondere zur Vorauswahl, Bewertung oder Einstellung – sowie für Beförderungsentscheidungen oder Leistungsüberwachung eingesetzt werden. Das betrifft CV-Parsing-Systeme mit intelligenter Bewertung genauso wie Interview-Analyse-Tools, die Mimik oder Sprachmuster auswerten.
Was das für dich bedeutet
Für Hochrisiko-KI gelten strenge Pflichten in sechs Bereichen:
| Bereich | Anforderung |
| Risikomanagement | Systematische Identifikation und Minimierung von Risiken |
| Datenqualität | Training mit repräsentativen, fehlerfreien Datensätzen |
| Dokumentation | Umfassende technische Dokumentation |
| Transparenz | Klare Information der betroffenen Personen |
| Menschliche Aufsicht | Echte Human-Oversight-Mechanismen |
| Genauigkeit | Nachweisbare Leistungsfähigkeit |
Diese Pflichten richten sich zwar primär an die Anbieter – aber du musst als Anwender:in sicherstellen, dass das Tool diese Anforderungen erfüllt und du es bestimmungsgemäß einsetzt.
Wann du ein AI HR-Tool sofort hinterfragen solltest
Bevor du ein Recruiting KI-Tool kaufst oder verlängerst, prüfe diese fünf Warnsignale:
1. Keine Erklärung der KI-Logik. Der Anbieter kann nicht beschreiben, wie Empfehlungen zustande kommen. Wenn du die Logik nicht verstehst, kannst du sie auch nicht gegenüber Bewerber:innen erklären.
2. Kein Bias-Testing. Es gibt keine Informationen dazu, wie das System auf Diskriminierung getestet wird. Das ist beim Einsatz von KI im HR-Bereich ein K.O.-Kriterium.
3. Kein EU-Datensitz. Der Anbieter sitzt außerhalb der EU und kann keine ausreichenden Datenschutzgarantien vorweisen – kein [AVV][LINK: /avv-auftragsverarbeitung], keine Standardvertragsklauseln.
4. Versprechen von Vollautomatisierung. "Bewerber ohne HR-Aufwand verarbeiten" klingt verlockend – ist aber nach aktuellem Rechtsstand ein klares Warnsignal.
5. Compliance liegt beim Kunden. Der Anbieter schiebt die gesamte Verantwortung auf dich ab, ohne selbst Nachweise zu liefern.
Wenn du auf einen oder mehrere dieser Punkte stößt: Hol dir schriftliche Klarheit – oder wähle ein anderes Tool.
Fazit und nächster Schritt
KI im Recruiting ist rechtlich komplex – aber handhabbar, wenn du die Grundlagen kennst. DSGVO Art. 22 und EU AI Act stecken den Rahmen ab. Deine Aufgabe als Arbeitgeber ist es, innerhalb dieses Rahmens zu operieren: mit echten menschlichen Prüfprozessen, transparenter Kommunikation gegenüber Bewerber:innen und sorgfältiger Auswahl deiner AI HR-Tools.
Wie du das konkret umsetzt – mit einer Schritt-für-Schritt-Checkliste, Human-in-the-Loop-Prozessen und Vendor-Management-Tipps – zeigt der zweite Teil dieses Leitfadens.
FAQ
Darf ich ChatGPT nutzen, um Bewerber-Lebensläufe zusammenzufassen?
Nur mit äußerster Vorsicht. Wenn du personenbezogene Daten in die Standardversion von ChatGPT eingibst, verlässt du den geschützten Raum der DSGVO – die Daten werden in den USA verarbeitet und könnten zum Training beitragen. Nutze ausschließlich Enterprise-Lösungen mit abgeschirmten Instanzen und einem abgeschlossenen AVV
Was ist der Unterschied zwischen KI im Recruiting und KI im Personalwesen?
KI im Recruiting bezeichnet den Einsatz von KI-HR-Tools speziell bei der Mitarbeitergewinnung – von der Stellenausschreibung bis zur Einstellungsentscheidung. KI im Personalwesen ist der breitere Begriff und umfasst zusätzlich Leistungsbewertung, Weiterbildungsempfehlungen oder Kündigungsvorhersagen. Für beide Bereiche gelten dieselben strengen Compliance-Anforderungen nach DSGVO und EU AI Act.
Gilt der EU AI Act auch für Software, die wir schon länger nutzen?
Ja. Es gibt Übergangsfristen, aber langfristig müssen auch bestehende Hochrisiko-Systeme die Anforderungen erfüllen. Besonders wenn die Software wesentliche Updates erhält, greifen die Pflichten des AI Acts. Frag jetzt beim Anbieter nach einem Compliance-Fahrplan – nicht erst kurz vor Ablauf der Fristen.
Wie kann dich heyData unterstützen
KI im Recruiting ist rechtlich anspruchsvoll – aber du musst das nicht alleine durchdringen. heyData unterstützt dich an drei konkreten Stellen:
Tool-Beurteilung: Wir prüfen, ob dein geplantes oder bereits eingesetztes AI HR-Tool die Anforderungen von DSGVO und EU AI Act erfüllt – und zeigen dir, wo Handlungsbedarf besteht, bevor es die Datenschutzbehörde tut.
Auftragsverarbeitungsvertrag (AVV): Jedes KI-Tool, das personenbezogene Daten verarbeitet, braucht einen rechtssicheren AVV. Wir helfen dir, diesen korrekt aufzusetzen oder bestehende Verträge auf Lücken zu prüfen.
EU AI Act Compliance: Fällt dein Tool in die Hochrisiko-Kategorie, begleiten wir dich bei der Umsetzung der gesetzlichen Pflichten
Wichtiger Hinweis: Der Inhalt dieses Artikels dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die hier bereitgestellten Informationen können eine individuelle Rechtsberatung durch (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt nicht ersetzen. Wir übernehmen keine Gewähr für die Aktualität, Vollständigkeit und Richtigkeit der bereitgestellten Informationen. Jegliche Handlungen, die auf Grundlage der in diesem Artikel enthaltenen Informationen vorgenommen werden, erfolgen auf eigenes Risiko. Wir empfehlen, bei rechtlichen Fragen oder Problemen stets (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt zu konsultieren.