Wenn Ihr Unternehmen KI einsetzt, um Bewerber zu prüfen, zu bewerten oder zuzuordnen, werden diese Tools von der EU nun als risikoreiche Systeme eingestuft. Hier erfahren Sie, was sich geändert hat, was dies für Ihr Geschäftsmodell bedeutet und welche Maßnahmen Sie ergreifen sollten.
Zusammenfassung:
- Das EU-KI-Gesetz gilt für KI-Systeme, die bei Beschäftigungsentscheidungen zum Einsatz kommen, darunter bei der Personalbeschaffung, der Auswahl von Bewerbern, gezielter Stellenausschreibung, der Bewertung von Bewerbern, der Leistungsüberwachung sowie bestimmten Entscheidungen in Bezug auf die Einhaltung von Vorschriften, Vertragsbedingungen oder Kündigungen.
- Sowohl Anbieter als auch Betreiber solcher KI-Systeme unterliegen den Verpflichtungen aus dem Gesetz.
- Zu den Verpflichtungen gehören obligatorische Risikobewertungen, technische Dokumentation, Verzerrungstests, menschliche Aufsicht, Transparenzangaben und eine kontinuierliche Überwachung.
- Das KI-Gesetz kann auch für Betreiber gelten , die ihren Sitz nicht in der Europäischen Union haben.
- Der Stichtag, bis zu dem Personalvermittlungsunternehmen die Bestimmungen des Gesetzes einhalten müssen, ist der 2. August 2026.
- Das Gesetz sieht die Befugnis der nationalen Behörden zur Verhängung von Geldbußen sowie weitere Durchsetzungsbefugnisse vor , wie beispielsweise die Befugnis, KI-Systeme vom Markt zu nehmen oder zurückzurufen.
- Bestimmte, jedoch nicht alle KI-Systeme, die im Beschäftigungskontext eingesetzt werden, können von den Verpflichtungen nach diesem Gesetz ausgenommen sein.
Die DSGVO hat Sie dazu veranlasst, Ihren Umgang mit personenbezogenen Daten zu überdenken. Das EU-KI-Gesetz verlangt von Ihnen, die Art und Weise zu überdenken, wie Sie die Tools einsetzen, die diese Daten verarbeiten.
Gemäß dem EU-KI-Gesetz (Verordnung 2024/1689) fallen KI-Systeme, die bei Beschäftigungsentscheidungen eingesetzt werden, in die Kategorie „hohes Risiko “. Dies umfasst die Personalbeschaffung, die Auswahl von Bewerbern, gezielte Stellenanzeigen, die Bewertung von Bewerbern, die Leistungsüberwachung sowie bestimmte Entscheidungen in Bezug auf Compliance, Vertragsbedingungen oder Kündigungen. Ab dem 2. August 2026 sind für jedes dieser Instrumente obligatorische Risikobewertungen, technische Dokumentationen, Tests auf Verzerrungen, menschliche Aufsicht, Transparenzangaben und eine kontinuierliche Überwachung erforderlich.
Für Personalvermittlungsagenturen, Employers of Record (EORs) und Personalplattformen, die als Vermittler zwischen Arbeitgebern, Technologieanbietern und Arbeitnehmern fungieren, sind die Anforderungen höher als für die Personalabteilung eines einzelnen Unternehmens. Dabei spielt es keine Rolle, ob Sie die Technologie selbst entwickelt haben. Wenn Ihr Unternehmen diese einsetzt, liegt die Einhaltung der Vorschriften in Ihrer Verantwortung, auch wenn der Plattformanbieter etwas anderes behauptet.
Warum die Personalbeschaffungskette dies erschwert
Die meisten Kommentare zu den Beschäftigungsbestimmungen des AI Act richten sich an interne Personalabteilungen einzelner Arbeitgeber. Dabei wird die Realität für Personalvermittlungsunternehmen außer Acht gelassen.
Betrachten wir einmal die typische Personalbeschaffungskette. Eine Vendor-Management-System-Plattform (VMS) nutzt algorithmisches Matching, um geeignete Kandidaten zu ermitteln. Ein Recruitment Process Outsourcing (RPO)-Anbieter führt ein KI-gestütztes Screening bei Tausenden von Bewerbern durch. Eine Personalvermittlungsagentur setzt Chatbots zur Vorqualifizierung ein. Ein EOR nutzt KI, um Onboarding, Compliance, Kündigungen und Leistungsbewertungen über mehrere Rechtsordnungen hinweg zu verwalten. In jeder Phase treffen oder beeinflussen KI-Systeme Entscheidungen über den Lebensunterhalt von Menschen, und die Verpflichtungen des Gesetzes für Einsatzgeber unterscheiden nicht zwischen den Akteuren in der Kette danach, wem die Technologie gehört.
Gemäß Artikel 3 des Gesetzes ist ein „Einsatzbetreiber“ jede natürliche oder juristische Person, die ein KI-System unter ihrer Verantwortung nutzt. Wenn Ihre Personalvermittlungsagentur ein KI-Tool auswählt, konfiguriert oder nutzt, um Personalentscheidungen zu treffen, gelten Sie als Einsatzbetreiber – selbst wenn Sie die Technologie nicht selbst entwickelt haben und selbst wenn der Plattformanbieter Ihnen mitteilt, dass die Einhaltung der Vorschriften in seiner Verantwortung liege. Das Gesetz erlegt sowohl den Anbietern (den Herstellern der Systeme) als auch den Betreibern (den Unternehmen, die sie nutzen) Verpflichtungen auf. Sie können Ihre Compliance-Verpflichtungen ebenso wenig auf einen Technologiepartner abwälzen wie dies nach der DSGVO der Fall ist.
Extraterritoriale Geltung
Das Gesetz hat extraterritoriale Geltung. Wenn die Ergebnisse Ihres KI-Systems in der EU genutzt werden oder sich auf Personen mit Wohnsitz in der Union auswirken (z. B. ein Bewerber, der für eine Stelle in Berlin geprüft wird, ein Auftragnehmer, der in Dublin bewertet wird, oder ein Zeitarbeitnehmer, der für einen Einsatz in Amsterdam vermittelt wird), gilt die Verordnung unabhängig davon, wo sich der Hauptsitz Ihres Unternehmens befindet oder wo die Technologie gehostet wird.
Menschliche Aufsicht ist unverzichtbar
Jedes KI-System mit hohem Risiko muss so eingesetzt werden, dass eine wirksame menschliche Aufsicht gewährleistet ist. Kein KI-Tool sollte endgültige Entscheidungen über die Vermittlung, Ablehnung oder Bewertung treffen, ohne dass eine qualifizierte Person in den Entscheidungsprozess eingebunden ist. Ihre Personalvermittler und Kundenbetreuer müssen verstehen, wie das System funktioniert, wo seine Grenzen liegen und wann sie dessen Ergebnisse außer Kraft setzen müssen. Artikel 14 verlangt von den mit der Aufsicht betrauten Personen, Fehler – einschließlich diskriminierender Muster – zu erkennen und zu korrigieren. Ein Richtlinienpapier allein reicht hierfür nicht aus.
Bewerber und Arbeitnehmer müssen darüber informiert werden
Vor der Einführung eines KI-Systems mit hohem Risiko sind Sie gemäß Artikel 26 Absatz 7 verpflichtet, die Arbeitnehmervertreter und die betroffenen Arbeitnehmer zu informieren. Im Personalwesen erstreckt sich dies auch auf Bewerber und Leiharbeitnehmer. Sie haben das Recht zu erfahren, dass KI eingesetzt wird, wie sie funktioniert und welche Rolle sie bei Entscheidungen spielt, die sie betreffen. Gemäß Artikel 86 können Personen, die von Entscheidungen risikoreicher KI-Systeme betroffen sind, eine Erläuterung der wichtigsten Faktoren hinter diesen Entscheidungen verlangen. Bei großvolumiger Personalbeschaffung muss Ihr Offenlegungsprozess funktionsfähig und sichtbar sein und darf nicht in einem Dokument mit den Nutzungsbedingungen verborgen sein.
Der Überwachung der Datenqualität und der Verzerrung muss echte Aufmerksamkeit gewidmet werden
Wenn Sie Einfluss auf die Eingabedaten haben, die in risikoreiche KI-Systeme eingespeist werden, müssen Sie sicherstellen, dass diese Daten relevant und repräsentativ sind. Personalvermittlungsagenturen, bei denen der Bewerberpool häufig durch geografische Faktoren, Sprache oder bestehende Netzwerkeffekte verzerrt ist, sehen sich mit einer besonders weitreichenden Ausprägung dieser Verpflichtung konfrontiert. Sie müssen wissen, auf welchen Daten Ihre KI-Tools trainiert wurden, wie sie mit geschützten Merkmalen umgehen und ob sie über alle demografischen Gruppen hinweg gerechte Ergebnisse liefern.
Protokolle und Dokumentation sind eine Anforderung an die Infrastruktur
Betreiber müssen die von risikoreichen KI-Systemen erzeugten Protokolle mindestens sechs Monate lang aufbewahren. In Verbindung mit der Verpflichtung, die Systemleistung kontinuierlich zu überwachen, entsteht dadurch ein Bedarf an betrieblicher Infrastruktur, den viele Personalvermittlungsunternehmen bislang noch nicht berücksichtigt haben.
Der Zeitplan
Hier finden Sie den vollständigen Zeitplan für die Umsetzung des EU-KI-Gesetzes
Das Gesetz trat am 1. August 2024 in Kraft. Bestimmte Bestimmungen gelten bereits. Seit Februar 2025 sind einige KI-Anwendungen verboten, darunter die biometrische Kategorisierung und die Emotionserkennung am Arbeitsplatz (mit einigen ausgenommenen Anwendungsfällen). Zudem traten die Verpflichtungen zur KI-Kompetenz in Kraft.
Der Stichtag für Personalvermittlungsunternehmen ist der 2. August 2026. Ab diesem Zeitpunkt gelten für Systeme gemäß Anhang III alle Verpflichtungen in Bezug auf risikoreiche Systeme, einschließlich aller beschäftigungsbezogenen KI-Anwendungen.
In einigen Branchenkommentaren wurde angedeutet, dass das im November 2025 vorgeschlagene „Digital Omnibus“-Paket der Europäischen Kommission diese Frist verschieben wird. Doch dabei handelt es sich um einen Vorschlag, nicht um geltendes Recht. Er muss noch vom Parlament und vom Rat verabschiedet werden.
Das Sanktionssystem
Die Durchsetzungsstruktur des Gesetzes folgt einem mehrstufigen Modell. Für Betreiber, die ihren Verpflichtungen in Bezug auf risikoreiche Systeme nicht nachkommen, können Geldbußen bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Bei der Anwendung verbotener KI-Praktiken steigt die Obergrenze auf 35 Millionen Euro oder 7 % des Umsatzes. Für die Übermittlung falscher oder irreführender Informationen an die Aufsichtsbehörden betragen die Geldbußen bis zu 7,5 Millionen Euro oder 1 %.
Die Durchsetzung der Vorschriften in Bezug auf KI-Systeme obliegt den nationalen Marktüberwachungsbehörden und nicht einer einzigen EU-weiten Regulierungsbehörde. Im Januar 2026 übertrug Finnland als erster Mitgliedstaat seiner Marktüberwachungsbehörde gemäß Artikel 99 des KI-Gesetzes Durchsetzungsbefugnisse und setzte diese damit vollständig in Kraft. Andere Mitgliedstaaten folgen diesem Beispiel. Dieses dezentrale Modell bedeutet, dass sich die Prioritäten bei der Durchsetzung und die Auslegungsansätze von Mitgliedstaat zu Mitgliedstaat unterscheiden können. Bei länderübergreifenden Personalmaßnahmen führt diese Variation zu Planungsherausforderungen, bietet aber für diejenigen, die frühzeitig mit den nationalen Regulierungsbehörden zusammenarbeiten, potenzielle Vorteile.
Die Geldstrafe selbst ist jedoch oft nicht der richtige Schwerpunkt. Die Aufsichtsbehörden haben zudem die Befugnis, nicht konforme KI-Systeme vom Markt zu nehmen oder zurückzurufen. Für ein Personalvermittlungsunternehmen, dessen Geschäftsmodell auf technologiegestützter Vermittlung und Überprüfung beruht, stellt dies das wirtschaftlich bedeutendere Risiko dar: ein zentrales Werkzeug, das mitten im Vertragszeitraum aus dem Verkehr gezogen wird, was zu einer sofortigen Betriebsunterbrechung führt.
Einige Ihrer Werkzeuge sind möglicherweise ausgenommen. Die meisten davon sind es aber wahrscheinlich nicht.
Das Gesetz enthält eine Bestimmung –Artikel 6 Absatz 3 –, die in Fachkreisen kaum Beachtung findet, über die Personalvermittler jedoch Bescheid wissen sollten. Darin sind vier Voraussetzungen festgelegt, unter denen ein im Beschäftigungskontext eingesetztes KI-System möglicherweise nicht unter die Einstufung als „hohes Risiko“ fällt, obwohl es in einem Bereich mit hohem Risiko eingesetzt wird.
Das System führt eine eng gefasste prozedurale Aufgabe aus, wie beispielsweise das Sortieren eingehender Dokumente in Kategorien oder das Markieren von Duplikaten in einem Stapel von Anträgen. Oder es verbessert das Ergebnis einer zuvor von Menschen durchgeführten Tätigkeit, wie zum Beispiel die sprachliche Überarbeitung eines Vertragsentwurfs. Oder es erkennt Muster in früheren menschlichen Entscheidungen, wie zum Beispiel das Aufzeigen von Unstimmigkeiten in den bisherigen Leistungsbeurteilungen eines Managers. Oder es führt eine rein vorbereitende Aufgabe aus: das Indexieren, Durchsuchen oder Übersetzen von Quellenmaterial, bevor ein Mensch eine Entscheidung trifft.
In Artikel 6 Absatz 3 in Verbindung mit Erwägungsgrund 53 wird jedoch ausdrücklich festgelegt, dass keine dieser Ausnahmen gilt, wenn das KI-System eine Profilerstellung im Sinne von Artikel 4 Absatz 4 DSGVO beinhaltet. Unter Profilerstellung versteht man jede automatisierte Verarbeitung personenbezogener Daten, die persönliche Aspekte einer natürlichen Person bewertet, einschließlich der Analyse oder Vorhersage der Arbeitsleistung, der Zuverlässigkeit, des Verhaltens oder des Aufenthaltsorts.
Die meisten Tools zur Kandidatenauswahl, Ranking-Algorithmen und Systeme zur Personalzuweisung tun genau das. Sie nutzen personenbezogene Daten, wenden automatisierte Logik an und erstellen Prognosen zur Eignung oder Passung. Das ist Profiling, und dadurch kommt die Ausnahmeregelung in diesen Fällen nicht zur Anwendung.
Die praktische Konsequenz: Wenn Sie Ihre KI-Bestandsaufnahme durchführen und mit der Klassifizierung von Systemen beginnen, könnten Sie einen Blick auf die Ausnahmen gemäß Artikel 6 Absatz 3 werfen und davon ausgehen, dass mehrere Ihrer Tools nicht unter den Anwendungsbereich fallen. Für Tools, die verfahrenstechnische oder vorbereitende Aufgaben übernehmen, mag dies zutreffen. Für alles, was Arbeitnehmer anhand persönlicher Merkmale abgleicht, einstuft, bewertet oder zuweist, trifft dies mit ziemlicher Sicherheit nicht zu.
Dies ist eine Frage des Wettbewerbs, nicht nur eine Frage der Einhaltung von Vorschriften
Am sinnvollsten ist es, das EU-KI-Gesetz als ein Ereignis zu betrachten, das den Markt prägen und die betrieblich ausgereiften Personalvermittlungsunternehmen von denen abgrenzen wird, die auf ungetesteter Technologie basieren.
Unternehmenskunden mit Niederlassungen in der EU, insbesondere in regulierten Branchen, beziehen KI-Governance bereits in ihre Kriterien für die Lieferantenauswahl ein. Personalvermittlungsunternehmen, die konforme KI-Praktiken, transparente Bewerberprozesse und dokumentierte Kontrollmechanismen nachweisen können, werden bei Ausschreibungen und Verhandlungen über bevorzugte Lieferanten einen messbaren Vorteil haben.
Auch hier zeichnet sich ein allgemeinerer Trend ab. Das EU-KI-Gesetz ist die erste große KI-Regulierung dieser Art, aber es wird nicht die letzte sein. Ähnliche Rahmenwerke entstehen derzeit im Vereinigten Königreich, in Kanada, Südkorea, Brasilien, Taiwan und auf Bundesstaatenebene in den USA. Investitionen in die Infrastruktur für KI-Governance schaffen heute Kapazitäten, die sich über verschiedene Rechtsräume hinweg übertragen lassen. Unternehmen, die Compliance als einmaliges Projekt betrachten, lösen Probleme für heute. Diejenigen, die Governance in ihr Betriebsmodell integrieren, lösen Probleme für das nächste Jahrzehnt.
Was Sie jetzt tun können, um Ihr Unternehmen vorzubereiten
1. Erfassen Sie alle KI-Systeme, die Ihr Unternehmen einsetzt und die Entscheidungen in Bezug auf Bewerber oder Mitarbeiter beeinflussen: Vorauswahl, Zuordnung, Ranglisten, Chatbots, Leistungsanalysen, Planungsalgorithmen. Berücksichtigen Sie dabei auch Tools, die in von Ihnen genutzten Plattformen von Drittanbietern integriert sind. Sie können keine Verpflichtungen erfüllen, von denen Sie nichts wissen.
2. Stellen Sie für jedes Tool fest, ob Sie der Einsatzträger sind, ob das System unter die Einsatzkategorie gemäß Anhang IIIfällt und wer der Anbieter ist. Dokumentieren Sie dies so, dass Ihre Compliance- und Betriebsteams darauf aufbauen können.
3. Kontaktieren Sie jeden KI-Anbieter in Ihrem System und stellen Sie konkrete Fragen: Ist ihnen das EU-KI-Gesetz bekannt? Streben sie eine Konformitätsbewertung an? Können sie technische Dokumentation, Ergebnisse von Bias-Audits und Nutzungsprotokolle vorlegen? Sind sie bereit, sich vertraglich zu verpflichten, Sie bei der Erfüllung Ihrer Verpflichtungen als Betreiber zu unterstützen?
4. Legen Sie fest, wer in Ihrem Unternehmen für die Überwachung der einzelnen KI-Systeme mit hohem Risiko zuständig ist. Stellen Sie sicher, dass diese Personen über die erforderliche Schulung und Befugnis verfügen, um die Ergebnisse der KI zu verstehen, zu überwachen und zu überschreiben. Dokumentieren Sie den Prozess. Die Verpflichtungen zur KI-Kompetenz sind bereits in Kraft, es handelt sich also um eine aktuelle Anforderung.
5. Erstellen Sie die Benachrichtigungen, Offenlegungen und Erläuterungen, die Sie benötigen, um Bewerber und Mitarbeiter über den Einsatz von KI zu informieren. In einem Arbeitsmarkt, in dem die Erfahrung der Bewerber das Vermittlungsvolumen bestimmt, ist es kein Nachteil, sondern ein Wettbewerbsvorteil, klar und offen darüber zu kommunizieren, wie Sie Technologie einsetzen.
Die Personalvermittlungsunternehmen, die diesen Wandel am besten bewältigen werden, sind diejenigen, die jetzt damit beginnen, methodisch vorgehen und KI-Governance als operative Kompetenz und nicht als reine rechtliche Angelegenheit betrachten. Das EU-KI-Gesetz ist das bislang deutlichste Signal dafür, dass die Ära des unreflektierten Einsatzes von KI bei Personalentscheidungen zu Ende geht. Für Unternehmen, die bereit sind, diesem Trend vorzugreifen, liegt der Gewinn nicht nur in der Einhaltung der Vorschriften, sondern auch im Vertrauen von Kunden und Bewerbern, die dies zunehmend erwarten.
Dieser Gastbeitrag wurde von Nazareth & Partners verfasst. Kontaktieren Sie uns, wenn Sie daran interessiert sind, einen Gastbeitrag einzureichen.
Nazareth & Partners berät Personalvermittlungsagenturen, EORs, MSPs, RPOs und VMS-Plattformen in Fragen der grenzüberschreitenden Compliance, einschließlich KI-Governance und der Vorbereitung auf EU-Vorschriften. Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar.