AI Act im Recruiting: Was sich für deine KI-Tools zum 2. August 2026 ändert

Der AI Act im Recruiting ist keine ferne Perspektive mehr: 2026 ist das Schlüsseljahr. Die Verordnung (EU) 2024/1689, in Kraft seit dem 1. August 2024, macht ihre Pflichten für „Hochrisiko"-KI-Systeme im Recruiting zum 2. August 2026 anwendbar. Konkret: Wenn dein Talent-Team ein Tool nutzt, das Bewerbungen vorsortiert, Profile bewertet oder bei der Auswahl unterstützt, bist du betroffen — nicht als Softwarehersteller, sondern als Arbeitgeber, der es einsetzt. Dieser Artikel erklärt, warum diese Tools als hochriskant eingestuft sind, den tatsächlichen Zeitplan, wer welche Pflichten trägt und die konkrete Checkliste, um vorbereitet zu sein.

AI Act und Recruiting: Warum deine KI-Tools als hochriskant eingestuft sind

Der AI Act folgt einer Logik nach Risikostufen. Recruiting ist kein harmloser Anwendungsfall: Es ist in Anhang III §4 aufgeführt, der Beschäftigung, Personalmanagement und den Zugang zu selbstständiger Erwerbstätigkeit abdeckt. Jedes KI-System, das für diese Zwecke bestimmt ist, gilt standardmäßig als hochriskant.

In der Praxis betroffen sind Systeme, die :

• Stellenanzeigen personalisiert ausrichten oder ausspielen ;
• eingegangene Bewerbungen analysieren und filtern ;
• Kandidaten nach ihrer Passung bewerten oder ranken ;
• Entscheidungen über Auswahl, Beförderung oder Beendigung des Arbeitsverhältnisses unterstützen.

Mit anderen Worten: Nahezu alle modernen Tools für Sourcing, Matching und Scoring fallen in diesen Geltungsbereich. Der Gesetzgeber geht davon aus, dass diese Systeme einen direkten Einfluss auf den Zugang zur Beschäftigung und auf Grundrechte haben — daher ein anspruchsvolles Regime. Bei der KI-Compliance im Recruiting geht es also nicht um die Frage „Bin ich betroffen?", sondern „Wie dokumentiere und rahme ich Tools ein, die ich als hochriskant annehmen muss?".

Zu beachten : Artikel 6 sieht Fälle vor, in denen ein System aus Anhang III der Hochrisiko-Einstufung entgehen kann, wenn es lediglich eine rein vorbereitende oder untergeordnete Aufgabe ohne echten Einfluss auf die Entscheidung erfüllt. Diese Ausnahme ist jedoch eng, muss vom Anbieter dokumentiert werden und gilt niemals für ein Tool, das Personen profiliert. Für ein Tool, das Kandidaten bewertet oder rankt, bleibt das Hochrisiko die Regel.

Der Zeitplan des AI Act: Warum der 2. August 2026 fürs Recruiting zählt

Die Anwendung erfolgt gestaffelt. Hier sind die tatsächlichen Daten, mit dem fett markiert, das auf deiner Talent-Roadmap stehen muss :

• 1. August 2024 — Inkrafttreten der Verordnung (EU) 2024/1689.
• 2. Februar 2025 — Verbot der untersagten Praktiken (z. B. : Social Scoring, bestimmte Emotionserkennungen) und Inkrafttreten der Pflicht zur KI-Kompetenz (Artikel 4) : Deine Teams müssen über ein ausreichendes Verständnis der eingesetzten Systeme verfügen.
• 2. August 2025 — Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), die viele Recruiting-Tools im Hintergrund speisen.
• 2. August 2026 — der Schlüsseltermin für Recruiting-Teams : Die Pflichten für Hochrisiko-Systeme aus Anhang III, also Recruiting, werden vollständig anwendbar.
• 2. August 2027 — letzte verbleibende Bestimmungen werden anwendbar.

Der 2. August 2026 ist die zu merkende Marke, weil zu diesem Datum die inhaltlichen Anforderungen — Dokumentation, menschliche Aufsicht, Information der Kandidaten, Protokollierung — aufhören, Vorbereitung zu sein, und zu einer kontrollierbaren Pflicht werden. Da die internen Vorhaben (Kartierung, Prüfung der Anbieterverträge, Aktualisierung der Bewerbungsprozesse) mehrere Monate in Anspruch nehmen, beginnt die Arbeit 2026, nicht im Juli.

Anbieter (Provider) vs. Betreiber (Deployer): Wer welche Pflichten trägt

Die KI-Verordnung im Recruiting unterscheidet zwei Rollen, und die Verwechslung beider ist die häufigste Fehlerquelle. Der Anbieter (Provider) ist die Einheit, die das KI-System entwickelt und auf den Markt bringt — der Hersteller, der Verkäufer. Der Betreiber (Deployer) ist die Einheit, die dieses System im Rahmen ihrer Tätigkeit nutzt — also du, der Arbeitgeber oder die Personalberatung.

Der Großteil der technischen Pflichten lastet auf dem Anbieter :

• ein Risikomanagementsystem einrichten ;
• die Governance und Qualität der Trainingsdaten sicherstellen ;
• die technische Dokumentation erstellen und aktuell halten ;
• die automatische Protokollierung von Ereignissen integrieren ;
• Transparenz und Gebrauchsanweisungen für die Betreiber bereitstellen ;
• das System für eine wirksame menschliche Aufsicht auslegen ;
• Genauigkeit, Robustheit und Cybersicherheit gewährleisten ;
• die Konformitätsbewertung durchführen, die CE-Kennzeichnung anbringen und das System in der EU-Datenbank registrieren.

Doch der Betreiber ist kein bloß passiver Nutzer. Zu deinen eigenen Pflichten gehören :

• das System gemäß der Gebrauchsanweisung des Anbieters nutzen ;
• eine menschliche Aufsicht durch kompetente Personen gewährleisten ;
• den Betrieb überwachen und Vorfälle melden ;
• die vom System erzeugten Protokolle aufbewahren ;
• die Kandidaten und Beschäftigten informieren, dass sie einem Hochrisiko-KI-System unterliegen, und die betroffenen Arbeitnehmervertretungen informieren.

Bestimmte Betreiber — insbesondere öffentliche Einrichtungen und bestimmte Kategorien von Akteuren — müssen zudem vor der Inbetriebnahme eine Grundrechte-Folgenabschätzung (FRIA) durchführen. Der Kauf eines „konformen" Tools entlastet dich nicht : Die Verantwortung des Betreibers bleibt deine eigene.

Die Compliance-Checkliste des Betreibers im Recruiting

Hier ist das konkrete Vorgehen, um den 2. August 2026 ohne Improvisation anzugehen. Es gliedert sich in sechs operative Schritte.

1. Kartiere deine KI-Anwendungen im Recruiting

Erfasse jedes Tool und jede KI-Funktion, die im Sourcing, in der Vorsortierung, im Scoring und in der Entscheidungsunterstützung zum Einsatz kommt. Notiere für jedes den Anbieter, den Einsatzbereich und die verarbeiteten personenbezogenen Daten. Viele Teams entdecken in diesem Schritt KI-Funktionen in ihrem ATS, die sie nicht identifiziert hatten.

2. Prüfe den Hochrisiko-Status jedes Systems

Gleiche jede Anwendung mit Anhang III §4 ab. Ein Tool, das Bewerbungen filtert, bewertet, rankt oder Anzeigen ausrichtet, fällt unter das Hochrisiko. Im Zweifel gehe vom Hochrisiko aus und verlange vom Anbieter seine eigene dokumentierte Einstufung.

3. Verlange die Konformitätsdokumentation des Anbieters

Fordere die technische Dokumentation, die Gebrauchsanweisung, den Nachweis der CE-Kennzeichnung, die Registrierung in der EU-Datenbank und die Ergebnisse der Konformitätsbewertung an. Diese Elemente müssen in deinem Vertrag stehen — oder einforderbar sein.

4. Gewährleiste eine echte menschliche Aufsicht

Benenne geschulte Personen, die in der Lage sind, eine Empfehlung zu verstehen, sie anzufechten und sich darüber hinwegzusetzen. Die menschliche Aufsicht darf kein symbolischer Stempel sein : Sie ist eine wirksame Kontrolle, und das Tool muss gemäß den Anweisungen des Anbieters genutzt werden, niemals als alleinige automatische Entscheidung.

5. Informiere die Kandidaten und die Arbeitnehmervertretungen

Die Kandidaten müssen informiert werden, wenn sie einer Entscheidung unterliegen, an der ein Hochrisiko-KI-System beteiligt ist. Sieh einen klaren Hinweis in deinem Bewerbungspfad vor, einen Kanal für Erklärung und menschlichen Rechtsbehelf sowie die Information der Arbeitnehmervertretungen.

6. Protokolliere, überwache und auditiere

Bewahre die automatisch erzeugten Protokolle auf, überwache den Betrieb in der Produktion, verfolge Verzerrungen und Anomalien und dokumentiere deine Kontrollen. Am Tag einer Prüfung ist es dieser Audit-Trail, der belegt, dass die Aufsicht in der Praxis existiert, nicht nur auf dem Papier.

Die Fragen, die du deinem KI-Anbieter im Recruiting stellen solltest

Ein großer Teil deiner Compliance hängt von der Qualität deines Anbieters ab. Die Due Diligence erfolgt vor dem Kauf oder anlässlich der Verlängerung. Hier sind die zu stellenden Fragen :

• Ist das System im Sinne von Anhang III als hochriskant eingestuft, und auf welcher Grundlage ?
• Können Sie die aktuelle technische Dokumentation und Gebrauchsanweisung bereitstellen ?
• Ist die CE-Kennzeichnung vorhanden und das System in der EU-Datenbank registriert ?
• Welche Mechanismen der menschlichen Aufsicht sind „by design" integriert ?
• Wie funktioniert die automatische Protokollierung, und kann ich die Protokolle exportieren ?
• Welche Daten dienten dem Training, und wie werden Verzerrungen getestet ?
• Wie erklären Sie einem Kandidaten, der sie anficht, einen Score oder eine Empfehlung ?
• Wie greift das mit der DSGVO ineinander, insbesondere mit Artikel 22 ?

Dieser letzte Punkt verdient Aufmerksamkeit. Der AI Act ersetzt die DSGVO nicht : Beide gelten kumulativ. Artikel 22 der DSGVO verbietet eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung mit rechtlichen oder erheblichen Wirkungen ohne Garantien — und eröffnet ein Recht auf menschliches Eingreifen und auf Erklärung. Ein gut konzipiertes Recruiting-Tool muss diese Rechte also unterstützen und nicht aushebeln.

Wie transparentes Tooling deine KI-Compliance im Recruiting unterstützt

Kein Tool kann dich an deiner Stelle „konform machen" — die Verantwortung des Betreibers bleibt deine eigene. Aber die Konzeption eines Tools erleichtert oder erschwert deine Compliance deutlich. Bei TrueCalling gehen zwei Designentscheidungen in Richtung der Pflichten des Betreibers.

Erstens ist EMILY ein Human-in-the-Loop-Copilot, kein autonomer Entscheider. Das System empfiehlt, priorisiert und bereitet die Arbeit vor ; entscheiden tut der Recruiter. Diese Architektur unterstützt unmittelbar die Pflicht zur menschlichen Aufsicht und vermeidet die Falle der „solely automated"-Entscheidung im Sinne von Artikel 22 der DSGVO.

Zweitens ist der TrueFit-360-Score Zeile für Zeile erklärbar : Jede Komponente des Scores wird offengelegt, was die Empfehlung für den Recruiter lesbar und für den Kandidaten anfechtbar macht. Diese Transparenz unterstützt die Erklärungspflicht und die Möglichkeit des Rechtsbehelfs. Um im Detail zu verstehen, wie sich dieser Score berechnet und wo er sich irren kann, siehe unseren eigenen Artikel zum Matching-Score Kandidat-Stelle.

Auf der Seite der personenbezogenen Daten ist unsere DSGVO-Haltung — Rechtsgrundlage, nachvollziehbare Einwilligung, Aufbewahrungsfristen, Kanäle — im Leitfaden zu WhatsApp-Recruiting und DSGVOdetailliert dargestellt, der den AI-Act-Rahmen auf der Ebene des Datenschutzes ergänzt.

Eines sei klar gesagt : TrueCalling tritt nicht als „AI-Act-zertifiziert" auf — dieses Label ergibt im aktuellen Stand keinen Sinn. Der Arbeitgeber bleibt stets der verantwortliche Betreiber. Ein gutes Tool macht deine Compliance einfacher nachweisbar ; es ersetzt sie nicht.

Sanktionen: Warum der Einsatz nicht nur symbolisch ist

Der AI Act sieht Sanktionen in der Höhe der DSGVO vor, ja sogar darüber hinaus. Die Nichteinhaltung der verbotenen Praktiken kann mit bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes geahndet werden, wobei der höhere Betrag maßgeblich ist. Der Verstoß gegen die übrigen Pflichten — jene, die unmittelbar die Betreiber im Recruiting betreffen — kann bis zu 15 Mio. € oder 3 % reichen. Die Übermittlung unrichtiger oder irreführender Informationen an die Behörden kann bis zu 7,5 Mio. € oder 1 %kosten. Diese Höchstgrenzen verwandeln die Compliance von einem juristischen Randthema in ein Thema für die Geschäftsleitung.

Dieser Artikel dient der Information und stellt keine Rechtsberatung dar. Die genauen Pflichten hängen von deiner Situation ab ; lass dein Vorgehen von einer spezialisierten Beratung validieren.

Du willst sehen, wie sich ein Human-in-the-Loop-Copilot und ein erklärbarer Score in einen auf Transparenz ausgelegten Recruiting-Prozess einfügen ? Buche eine geführte Demo von TrueCalling und bring eine deiner offenen Stellen mit : Wir spielen das Sourcing live durch und zeigen dir, Zeile für Zeile, wie jede Empfehlung erklärt wird.