Wenn der Algorithmus zum Compliance-Risiko wird: Was TA-Teams bis August 2026 beim EU AI Act konkret erledigt haben müssen

Marcus Fischer
vor 6 Tagen
4 Min. Lesezeit

Der EU Artificial Intelligence Act (EU AI Act) ist seit dem 1. August 2024 in Kraft – das wissen die meisten. Was erheblich weniger bekannt ist: Recruiting gehört zu den am stärksten regulierten Bereichen des Gesetzes. Fast alle KI-gestützten Hiring-Tools fallen in die höchste Risikoklasse, für die ab August 2026 umfangreiche Compliance-Pflichten gelten. Wer jetzt noch nicht angefangen hat, spielt auf Zeit.

Was müssen Talent-Acquisition-Teams bis wann erledigt haben – und wo fängt man sinnvoll an?

Was der EU AI Act mit Recruiting zu tun hat – mehr als erwartet

Das Gesetz regelt KI-Systeme nach Risikoklassen. Systeme mit unakzeptablem Risiko sind verboten. Systeme mit hohem Risiko (High Risk) unterliegen strengen Auflagen – unter anderem Dokumentation, menschliche Aufsicht, Bias-Prüfung und Kandidateninformation. Der EU AI Act ist dabei explizit: KI-Systeme für Rekrutierung, Bewerberselektion und Personalentscheidungen gelten automatisch als High Risk, weil sie die Beschäftigungsmöglichkeiten von Menschen direkt beeinflussen.

Was konkret darunter fällt:

• Automatisiertes Screening und Ranking von Bewerbungen

• Chatbots, die Bewerberinnen und Bewerber bewerten oder vorsortieren

• Video-Interview-Plattformen mit automatisierter Auswertung

• KI-gestützte Assessments zu Persönlichkeit oder Kompetenzen

• Sourcing-Tools, die Kandidaten priorisieren oder ausschliessen

Der Anwendungsbereich ist damit deutlich breiter, als viele TA-Leader zunächst vermuten. Laut einer Erhebung von Littler unter mehr als 400 europäischen HR-Verantwortlichen aus dem Jahr 2025 geben weniger als 20 Prozent der Unternehmen an, sich "sehr gut vorbereitet" zu fühlen. Die Mehrheit hat weder ein vollständiges Inventar ihrer HR-KI-Tools erstellt noch eine formale Risikoklassifizierung vorgenommen.

Erschwerend kommt hinzu, dass das Gesetz nicht nur für europäische Unternehmen gilt. Es greift auch dann, wenn ein US-amerikanisches oder asiatisches Unternehmen KI-Tools einsetzt, deren Output auf EU-Kandidaten oder EU-Mitarbeitende angewendet wird. Eine Niederlassung in Europa ist dafür nicht nötig.

Die drei Deadlines – und was hinter jedem Datum steckt

Der EU AI Act tritt nicht an einem Stichtag vollständig in Kraft. Er rollt gestaffelt aus – was zum Trugschluss verleitet, dass man noch Zeit hat.

2. Februar 2025 – bereits abgelaufen

Seit diesem Datum sind bestimmte KI-Praktiken verboten. Dazu gehören Systeme zur Emotionserkennung in Bewerbungsgesprächen, biometrische Kategorisierung nach ethnischer Herkunft oder anderen geschützten Merkmalen sowie KI-Systeme, die Bewerberinnen und Bewerber psychologisch manipulieren. Wer noch Video-Interview-Plattformen mit Mimik- oder Stimmanalyse einsetzt oder Screening-Tools, die Persönlichkeitsprofile aus verhaltensfremden Daten ableiten, hat diese Frist verpasst – und muss jetzt sofort handeln.

2. August 2025 – betrifft Anbieter, aber auch Nutzer indirekt

Anbieter grosser Sprachmodelle (General-Purpose AI), die in HR-Tools eingebettet sind, müssen ab diesem Datum Trainingsdaten dokumentieren und Transparenzberichte veröffentlichen. Als TA-Team seid ihr hier primär auf der Nutzerseite – aber ihr solltet bei euren Anbietern prüfen, ob diese Anforderungen erfüllt werden. Fehlende Vendor-Compliance ist kein Freifahrtschein für das nutzende Unternehmen!

2. August 2026 – die zentrale Unternehmens-Deadline

Ab diesem Datum gelten die vollen Anforderungen für High-Risk-Systeme für alle, die sie einsetzen. Das bedeutet: technische Dokumentation, nachweisbares Bias-Testing, etabliertes Logging, menschliche Aufsicht und aktive Kandidateninformation sind Pflicht. Bussgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes können bei schwerwiegenden Verstössen fällig werden – je nachdem, welcher Betrag höher ist.

6 Monate klingen lang. In der Praxis ist es knapp, wenn man den Vorlauf für Inventarisierung, Risikoklassifizierung, Vendor-Verhandlungen, Prozessanpassungen und Schulungen einrechnet – alles, was mit Legal, IT, HR und Compliance koordiniert wird.

Was sofort abgeschaltet oder geprüft werden muss

Folgende Praktiken sind seit Februar 2025 verboten und müssen umgehend eingestellt werden, sofern noch aktiv:

Emotionserkennung in Video-Interviews (Mimik, Tonlage, Blickkontakt als Bewertungsgrundlage)
Biometrische Kategorisierung nach Geschlecht, ethnischer Herkunft oder ähnlichen Merkmalen
Social Scoring auf Basis von Onlineverhalten oder persönlichen Reputationsdaten
Psychologisches Profiling ohne direkte Verhaltensrelevanz für die Rolle

Viele Plattformen haben solche Funktionen bereits deaktiviert oder aus dem Portfolio entfernt – aber nicht alle. Wer sich unsicher ist, sollte die Produktdokumentation und aktuelle Anbieteraussagen prüfen und sich die Compliance nicht nur mündlich bestätigen lassen.

Die Prüfliste

Was müssen TA-Teams jetzt konkret tun? Diese sieben Schritte bilden einen pragmatischen Einstieg:

1. Inventarisierung

Listet alle KI-Tools auf, die ihr im Recruiting einsetzt – direkt oder in bestehende Systeme wie ATS, HRIS oder Video-Interview-Plattformen eingebettet. Viele Unternehmen nutzen KI-Komponenten, ohne es bewusst gewählt zu haben. Das Inventar ist der erste und wichtigste Schritt.

2. Risikoklassifizierung

Prüft für jedes Tool, ob es für Recruiting, Screening oder Bewerberbewertung eingesetzt wird. Wenn ja: High Risk. Prüft zusätzlich, ob verbotene Funktionen aktiv sind.

3. Vendor-Audit

Fordert von euren HR-Tech-Anbietern eine schriftliche Bestätigung, dass ihre Systeme EU-AI-Act-konform sind oder bis August 2026 EU-AI-Act-konform sein werden. Mündliche Zusicherungen genügen nicht.

4. Menschliche Aufsicht sicherstellen

High-Risk-KI darf keine automatisierten finalen Entscheidungen über Kandidaten treffen. Das heisst nicht, jeden Lebenslauf manuell zu lesen – aber die KI-Empfehlung muss nachweislich von einem Menschen bewertet und nicht automatisch umgesetzt werden.

5. Kandidateninformation einführen

Bewerberinnen und Bewerber müssen informiert werden, wenn KI in Entscheidungsprozessen eingesetzt wird. Das gehört in die Datenschutzerklärung, in den Bewerbungsprozess oder in das Einladungsschreiben.

6. Logging etablieren

Für High-Risk-Systeme müssen Logs mindestens 6 Monate aufbewahrt werden. Klärt mit eurer IT, ob bestehende Systeme das leisten – und was bei Lücken zu tun ist.

7. Team schulen

Der EU AI Act schreibt AI Literacy explizit vor: ein grundlegendes Verständnis für alle, die KI-Systeme nutzen. Das betrifft Recruiter, HR-Business-Partner und alle, die datengestützte Hiring-Entscheidungen mitverantworten.

Talent Acquisition muss zeitnah handeln

Der EU AI Act ist kein Thema, das IT oder Legal unter sich regeln. Er trifft auf den Kern des modernen Recruiting-Operating-Models: Effizienz durch Automatisierung, Skalierung durch KI, Entscheidungsunterstützung durch Daten. Das ist kein Problem per se. Es verlangt aber, dass TA-Leader genau wissen, welche Entscheidungen ihre Systeme treffen oder vorbereiten – und dass sie dafür geradestehen können.

Die Unternehmen, die jetzt mit der Inventarisierung beginnen, lernen dabei etwas Überraschendes: Sie kennen ihren eigenen Tech-Stack oft schlechter als gedacht. Viele stellen fest, dass KI-Komponenten in Systeme integriert sind, die nie bewusst als KI ausgewählt wurden. Das ist die eigentliche Erkenntnis – und von dort aus lässt sich sinnvoll weiterbauen.

Weniger als 20 Prozent der europäischen Unternehmen sind nach aktuellen Zahlen gut vorbereitet. Für TA-Leaders, die jetzt handeln, ist das auch eine Chance: Wer Compliance als Prozessklarheit begreift, hat bis August 2026 nicht nur ein saubereres Risikobild – sondern auch eine fundiertere Grundlage, um KI im Recruiting tatsächlich sinnvoll einzusetzen.