use_caseArticlemaschinenlesbar

Automatisierte HR-Ablehnung ohne menschliche Prüfung: Risikoklasse und Pflichten im EU-KI-Recht

MenschMarkdown öffnen

Vollautomatische KI-Ablehnung von Bewerbern ohne menschliche Prüfung ist nach Anhang III Nr. 4 AI Act HOCHRISKANT und zudem nach Art. 22 DSGVO datenschutzrechtlich problematisch. Als hochrisiko-Personal-KI unterliegt sie spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15, insbesondere menschlicher Aufsicht (Art. 14 — gerade bei ablehnenden Entscheidungen erforderlich). Art. 22 DSGVO gibt Bewerbern das Recht, nicht ausschließlich automatisiert entschieden zu werden, wenn die Entscheidung rechtliche/ähnlich weitreichende Wirkung hat (Bewerbung = „ähnlich weitreichend"). Ausnahmen (Vertrag, Gesetz, Einwilligung) verlangen angemessene Schutzmaßnahmen, einschließlich menschlicher Eingriffsmöglichkeit und Widerspruchsrecht. Vollautomatische Ablehnung ist datenschutzrechtlich angreifbar und AI-Act-widrig, wenn keine menschliche Aufsicht etabliert ist. Kombiniert mit AGG und Betriebsverfassungsgesetz.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
hochrisiko

Hochrisiko nach Anhang III Nr. 4

KI zur Personalvorauswahl (Lebenslauf-Screening, Matching, automatisierte Ablehnung) ist nach Anhang III Nr. 4 hochriskant. Volles Pflichtenbündel aus Art. 8–15 spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026). Besonders relevant: Daten-Governance/Bias (Art. 10 — Vermeidung mittelbarer Diskriminierung nach Geschlecht/Alter/Ethnie), menschliche Aufsicht (Art. 14 — zwingend bei ablehnenden Entscheidungen), Aufzeichnung (Art. 14 — Nachvollziehbarkeit der Ablehnungsgründe). Arbeitgeber als Betreiber: Information von Betriebsrat und Beschäftigten (Art. 26 Abs. 8), Mitbestimmung § 87 Abs. 1 Nr. 6 BetrVG. Eine rein automatische Ablehnung ohne menschliche Beteiligung widerspricht Art. 14 (menschliche Aufsicht) und Art. 22 DSGVO.

dsgvo 22

Art. 22 DSGVO: Recht auf menschliche Prüfung

Art. 22 DSGVO gibt Betroffenen das Recht, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu werden, die rechtliche/ähnlich weitreichende Wirkung entfaltet. Eine Bewerberablehnung ist „ähnlich weitreichend" (Wirtschaftsprüfung, BVerfG/EuGH-Rechtsprechung). Ausnahmen (Vertragserfüllung, gesetzliche Pflicht, ausdrückliche Einwilligung) verlangen angemessene Schutzmaßnahmen — mindestens menschliche Eingriffsmöglichkeit, Widerspruchsrecht, Information über die Logik. Vollautomatische Ablehnung ohne diese Maßnahmen ist datenschutzrechtlich unzulässig; die Datenschutz-Aufsicht kann sie untersagen. Kombiniert mit AI Act Art. 14 (menschliche Aufsicht) ergibt sich eine doppelte Hürde: AI-Act-Pflicht plus DSGVO-Recht. Praktisch: menschliche Letztverantwortung bei jeder ablehnenden Entscheidung ist der Standard.

diskriminierung

AGG-Diskriminierung und Mitbestimmung

Überlagert wird die HR-KI durch das AGG (Diskriminierungsverbot nach Geschlecht, Alter, ethnischer Herkunft, Religion, Behinderung, sexueller Identität — § 7, 8, 9 AGG; Bewerbungsverfahren § 15 AGG: Schadensersatz/Entschädigung bei Verstoß). Proxy-Variablen (Name, Foto, Wohnort, Muttersprache) können mittelbar diskriminieren — verboten. Betriebsverfassungsgesetz: § 87 Abs. 1 Nr. 6 (Mitbestimmung bei technischen Überwachungseinrichtungen — KI-Personalauswahl erfasst), § 93 (Personalauswahl), § 94/95 (Einführung von Leistungs-/Verhaltenskontrollen), § 80 (Allgemeine Aufgaben). Gleichbehandlungsgesetz: Information/Auskunft über KI-Verfahren. Eine konservative HR-KI-Architektur (menschliche Endentscheidung, Bias-Audits, transparente Kriterien, Dokumentation, Betriebsrat-Einbindung) schützt vor AGG-, DSGVO- und AI-Act-Risiken. Vollautomatische Ablehnung ist ein compliance-reines Risiko.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.

European Data Protection Board (EDPB)

EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.

Rat für Künstliche Intelligenz (Österreich)

Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.

FAQ

Häufige Fragen

Darf eine KI Bewerber vollautomatisch ablehnen?

Datenschutzrechtlich problematisch (Art. 22 DSGVO) und AI-Act-widrig ohne menschliche Aufsicht (Art. 14). Menschliche Letztverantwortung bei jeder Ablehnung ist Standard.

Welche Bias-Risiken bestehen?

Proxy-Variablen (Name, Foto, Wohnort) können mittelbar nach Geschlecht/Alter/Ethnie diskriminieren — AGG-Verstoß (§§ 7–9). Art. 10 AI Act verlangt Bias-Prüfung.

Muss der Betriebsrat einbezogen werden?

Ja. § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung bei technischen Überwachungseinrichtungen), § 93 (Personalauswahl), Art. 26 Abs. 8 AI Act (Information).

Compliance für deinen Fall

Rechtskonforme Umsetzung für Automatisierte HR-Ablehnung ohne menschliche Prüfung?

Wenn du Automatisierte HR-Ablehnung ohne menschliche Prüfung rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.

Jetzt beraten lassen
Related