Beschäftigung & Personalwesen: AI Act, Data Act & DSGVO-Pflichten
KI-Systeme zur Personalauswahl, zur Einstellung, zur Leistungsbewertung oder zur Kündigung von Personal sind nach Anhang III Nr. 4 AI Act hochriskant und unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem vollen Pflichtenbündel aus Art. 8–15. Klassische Fälle sind Lebenslauf-Screening, KI-gestütztes Interview-Ranking, automatisierte Leistungsbeurteilung und Kündigungsrisiko-Scoring. In Deutschland überschneidet sich dies mit dem AGG (Diskriminierungsverbot) und der DSGVO; Art. 22 DSGVO schränkt rein automatisierte Entscheidungen mit rechtlicher/Wesentlichkeitswirkung ein. Verboten ist zudem Emotionserkennung am Arbeitsplatz (Art. 5 Abs. 1 lit. f). Anbieter und Arbeitgeber müssen Risikomanagement, Daten-Governance, menschliche Aufsicht und Konformitätsbewertung nachweisen.
Steve Baka
Wann HR-KI hochriskant ist
Anhang III Nr. 4 AI Act stuft KI als hochriskant ein, die bestimmt ist, für die Einstellung oder Verwaltung von Personalwesen verwendet zu werden — insbesondere für die zielgerichtete Werbung von Stellenangeboten, die Analyse und Filterung von Bewerbungen und die Bewertung von Bewerbern. Erfasst sind zudem Systeme zur Personenbeurteilung oder -bewertung von bereits Beschäftigten (Leistung, Verhalten, Kündigungsrisiko). Nicht erfasst sind reine administrative Werkzeuge ohne Entscheidungscharakter (z. B. Lohnabrechnungs-Hilfen ohne personenbezogene Bewertung).
Use-Cases und Klassifizierung
Konkret: Lebenslauf-Ranking und Matching-Systeme (hochriskant); KI-gestützte Video-Interview-Auswertung mit Verhaltens- oder Mimikanalyse (hochriskant, teils Art. 5 berührend); automatisierte Leistungsbeurteilung von Beschäftigten (hochriskant); Kündigungs- oder Fluktuationsrisiko-Scoring (hochriskant); zielgerichtete Stellenanzeigenschaltung, die bestimmte Gruppen ausschließt (hochriskant und AGG-relevant); Chatbots zur Erstinformation ohne Bewertung (begrenzt); Emotionserkennung im Büro oder Bewerbungsgespräch (verboten, Art. 5 Abs. 1 lit. f); biometrische Kategorisierung nach Geschlecht/Ethnie (verboten, Art. 5 Abs. 1 lit. g). Die Differenzierung zwischen hochriskant, verboten und begrenzt ist die zentrale Compliance-Aufgabe.
Überschneidung mit AGG und DSGVO
Hochrisiko-HR-KI berührt weitere Rechtsakte: Das AGG verbietet Diskriminierung u. a. wegen Geschlecht, ethnischer Herkunft, Religion, Alter, sexueller Identität — ein System, das mittelbar diskriminiert, verstößt unabhängig vom AI Act. Art. 22 DSGVO gibt Beschäftigten das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche oder ähnlich weitreichende Wirkung hat; Ausnahmen verlangen ausdrückliche Einwilligung oder gesetzliche Grundlage. Die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ist bei HR-KI regelmäßig erforderlich. Der AI Act ergänzt diese Vorgaben um die KI-spezifischen Pflichten aus Art. 8–15.
Pflichten, Fristen und Aufsichten
Anbieter erfüllen Art. 8–15 (Risikomanagement, Daten-Governance, technische Dokumentation, Logs, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersecurity), Konformitätsbewertung, CE-Kennzeichnung und Registrierung — gültig spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026). Arbeitgeber als Betreiber treffen die Art. 26-Pflichten (Verwendung gemäß Anweisungen, menschliche Aufsicht, Monitoring, Meldung schwerer Vorfälle) und müssen die DSGVO-/AGG-Pflichten sicherstellen. Aufsichtlich wirken in Deutschland die Marktüberwachungsbehörden, die Datenschutz-Aufsichten der Länder und der BfDI; in Österreich der Rat für KI und die DSB; in der Schweiz der EDÖB und kantonale Stellen.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Ist KI-gestütztes Recruiting hochriskant?
Ja, wenn es Bewerbungen filtert, bewertet oder in Einstellungsentscheidungen eingeht (Anhang III Nr. 4 AI Act). Es löst die Pflichten aus Art. 8–15 aus, gültig spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026).
Was ist mit Video-Interviews und Mimikanalyse?
Solche Systeme sind hochriskant, sobald sie Personen bewerten. Beruht die Auswertung auf Emotionserkennung am Arbeitsplatz, ist sie zudem nach Art. 5 Abs. 1 lit. f verboten.
Gilt zusätzlich das AGG?
Ja. Unabhängig vom AI Act verbietet das AGG Diskriminierung in der Personalauswahl. Mittelbare Diskriminierung durch algorithmische Filter ist erfasst. Hinzu kommt Art. 22 DSGVO (Schutz vor rein automatisierten Entscheidungen).
Bis wann müssen HR-Systeme compliant sein?
Die Hochrisiko-Pflichten nach Anhang III gelten spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026); die Verbote nach Art. 5 bereits seit dem 2. Februar 2025.
KI-Compliance für Beschäftigung & Personalwesen?
Wenn du im Sektor Beschäftigung & Personalwesen KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.