Wer KI im Recruiting einsetzt, um Bewerbungen vorzusortieren oder Kandidatinnen und Kandidaten zu ranken, bewegt sich in einer der wenigen Kategorien, die der EU AI Act ausdrücklich als hochriskant benennt. Das war schon vor dem Omnibus-Beschluss so und bleibt es danach auch, nur die Frist hat sich verschoben. Wer jetzt Recruiting-KI einführt oder bereits nutzt, sollte genau wissen, welche Schritte im Bewerbungsprozess betroffen sind und was unabhängig vom Fristenschub schon heute gilt.
Kurzfassung
KI-Systeme, die Bewerbungen filtern, Kandidatinnen und Kandidaten bewerten oder ranken oder Stellenanzeigen gezielt ausspielen, gelten nach Anhang III des EU AI Act als Hochrisiko-Systeme. Die vollen Pflichten für eigenständig betriebene Systeme greifen nach dem Omnibus-Beschluss ab dem 2. Dezember 2027. Schon heute gelten aber die KI-Kompetenzpflicht, das Verbot vollautomatisierter Ablehnungsentscheidungen und die Pflicht zur Einbindung des Betriebsrats.
Warum Recruiting eine eigene Hochrisiko-Kategorie ist
Der EU AI Act zählt in Anhang III konkrete Anwendungsbereiche auf, die er unabhängig vom eingesetzten Modell als hochriskant einstuft. Beschäftigung und Personalauswahl sind einer davon, und Recruiting ist darin explizit benannt: KI-Systeme, die für die Einstellung oder Auswahl natürlicher Personen eingesetzt werden, insbesondere um Stellenanzeigen gezielt zu platzieren, Bewerbungen zu analysieren und zu filtern oder Kandidatinnen und Kandidaten zu bewerten.
Das ist ein wichtiger Unterschied zu vielen anderen KI-Anwendungen im Unternehmen. Ein Textentwurf für eine interne Mitteilung ist minimal riskant, unabhängig davon, welches Modell dahintersteckt. Ein Recruiting-Tool, das Lebensläufe gegen ein Anforderungsprofil scort, ist hochriskant, auch wenn es technisch nichts anderes tut als Text zu klassifizieren. Der AI Act bewertet nicht die Technik, sondern die Konsequenz für die betroffene Person. Und eine automatisierte Bewertung, die entscheidet, wer eingeladen wird und wer nicht, hat für die Bewerberin oder den Bewerber unmittelbare Folgen.
Ergänzend gilt dieselbe Einstufung für die Zeit nach der Einstellung: KI, die Aufgaben auf Basis von Verhaltensmerkmalen zuteilt, Leistung überwacht oder in Beförderungs- und Kündigungsentscheidungen einfließt, fällt in dieselbe Kategorie. Dieser Beitrag konzentriert sich auf die Recruiting-Seite. Die Personalseite nach der Einstellung, inklusive Betriebsrat und Datenschutz im laufenden Arbeitsverhältnis, behandelt ausführlich der Beitrag KI im Personalwesen.
Welche Recruiting-Schritte konkret betroffen sind
Nicht jedes KI-Tool im Bewerbungsprozess ist automatisch hochriskant. Entscheidend ist, ob das System eine Auswahl- oder Bewertungsfunktion übernimmt.
Gezieltes Ausspielen von Stellenanzeigen. Wenn KI entscheidet, wem eine Stellenanzeige angezeigt wird und wem nicht, etwa durch algorithmisches Targeting auf Basis von Profildaten, fällt das unter die Hochrisiko-Kategorie. Reines Standard-Anzeigenmanagement ohne individualisiertes Targeting fällt nicht darunter.
Analyse und Filterung von Bewerbungen. Jedes System, das Bewerbungen automatisch vorsortiert, ablehnt oder in eine engere Auswahl bringt, etwa nach Stichwörtern, Qualifikationsmustern oder Ausschlusskriterien, ist eine Hochrisiko-Anwendung. Das betrifft die meisten kommerziellen Bewerber-Screening-Tools, die für genau diesen Zweck vermarktet werden.
Bewertung und Ranking von Kandidatinnen und Kandidaten. Systeme, die Bewerbende auf Basis von Lebenslauf, Testergebnissen oder Interviewdaten scoren oder in eine Rangfolge bringen, gehören ebenfalls dazu. Das gilt unabhängig davon, ob das Ranking die finale Entscheidung ersetzt oder nur vorbereitet, solange es die menschliche Entscheidung wesentlich beeinflusst.
Was in der Regel nicht betroffen ist. Textunterstützung ohne Bewertungsfunktion, etwa die Formulierung von Stellenanzeigen, Terminvorschläge für Vorstellungsgespräche oder ein Chatbot, der Standardfragen von Bewerbenden zum Prozess beantwortet, fällt nicht unter die Hochrisiko-Kategorie. Diese Workflows lassen sich schon heute unkompliziert einführen, dazu weiter unten mehr.
Was der Omnibus an der Frist verschoben hat, und was nicht
Am 16. Juni 2026 hat das EU-Parlament das Omnibus-Paket beschlossen und darin die Fristen für Hochrisiko-Systeme deutlich nach hinten verschoben. Für eigenständig betriebene Hochrisiko-Systeme, worunter Recruiting-KI fällt, gilt die volle Konformitätspflicht jetzt erst ab dem 2. Dezember 2027 statt wie ursprünglich vorgesehen ab dem 2. August 2026. Details zum gesamten Omnibus-Paket erklärt der Beitrag EU AI Act Omnibus: Was sich ändert.
Das ist eine reale Entlastung für Unternehmen, die Recruiting-KI produktiv einsetzen oder einführen wollen, ohne bis August bereits ein vollständiges Konformitätsbewertungsverfahren, Risikomanagementsystem und eine Registrierung in der EU-Datenbank aufgesetzt zu haben. Es ist aber kein Freibrief, die Hochrisiko-Anforderungen zu ignorieren, aus zwei Gründen.
Erstens gilt die Frist nur für die vollen Hochrisiko-Pflichten aus dem AI Act selbst, also Risikomanagementsystem, technische Dokumentation, Protokollierung und Registrierung. Zwei andere Pflichten laufen unabhängig davon weiter: Die KI-Kompetenzpflicht nach Artikel 4 gilt bereits seit Februar 2025, unabhängig von der Risikoklasse des eingesetzten Systems. Und die datenschutzrechtlichen Anforderungen an automatisierte Entscheidungen gelten schon immer, unabhängig vom AI Act.
Zweitens ist Dezember 2027 kein Datum, bis zu dem sich nichts ändern muss. Wer bis dahin wartet, um dann in wenigen Monaten ein Risikomanagementsystem, Logging und eine Grundrechte-Folgenabschätzung aufzubauen, unterschätzt den Aufwand. Die Praxis zeigt bei anderen Hochrisiko-Themen, dass diese Strukturen selten in kurzer Zeit sauber nachgezogen werden können.
Was schon heute gilt, unabhängig vom Dezember 2027
Die KI-Kompetenzpflicht nach Artikel 4 gilt seit Februar 2025. Eine Bewerbungsablehnung, die ausschließlich auf automatisierter Verarbeitung beruht, ist datenschutzrechtlich unzulässig, unabhängig von der Hochrisiko-Frist. Und der Betriebsrat hat ein Informationsrecht, sobald ein System eingeführt wird, das geeignet ist, Bewerbende oder Mitarbeitende zu bewerten.
Was das für den menschlichen Entscheidungsanteil bedeutet
Die datenschutzrechtliche Regel ist unabhängig vom EU AI Act und deutlich älter: Eine Entscheidung, die ausschließlich auf automatisierter Verarbeitung beruht und rechtliche oder ähnlich erhebliche Wirkung für die betroffene Person hat, ist grundsätzlich unzulässig. Eine automatisierte Absage nach reinem KI-Scoring, ohne dass jemand aus dem Recruiting-Team den Fall angeschaut hat, fällt darunter.
In der Praxis heißt das für den Bewerbungsprozess: Das KI-System darf vorsortieren, bewerten und einen Vorschlag machen. Die Entscheidung, wer zum Gespräch eingeladen und wer abgesagt wird, muss ein Mensch treffen, der die KI-Bewertung tatsächlich einsieht und nachvollziehen kann, nicht nur pauschal bestätigt. Das ist derselbe Grundsatz, der auch bei anderen KI-gestützten Auswertungen gilt, etwa wenn ein System buchhalterische Vorschläge macht: Vorbereitung durch die Maschine, Verantwortung beim Menschen.
Für die Praxis bedeutet das konkret: Wer eine Rangliste oder ein Scoring einführt, sollte von Anfang an dokumentieren, wer die finale Entscheidung trifft und dass diese Person die KI-Ausgabe tatsächlich sieht, bevor die Absage rausgeht. Diese Dokumentation ist gleichzeitig die Grundlage für das Risikomanagementsystem, das ab Dezember 2027 verlangt wird, kein doppelter Aufwand.
Fünf Workflows, die heute schon unkompliziert laufen
Nicht jeder Einsatz von KI im Bewerbungsprozess ist hochriskant. Diese Workflows lassen sich ohne besondere Compliance-Struktur starten, solange sie keine Auswahl- oder Bewertungsfunktion übernehmen.
Stellenanzeigen formulieren. KI erstellt einen Textentwurf auf Basis eines Anforderungsprofils, das Recruiting-Team prüft und passt an. Keine Bewerberdaten im Spiel, keine Bewertungsfunktion.
Terminkoordination für Vorstellungsgespräche. KI schlägt Termine vor und gleicht Kalender ab, ohne dass irgendeine Auswahl zwischen Kandidatinnen und Kandidaten stattfindet.
Standardkommunikation mit Bewerbenden. Eingangsbestätigungen, Statusupdates, Informationen zum weiteren Ablauf: Textvorlagen, die KI ausformuliert, das Recruiting-Team versendet.
Interviewleitfäden vorbereiten. KI erstellt auf Basis der Stellenbeschreibung einen strukturierten Fragenkatalog für das Gespräch. Der Leitfaden bereitet vor, er bewertet niemanden.
Nachbereitung interner Interviewnotizen. KI fasst Gesprächsnotizen strukturiert zusammen, damit das Team sie leichter vergleichen kann. Solange die KI keine eigene Empfehlung oder Rangfolge ausgibt, sondern nur strukturiert, was Menschen ohnehin schon eingeschätzt haben, bleibt der Workflow außerhalb der Hochrisiko-Kategorie.
Die Grenze verläuft klar an der Stelle, an der aus Unterstützung eine Bewertung wird. Ein Tool, das Interviewnotizen zusammenfasst, ist unkritisch. Dasselbe Tool, das daraus einen Eignungsscore errechnet, ist es nicht mehr.
Drei Schritte für den Rest des Jahres
Schritt 1: Recruiting-Tools nach Funktion sortieren. Für jedes eingesetzte oder geplante Tool die einfache Frage beantworten: Filtert, bewertet oder rankt es Bewerbende, oder unterstützt es nur Text und Organisation? Das entscheidet, welcher Pfad gilt.
Schritt 2: Für bewertende Systeme den Entscheidungsprozess dokumentieren. Wer sieht die KI-Bewertung, wer trifft die finale Entscheidung, wie ist das nachvollziehbar festgehalten? Diese Dokumentation lohnt sich unabhängig vom Dezember-2027-Termin, weil sie schon heute die datenschutzrechtliche Absicherung gegen vollautomatisierte Entscheidungen ist.
Schritt 3: Betriebsrat und Datenschutz einbinden, bevor das Tool produktiv geht. Ein bewertendes Recruiting-System ist ein klassischer Fall für die betriebliche Mitbestimmung. Wie das strukturiert abläuft, beschreibt der Beitrag KI im Personalwesen im Detail.
Wer besonders sensible Bewerberdaten verarbeitet, etwa bei Führungspositionen mit vertraulichen Auswahlverfahren, oder generell keine Bewerberdaten in externen Systemen verarbeiten will, findet in einer eigenen KI-Infrastruktur die Möglichkeit, Scoring und Auswertung unter eigener Kontrolle zu betreiben, statt sich auf vertragliche Zusicherungen externer Anbieter zu verlassen.
Was jetzt zu tun ist
Der Fristenschub durch den Omnibus nimmt Druck raus, aber er ändert nichts an der grundsätzlichen Einstufung: Bewertendes und filterndes Recruiting mit KI bleibt eine Hochrisiko-Anwendung, nur der Zeitpunkt der vollen AI-Act-Pflichten hat sich verschoben. Wer jetzt sauber zwischen unterstützenden und bewertenden Workflows trennt und für Letztere den menschlichen Entscheidungsanteil dokumentiert, ist bis Dezember 2027 gut vorbereitet und schon heute datenschutzrechtlich auf der sicheren Seite.
Für eine strukturierte Einordnung, welche Recruiting-Workflows im eigenen Unternehmen betroffen sind und welcher Compliance-Pfad dazu passt, ist das KI-Prozess-Audit der richtige Einstieg: 30 Minuten, kostenloses Erstgespräch, konkrete Einschätzung statt allgemeiner Checkliste.
