- Published on
Hochrisiko-KI im Recruiting: Annex III Nr. 4 verstehen
- Authors

- Name
- Tails Azimuth
Kaum ein Unternehmensbereich hat KI so schnell adaptiert wie das Recruiting. Lebenslauf-Parsing, automatisiertes Vorfiltern von Bewerbungen, Ranking-Algorithmen, Video-Interview-Analysen: Was Effizienz verspricht, berührt zugleich Grundrechte von Bewerberinnen und Bewerbern. Genau deshalb hat der Gesetzgeber KI im Beschäftigungskontext explizit als Hochrisiko eingestuft. Wer HR-Tools mit KI-Komponenten einsetzt, muss Annex III Nr. 4 des EU AI Act kennen — und die daraus folgenden Pflichten belegbar erfüllen.
Warum Recruiting-KI als Hochrisiko gilt
Der EU AI Act klassifiziert KI-Systeme nicht pauschal, sondern nach Anwendungskontext. Ein System wird nach Artikel 6 Absatz 2 als hochriskant eingestuft, wenn es unter einen der in Anhang III (Annex III) gelisteten Bereiche fällt. Nummer 4 dieses Anhangs adressiert „Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit".
Konkret erfasst sind zwei Fallgruppen. Erstens KI-Systeme, die für die Einstellung oder Auswahl von Personen eingesetzt werden — insbesondere um gezielt Stellenanzeigen auszuspielen, eingehende Bewerbungen zu analysieren und zu filtern sowie Kandidaten zu bewerten. Zweitens Systeme, die Entscheidungen über Beförderung, Kündigung, Aufgabenzuweisung auf Basis von Verhalten oder Persönlichkeitsmerkmalen sowie die Überwachung und Bewertung der Arbeitsleistung treffen oder maßgeblich beeinflussen.
Die Begründung des Gesetzgebers ist nachvollziehbar: Solche Systeme entscheiden über den Zugang zu Erwerbsarbeit und damit über wirtschaftliche Existenz. Fehler, Verzerrungen oder intransparente Kriterien können ganze Bewerbergruppen systematisch benachteiligen — oft, ohne dass die Betroffenen es je erfahren. Der historische Fall diskriminierender Lebenslauf-Filter, die weibliche Bewerbungen abwerteten, ist zum Standardbeispiel dieser Debatte geworden.
Provider oder Deployer: Wer trägt welche Pflicht
Der EU AI Act unterscheidet scharf zwischen dem Anbieter (Provider) eines KI-Systems und dem Betreiber (Deployer), der es einsetzt. Diese Trennung ist im HR-Kontext entscheidend, weil die meisten Unternehmen Recruiting-KI nicht selbst entwickeln, sondern als Software eines Drittanbieters einkaufen.
Der Provider trägt die Hauptlast der produktbezogenen Anforderungen: Risikomanagementsystem, Daten-Governance, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht und Robustheit nach den Artikeln 8 bis 15. Er muss das System der Konformitätsbewertung unterziehen und die CE-Kennzeichnung anbringen, bevor es auf den Markt kommt.
Das einsetzende Unternehmen ist in aller Regel Deployer. Seine Pflichten stehen in Artikel 26. Dazu gehört, das System entsprechend der Betriebsanleitung des Providers zu verwenden, die menschliche Aufsicht durch geeignete und kompetente Personen sicherzustellen, die relevanten Eingabedaten auf Eignung zu prüfen sowie die automatisch erzeugten Protokolle aufzubewahren. Wichtig: Wer ein Hochrisikosystem wesentlich verändert oder unter eigenem Namen einsetzt, kann selbst zum Provider werden und in die vollen Herstellerpflichten rutschen.
Die HR-spezifische Informationspflicht gegenüber Beschäftigten
Eine Pflicht verdient im Recruiting- und Personalkontext besondere Aufmerksamkeit: Artikel 26 Absatz 7 verlangt, dass Betreiber, die Arbeitgeber sind, die Arbeitnehmervertretung und die betroffenen Beschäftigten informieren, bevor ein Hochrisiko-KI-System am Arbeitsplatz in Betrieb genommen oder verwendet wird. Diese Informationspflicht besteht zusätzlich zu — und unbeschadet von — mitbestimmungs- und datenschutzrechtlichen Vorgaben, die in Deutschland etwa über das Betriebsverfassungsgesetz und die DSGVO ohnehin greifen.
Für die Praxis heißt das: Der Betriebsrat ist kein nachgelagerter Punkt auf einer Checkliste, sondern früh einzubinden. Wer ein KI-gestütztes Bewerbermanagement einführt, sollte Zweck, Funktionsweise und die Rolle der menschlichen Entscheidung dokumentieren und kommunizieren können — nicht als Kür, sondern als gesetzliche Anforderung.
Hinzu kommt Artikel 4: Anbieter und Betreiber müssen für ein ausreichendes Maß an KI-Kompetenz ihres Personals sorgen. Recruiter, die ein Ranking-Tool bedienen, müssen dessen Grenzen verstehen, um die geforderte menschliche Aufsicht überhaupt sinnvoll ausüben zu können. Eine Aufsicht, die Ergebnisse nur durchwinkt, erfüllt den Zweck der Norm nicht.
Was HR jetzt konkret vorbereitet
Bis zum zentralen Enforcement-Termin am 02.12.2027 bleibt Zeit, aber die Vorbereitung ist substanziell. Sinnvoll ist ein strukturiertes Vorgehen in mehreren Schritten.
Zunächst braucht es ein belastbares Inventar: Welche im Recruiting und Personalmanagement genutzten Systeme enthalten überhaupt KI-Komponenten? Oft steckt Machine Learning unbemerkt in Matching-Funktionen etablierter Bewerbermanagement-Suiten. Anschließend ist für jedes System zu klären, ob es unter Annex III Nr. 4 fällt und ob das Unternehmen Provider oder Deployer ist.
Für als Hochrisiko identifizierte Systeme sind dann die Deployer-Pflichten aus Artikel 26 zu operationalisieren: benannte, geschulte Aufsichtspersonen, dokumentierte Prüfung der Eingabedaten, Protokoll-Aufbewahrung und die frühzeitige Einbindung der Arbeitnehmervertretung. Von den Providern sollten HR-Teams aktiv die technische Dokumentation, Betriebsanleitung und den Nachweis der Konformitätsbewertung einfordern — ein Vertragsbaustein, der bei Neubeschaffungen heute schon Standard sein sollte.
Der rote Faden dabei ist Nachweisbarkeit. Der EU AI Act belohnt nicht guten Willen, sondern dokumentierte, überprüfbare Praxis. Jede getroffene Maßnahme sollte so festgehalten werden, dass sie im Fall einer Marktüberwachung oder einer arbeitsrechtlichen Auseinandersetzung als Evidenz standhält. Genau hier liegt der Unterschied zwischen „wir setzen KI verantwortungsvoll ein" als Behauptung und als belegbarer Tatsache.
Eine vertiefte Übersicht zu den einzelnen Hochrisiko-Kategorien des Anhang III findet sich auf hochrisiko-ki.com.
Fazit
Recruiting-KI ist kein regulatorischer Graubereich mehr. Mit Annex III Nr. 4 hat der EU AI Act den Beschäftigungskontext klar als Hochrisiko markiert und über Artikel 26 sowie die HR-spezifische Informationspflicht in Absatz 7 konkrete Betreiberpflichten formuliert. Unternehmen, die jetzt ihr Systeminventar aufbauen, Provider-Nachweise einfordern und ihre menschliche Aufsicht ernst nehmen, verwandeln eine Pflicht in belastbare Vertrauensinfrastruktur.
Wie sich Hochrisiko-Pflichten in nachweisbare, audit-ready Evidenz übersetzen lassen, zeigt die AEGIRA Trust-Platform: aegira.ai.