Gilt der AI Act auch für unser 8-Personen-Startup?

Ja. Es gibt keine SME-Ausnahme für Hochrisiko-KI-Systeme im Recruiting-Kontext. Die Pflichten sind aber proportional - eine Bias-Bewertung mit 50 Bewerbungen pro Stelle ist andere Stat-Power als bei 50.000. Macht eure Hausaufgaben proportional zur Größe, dokumentiert ehrlich, was ihr getan habt.

Wir nutzen die KI nur für Mail-Drafts - sind wir betroffen?

Mail-Drafts sind nicht 'Auswahl von Personen' im Sinne des AI Acts. Solange die KI nicht über Stage-Übergänge / Absagen / Einladungen entscheidet, fällt sie nicht unter Hochrisiko. Trotzdem empfehlen wir Transparenz - Bewerber:innen sollten wissen, dass KI-Vorlagen genutzt werden.

Was passiert, wenn wir die Pflichten ignorieren?

Drei Folgen-Klassen. Eins - Bußgeld der nationalen Aufsichtsbehörde (in Deutschland: BNetzA + BfDI je nach Aspekt) bis 35 Mio. € oder 7% Jahresumsatz. Zwei - Diskriminierungs-Klagen mit erleichterter Beweislast (AGG-Risiko). Drei - operative Auflagen, die das Tool-Setup zwangsweise ändern - das ist meist teurer als die proaktive Compliance.

Macht KI BMS das alles automatisch?

Vier von acht Punkten ja: Audit-Log, Override per Default, Transparenz im Bewerbungsformular-Default, Begründung pro Bewerbung. Vier sind eure Hausaufgaben: Bestandsaufnahme, Bias-Monitoring (wir liefern die Score-Verteilung in den Reports, du musst sie auswerten), pro-Stelle-Dokumentation, Schulung. Wir können die Hausaufgaben nicht für euch machen, aber wir machen sie so leicht wie möglich.

KI BMS

Preise

Anleitungen

AI Act 2026 für Recruiting - Hochrisiko-Checkliste für deutsche HR-Teams

Ab August 2026 greifen die Hochrisiko-Pflichten des EU AI Act auch fürs Recruiting. Hier ist, was das konkret bedeutet, was du sofort tun musst und was bis 2027 Zeit hat.

AI Act

Compliance

Anleitung

Finn GlasCo-Founder + Engineering

·11. Februar 2026·

4 Min. Lesezeit

Auf einen Blick

AI Act in Kraft seit August 2024, Hochrisiko-Pflichten ab 2. August 2026.

Recruiting-KI ist explizit Hochrisiko-Anwendung (Anhang III, 4(a)).

Pflichten gelten unabhängig von der Unternehmensgröße - es gibt keine SME-Ausnahme im Recruiting-Kontext.

Bußgelder bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes (Art. 99(3)).

Schritt für Schritt

1. Bestandsaufnahme - welche KI nutzt ihr?

Liste auf: ATS-eingebaute Screening-KI, externe Resume-Parsing-Services, KI-Stellenanzeigen-Generatoren, Conversational-Bots auf der Karriereseite, Active-Sourcing-AI. Auch 'wir nutzen ChatGPT mal nebenbei für Mail-Drafts' fällt darunter, wenn die Mails Bewerbungs-Bezug haben.

2. Transparenz im Bewerbungsformular eintragen

Vor dem Klick auf 'Bewerbung absenden' muss klar sein: KI-Vorsortigung wird genutzt, ein Mensch entscheidet, Auskunftsrecht steht offen. Beispiel: 'Deine Bewerbung wird von einer KI vorgesortet (Score + Begründung). Die Entscheidung trifft immer ein Mensch. Du hast jederzeit das Recht auf Auskunft, Berichtigung und Löschung.'

3. Audit-Log aktivieren - mindestens 6 Monate Speicherung

Wer hat wann was geändert. KI BMS macht das standardmäßig; bei anderen Tools überprüfen + aktivieren. Speichern: Datum, Userin/User, Stage-Übergang, KI-Score (falls relevant), Begründungstext (falls KI-generiert).

4. Override-Funktionalität klarstellen

HR muss in einem Klick einen KI-Score überstimmen können, das System darf nicht 'aufgrund von Score < 40 automatisch ablehnen' tun. Wenn eure aktuelle Konfiguration Auto-Absagen vorsieht: deaktivieren bis ein:e Mensch geprüft hat.

5. Bias-Monitoring: Score-Verteilung gegen Geschlecht / Alter / Herkunft prüfen

Mindestens quartalsweise: aggregiere die KI-Scores der letzten 50 Bewerbungen, vergleiche die Mittelwerte gegen sensible Merkmale (anonymisiert). Wenn Männlich-gelesene Namen einen 8+-Punkt-Vorteil haben, hast du einen Bias-Hinweis - re-instruiere den KI-Prompt.

6. Technische Dokumentation - eine Seite pro Stelle

Pro Stelle festhalten: welcher KI-Prompt wurde genutzt, welche Anforderungen waren Pflicht / Knockout, welche Score-Schwelle gilt. Eine 1-Seiten-Dokumentation pro Stelle reicht; Aufbewahrungsfrist 5 Jahre nach Abschluss der Stelle.

7. AVV mit dem KI-Anbieter prüfen

Der KI-Anbieter (z. B. wir, falls ihr KI BMS nutzt) ist Auftragsverarbeiter. AVV nach Art. 28 DSGVO + Anhang IV-Pflichten nach AI Act sind zu signieren. Prüfen: Hosting-Region, Subverarbeiter-Liste, Audit-Rechte, Lösch-Verpflichtung bei Vertragsende.

8. Schulung der HR-Personen

Jede:r, der mit der KI arbeitet, sollte einmal verstehen: was die KI macht, was sie nicht macht, wie ein Override geht, wie ein Bias-Hinweis aussieht. Eine 30-Minuten-Schulung mit Übungs-Bewerbungen reicht. Dokumentier den Schulungs-Termin.

Was der AI Act im Recruiting konkret verlangt

Der EU AI Act klassifiziert KI-Systeme nach Risiko-Klassen. Recruiting-KI fällt unter Anhang III (Hochrisiko-Anwendungen), 4(a): 'KI-Systeme, die für die Auswahl von natürlichen Personen, insbesondere zur gezielten Schaltung von Stellenanzeigen, zur Sichtung oder Filterung von Bewerbungen und zur Bewertung von Bewerber:innen verwendet werden'. Das umfasst genau das, was ein modernes ATS mit KI-Vorsortigung tut.

Hochrisiko-Pflichten gemäß Art. 8-15: Risikomanagement-System, Data Governance, technische Dokumentation, Aufzeichnungspflichten, Transparenz gegenüber Nutzer:innen, menschliche Aufsicht, Genauigkeit + Robustheit + Cybersecurity. Das klingt schwer; in der Praxis sind es acht konkrete Aktionen, die unten aufgelistet sind.

Pflicht oder Empfehlung - die Abgrenzung

Pflicht ab 2.8.2026: Transparenz gegenüber Bewerber:innen, Aufzeichnungs-Pflicht (Audit-Log), menschliche Aufsicht, Bias-Monitoring. Empfehlung (aber stark): externe Risiko-Bewertung dokumentieren, Bias-Tests pro Stelle, Daten-Schutz-Folgeabschätzung pro Stelle.

Wer KI in Recruiting einsetzt und die Pflichten ignoriert, riskiert: (1) Bußgeld bis 7% Umsatz; (2) Diskriminierungs-Klagen mit erleichtertem Beweis (das AGG senkt die Beweislast bei dokumentierter Auto-Sortigung); (3) Reputationsschaden, wenn Bewerber:innen die KI-Beteiligung erst nachträglich erfahren.

Was 'menschliche Aufsicht' wirklich heißt

Drei Aspekte. Eins - der Mensch muss eine Auto-Entscheidung aufheben können. Eine Auto-Absage ohne Override-Möglichkeit ist verboten. Zwei - der Mensch muss in der Lage sein, die Auto-Entscheidung zu verstehen. Eine Black-Box-KI ohne Begründung pro Bewerbung ist riskant. Drei - der Mensch muss die Befugnis haben, gegen eine Auto-Entscheidung zu entscheiden. Wenn HR de jure überstimmen kann, aber de facto wegen Zeitdruck nie überstimmt, ist die Aufsicht nominell, nicht real.

Häufige Fragen

Häufig gefragt

Diesen Artikel teilen

Probiere KI BMS

Kostenloser Tarif, keine Kreditkarte nötig. Hosting in Deutschland. Export und Löschung sind self-service.

Geschrieben von

Finn Glas

Co-Founder + Engineering

Finn ist einer der Co-Founder. Er verantwortet Engineering, Infrastruktur und die meisten nächtlichen Fixes, die ausgerollt werden, bevor jemand etwas merkt.

finn.glas at aicuflow dot comLinkedIn Website

Lies als Nächstes

DSGVO-Checkliste für Recruiting 2026 - Schritt für Schritt sauber

Sechs konkrete DSGVO-Pflichten + drei häufige Mythen, mit Software-Defaults zum Abhaken.

Lesen

Anti-Bias im Recruiting - was wirklich hilft, was nur gut aussieht

Sechs Hebel mit Effekt, drei populäre Maßnahmen ohne. Mit Forschungs-Ankern.

Lesen

Recruiting mit KI - der praktische Leitfaden

Praxis-Leitfaden, kein Hype - mit klaren rechtlichen Grenzen und konkreter Schritt-für-Schritt-Anleitung.

Lesen