EU AI Act HR-Software: Annex III und Konsequenzen

Inhalt
    Fügen Sie eine Überschrift hinzu, um mit der Erstellung des Inhaltsverzeichnisses zu beginnen

    Was bedeutet der EU AI Act für HR-Software?

    Eine HR-Managerin aus einem mittelgroßen Unternehmen hat mir vor einigen Monaten eine Frage gestellt, die ich seitdem regelmäßig in ähnlicher Form höre: „Wir nutzen ein Bewerbermanagementsystem mit KI-Ranking. Das ist doch einfach Software – das betrifft uns beim EU AI Act nicht, oder?“

    Doch. Das betrifft sie direkt.

    Nicht weil das Tool besonders mächtig oder gefährlich wäre. Sondern weil es in den Anwendungsbereich von Annex III des EU AI Acts fällt – und das hängt nicht von der Technologie ab, sondern vom Verwendungszweck.


    Hochrisiko-KI: Was Annex III tatsächlich sagt

    Der EU AI Act klassifiziert KI-Systeme nach Risiko. Die schärfsten Anforderungen gelten für Hochrisiko-KI – definiert in Annex III der Verordnung.

    Einer der acht Bereiche in Annex III: Beschäftigung, Personalmanagement und Zugang zu Selbständigkeit.

    Darunter fallen explizit:

    • KI-Systeme, die bei Einstellungsentscheidungen eingesetzt werden – insbesondere zur automatisierten Verarbeitung von Bewerbungen und Kandidaten-Ranking
    • KI-Systeme für Beförderungs- und Karriereentscheidungen
    • KI-Systeme zur Leistungsbewertung mit erheblichen Konsequenzen für Beschäftigte
    • KI-Systeme, die Entscheidungen über Vertragsbeendigung maßgeblich unterstützen

    Das Entscheidende: Es kommt nicht darauf an, ob das System „autonom entscheidet“. Es reicht, dass es Entscheidungen maßgeblich beeinflusst.


    Welche HR-Tools konkret betroffen sind

    Automatisierte Bewerbungsscreening-Tools: CV-Ranking-Algorithmen, die Bewerber anhand von Keywords, Erfahrung oder anderen Merkmalen sortieren und filtern. Wenn das Ranking in die Auswahlentscheidung einfließt – was es per Definition tut – ist das Annex III.

    KI-gestützte Interviews und Video-Assessment: Tools, die Mimik, Sprache oder Verhaltensmerkmale von Kandidaten analysieren und Scores ausgeben. Betrifft direkt Bewerbungsentscheidungen.

    Performance-Management-Software mit KI-Ranking: Systeme, die Mitarbeiter automatisch nach Leistungsmerkmalen ranken und Empfehlungen für Beförderungen oder Vertragsbeendigungen ausgeben.

    Was wahrscheinlich nicht betroffen ist: Textverarbeitungs-Features, automatische Terminerinnerungen, KI-gestützte FAQ-Chatbots für Mitarbeiter, die keine Entscheidungen treffen oder beeinflussen.


    Was „Hochrisiko“ konkret bedeutet – die Pflichten

    Wenn ein System unter Annex III fällt, gelten ab Dezember 2027 (verschoben von ursprünglich August 2026) folgende Hauptanforderungen für Betreiber:

    Menschliche Aufsicht. Automatisierte Rankings und Empfehlungen müssen von einem Menschen überprüft werden, bevor sie Konsequenzen haben. Das klingt selbstverständlich, ist es aber oft nicht: Wenn das KI-Ranking den Auswahlpool definiert und HR aus diesem Pool auswählt, hat die KI de facto entschieden.

    Logging. Der Betrieb des Systems muss protokolliert werden – welche Eingaben, welche Outputs, wann. Nicht für jede einzelne Bewerbung bis ins kleinste Detail, aber nachvollziehbar.

    Transparenz gegenüber Betroffenen. Bewerber müssen wissen, dass KI bei der Entscheidung eingesetzt wurde. Das ist auch eine DSGVO-Anforderung (Art. 22), die für automatisierte Entscheidungen mit erheblicher Wirkung gilt.

    Technische Dokumentation. Der Anbieter des Systems trägt hier die Hauptlast – er muss die Konformitätsbewertung durchführen und das System registrieren. Als Betreiber musst du prüfen, ob dein Anbieter das getan hat.


    Die Betreiber-Perspektive: Was du tun musst

    Als Unternehmen, das eine HR-Software mit KI-Funktionen einsetzt (nicht selbst entwickelt), bist du „Betreiber“ im Sinne des EU AI Acts. Deine Pflichten sind geringer als die des Anbieters – aber nicht null.

    Was du konkret tun solltest:

    1. Inventar: Welche HR-Software nutzt du? Welche Funktionen sind KI-gestützt? Hat sie ein automatisches Kandidaten-Ranking oder Performance-Scoring?

    2. Anbieter-Check: Ist dein Anbieter auf die EU AI Act-Anforderungen vorbereitet? Hat er für Hochrisiko-Systeme die Konformitätsbewertung eingeleitet? Du solltest das fragen – schriftlich.

    3. Human-Oversight sicherstellen: Stelle sicher, dass kein KI-Ranking ohne menschliche Überprüfung direkt in Entscheidungen einfließt. Das ist sowohl AI Act als auch DSGVO Art. 22.

    4. Dokumentieren: Halte fest, für welche Zwecke ihr das System einsetzt. Das ist die Grundlage für das EU AI Act-Inventar.


    Eine häufige Fehleinschätzung

    „Unser Anbieter ist aus dem EU AI Act-konform, also sind wir es auch.“

    Falsch – zumindest nicht vollständig. Die Konformität des Anbieters deckt das System ab. Sie deckt nicht den Einsatz in deinem spezifischen Kontext ab. Als Betreiber trägst du Verantwortung dafür, dass Human-Oversight stattfindet, der Einsatz dokumentiert ist, und Betroffene informiert werden.

    Der Anbieter liefert das CE-zertifizierte System. Du bist verantwortlich dafür, dass du es korrekt einsetzt.


    Wann musst du handeln?

    Die Hochrisiko-Anforderungen des EU AI Acts gelten vollständig ab Dezember 2027 (verschoben von ursprünglich August 2026, „Digital Omnibus on AI“). Das klingt weit weg. Für die Praxis bedeutet es trotzdem: Systeme, die ihr gerade beschafft oder erneuert, sollten bereits gegen diese Anforderungen geprüft werden – auch weil das damit verbundene DSGVO-Risiko (Art. 22, automatisierte Entscheidungen) unabhängig von dieser Frist schon heute gilt.

    Wer erst kurz vor Dezember 2027 anfängt, eine Hochrisiko-Compliance aufzubauen, hat wenig Zeit – die Vorlaufzeit für Konformitätsbewertung und Dokumentation ist real, auch wenn die Frist weiter weg liegt als ursprünglich gedacht.


    Weitere Ressourcen

    Die vollständige Annex-III-Liste – alle 8 Bereiche mit Erläuterungen:

    Hochrisiko-KI-Systeme nach EU AI Act: Annex III vollständig erklärt

    Wenn du wissen willst, ob deine Systeme betroffen sind:

    KI-Compliance-Schnellcheck – 8 Fragen, erste Einordnung

    Zum Überblick über den gesamten EU AI Act – Zeitplan, Risikoklassen, DSGVO-Schnittstellen:

    EU AI Act – vollständiger Leitfaden für Unternehmen

    Bild von Ingo Janßen

    Ingo Janßen

    Nicht einfach nur programmieren. Probleme lösen und Aufgaben automatisieren!

    Das könnte dich auch interessieren

    Nach oben scrollen