KI-Verordnung im Personalwesen: Pflichten für HR-Abteilungen
Kurz zusammengefasst: KI im Personalwesen ist einer der gefährlichsten Compliance-Bereiche unter der KI-Verordnung (VO (EU) 2024/1689). Anhang III Nr. 4 stuft KI-Systeme im Bereich Beschäftigung und Personalmanagement explizit als Hochrisiko ein -- das betrifft Bewerbermanagement, automatisierte Bewerberauswahl, Performance-Monitoring, Beförderungsentscheidungen und KI-gestützte Kündigungen. Für KMU bedeutet das: Wer ein ATS mit KI-Ranking, ein KI-gestütztes Video-Interview-Tool oder automatisierte Leistungsbewertungen einsetzt, unterliegt den strengsten Pflichten der Verordnung. Dieser Leitfaden erklärt, was HR-Abteilungen konkret tun müssen.
Warum KI im Personalwesen Hochrisiko ist
Die KI-Verordnung stuft KI-Systeme nicht nach Branche ein, sondern nach ihrem Einsatzzweck und den potenziellen Auswirkungen auf Grundrechte. Im Personalwesen ist die Einstufung eindeutig: Anhang III Nr. 4 KI-VO listet explizit folgende Anwendungsbereiche als Hochrisiko:
- Einstellung und Auswahl natürlicher Personen -- insbesondere für die Schaltung gezielter Stellenanzeigen, das Sichten oder Filtern von Bewerbungen und die Bewertung von Bewerbern [Anhang III Nr. 4 lit. a KI-VO]
- Entscheidungen über Beschäftigungsverhältnisse -- Beförderungen, Kündigungen, Aufgabenzuweisung auf Basis individueller Merkmale, Überwachung und Bewertung der Arbeitsleistung [Anhang III Nr. 4 lit. b KI-VO]
Die Begründung des Gesetzgebers ist klar: KI-Systeme in diesen Bereichen können „erhebliche Auswirkungen auf die künftigen Karrierechancen, den Lebensunterhalt und die Arbeitnehmerrechte dieser Personen haben" [ErwGr. 57 KI-VO].
KMU-Tipp: Viele KMU unterschätzen, dass auch scheinbar harmlose Tools Hochrisiko sein können. Wenn Ihr Applicant Tracking System (ATS) Bewerbungen automatisch nach Eignung sortiert oder filtert -- und sei es nur ein Scoring im Hintergrund -- ist das ein Hochrisiko-KI-System. Entscheidend ist nicht, ob Sie die finale Entscheidung manuell treffen, sondern ob die KI die Vorauswahl beeinflusst [Anhang III Nr. 4 lit. a KI-VO].
Welche HR-Tools sind betroffen?
| KI-Anwendung in HR | Risikoklasse | Rechtsgrundlage KI-VO |
|---|---|---|
| ATS mit KI-Ranking/Scoring von Bewerbern | Hochrisiko | Anhang III Nr. 4 lit. a |
| KI-Video-Interview-Analyse (Mimik, Sprache, Wortwahl) | Hochrisiko | Anhang III Nr. 4 lit. a + ggf. Art. 5 Abs. 1 lit. f (Emotionserkennung am Arbeitsplatz: verboten) |
| Automatisiertes CV-Parsing mit Eignungsbewertung | Hochrisiko | Anhang III Nr. 4 lit. a |
| KI-gestütztes Performance-Monitoring | Hochrisiko | Anhang III Nr. 4 lit. b |
| KI-Beförderungsempfehlungen | Hochrisiko | Anhang III Nr. 4 lit. b |
| KI-gestützte Kündigungsentscheidungen | Hochrisiko | Anhang III Nr. 4 lit. b |
| Emotionserkennung bei Mitarbeitern | Verboten | Art. 5 Abs. 1 lit. f KI-VO |
| ChatGPT für Stellenanzeigen-Texte | Minimales Risiko | Keine Entscheidung über Personen; reiner Textentwurf |
| KI-Chatbot für HR-FAQ (interne Mitarbeiteranfragen) | Begrenztes Risiko | Art. 50 Abs. 1 (Transparenzpflicht) |
Pflichten als Betreiber von Hochrisiko-KI in HR
Wenn Ihr Unternehmen ein Hochrisiko-KI-System im Personalwesen einsetzt (nicht selbst entwickelt), sind Sie Betreiber im Sinne der KI-VO [Art. 3 Nr. 4 KI-VO]. Die Betreiberpflichten nach Art. 26 KI-VO sind umfangreich:
1. Einsatz gemäß Gebrauchsanweisung (Art. 26 Abs. 1)
Sie müssen das Hochrisiko-KI-System gemäß der vom Anbieter bereitgestellten Gebrauchsanweisung einsetzen. Das klingt trivial, bedeutet aber: Sie müssen die Dokumentation des Anbieters tatsächlich lesen, verstehen und befolgen -- und dokumentieren, dass Sie dies tun.
2. Menschliche Aufsicht (Art. 26 Abs. 2)
Die menschliche Aufsicht muss durch natürliche Personen erfolgen, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen [Art. 26 Abs. 2 KI-VO]. Konkret: Eine geschulte HR-Fachkraft muss jede KI-gestützte Vorauswahl prüfen können und die Befugnis haben, KI-Empfehlungen zu überstimmen.
3. Grundrechte-Folgenabschätzung -- FRIA (Art. 27 KI-VO)
Vor dem erstmaligen Einsatz eines Hochrisiko-KI-Systems müssen Betreiber eine Folgenabschätzung für die Grundrechte (Fundamental Rights Impact Assessment, FRIA) durchführen [Art. 27 Abs. 1 KI-VO]. Diese muss enthalten:
- Eine Beschreibung der Verfahren des Betreibers, in denen das KI-System eingesetzt wird
- Den Zeitraum und die Häufigkeit des geplanten Einsatzes
- Die Kategorien natürlicher Personen, die betroffen sein können
- Die spezifischen Risiken für die Grundrechte der betroffenen Personen
- Die getroffenen Maßnahmen zur Risikominimierung
KMU-Tipp: Die FRIA nach Art. 27 KI-VO ist nicht identisch mit der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO -- aber es gibt erhebliche Überschneidungen. Wenn Sie bereits eine DSFA für Ihr ATS erstellt haben, können Sie darauf aufbauen. Die FRIA geht jedoch weiter: Sie muss explizit Grundrechte wie Nichtdiskriminierung, Gleichstellung und Arbeitnehmerrechte adressieren -- nicht nur den Datenschutz. Führen Sie idealerweise beide Assessments in einem integrierten Dokument zusammen.
4. Transparenz gegenüber Betroffenen (Art. 26 Abs. 7)
Betreiber müssen natürliche Personen, die einer Entscheidung durch ein Hochrisiko-KI-System unterliegen, darüber informieren [Art. 26 Abs. 7 KI-VO]. Für HR bedeutet das: Bewerber müssen wissen, dass eine KI an der Auswertung ihrer Bewerbung beteiligt ist. Dies ergänzt die bestehende Pflicht aus Art. 22 DSGVO (automatisierte Einzelentscheidungen).
5. Protokollierung (Art. 26 Abs. 6)
Die automatisch generierten Protokolle (Logs) des Hochrisiko-KI-Systems müssen für einen Zeitraum aufbewahrt werden, der dem Verwendungszweck angemessen ist -- mindestens jedoch sechs Monate [Art. 26 Abs. 6 KI-VO].
Was, wenn Ihr Unternehmen selbst KI für HR entwickelt?
Wenn Sie als Unternehmen ein KI-System für Personalentscheidungen selbst entwickeln oder ein bestehendes System wesentlich verändern, werden Sie zum Anbieter im Sinne der KI-VO [Art. 3 Nr. 3 KI-VO]. Die Anbieter-Pflichten für Hochrisiko-Systeme nach Art. 16 KI-VO sind erheblich strenger:
- Risikomanagementsystem einrichten und dokumentieren [Art. 9 KI-VO]
- Daten-Governance: Anforderungen an Trainings-, Validierungs- und Testdaten erfüllen [Art. 10 KI-VO]
- Technische Dokumentation erstellen [Art. 11 KI-VO]
- Konformitätsbewertung vor dem Inverkehrbringen durchführen [Art. 43 KI-VO]
- CE-Kennzeichnung anbringen [Art. 48 KI-VO]
- EU-Datenbank-Registrierung vornehmen [Art. 49 KI-VO]
Drei Praxisbeispiele aus dem Personalwesen
Beispiel 1: Mittelständler nutzt ATS mit KI-Bewerber-Ranking
Ein Unternehmen mit 200 Mitarbeitern setzt ein Applicant Tracking System ein, das eingehende Bewerbungen automatisch nach Eignung für die ausgeschriebene Stelle sortiert und ein Matching-Score (0-100) vergibt.
Risikoklasse: Hochrisiko [Anhang III Nr. 4 lit. a]. Pflichten: Grundrechte-Folgenabschätzung (FRIA) vor Einsatz [Art. 27]. Menschliche Aufsicht durch geschulte HR-Kraft [Art. 26 Abs. 2]. Information an Bewerber, dass KI an der Vorauswahl beteiligt ist [Art. 26 Abs. 7]. Protokollierung der KI-Entscheidungen [Art. 26 Abs. 6]. Prüfung, ob der Anbieter des ATS seine Pflichten nach Art. 16 erfüllt (CE-Kennzeichnung, Konformitätsbewertung).
Beispiel 2: KMU nutzt KI-Video-Interview-Analyse
Ein Softwareunternehmen mit 80 Mitarbeitern setzt ein Tool ein, das Video-Interviews analysiert -- Wortwahl, Sprachmuster und Antwortstruktur werden bewertet.
Risikoklasse: Hochrisiko -- und hier wird es kritisch: Wenn das Tool auch Mimik oder Emotionen analysiert, ist es nach Art. 5 Abs. 1 lit. f KI-VO verboten (Emotionserkennung am Arbeitsplatz). Pflicht: Sofort prüfen, ob das Tool Emotionserkennung nutzt. Falls ja: Einsatz sofort einstellen. Falls nein (reine Textanalyse): Hochrisiko-Pflichten vollständig umsetzen.
Beispiel 3: Unternehmen nutzt ChatGPT für Stellenanzeigen
Die HR-Abteilung nutzt ChatGPT, um Stellenanzeigen-Texte zu formulieren und zu optimieren.
Risikoklasse: Minimales Risiko. Pflicht: KI-Kompetenz-Schulung für die HR-Mitarbeiter [Art. 4]. Keine personenbezogenen Daten von Bewerbern in ChatGPT eingeben. Prüfung der generierten Texte auf diskriminierende Formulierungen (AGG-Konformität).
Checkliste: KI-Verordnung in der HR-Abteilung umsetzen
- HR-KI-Inventar erstellen: Alle KI-Tools in HR auflisten -- ATS, Interview-Tools, Performance-Systeme, Chatbots, Textgeneratoren. Für jedes Tool dokumentieren: Was macht die KI genau? Welche Daten verarbeitet sie?
- Hochrisiko-Systeme identifizieren: Jedes Tool gegen Anhang III Nr. 4 prüfen. Faustregel: Sobald KI eine Entscheidung über eine Person beeinflusst (Einstellung, Bewertung, Beförderung, Kündigung), ist es Hochrisiko.
- Verbotene Praktiken prüfen: Wird Emotionserkennung eingesetzt [Art. 5 Abs. 1 lit. f]? Werden Mitarbeiter per KI-Social-Scoring bewertet [Art. 5 Abs. 1 lit. c]? Falls ja: Sofort einstellen.
- FRIA durchführen: Für jedes Hochrisiko-KI-System eine Grundrechte-Folgenabschätzung nach Art. 27 erstellen -- vor dem erstmaligen Einsatz.
- Menschliche Aufsicht sicherstellen: Benennen Sie eine geschulte Person mit Befugnis, KI-Empfehlungen zu überstimmen. Dokumentieren Sie den Aufsichtsprozess.
- Bewerber und Mitarbeiter informieren: Transparenzhinweis in Stellenanzeigen, Bewerbungsportalen und Arbeitsverträgen: „Wir setzen KI-Systeme im Bewerbungsprozess ein" [Art. 26 Abs. 7].
- Anbieter prüfen: Hat Ihr ATS-/HR-Tech-Anbieter die Konformitätsbewertung durchgeführt? CE-Kennzeichnung vorhanden? Technische Dokumentation verfügbar?
- KI-Kompetenz-Schulung: Alle HR-Mitarbeiter, die KI-Tools nutzen, schulen -- mit besonderem Fokus auf Bias-Erkennung und Diskriminierungsrisiken [Art. 4 KI-VO].
HR-KI-Compliance -- kein Risiko eingehen
Das KI-Compliance-Kit enthält alle Vorlagen für HR-Abteilungen: FRIA-Vorlage, Hochrisiko-Checkliste, Transparenzhinweise für Bewerber, KI-Inventar und Schulungsnachweise -- rechtssicher und verständlich für KMU.
Zum Compliance Kit (ab 149 €)Fazit: HR ist der Compliance-Brennpunkt der KI-Verordnung
Im Gegensatz zu vielen anderen Unternehmensbereichen, in denen KI-Anwendungen meist im Bereich minimales Risiko liegen, ist HR der Bereich mit dem höchsten Compliance-Risiko. Die Einstufung als Hochrisiko in Anhang III Nr. 4 ist eindeutig und lässt keinen Interpretationsspielraum.
Die drei wichtigsten Erkenntnisse für HR-Verantwortliche:
- Fast jede KI, die Personalentscheidungen beeinflusst, ist Hochrisiko -- das schließt ATS-Scoring, automatisierte Vorauswahl und Performance-KI ein
- Emotionserkennung am Arbeitsplatz ist verboten -- prüfen Sie Video-Interview-Tools und Monitoring-Software sofort
- Die FRIA nach Art. 27 ist Pflicht vor dem Einsatz -- nicht danach, nicht irgendwann, sondern bevor Sie das System produktiv nutzen
Die Bußgelder bei Verstößen sind erheblich: bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken [Art. 99 Abs. 3 KI-VO], bis zu 15 Mio. EUR oder 3 % bei Verstößen gegen Hochrisiko-Pflichten [Art. 99 Abs. 4 KI-VO]. Handeln Sie jetzt.
Weiterlesen
Stand: April 2026. Dieser Artikel dient der Information und ersetzt keine Rechtsberatung. Für verbindliche Auskünfte zu Ihrer konkreten Situation konsultieren Sie einen auf KI-Regulierung spezialisierten Rechtsanwalt oder die zuständige nationale Aufsichtsbehörde.