Das KI Gesetz: Warum gibt es den EU AI Act?
Die Phrase klingt inzwischen abgedroschen, fasst die Ausgangslage aber kurz und prägnant zusammen. Es ist keine Frage mehr, ob KI im Recruiting ankommt; sie ist längst Praxis. Seit der breiten Freischaltung großer Sprachmodelle wie ChatGPT, Gemini oder Perplexity ist nicht nur HR in einer Lernkurve, die sich nicht mehr wegdiskutieren lässt. Mit all ihren Möglichkeiten und Risiken.
Deshalb zieht Europa klare Leitplanken mit einem KI Gesetz ein. Der EU AI Act ist in Kraft und definiert stufenweise Pflichten und Verbote. Die Kunst besteht darin, den Nutzen der Technologie zu heben – ohne die rechtlichen und ethischen Risiken zu ignorieren. Wie Stefanie Foese, Senior Legal Counsel Tech & Product bei Stepstone, betont, ist die Devise „Enable statt Block“: Mit guter Navigation und Kompetenzen wird KI zu einem starken Werkzeug, nicht zur Stolperfalle.
Stefanie Foese, KI & Legal Expertin bei Stepstone
Stefanie Foese ist Expertin für rechtliche Fragestellungen rund um den Einsatz von KI im HR-Bereich. Mit ihrer fundierten Expertise an der Schnittstelle zwischen Technologie und Recht unterstützt sie Unternehmen dabei, innovative KI-Lösungen rechtskonform zu implementieren.
Stefanie Foese:
„KI kann entlang der Candidate Journey unterstützen: von der Zielgruppenbestimmung und Candidate Persona über die Erstellung von Stellenanzeigen bis zur Auswertung von Kampagnendaten. Plattformseitig nutzen wir bei Stepstone KI Recommender für die Jobempfehlungen und CV-Tools, die wir auf Bias testen.
Wichtig ist, mit echten, vielfältigen Daten zu arbeiten. Lebensläufe sind individuell und rein schematische Dummy-Daten führen zu verzerrten Ergebnissen. Kritisch wird es dort, wo KI bewertet und auswählt: Emotionserkennung in Interviews ist in der EU verboten, und automatisierte Mitarbeiterbewertungen mit CoPilot sind nicht geeignet, denn die Systeme neigen zum Halluzinieren und sind nicht für diesen Zweck gebaut. KI ist Sparringspartner und Effizienz-Booster, nicht der Autopilot für Personalentscheidungen.“
KI-Verordnung vs. DSGVO: Produktregulierung trifft Grundrechte
Die KI-Verordnung (EU AI Act) unterscheidet sich grundlegend von der DSGVO: Sie dient primär der Produktregulierung. Bevor ein KI-System auf den Markt kommt, braucht es Prüfungen, Dokumentation und eine Art „Betriebsanleitung“. Während die DSGVO die Rechte von Betroffenen schützt, zielt die KI-Verordnung auf die Sicherheit und Verlässlichkeit des Produkts ab. Inklusive Robustheit, Transparenz und Risikoklassifizierung.
Für Deutschland zeichnet sich die Bundesnetzagentur als Marktaufsichtsbehörde ab. Sie agiert pragmatisch, mit dem Ziel, KI-Anwendungen zu ermöglichen und zu unterstützen – inklusive Reallaboren, Leitfäden und Q&A-Angeboten. Zertifizierungen selbst werden voraussichtlich von „notifizierten Stellen“ wie etwa dem TÜV durchgeführt. Die Bundesnetzagentur wird hierbei zur Koordinationsdrehscheibe, auch im Austausch mit der BaFin und Datenschutzbehörden.
Zeitplan des EU AI Act - Was gilt wann?
Die Anwendung des AI Act erfolgt stufenweise. Bereits jetzt sind laut des KI Gesetzes verbotene Praktiken untersagt – dazu zählen etwa Social Scoring, emotionserkennende Systeme am Arbeitsplatz oder bestimmte Risikobewertungen von Menschen. KI-Modelle mit allgemeinem Verwendungszweck (z. B. LLMs wie ChatGPT) fallen seit August 2025 grundsätzlich unter die Regelungen.
Kommt es im HR-Bereich zum Einsatz von KI-Anwendungen, so sind diese im Sinne des KI Gesetzes häufig als Hochrisiko-Systeme anzusehen. So heißt es im Gesetz:
„KI-Systeme, die in den Bereichen Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit eingesetzt werden, insbesondere für die Einstellung und Auswahl von Personen, für Entscheidungen über Beförderung und Kündigung sowie für die Zuweisung, Überwachung oder Bewertung von Personen in Arbeitsvertragsverhältnissen, sollten ebenfalls als hochriskant eingestuft werden, da diese Systeme die künftigen Karriereaussichten und die Lebensgrundlagen dieser Personen spürbar beeinflussen können.“
Im Human Resources Management wird der AI-Act daher ab August 2026 voll anwendbar. Bis August 2027 folgt die vollständige Anwendbarkeit der restlichen Normen. Details der Prüf- und Zertifizierungsprozesse sind teils noch in Klärung – auch auf EU-Ebene wird über Zeitpläne und Leitlinien diskutiert, inklusive einer „Stop-the-Clock“-Debatte. Die Anforderungen gelten jedoch grundsätzlich weiter.
Rollen und Pflichten des KI Gesetzes: Anbieter vs. Betreiber
Zusätzlich unterscheidet das Gesetz zwischen Anbietern und Betreibern von KI-Systemen:
Anbieter sind diejenigen Unternehmen, die ein KI-System entwickeln und vermarkten – im HR-Kontext also typischerweise Softwareanbieter und HR-Tech-Unternehmen.
Betreiber sind diejenigen Unternehmen, die ein fremdes KI-System für ihre Zwecke einsetzen: also beispielsweise die Software eines Anbieters lizensieren und nutzen.
Im Alltag sind die meisten Unternehmen im Recruiting also „Betreiber“: Sie integrieren und nutzen KI-Systeme, die von anderen „Anbietern“ entwickelt wurden. Etwa ein Job-Recommender, Matching-Funktionen oder KI-gestützte Module in Bewerbermanagementsystemen.
Die Pflichten von Betreibern im Überblick
Betreiberpflichten im KI Gesetz umfassen:
- Transparenz: Betroffene müssen wissen, wenn sie mit KI interagieren.
- Betriebsanleitung befolgen: KI nur gemäß den Spezifikationen einsetzen.
- KI-Kompetenzen aufbauen: Mitarbeitende schulen, damit sie KI korrekt und sicher nutzen.
- Kontrollierte Dateneingabe: Nur zulässige Daten einspeisen, gemäß Anleitung und Datenschutz.
- Menschliche Kontrolle: Ergebnisse prüfen; die Entscheidung bleibt beim Menschen.
- Dokumentation: Eingaben und Prozesse nachvollziehbar festhalten.
KI im Recruiting: Webinar mit Stefanie Foese verpasst?
Kein Problem! Hier einfach „nachschauen“.
Vorgaben des KI Gesetzes: Wo KI hilft und wo sie nichts zu suchen hat
Der faire und rechtssichere Einsatz von KI im Recruiting beginnt mit einem klaren Ziel und der passenden Werkzeugwahl. KI gehört dorthin, wo sie messbar hilft: Lebenslauf-Auslesen, Kandidatenvorschläge, bessere Stellenanzeigen erstellen und die Auswertung von Kampagnen. Wichtig ist, dass das genutzte System genau für diesen Zweck entwickelt wurde und eine verständliche Anleitung mitbringt.
Allgemeine Textgeneratoren sind gut für Formulierungen, aber ungeeignet für heikle Entscheidungen wie finale Auswahl oder Leistungsbeurteilungen. Um es noch einmal deutlich zu sagen: KI liefert nur Vorschläge, Personalgewinnung und Fachbereich prüfen dann nach Muss- und Kann-Kriterien, Team-Passung und klären offene Punkte. Ein Vier-Augen-Prinzip vor Absage oder Angebot verhindert Fehlentscheidungen. So will es der EU AI ACT.
Stefanie Foese:
„Human Oversight ist unverzichtbar. Systeme sollten eine vielfältige, objektive Vorauswahl ermöglichen – frei von offensichtlichen Biases. Die persönliche Komponente gehört aber dazu: Sie arbeiten mit Menschen, nicht nur mit Profilen. Bias-Reduktion ist methodisch anspruchsvoll; wir testen auf bevorzugte oder benachteiligte Gruppen und korrigieren systematisch. Fotos oder Merkmale wie Geschlecht und Alter sind für objektive Kriterien irrelevant; Systeme dürfen daraus keine Nachteile ableiten, und das Fehlen eines Fotos darf ebenfalls kein Nachteil sein.“
Tipps für die bessere Umsetzung des KI Gesetzes
Datensparsamkeit schützt und verbessert übrigens das Ergebnis des Recruiting-Prozesses. Am besten nur notwendige Daten verarbeiten, Fotos ausblenden, Kampagnen mit zusammengefassten Zahlen steuern. Bias senkt man mit echten, vielfältigen Testdaten: Prüfen, ob Bewertungen bei gleichen Qualifikationen stabil bleiben, egal ob Schreibstil, Layout oder Foto. Tests, Korrekturen und Grenzen werden dokumentiert; diese Nachweise sollten auch Anbieter liefern.
Entscheidungen müssen auf fachlichen, überprüfbaren Kriterien basieren. Schulungen nach Rollen sind Pflicht: Recruiter müssen lernen, KI-Bewertungen richtig zu lesen und zu übersteuern; Rechts- und Datenschutzabteilungen kümmern sich um die Datenschutz-Folgenabschätzung (DSFA), Verzeichnisse und Verträge; Führungskräfte trainieren objektive Beurteilung und faire Interviews. Text-KI wird gezielt gesteuert durch klare Eingaben und immer menschlich gegengeprüft.
Eine Frage der Haftung
Eine saubere Dokumentation ist die Absicherung des Recruiting-Prozesses: Welche Werkzeuge, Daten und Gründe führten zur Entscheidung? Sorgfältige Anbieterauswahl, klare Verträge und messbare Ziele sichern Qualität.
Die Haftung ist ebenfalls klar: KI selbst ist nicht haftbar. Die Produkthaftung für KI ist (noch) nicht spezifisch geregelt; bis zur Novellierung greifen BGB, Sorgfaltspflichten und die Herstellerhaftung nach bestehendem Recht. Heißt praktisch: Wer die „Betriebsanleitung“ ignoriert und einen „Käse im Toaster“ schmilzt, handelt pflichtwidrig und riskiert Haftung.
Ethische Leitplanken: Zwischen Effizienz und Verantwortung
Wie viel KI ist ethisch vertretbar? Recht und Ethik sind zwei Paar Schuhe – die Verordnung zieht harte Grenzen (z. B. Verbote), doch die moralische Entscheidung, was man im Unternehmen verantworten will, bleibt eine Führungsaufgabe. Zugleich gilt: Wer KI aus Angst meidet, riskiert, abgehängt zu werden. Der richtige Weg liegt zwischen blindem Vertrauen und pauschaler Ablehnung: mit Kompetenzen, Kontrollen und einem klaren Wertkompass.
Zusammenfassung oder: Die praktische Checkliste für HR-Teams
- Welche Rolle haben sie inne? Betreiber oder Anbieter?
- Welcher Anwendungszweck liegt vor?
- Ist die KI dafür gebaut?
- Folgen Sie der „Betriebsanleitung“?
- Verbotene Praktiken müssen definitiv vermieden werden.
- Keine Emotionserkennung
- Kein Social Scoring
- Keine nicht-zweckgemäßen Bewertungen
- Datenschutz wird mit der KI Anwendung verwoben.
- Zweckbindung
- DSFA
- Verzeichnis
- Sicherheitsmaßnahmen
- und bitte alles dokumentieren!
- Human Oversight: Die letztliche Entscheidung treffen immer Menschen.
- Ergebnisse prüfen
- Festlegen: Wer übernimmt was?
- Nicht einfach der KI blind folgen
- Bias-Testing: Fragen Sie Anbieter nach Testmethoden, Ergebnissen und Korrekturprozessen.
- Interne Schulungen beinhalten etwa rollenbezogene Trainings kritisches Prompting, klare Dos & Don’ts.
- Bei der Lieferanten-Auswahl lohnt der Blick auf EU-Regelkonformität, Transparenz oder zumindest deren Roadmap zu AI-Act-Compliance.
- Vorsicht bei LLMs: Nicht einfach für HR-Entscheidungen verwenden, Halluzinationen vermeiden.
- Geduld und Priorisierung statt hektischer KI-Sperenzchen. Nicht jeder Trend ist zukunftsfest. Setzen Sie auf weiter ausentwickelte Modelle, testen Sie Tools, die neu am Markt sind nur in engem Rahmen.
Fazit: KI im Recruiting – Wenn, dann richtig!
KI ist gekommen, um zu bleiben. Für HR bedeutet das: Nutzen Sie die Technologie, wo sie Effizienz bringt und faire Vorauswahl unterstützt. Halten Sie sich an die rechtlichen Leitplanken des KI Gesetzes, prüfen Sie Ihre Systeme, schulen Sie Ihr Team und behalten Sie die Entscheidungshoheit. Die Regulierung wird konkreter, Zertifizierungen kommen – doch schon heute ist klar: Gute KI im Recruiting ist transparent, robust, bias-bewusst und immer menschlich kontrolliert.
Die beste Kombination ist am Ende die einfachste: KI plus NI – Künstliche Intelligenz plus natürliche Intelligenz.
Sie wollen mehr über den Einsatz von Künstlicher Intelligenz im Recruiting erfahren? Laden Sie jetzt unser kostenloses E-Book herunter!
Bitte beachten Sie, dass dieser Artikel keine Rechtsberatung darstellt. Es handelt sich um einen allgemeinen Text zu Informationszwecken.
