KI im Recruiting: Hochrisiko-Pflichten für Mittelstand-HR ab August 2026

Wenn KI Bewerbungen vorsortiert, Schichten plant oder Leistungsdaten auswertet, ist das nach EU AI Act kein Experimentierfeld mehr, sondern Hochrisiko-Technologie. Annex III, Punkt 4 des EU AI Act stellt klar, dass KI-Systeme für Personalentscheidungen als Hochrisiko eingestuft sind. Für mittelständische Unternehmen mit Bewerbermanagement, Schichtplanung oder automatisierten Bewerbungsfiltern bedeutet das: Es geht nicht nur um Effizienz, sondern um regulierte Systeme mit klaren Pflichten, Dokumentation und Haftung.

Dieser Beitrag richtet sich an Compliance-Verantwortliche, HR-Leitung und Geschäftsführung im Mittelstand. Er zeigt, welche HR-Funktionen tatsächlich unter die Hochrisiko-Kategorie fallen, wie Sie Bias-Monitoring und cv screening unter DSGVO-Bedingungen organisieren und wie Sie Human-in-the-Loop-Prozesse so gestalten, dass weder Personalengpässe noch Betriebsrat zum Showstopper werden.

Warum HR-KI Annex III, Punkt 4 ist und was das bedeutet

Der EU-Gesetzgeber ordnet KI-Systeme für Personalentscheidungen ausdrücklich als Hochrisiko ein. Wörtlich heißt es: Nach EU AI Act Annex III, Punkt 4 ist HR-KI Hochrisiko. Gemeint sind Systeme, die über Zugang zu Beschäftigung, Beförderung, Versetzung oder Kündigung mitentscheiden. Dazu zählen auch viele heute schon genutzte Funktionen in Bewerbermanagement-Systemen und Schichtplanungs-Tools.

Hochrisiko bedeutet nicht, dass diese Systeme verboten werden. Es bedeutet, dass Sie nur unter Einhaltung strenger Pflichten betrieben werden dürfen. Dazu gehören unter anderem Risikomanagement, Daten- und Bias-Monitoring, technische Dokumentation, Logging, Transparenz gegenüber Betroffenen und Human-in-the-Loop bei kritischen Entscheidungen. Die Hochrisiko-Pflichten sind anwendbar ab 2. August 2026, wobei ein Digital-Omnibus die Frist auf Dezember 2027 verschieben kann. Wer heute bereits KI-Bewerbungsfilter oder KI-gestützte Schichtplanung nutzt, sollte diese Zeit als Übergangsphase für eine saubere Implementierung nutzen.

Besonders relevant für den Mittelstand: Das EU-Parlament geht davon aus, dass 85 % der Großunternehmen mit Recruiting-KI betroffen sind, und dass kleine und mittlere Unternehmen ebenso erfasst werden, sobald Sie Bewerbermanagement mit entsprechenden Funktionen einsetzen. Die Schwelle liegt also nicht bei der Unternehmensgröße, sondern bei der Nutzung von Systemen wie ats-Funktionen mit automatischer Priorisierung oder cv screening mit KI.

Hochrisiko heißt: Pflichten, nicht Verbot

HR-KI im Recruiting bleibt zulässig, wenn Sie als Hochrisiko-System nach EU AI Act betrieben wird. Entscheidend ist ein nachweisbarer Prozess aus Risikomanagement, Bias-Monitoring, Dokumentation und Human-in-the-Loop, nicht ein generelles Nein zur Technologie.

Für Compliance-Verantwortliche ist die zentrale Frage daher nicht, ob KI im Recruiting eingesetzt werden darf, sondern wie sie so gestaltet wird, dass EU AI Act, DSGVO, AGG und betriebliche Mitbestimmung zusammenpassen. Genau hier setzt sensified mit klaren Umsetzungsmodellen an, statt nur Strategiepapiere zu liefern.

Was Sie davon mitnehmen: Für Compliance-Verantwortliche ist die zentrale Frage daher nicht, ob KI im Recruiting eingesetzt werden darf, sondern wie sie so gestaltet wird, dass EU AI Act, DSGVO, AGG und betriebliche Mitbestimmung zusammenpassen.

Welche HR-Funktionen tatsächlich Hochrisiko-KI sind

In vielen Unternehmen existiert bereits eine Mischung aus klassischen Workflows und KI-Funktionen, oft ohne klare Abgrenzung. Für die Einordnung nach EU AI Act ist entscheidend, ob ein System faktisch Einfluss auf Personalentscheidungen hat. Typische Beispiele im Recruiting und HR-Kontext:

• Automatisierte Bewerbungsfilter, die Kandidaten vorselektieren oder ausschließen, also ki bewerbungsfilter im Sinne des AI Act.
• Cv screening mit KI, das Lebensläufe bewertet, Scores vergibt oder Ranking-Listen erzeugt.
• Ats-Funktionen, die Bewerber automatisch priorisieren, also ats Hochrisiko-Funktionen im Sinne des KI Act.
• KI-gestützte Schichtplanung, die Verfügbarkeiten, Qualifikationen und Leistungsdaten kombiniert, also ki Schichtplanung im Rahmen des AI Act.
• KI-gestützte Leistungsbeurteilungen, etwa durch Auswertung von Kennzahlen, Tickets oder Produktionsdaten, also ki Leistungsbeurteilung mit Pflichten nach EU AI Act.

Nicht jedes Tool, das „KI“ im Marketingtext führt, ist automatisch ein Hochrisiko-System. Aber überall dort, wo ein Algorithmus faktisch bestimmt, wer eingeladen, eingestellt, versetzt oder befördert wird, greifen die Hochrisiko-Pflichten. In der Praxis betrifft das fast jedes moderne ki Recruiting mit Bewerbermanagement, das automatisierte Filter, Scoring oder Ranking einsetzt.

Für Compliance bedeutet das: Sie benötigen eine Inventur der bestehenden HR-Systeme, eine klare Abgrenzung der Hochrisiko-Funktionen und eine Entscheidung, welche Funktionen Sie künftig als Hochrisiko-KI betreiben, welche Sie auf reine Assistenz zurückstufen und welche Sie gegebenenfalls abschalten. Ein strukturierter Ansatz, wie ihn sensified in einem KI-Projekt mit Discovery-Phase nutzt, verhindert, dass diese Inventur im Tagesgeschäft versandet.

Was Sie davon mitnehmen: Für Compliance bedeutet das: Sie benötigen eine Inventur der bestehenden HR-Systeme, eine klare Abgrenzung der Hochrisiko-Funktionen und eine Entscheidung, welche Funktionen Sie künftig als Hochrisiko-KI betreiben, welch…

Praxisbeispiel: Fertigung mit KI-Schichtplanung und Bewerbermanagement

In einem mittelständischen Hersteller mit 420 Mitarbeitenden hatte die HR-Abteilung ein Schichtplanungs-Tool und ein Bewerbermanagement-System eingeführt, beide mit KI-Funktionen. Die Schichtplanung berücksichtigte Verfügbarkeit, Qualifikation und historische Leistungsdaten, das Bewerbermanagement nutzte automatisches cv screening und Ranking. Bias-Monitoring existierte nicht, die Mitbestimmung war nur rudimentär eingebunden.

Gemeinsam mit sensified wurde dieses Set-up in einem KI-Projekt neu aufgesetzt. In der Discovery-Phase wurden die relevanten Funktionen identifiziert, die unter EU AI Act Annex III als Hochrisiko gelten, und mit den Anforderungen aus DSGVO und BetrVG abgeglichen. In der Design-Phase entstand ein Konzept für Bias-Monitoring, Human-in-the-Loop und Logging, inklusive einer Betriebsvereinbarungsvorlage. In der Build-Phase implementierte sensified auf Basis einer eigenen KI-Plattform ein Schichtplanungs- und Recruiting-Backend mit EU-Hosting, klaren Schnittstellen zu den bestehenden Systemen und einem Dashboard für Bias-Monitoring. Die Operate-Phase umfasste Monitoring, Anpassungen und die Vorbereitung auf die Hochrisiko-Pflichten ab August 2026.

Das Ergebnis: Ein etabliertes Bias-Monitoring mit klaren Kennzahlen und Alerts, nachvollziehbare Human-in-the-Loop-Entscheidungen und eine Betriebsvereinbarung, die ohne langwierige Verhandlungen verabschiedet werden konnte. Die HR-Leitung konnte dem Betriebsrat konkrete Prozesse und Kontrollmöglichkeiten zeigen, statt nur auf Marketingaussagen von Tool-Anbietern zu verweisen. Die Verantwortung blieb im Unternehmen, der Code liegt vollständig beim Kunden, sensified betreibt auf Wunsch die KI-Plattform als gemanagte Umgebung.

Was Sie davon mitnehmen: Das Ergebnis: Ein etabliertes Bias-Monitoring mit klaren Kennzahlen und Alerts, nachvollziehbare Human-in-the-Loop-Entscheidungen und eine Betriebsvereinbarung, die ohne langwierige Verhandlungen verabschiedet werden kon…

Praxisbeispiel: Handel mit ATS-Priorisierung und Human-in-the-Loop

Ein technischer Großhändler mit 240 Mitarbeitenden nutzte ein Bewerbermanagement-System, dessen ats-Funktion Lebensläufe automatisch priorisierte. Die HR-Abteilung verließ sich stark auf diese Rankings, ohne genau zu wissen, wie die Scores zustande kamen. Das Diskriminierungsrisiko lag rechtlich beim Arbeitgeber, nicht beim Anbieter. Gleichzeitig standen AGG, DSGVO und der EU AI Act Annex III im Raum.

sensified setzte hier auf eine Kombination aus KI-Projekt und KI-Result. In einem achtwöchigen KI-Projekt wurde zunächst ein Human-in-the-Loop-Prozess entworfen, der sicherstellt, dass kein Kandidat ausschließlich aufgrund eines KI-Scores abgelehnt wird. Parallel entstand eine technische Lösung, die die bestehenden ats-Daten in eine EU-gehostete KI-Plattform von sensified spiegelt, dort Bias-Monitoring betreibt und eine Annex-IV-konforme Dokumentation erzeugt. Über KI-Result liefert sensified dem Kunden geprüfte Ranking-Vorschläge und Bias-Reports als Output-as-a-Service, ohne dass der Kunde selbst ein komplettes Team für Modellbetrieb aufbauen muss.

Innerhalb von 60 Tagen war ein Human-in-the-Loop-Prozess produktiv, der die Anforderungen aus EU AI Act Annex III, AGG und DSGVO abdeckt. Die Annex-IV-Dokumentation kann auf Knopfdruck erzeugt werden, inklusive Modellbeschreibung, Datenquellen, Risikoanalyse und Testprotokollen. Die HR-Abteilung behielt die fachliche Kontrolle, während Compliance und Geschäftsführung die notwendige Transparenz und Haftungssicherheit erhielten.

Was Sie davon mitnehmen: Innerhalb von 60 Tagen war ein Human-in-the-Loop-Prozess produktiv, der die Anforderungen aus EU AI Act Annex III, AGG und DSGVO abdeckt.

Bias-Monitoring und Trainingsdaten in der Mittelstandsrealität

Bias-Monitoring klingt in vielen Präsentationen abstrakt. In der Mittelstandsrealität geht es um sehr konkrete Fragen: Werden bestimmte Altersgruppen systematisch seltener eingeladen? Haben Bewerberinnen schlechtere Chancen in technischen Rollen? Werden Mitarbeitende mit bestimmten Schichtwünschen benachteiligt? Ein wirksames bias monitoring im Recruiting muss diese Fragen mit Daten beantworten können.

Für cv screening unter DSGVO-Bedingungen bedeutet dass Sie Trainings- und Betriebsdaten so strukturieren, dass Sie relevante Merkmale auswerten können, ohne unzulässige Profilbildung zu betreiben. Das erfordert ein klares Datenmodell, Pseudonymisierung und Rollenrechte. sensified setzt hier auf eine KI-Plattform, die Multi-LLM, RAG und klassische Modelle kombiniert, aber immer unter Kontrolle des Kunden und mit EU-Hosting. Die Plattform trennt Trainingsdaten, Betriebsdaten und Monitoring-Daten technisch und organisatorisch.

Ein typischer Ansatz im Mittelstand: Zunächst werden historische Bewerbungs- und Einstelldaten in einem KI-Projekt analysiert, um offensichtliche Verzerrungen zu identifizieren. Anschließend werden Kennzahlen für das laufende Bias-Monitoring definiert, etwa Einladungsquoten nach Geschlecht, Altersgruppen oder Qualifikationsclustern. Diese Kennzahlen werden in Dashboards sichtbar gemacht und mit Schwellwerten versehen. Wenn ein Wert aus dem Ruder läuft, schlägt das System Alarm und zwingt zu einer menschlichen Überprüfung.

Bias-Monitoring braucht klare Kennzahlen

Ohne definierte Kennzahlen und Schwellenwerte bleibt Bias-Monitoring eine Behauptung. Erst wenn Einladungsquoten, Ablehnungsgründe und Score-Verteilungen messbar sind, können Sie Diskriminierungsrisiken im Recruiting nachweisbar steuern.

Wichtig ist, dass dieses Monitoring nicht als einmaliges Projekt verstanden wird. Es ist ein laufender Prozess, der in die Governance der HR-KI eingebettet sein muss. sensified unterstützt Unternehmen dabei, diesen Prozess auf der eigenen KI-Plattform zu verankern, statt sich auf intransparente Funktionen großer Cloud-Anbieter zu verlassen.

Was Sie davon mitnehmen: Wichtig ist, dass dieses Monitoring nicht als einmaliges Projekt verstanden wird.

Human-in-the-Loop ohne Personalengpass

Der EU AI Act verlangt bei Hochrisiko-Systemen, dass Menschen die Kontrolle behalten. Im Recruiting bedeutet dass keine vollautomatisierten Ablehnungen stattfinden dürfen, ohne dass eine qualifizierte Person die Entscheidung nachvollziehen und gegebenenfalls korrigieren kann. Viele Unternehmen fürchten an dieser Stelle einen Personalengpass, insbesondere in HR-Teams, die ohnehin stark ausgelastet sind.

In der Praxis lassen sich Human-in-the-Loop-Prozesse so gestalten, dass Sie die Arbeit der HR-Abteilung strukturieren, statt sie zu überlasten. Ein Beispiel: Die KI erstellt ein Ranking der Bewerbungen, markiert aber nur Grenzfälle und potenziell kritische Entscheidungen für eine manuelle Prüfung. Standardfälle werden dokumentiert, aber nicht einzeln kommentiert. So konzentriert sich die menschliche Aufmerksamkeit auf die wirklich relevanten Fälle.

sensified nutzt hierfür häufig eine Kombination aus KI-Plattform und KI-Result. Die Plattform stellt die technische Grundlage für Scoring, Logging und Workflows bereit. Über KI-Result werden konkrete Entscheidungsvorlagen geliefert, etwa Listen mit markierten Grenzfällen, Vorschläge für Einladungen oder Hinweise auf mögliche Bias-Risiken. Die HR-Verantwortlichen behalten die Entscheidungshoheit, müssen aber nicht jede Zeile Rohdaten selbst prüfen.

Für Compliance ist entscheidend, dass diese Human-in-the-Loop-Prozesse dokumentiert und auditierbar sind. Wer wann welche Entscheidung getroffen oder übersteuert hat, muss nachvollziehbar sein. Hier spielt die Kombination aus Logging, Rollen- und Rechtemodell und klaren Prozessbeschreibungen eine zentrale Rolle.

Was Sie davon mitnehmen: Für Compliance ist entscheidend, dass diese Human-in-the-Loop-Prozesse dokumentiert und auditierbar sind.

Dokumentation, Logging und betriebliche Mitbestimmung

Hochrisiko-KI im Recruiting erfordert nicht nur technische Maßnahmen, sondern auch saubere Dokumentation und Einbindung der Mitbestimmung. Der EU AI Act verlangt eine technische Dokumentation nach Annex IV, die das System, seine Zwecke, Datenquellen, Risiken und Tests beschreibt. Parallel dazu stellen DSGVO, AGG und BetrVG Anforderungen an Transparenz, Informationspflichten und Mitbestimmung.

In der Praxis empfiehlt sich ein dreistufiger Ansatz. Erstens eine technische Dokumentation, die Annex-IV-konform ist und die KI-Systeme beschreibt. Zweitens ein Logging-Konzept, das alle relevanten Entscheidungen, Scores und Eingriffe von Menschen nachvollziehbar macht. Drittens eine betriebliche Vereinbarung, die Nutzung, Kontrollrechte und Beschwerdewege regelt. sensified unterstützt Unternehmen dabei, diese drei Ebenen in einem KI-Projekt zu verzahnen und auf der eigenen KI-Plattform technisch abzubilden.

Für Betriebsräte ist besonders wichtig, dass Sie nicht nur ein fertiges System abnicken, sondern frühzeitig in die Gestaltung eingebunden werden. Ein transparenter Proof-of-Concept, in dem reale, aber pseudonymisierte Daten genutzt werden, schafft hier Vertrauen. Über Dashboards können Betriebsräte sehen, wie sich Kennzahlen entwickeln, ohne Zugriff auf personenbezogene Details zu erhalten.

Wer diese Governance-Struktur sauber aufsetzt, reduziert nicht nur rechtliche Risiken, sondern auch Konflikte im Unternehmen. HR, Compliance, IT und Betriebsrat arbeiten auf einer gemeinsamen Datenbasis, statt sich über Vermutungen zu streiten.

Was Sie davon mitnehmen: Wer diese Governance-Struktur sauber aufsetzt, reduziert nicht nur rechtliche Risiken, sondern auch Konflikte im Unternehmen.

Bußgelder, Haftung und der Mythos vom unbeteiligten Anbieter

Ein verbreiteter Irrtum im Mittelstand lautet: „Unser Tool-Anbieter wird das schon alles EU-KI-Act-konform machen.“ Diese Hoffnung ist trügerisch. Der EU AI Act adressiert zwar auch Anbieter von KI-Systemen, entlässt aber die Betreiber nicht aus der Verantwortung. Wer ein KI-System im Recruiting einsetzt, ist in der Regel Betreiber und damit in der Pflicht, die Hochrisiko-Anforderungen im eigenen Haus umzusetzen.

Bußgelder können erheblich sein, insbesondere bei systematischen Verstößen gegen Hochrisiko-Pflichten oder bei Verstößen gegen Grundrechte. Hinzu kommen Haftungsrisiken aus AGG und DSGVO, etwa wenn diskriminierende Muster nachweisbar auf den Einsatz eines KI-Systems zurückzuführen sind. In solchen Fällen wird sich kein Anbieter dauerhaft auf die Rolle des „unbeteiligten Technologielieferanten“ zurückziehen können, aber die erste Adresse für Betroffene und Aufsichtsbehörden ist der Arbeitgeber.

sensified setzt genau hier an und unterscheidet sich bewusst von klassischen KI-Beratungen oder Hyperscaler-Plattformen. Statt nur Konzepte zu schreiben oder Standardplattformen zu resellen, bietet sensified drei klare Modelle: KI-Projekt für die individuelle Umsetzung, KI-Plattform als gemanagte Infrastruktur unter Kontrolle des Kunden und KI-Result als Output-as-a-Service. Alle Modelle sind EU-gehostet, TISAX®-konform und sehen eine vollständige Code-Übergabe vor, wenn der Kunde dies wünscht.

Für Compliance-Verantwortliche bedeutet das: Sie behalten die Hoheit über Daten, Modelle und Prozesse. Sie sind nicht von proprietären Blackbox-Funktionen abhängig und können gegenüber Aufsichtsbehörden und Betriebsrat nachvollziehbar darlegen, wie Ihr ki Recruiting mit Bewerbermanagement, Schichtplanung und Leistungsbeurteilung gesteuert wird. Die Kombination aus Festpreis-Projekten, klaren Betriebsmodellen und auditierbarer Plattform reduziert das Vendor-Lock-in-Risiko und schafft eine belastbare Grundlage für die kommenden Jahre.

Was Sie davon mitnehmen: Für Compliance-Verantwortliche bedeutet das: Sie behalten die Hoheit über Daten, Modelle und Prozesse.

Nächste Schritte

Wenn Sie HR-KI im Unternehmen bereits einsetzen oder konkret planen, sollten Sie jetzt eine strukturierte Inventur Ihrer Systeme und Funktionen starten. Identifizieren Sie, welche Komponenten als Hochrisiko-KI gelten, und definieren Sie für diese einen Fahrplan bis August 2026.

Im nächsten Schritt empfiehlt sich ein fokussiertes KI-Projekt mit sensified, in dem Bias-Monitoring, Human-in-the-Loop, Dokumentation und Mitbestimmung für einen priorisierten Use Case umgesetzt werden. Auf dieser Basis können Sie entscheiden, ob eine eigene KI-Plattform oder ein KI-Result-Modell für weitere Anwendungsfälle sinnvoll ist.

Wenn Sie diese Weichen früh stellen, gewinnen Sie Handlungsspielraum gegenüber Aufsichtsbehörden, Betriebsrat und Geschäftsführung und vermeiden hektische Notmaßnahmen kurz vor Inkrafttreten der Hochrisiko-Pflichten.