Eine Personalberatung in München nutzt täglich ein KI-Scoring-Tool, um aus 300 Bewerberprofilen eine Vorauswahl zu treffen. Nach dem EU AI Act ist diese Beratung Betreiberin eines hochriskanten KI-Systems — mit eigenständigen Compliance-Pflichten, die kein Softwareanbieter für sie erfüllen kann.
Viele Recruiterinnen und Recruiter gehen davon aus, dass der EU AI Act (Verordnung 2024/1689) vor allem die Hersteller von KI-Software betrifft. Diese Annahme ist falsch. Die Verordnung unterscheidet zwischen Anbietern — den Unternehmen, die KI-Systeme entwickeln und vermarkten — und Betreibern: den Agenturen und Unternehmen, die diese Systeme im Alltag einsetzen. Artikel 26 richtet sich direkt an die Betreiber und enthält Pflichten, die unabhängig davon bestehen, wie gut der Anbieter sein Produkt dokumentiert hat.
Dieser Leitfaden richtet sich an Personalvermittlungen, Executive-Search-Firmen und In-House-TA-Teams in der DACH-Region. Er erklärt, warum Recruiting-KI als hochriskant eingestuft wird, was Artikel 26 konkret verlangt, und wie der Betriebsrat sowie die DSGVO ins Bild passen.
Warum Recruiting-KI als hochriskant gilt
Anhang III der EU AI Act-Verordnung listet KI-Systeme, die im Kontext von Einstellung, Beförderung und Leistungsbewertung von Arbeitnehmerinnen und Arbeitnehmern eingesetzt werden, explizit als hochriskant auf. Die Klassifizierung gilt, weil diese Systeme den Zugang zu Beschäftigung — ein grundlegendes gesellschaftliches Gut — direkt beeinflussen.
Konkret betroffen sind alle KI-gestützten Werkzeuge, die Bewerberprofile ranken, CV-Daten maschinell auswerten oder auf Basis von Datenpunkten Empfehlungen zu einzelnen Kandidatinnen und Kandidaten aussprechen. Es kommt nicht darauf an, ob am Ende ein Mensch die Entscheidung trifft — die maschinelle Vorfilterung selbst fällt in den Anwendungsbereich. Wer also ein ATS mit KI-Matching, ein Sourcing-Tool mit automatisierter Relevanzwertung oder ein CV-Parsing-System mit Priorisierungsfunktion einsetzt, betreibt mit hoher Wahrscheinlichkeit ein hochriskantes KI-System im Sinne von Anhang III.
Die europäische Regulierungslogik dahinter ist klar: Ein Bewerber, der von einem KI-System aussortiert wird, hat keine Möglichkeit, die Entscheidung nachzuvollziehen — es sei denn, der Betreiber schafft die dafür nötigen Transparenzstrukturen. Genau das verlangt der AI Act.
„Der Anbieter hat das System gebaut. Der Betreiber entscheidet, gegen wen es eingesetzt wird. Artikel 26 regelt diese Verantwortung — nicht aus Misstrauen gegenüber KI, sondern aus Respekt vor den Menschen, die von ihr bewertet werden."
Die Dezember-2027-Frist: Verlängerung ist kein Aufschub
Die ursprüngliche Frist für Hochrisiko-Betreiberpflichten wurde vom 2. August 2026 auf den 2. Dezember 2027 verschoben — aufgrund der vorläufigen politischen Einigung zwischen Rat und Parlament im Digital-Omnibus-Paket vom 7. Mai 2026. Die formelle Annahme steht noch aus, die Richtung ist jedoch politisch gesetzt.
Was diese Verlängerung bedeutet: mehr Zeit für den Aufbau der nötigen Strukturen — kein Freibrief, das Thema zu vertagen. Die Maßnahmen, die Artikel 26 verlangt, lassen sich nicht in wenigen Wochen umsetzen. Agenturen, die im Dezember 2027 compliant sein wollen, müssen 2026 mit der Arbeit beginnen.
| Meilenstein | Datum | Relevanz für Recruiterinnen und Recruiter |
|---|---|---|
| AI Act in Kraft | 1. August 2024 | Verordnung 2024/1689 veröffentlicht |
| KI-Kompetenz (Art. 4) | 2. Februar 2025 | Gilt bereits — alle KI-Nutzenden brauchen Grundkenntnisse |
| Ursprüngliche Hochrisiko-Frist | 2. August 2026 | Durch Digital Omnibus verlängert |
| Neue Hochrisiko-Frist | 2. Dezember 2027 | Artikel-26-Compliance erforderlich (Annahme ausstehend) |
Anbieter vs. Betreiber: Warum die Unterscheidung entscheidend ist
Der Anbieter entwickelt das KI-System und bringt es auf den Markt — er ist für Konformitätsbewertung, technische Dokumentation und CE-Kennzeichnung verantwortlich. Der Betreiber setzt das System im beruflichen Kontext ein und trägt dafür eigene, davon unabhängige Pflichten. Ein zertifiziertes Produkt eines compliance-konformen Anbieters entbindet die Agentur nicht von ihrer Verantwortung nach Artikel 26.
| Pflicht | Anbieter | Betreiber (Sie) |
|---|---|---|
| Technische Dokumentation & Konformitätsbewertung | Ja | Nein (aber Prüfpflicht) |
| Menschliche Aufsicht bestimmen (Art. 14) | Nein | Ja — zuständige Person mit Überstimmungsrecht |
| Protokollaufbewahrung (≥ 6 Monate) | Teilweise | Ja — Betriebsprotokolle unter eigener Kontrolle |
| Eingabedaten auf Relevanz prüfen | Nein | Ja — Sie kontrollieren die eingespeisten Daten |
| Diskriminierendes Ergebnis überwachen | Nur auf Designebene | Ja — laufende operative Überwachung |
| Grundrechte-Folgenabschätzung (Art. 27) | Nein | Ja — wo Art. 27-Kriterien erfüllt sind |
| Betriebsrat und Bewerber informieren | Nein | Ja — eigene Informationspflicht |
Die sieben Betreiberpflichten aus Artikel 26 — konkret für den Recruiting-Alltag
Artikel 26 nennt sieben Kernpflichten für Betreiber hochriskanter KI-Systeme. Jede einzelne hat direkte Auswirkungen auf den Arbeitsalltag von Personalvermittlungen und TA-Abteilungen. Die menschlichen Aufsichtspflichten aus Artikel 14 bilden dabei das Fundament.
1. Menschliche Aufsicht sicherstellen. Sie müssen eine zuständige Person benennen, die die KI-Ausgaben kompetent beurteilen und im Zweifelsfall überstimmen kann. Diese Person muss die Fähigkeit haben, diskriminierende oder fehlerhafte Ergebnisse zu erkennen — eine formale Funktion ohne reale Entscheidungskompetenz reicht nicht aus.
2. Nutzungsvorgaben des Anbieters einhalten. Das System darf nur für die dokumentierten Verwendungszwecke eingesetzt werden. Wer ein CV-Screening-Tool für Zwecke nutzt, für die es nicht vorgesehen ist, oder es mit Datensätzen verbindet, die der Anbieter nicht berücksichtigt hat, trägt die Verantwortung für die daraus entstehenden Risiken selbst.
3. Eingabedaten auf Relevanz prüfen. Die Qualität der KI-Ausgaben hängt direkt von der Qualität der Daten ab, die Sie einspeisen. Veraltete Kandidatenprofile, historisch verzerrte Datensätze oder unvollständige Informationen führen zu verzerrten Ergebnissen — und die Verantwortung für diese Datenlage liegt beim Betreiber, nicht beim Anbieter. Dieser Punkt verknüpft sich unmittelbar mit den DSGVO-Anforderungen an Datenminiminierung und Datenqualität.
4. Protokolle mindestens sechs Monate aufbewahren. Operative Protokolle des KI-Systems — welche Eingaben verarbeitet wurden, welche Ausgaben entstanden, welche menschlichen Entscheidungen folgten — müssen für mindestens sechs Monate aufbewahrt werden. Diese Dokumentation bildet die Grundlage für jede regulatorische Prüfung.
5. Diskriminierende Ausgaben überwachen. Laufende Überwachung auf Bias ist Betreiberpflicht, kein einmaliges Projekt. Sie benötigen einen Mechanismus, um systematisch zu prüfen, ob das System bestimmte Bevölkerungsgruppen — nach Geschlecht, Alter, Herkunft oder Behinderung — benachteiligt, und einen Prozess zur Eskalation und Behebung.
6. Grundrechte-Folgenabschätzung durchführen (wo erforderlich). Artikel 27 verlangt eine solche Abschätzung unter bestimmten Bedingungen. Für private Personalvermittlungsagenturen wird sie in vielen Fällen nicht zwingend erforderlich sein — dennoch empfiehlt es sich, die Fragen des Verfahrens systematisch zu beantworten, insbesondere wenn öffentliche Auftraggeber zu Ihren Kunden gehören.
7. Betriebsrat und Bewerber informieren. Wo hochriskante KI im Beschäftigungskontext eingesetzt wird, müssen Arbeitnehmervertretungen informiert werden. In Deutschland bedeutet das auch die Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG — der Betriebsrat hat ein echtes Mitspracherecht beim Einsatz technischer Überwachungssysteme, zu denen KI-Scoring-Tools zählen können. Bewerberinnen und Bewerber müssen zudem transparent über die KI-gestützte Verarbeitung ihrer Daten informiert werden.
„Der Betriebsrat ist kein Hindernis für KI im Recruiting — er ist ein früher Qualitätsfilter. Wer ihn einbezieht, bevor das System live geht, vermeidet teure Nachbesserungen und baut Vertrauen auf."
DSGVO und AI Act: Zwei Rahmen, eine Datenbasis
Der EU AI Act ergänzt die DSGVO — er ersetzt sie nicht. Für Personalvermittlungen in der DACH-Region bedeutet das: Beide Regelwerke gelten gleichzeitig, und es gibt erhebliche Überschneidungen, die die Compliance-Arbeit vereinfachen können, wenn man sie strategisch angeht.
Die DSGVO verlangt Transparenz, Datenminimierung und eine dokumentierte Rechtsgrundlage für jede Verarbeitung personenbezogener Daten. Der AI Act verlangt Erklärbarkeit, Auditprotokolle und menschliche Aufsicht. Beides zusammen ergibt eine konsistente Anforderung: KI-Systeme im Recruiting müssen nachvollziehbar sein — für Bewerber, für Aufsichtsbehörden und für den Betriebsrat. Das BDSG verschärft diese Anforderungen im deutschen Kontext zusätzlich, insbesondere in § 26, der die Verarbeitung von Beschäftigtendaten regelt.
Eine gut geführte DSGVO-Compliance-Dokumentation ist damit zugleich eine solide Grundlage für die AI-Act-Compliance — sofern sie auch die KI-spezifischen Elemente (Protokolle, Überwachungsmechanismus, Zuständige Person) enthält. Wer seinen Datenumgang im Recruiting bereits sauber dokumentiert hat, hat einen strukturellen Vorteil beim Aufbau des Article-26-Frameworks.
KI-Kompetenz (Artikel 4): Gilt bereits
Artikel 4 des AI Act verpflichtet Betreiber, sicherzustellen, dass alle Mitarbeitenden, die KI-Systeme einsetzen, über ausreichende KI-Kompetenz verfügen. Diese Pflicht gilt seit dem 2. Februar 2025 — für alle KI-Systeme, nicht nur für hochriskante.
KI-Kompetenz im Recruiting-Kontext bedeutet nicht, dass Recruiterinnen und Recruiter die Technik hinter einem Matching-Algorithmus verstehen müssen. Es bedeutet, dass sie wissen sollten, was das System optimiert, welche Fehlertypen wahrscheinlich sind, wie ein auffälliges Ergebnis erkannt wird — und wie man es meldet. Diese Kenntnisse müssen im Onboarding verankert und bei System-Updates aktualisiert werden.
Wie Yena die Artikel-26-Anforderungen abbildet
Plattformen, die den Menschen als Dirigenten — nicht als Beobachter — positionieren, erfüllen die Anforderungen von Artikel 26 strukturell besser als rein automatisierte Systeme. Yenas Sourcing-Tools zeigen Recruiterinnen und Recruitern nicht nur eine Rangliste, sondern die Begründung hinter jeder Bewertung — weil Erklärbarkeit genau das Artefakt ist, das menschliche Aufsicht ermöglicht.
Entscheidungsprotokolle in Yena erfassen, welche KI-Ausgaben akzeptiert, welche überstimmt und warum menschliche Entscheidungen von der Systemempfehlung abgewichen sind. Das ergibt die sechsmonatige Protokollkette, die Artikel 26 verlangt — ohne zusätzlichen manuellen Aufwand. KI assistiert, sie entscheidet nicht. Dieser Ansatz entspricht nicht nur dem regulatorischen Anspruch, sondern auch dem inhaltlichen: gutes AI Sourcing verbessert die Qualität menschlicher Entscheidungen, es ersetzt sie nicht.
Für Agenturen, die ihre Plattformwahl mit Blick auf die Dezember-2027-Frist überdenken, ist die entscheidende Frage an jeden Anbieter: Kann ich meine eigene Artikel-26-Compliance mit Ihren Protokollen nachweisen? Das ist eine andere Frage als „Ist Ihr Produkt compliant?" — und die Antwort darauf interessiert die Behörden.
„Agenturen, die KI als Werkzeug ihrer Recruiter einsetzen — nicht als Ersatz für sie — werden die Compliance-Anforderungen des AI Act als Bestätigung ihres Ansatzes erleben, nicht als Bürde."
Häufig gestellte Fragen
Gilt der EU AI Act auch für kleine Personalvermittlungsagenturen?
Ja. Die Pflichten aus Artikel 26 gelten für alle Betreiber hochriskanter KI-Systeme — unabhängig von Unternehmensgröße oder Umsatz. Eine Boutique-Agentur mit drei Recruitern, die ein KI-Screening-Tool einsetzt, ist genauso betroffen wie ein Konzern.
Wann treten die Betreiberpflichten für Hochrisiko-KI in Kraft?
Die ursprüngliche Frist (2. August 2026) wurde im Rahmen des Digital-Omnibus-Pakets (vorläufige politische Einigung von Rat und Parlament, 7. Mai 2026) auf den 2. Dezember 2027 verschoben. Die formelle Verabschiedung steht noch aus. Die Richtung bleibt dieselbe — nur der Zeitplan hat sich geändert.
Was ist der Unterschied zwischen Anbieter und Betreiber im Sinne des AI Act?
Der Softwareanbieter, der das KI-System entwickelt und vermarktet, ist der Anbieter. Die Agentur oder HR-Funktion, die es einsetzt, ist der Betreiber. Die Compliance-Zertifizierung des Anbieters entbindet den Betreiber nicht von seinen eigenständigen Pflichten gemäß Artikel 26.
Welche Bußgelder drohen bei Verstößen gegen den EU AI Act?
Verstöße gegen Betreiberpflichten können Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes nach sich ziehen — je nachdem, welcher Betrag höher ist (Artikel 99 AI Act). Verstöße gegen verbotene KI-Praktiken können bis zu 35 Millionen Euro oder 7 Prozent betragen.
Müssen Betreiber den Betriebsrat über den Einsatz von Recruiting-KI informieren?
Ja. Artikel 26 AI Act verpflichtet Betreiber, die Arbeitnehmervertreter über den Einsatz hochriskanter KI-Systeme in Beschäftigungskontexten zu informieren. In Deutschland greift zudem das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG.
Der EU AI Act verbietet KI im Recruiting nicht — er verlangt, dass sie verantwortungsvoll eingesetzt wird: mit dokumentierter menschlicher Aufsicht, sauberen Eingabedaten, gespeicherten Protokollen und transparenter Kommunikation gegenüber Bewerbern und Betriebsrat. Das ist kein Widerspruch zu guter Recruiting-Praxis. Es ist ihre formale Beschreibung.
Wenn Sie prüfen möchten, wie Yenas KI-Sourcing-Tools Erklärbarkeit und Entscheidungsprotokolle in der Praxis abbilden, sprechen wir gerne in einem 20-minütigen Gespräch über Ihren konkreten Anwendungsfall.