Compliance 10 Min Lesezeit

EU AI Act im Recruiting: Was sich 2026 für Personalberatungen und Headhunter ändert

Founder, RecuX ·

KI-Tools sind aus dem Recruiting nicht mehr wegzudenken. CV-Parsing, automatisiertes Candidate Matching, Scoring-Algorithmen. Headhunter und Personalberatungen nutzen diese Technologien täglich. Doch mit dem EU AI Act kommen ab August 2026 verbindliche Regeln, die den Einsatz von KI im Personalwesen grundlegend verändern. Wer sich nicht vorbereitet, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7% des Jahresumsatzes.

Was ist der EU AI Act - und wann kommt er?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Er wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und ist am 2. August 2024 in Kraft getreten. Die Umsetzung erfolgt stufenweise:

  • Februar 2025: Verbote für KI-Systeme mit unannehmbarem Risiko (bereits aktiv)
  • August 2025: Pflichten für General-Purpose AI wie ChatGPT, Claude & Co. (bereits aktiv)
  • 2. August 2026: Hauptteil der Verordnung wird anwendbar - inklusive Transparenzpflichten
  • 2. August 2027: Vollständige Pflichten für Hochrisiko-KI-Systeme

Für Personalberatungen ist besonders der letzte Termin relevant: KI-Systeme im Bereich Beschäftigung und Recruiting werden als Hochrisiko eingestuft. Aber bereits ab August 2026 gelten grundlegende Transparenz- und Informationspflichten, auf die ihr euch jetzt vorbereiten solltet.

Warum KI im Recruiting als Hochrisiko gilt

Der EU AI Act definiert in Anhang III die Bereiche, in denen KI als Hochrisiko gilt. Punkt 4 - „Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit" - betrifft die Recruiting-Branche direkt. Konkret werden folgende Anwendungen als Hochrisiko eingestuft:

  • KI zur Einstellung oder Auswahl von Personen: dazu gehören automatisierte Vorauswahl, Ranking und Scoring von Bewerbern
  • KI zur Veröffentlichung gezielter Stellenanzeigen, algorithmische Ausspielung von Job-Ads an bestimmte Zielgruppen
  • KI zur Analyse und Filterung von Bewerbungen: CV-Screening, Keyword-Matching, automatische Absagen
  • KI zur Bewertung von Kandidaten: Skill-Scoring, Personality Assessments, Video-Interview-Analyse

Die Begründung des Gesetzgebers: KI-Entscheidungen im Recruiting haben erhebliche Auswirkungen auf die Lebensgrundlage von Menschen. Ein Algorithmus, der einen qualifizierten Kandidaten fälschlicherweise aussortiert, kann dessen Karriere beeinflussen. Und Bias in KI-Systemen - ob nach Geschlecht, Alter oder ethnischer Herkunft - reproduziert bestehende Diskriminierung im großen Maßstab.

Welche Recruiting-Prozesse sind betroffen?

Für Headhunter und Personalberatungen ist es wichtig zu verstehen, welche konkreten Prozesse unter die Hochrisiko-Regulierung fallen - und welche nicht.

1. Candidate Matching & Job-Matching

Wenn ihr ein KI-Tool nutzt, das automatisch Kandidaten zu offenen Stellen zuordnet oder ranked - das ist Hochrisiko. Egal ob das Tool eine Prozentzahl ausgibt („85% Match") oder eine sortierte Liste erstellt. Sobald KI an der Entscheidung beteiligt ist, welcher Kandidat dem Kunden vorgestellt wird und welcher nicht, greift die Regulierung.

Worauf achten: Dokumentiert, wie der Matching-Algorithmus funktioniert. Stellt sicher, dass ein Mensch die finale Entscheidung trifft. Nutzt das KI-Ergebnis als Vorschlag, nicht als Entscheidung.

2. CV-Parsing & automatisierte Datenextraktion

Hier wird es differenzierter. Reines CV-Parsing - also das Extrahieren von strukturierten Daten aus einem Lebenslauf (Name, Skills, Berufserfahrung), ist für sich genommen kein Hochrisiko-System, solange es keine Bewertung oder Vorauswahl trifft. Ein Parser, der einen CV liest und die Daten in ein strukturiertes Format bringt, fällt nicht unter Anhang III.

Aber: Wenn das Parsing-Tool gleichzeitig Kandidaten bewertet, scored oder filtert - z.B. „dieser Kandidat passt zu 70% auf die Stelle" - dann wird es zum Hochrisiko-System. Die Grenze liegt bei der Entscheidungsunterstützung vs. reiner Datenaufbereitung.

Worauf achten: Trennt CV-Parsing (Datenextraktion) von Candidate Scoring (Bewertung). Ein Tool, das nur Daten extrahiert und strukturiert, ist unkritischer als eines, das automatisch filtert.

3. Automatisierte Vorauswahl & Screening

Tools, die Bewerbungen automatisch vorsortieren - sei es durch Keyword-Matching, semantische Analyse oder Scoring - sind eindeutig Hochrisiko. Das gilt auch für ATS-Systeme (Applicant Tracking Systems), die Bewerbungen automatisch in Kategorien wie „passend", „vielleicht" und „nicht passend" sortieren.

Worauf achten: Wenn euer ATS KI-basiert vorsortiert, muss der Anbieter die Hochrisiko-Anforderungen erfüllen. Fragt eure Softwareanbieter nach ihrer EU AI Act Compliance-Strategie.

4. KI-gestützte Stellenanzeigen

Nutzt ihr KI, um Stellenanzeigen zu verfassen? Das allein ist kein Hochrisiko. Aber: Wenn KI entscheidet, wem die Anzeige ausgespielt wird - also algorithmisches Targeting auf Jobportalen - dann fällt das unter die Regulierung. Der Grund: Algorithmisches Targeting kann bestimmte Gruppen systematisch ausschließen.

Was Hochrisiko konkret bedeutet: Die Pflichten

Wenn ein KI-System als Hochrisiko eingestuft wird, müssen sowohl der Anbieter (der das Tool entwickelt) als auch der Betreiber (also ihr als Personalberatung) bestimmte Pflichten erfüllen:

Pflichten für den Anbieter (Software-Hersteller)

  • Risikomanagement-System: Fortlaufende Identifikation und Minimierung von Risiken
  • Datenqualität: Trainingsdaten müssen repräsentativ, fehlerfrei und bias-frei sein
  • Technische Dokumentation: Detaillierte Beschreibung, wie das System funktioniert
  • Transparenz: Gebrauchsanweisung für den Betreiber mit Leistungsgrenzen und Risiken
  • Menschliche Aufsicht: Das System muss so gestaltet sein, dass ein Mensch eingreifen kann
  • Genauigkeit & Robustheit: Nachweisbare Leistungskennzahlen und Schutz vor Manipulation
  • Konformitätsbewertung: Vor dem Markteintritt muss das System geprüft werden

Pflichten für den Betreiber (Personalberatung)

  • Zweckgemäße Nutzung: Das KI-System nur gemäß der Gebrauchsanweisung einsetzen
  • Menschliche Aufsicht: Qualifiziertes Personal muss die KI-Ergebnisse überwachen
  • Input-Daten: Sicherstellen, dass die eingegebenen Daten relevant und repräsentativ sind
  • Monitoring: Auffälligkeiten und Fehlfunktionen dem Anbieter und ggf. der Behörde melden
  • DSGVO-Datenschutz-Folgenabschätzung: Vor dem Einsatz eine DSFA durchführen
  • Informationspflicht: Kandidaten darüber informieren, dass KI bei der Entscheidung eingesetzt wird

Wie ihr KI-Tools weiterhin compliant einsetzen könnt

Der EU AI Act verbietet KI im Recruiting nicht. Er stellt Regeln auf, wie sie eingesetzt werden darf. Für Personalberatungen, die sich vorbereiten, ist das eine Chance - nicht nur ein Risiko. Wer compliant arbeitet, hebt sich von der Konkurrenz ab.

1. Human-in-the-Loop als Prinzip

Das wichtigste Prinzip: KI unterstützt, der Mensch entscheidet. Nutzt KI-Tools, um Daten aufzubereiten, Vorschläge zu machen und Prozesse zu beschleunigen. Aber lasst immer einen erfahrenen Recruiter die finale Entscheidung treffen. Dokumentiert diesen Prozess. Wenn ein Kandidat aussortiert wird, muss die Entscheidung auf eine menschliche Bewertung zurückführbar sein - nicht auf einen Score.

2. Transparenz gegenüber Kandidaten

Informiert Kandidaten aktiv, wenn KI in eurem Prozess eingesetzt wird. Das kann ein Satz in der Datenschutzerklärung sein, ein Hinweis im Bewerbungsformular oder eine Info-Mail. Die DSGVO verlangt das bereits bei automatisierter Entscheidungsfindung (Art. 22) - der EU AI Act verstärkt diese Pflicht.

Konkret: „Wir nutzen KI-gestützte Software, um Lebensläufe zu strukturieren und Kandidatenprofile zu erstellen. Die finale Bewertung und Auswahl erfolgt immer durch unsere Recruiter persönlich."

3. Tool-Anbieter prüfen

Fragt eure Software-Anbieter gezielt:

  • Ist euer System als Hochrisiko-KI nach EU AI Act klassifiziert?
  • Habt ihr eine Konformitätsbewertung durchgeführt oder geplant?
  • Welche technische Dokumentation stellt ihr bereit?
  • Wie stellt ihr Bias-Freiheit in euren Algorithmen sicher?
  • Gibt es ein Risikomanagement-System?

Anbieter, die diese Fragen nicht beantworten können, sind ein Compliance-Risiko für euch. Denn als Betreiber seid ihr mitverantwortlich.

4. Datenextraktion von Bewertung trennen

Ein pragmatischer Ansatz: Nutzt KI-Tools für die Datenaufbereitung (CV-Parsing, Strukturierung, Profilerstellung) und haltet die Bewertung (Passt der Kandidat zur Stelle?) beim Menschen. Ein Tool, das einen Lebenslauf parst und ein formatiertes Profil im Corporate Design erstellt, ist regulatorisch unkritischer als eines, das automatisch ranked und filtert.

RecuX verfolgt genau diesen Ansatz: KI extrahiert die Daten, der Recruiter prüft und entscheidet. Kein automatisches Scoring, kein Ranking, keine Vorauswahl - nur schnelle, saubere Datenaufbereitung und professionelle Profile.

5. Dokumentation aufbauen - jetzt

Fangt heute an zu dokumentieren, welche KI-Tools ihr einsetzt, wofür, und wie der menschliche Entscheidungsprozess aussieht. Diese Dokumentation braucht ihr spätestens 2027. Aber je früher ihr anfangt, desto einfacher wird es.

Ein einfaches Template reicht:

  • Tool-Name und Anbieter
  • Einsatzzweck (CV-Parsing, Matching, Stellenanzeigen etc.)
  • Hochrisiko ja/nein und Begründung
  • Human-in-the-Loop: Wer prüft die KI-Ergebnisse?
  • Informationspflicht: Wie werden Kandidaten informiert?

EU AI Act und DSGVO: Doppelte Regulierung

Wichtig: Der EU AI Act ersetzt die DSGVO nicht - er kommt zusätzlich. Für Personalberatungen bedeutet das eine doppelte Compliance-Anforderung:

  • DSGVO: Regelt den Umgang mit personenbezogenen Daten (Lebensläufe, Kontaktdaten, Bewerbungsunterlagen)
  • EU AI Act: Regelt den Einsatz von KI-Systemen, die diese Daten verarbeiten

In der Praxis überschneiden sich die Pflichten teilweise. Die DSGVO verlangt bereits Transparenz bei automatisierter Entscheidungsfindung und eine Datenschutz-Folgenabschätzung. Der EU AI Act geht weiter: Er verlangt technische Dokumentation, Risikomanagement und Konformitätsbewertung - vom Anbieter und vom Betreiber.

Wer die DSGVO bereits ernst nimmt, hat einen Vorsprung. Aber der EU AI Act bringt zusätzliche Anforderungen, die über Datenschutz hinausgehen.

Zeitplan: Was ihr jetzt tun solltet

Auch wenn die volle Hochrisiko-Regulierung erst ab August 2027 greift, ist jetzt der richtige Zeitpunkt zum Handeln:

  • Q1/Q2 2026: Bestandsaufnahme: Welche KI-Tools setzt ihr ein? Welche fallen unter Hochrisiko?
  • Q3 2026: Anbieter prüfen: Sind eure Tool-Anbieter auf dem Weg zur Compliance?
  • Q4 2026: Prozesse anpassen: Human-in-the-Loop sicherstellen, Dokumentation aufbauen
  • Q1/Q2 2027: DSFA durchführen, Informationspflichten umsetzen, Team schulen
  • August 2027: Vollständige Compliance

Fazit: Regulierung als Qualitätsmerkmal

Der EU AI Act wird KI im Recruiting nicht abschaffen - er wird sie besser machen. Personalberatungen, die frühzeitig auf Compliance setzen, gewinnen dreifach: Sie vermeiden Bußgelder, sie schaffen Vertrauen bei Kandidaten und Kunden, und sie heben sich von Mitbewerbern ab, die das Thema ignorieren.

Der Schlüssel liegt in der bewussten Trennung: KI für Datenaufbereitung und Prozessbeschleunigung - menschliche Expertise für Bewertung und Entscheidung. Wer dieses Prinzip versteht und umsetzt, kann KI-Tools wie CV-Parsing, Profilerstellung und Workflow-Automatisierung weiterhin voll nutzen - und das mit gutem Gewissen.

EU AI ActDSGVORecruitingComplianceKI-Regulierung
RecuX - Demo buchen

CV hochladen → KI-Parsing → professionelles PDF im Corporate Design. Anonymisiert oder vollständig. Setup in 2 Minuten.

Demo buchen