KI-gestütztes Lebenslauf-Screening ist in der EU legal. KI-gestützte Analyse von Gesichtsausdrücken im Vorstellungsgespräch ist es nicht. Diese Grenze gilt seit dem 2. Februar 2025, als die Verbotstatbestände des EU AI Act (Artikel 5) in Kraft getreten sind.

Ab dem 2. August 2026 wird jedes KI-System, das Bewerbungen filtert, Kandidaten bewertet oder Einstellungsentscheidungen beeinflusst, zum Hochrisiko-KI-System nach Anhang III. Dann gelten Pflichten zur Risikobewertung, Protokollierung, menschlichen Aufsicht und Bewerberinformation. Bei Verstößen drohen Bußgelder bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.

Für HR-Teams in der DACH-Region kommt eine zusätzliche Schicht hinzu: die DSGVO und, in Deutschland, die Mitbestimmungsrechte des Betriebsrats. Hier ist die vollständige Übersicht, was erlaubt ist, was verboten ist und was Sie bis August tun müssen.

Weiterlesen: EU AI Act 2026: Was Unternehmen bis August umsetzen müssen

Was verboten ist: Die klaren Grenzen

Drei Kategorien von KI im Recruiting sind nach Artikel 5 des EU AI Act ausdrücklich verboten. Diese Verbote gelten seit dem 2. Februar 2025 und werden mit den höchsten Strafen geahndet: bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes.

Emotionserkennung im Bewerbungsprozess

Artikel 5 Absatz 1 Buchstabe f verbietet KI-Systeme, die Emotionen aus biometrischen Daten am Arbeitsplatz ableiten. Der Begriff „Arbeitsplatz" umfasst ausdrücklich den Bewerbungsprozess. Jedes Tool, das im Vorstellungsgespräch Gesichtsausdrücke, Stimmlage, Mikroexpressionen oder Körpersprache analysiert, um Emotionen, Stresslevel oder „Glaubwürdigkeit" zu bewerten, ist rechtswidrig.

Das ist keine Theorie. Anbieter wie HireVue hatten solche Funktionen im Programm, bevor sie 2021 die Gesichtsanalyse einstellten. Unter dem EU AI Act drohen jetzt die höchsten Bußgelder.

Die einzige Ausnahme: KI-Emotionserkennung für medizinische Zwecke oder Arbeitssicherheit (z. B. Müdigkeitserkennung auf Baustellen). Recruiting fällt nicht darunter.

Social Scoring von Bewerbern

KI-Systeme, die Bewerber anhand ihres Sozialverhaltens oder ihrer Persönlichkeitsmerkmale bewerten, um eine „Vertrauenswürdigkeit" zu ermitteln, sind verboten. Wenn ein Tool Social-Media-Aktivitäten, Kaufverhalten oder persönliche Netzwerke eines Bewerbers aggregiert, um daraus einen „Eignungsscore" zu generieren, der nichts mit den Stellenanforderungen zu tun hat, fällt es unter das Social-Scoring-Verbot.

Unterschwellige oder manipulative Techniken

KI, die Techniken unterhalb der Bewusstseinsschwelle nutzt, um das Verhalten von Personen wesentlich zu beeinflussen, ist verboten. Im Recruiting könnte das KI-gesteuerte Chatbots umfassen, die Bewerber dazu manipulieren, niedrigere Gehälter zu akzeptieren oder Informationen preiszugeben, die sie sonst nicht teilen würden.

Was erlaubt, aber reguliert ist: Die Compliance-Zone

Die meisten KI-Recruiting-Tools fallen in die Kategorie „erlaubt, aber streng reguliert". Anhang III, Abschnitt 4 des EU AI Act listet folgende Beschäftigungs-KI-Systeme als Hochrisiko auf:

  • KI für gezielte Stellenanzeigen an bestimmte Personen
  • KI zum Analysieren und Filtern von Bewerbungen (Lebenslauf-Screening)
  • KI zur Bewertung von Kandidaten in Interviews oder Tests
  • KI für Entscheidungen über Einstellung, Beförderung oder Kündigung
  • KI zur Überwachung und Bewertung der Leistung von Beschäftigten

Wenn Sie Tools wie Greenhouse, Workable, Paradox oder ein ATS mit KI-gestütztem Ranking verwenden, betreiben Sie ein Hochrisiko-KI-System. Das ist legal, aber nur, wenn Sie bis zum 2. August 2026 die folgenden Anforderungen erfüllen.

Weiterlesen: KI-Recruiting-Tools: Automatisierung im Hiring

Die sechs Pflichten für Hochrisiko-KI im Recruiting

Die Artikel 9 bis 15 des EU AI Act definieren, was Betreiber (also Sie, wenn Sie diese Tools einsetzen) tun müssen.

1. Risikomanagement (Artikel 9). Ein dokumentiertes, laufend aktualisiertes Risikomanagement. Für KI im Recruiting bedeutet das: Identifizieren, wie das System voreingenommene Ergebnisse produzieren könnte, Gegenmaßnahmen dokumentieren und nach jedem System-Update neu bewerten. Kein einmaliges Audit, sondern ein fortlaufender Prozess.

2. Datenqualität (Artikel 10). Trainingsdaten müssen relevant, repräsentativ und frei von systematischen Fehlern sein. Wurde Ihr KI-System mit historischen Einstellungsdaten trainiert, die männliche Bewerber bevorzugen, ist das ein Compliance-Verstoß. Fordern Sie von Ihrem Anbieter die Dokumentation zur Zusammensetzung der Trainingsdaten und zu Bias-Tests.

3. Technische Dokumentation (Artikel 11). Vollständige Dokumentation der Systemarchitektur, Trainingsmethodik, Leistungskennzahlen und bekannten Einschränkungen. Ihr Anbieter sollte diese liefern, aber Sie sind verantwortlich, sie für Behörden verfügbar zu halten.

4. Protokollierung und Nachvollziehbarkeit (Artikel 12). Das System muss Protokolle führen, die eine Rekonstruktion jeder einzelnen Einstellungsentscheidung ermöglichen. Wenn ein Bewerber fragt „Warum wurde ich aussortiert?", müssen Sie mit konkreten, dokumentierten Gründen antworten können.

5. Transparenz (Artikel 13). Bewerber müssen darüber informiert werden, dass KI im Einstellungsverfahren eingesetzt wird. Die Benachrichtigung muss erklären, was die KI tut und welche Rolle sie bei der Entscheidung spielt. Artikel 50 gibt Einzelpersonen zusätzlich das Recht, eine Erklärung der mit KI getroffenen Entscheidung zu verlangen.

6. Menschliche Aufsicht (Artikel 14). Eine qualifizierte Person muss die Ausgaben des KI-Systems jederzeit verstehen, interpretieren, überstimmen und unterbrechen können. Ein bloßes „Abnicken" der KI-Empfehlungen reicht nicht. Der menschliche Prüfer muss fachlich in der Lage sein, die Bewertung des Systems zu hinterfragen, und die Befugnis haben, sie zu korrigieren.

Deutschland: DSGVO und Betriebsrat als zusätzliche Hürden

Für Unternehmen in Deutschland gelten neben dem EU AI Act zwei weitere Rechtsschichten, die den Einsatz von KI im Recruiting zusätzlich einschränken.

DSGVO: Keine rein automatisierten Entscheidungen

Die DSGVO verlangt eine Rechtsgrundlage für die Verarbeitung von Bewerberdaten. KI, die Bewerber profiliert, löst typischerweise Artikel 22 DSGVO aus: das Recht, keiner ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet. Praktisch heißt das: Die endgültige Einstellungsentscheidung muss ein Mensch treffen, nicht der Algorithmus.

Daneben greift Artikel 14 DSGVO, wenn personenbezogene Daten nicht direkt beim Bewerber erhoben werden, etwa bei Active Sourcing über LinkedIn oder Drittaggregatoren. Dann bestehen erweiterte Informationspflichten gegenüber den Betroffenen.

Betriebsrat: Ohne Betriebsvereinbarung kein KI-Tool

Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. KI-Recruiting-Tools fallen regelmäßig darunter.

Das heißt konkret:

  • Vor der Einführung muss der Betriebsrat nach § 90 Abs. 1 Nr. 3 BetrVG informiert werden
  • Der Betriebsrat kann einen externen KI-Sachverständigen auf Kosten des Arbeitgebers hinzuziehen (§ 80 Abs. 3 Satz 2 BetrVG)
  • Eine Betriebsvereinbarung regelt typischerweise den zulässigen Einsatzrahmen, Transparenzpflichten und die regelmäßige Überprüfung des Systems

In mitbestimmten Unternehmen gilt: Ohne Betriebsvereinbarung kein KI-Tool im Recruiting. Das ist keine Empfehlung, sondern Rechtsfolge.

Weiterlesen: Was sind KI-Agenten? Ein praktischer Leitfaden für Entscheider

Auch außerhalb der EU: Regulierung auf dem Vormarsch

Der EU AI Act ist das umfassendste Regelwerk, aber nicht das einzige. Unternehmen mit internationalem Recruiting müssen weitere Gesetze beachten.

Weiterlesen: Eightfold AI verklagt: Die FCRA-Klage, die KI-Hiring-Tools gefährden könnte

Colorado AI Act (ab Juni 2026)

Colorados KI-Gesetz, verschoben vom ursprünglichen Termin, verlangt „angemessene Sorgfalt" zur Vermeidung algorithmischer Diskriminierung bei Beschäftigungsentscheidungen. Pflicht zu Impact Assessments und Bewerberbenachrichtigung. Bußgelder: bis zu 20.000 USD pro Verstoß.

Illinois (ab Januar 2026)

Illinois hat sein KI-Gesetz für Videointerviews auf den gesamten Recruiting-Prozess ausgeweitet. Arbeitgeber müssen Bewerber informieren, wenn KI eingesetzt wird, und sicherstellen, dass keine Diskriminierung aufgrund geschützter Merkmale entsteht.

New York City Local Law 144

Seit Juli 2023 in Kraft: Jährliche Bias-Audits für automatisierte Einstellungstools sind Pflicht. Die Ergebnisse müssen auf der Unternehmenswebsite veröffentlicht werden.

Compliance-Checkliste für HR-Teams

Wenn Ihr Unternehmen KI in irgendeinem Teil des Einstellungsprozesses nutzt, sollten Sie bis zum 2. August 2026 Folgendes umgesetzt haben.

KI-Inventar erstellen. Alle KI-gestützten Tools im Recruiting-Workflow erfassen: ATS-Screening, Chatbots, Scheduling-Assistenten, Video-Interview-Plattformen, Assessment-Tools. Viele Unternehmen stellen fest, dass sie mehr KI im Einsatz haben als gedacht.

Jedes Tool klassifizieren. Prüfen, ob es unter Hochrisiko (wahrscheinlich ja, wenn es die Kandidatenauswahl beeinflusst) oder unter ein Verbot fällt (Emotionserkennung, Social Scoring). Wenn ein Tool „Stimmungsanalyse" oder „Persönlichkeitsbewertung" aus Video anbietet: prüfen, ob die Verbotsgrenze überschritten wird.

Anbieter prüfen. Dokumentation zu Trainingsdaten-Governance, Bias-Testergebnissen, Entscheidungserklärbarkeit und EU-AI-Act-Compliance-Roadmap anfordern. Wenn ein Anbieter bis Mitte 2026 nichts vorlegen kann: Wechsel erwägen.

Menschliche Aufsicht implementieren. Sicherstellen, dass jede KI-generierte Empfehlung (Screening, Ranking, Scoring) von einer qualifizierten Person geprüft wird, bevor sie zur Einstellungsentscheidung wird.

Bewerberinformation einrichten. Standardmäßige Offenlegung erstellen: KI wird eingesetzt, was sie tut, wie Bewerber eine menschliche Prüfung verlangen können.

Alles dokumentieren. Protokolle der KI-Systemausgaben, menschlichen Prüfentscheidungen, Bias-Audits und Risikobewertungen aufbewahren.

Laufendes Monitoring planen. Vierteljährliche Überprüfung von Systemleistung, Bias-Metriken und Bewerber-Feedback. Risikobewertung nach jedem System-Update aktualisieren.

Häufig gestellte Fragen

Ist KI-gestütztes Lebenslauf-Screening nach dem EU AI Act erlaubt?

Ja, KI-Lebenslauf-Screening ist erlaubt, aber als Hochrisiko-KI-System nach Anhang III eingestuft. Ab dem 2. August 2026 müssen Unternehmen Risikomanagement-Systeme implementieren, Datenqualität sicherstellen, Entscheidungsprotokolle führen, menschliche Aufsicht gewährleisten und Bewerber über den KI-Einsatz informieren. Bei Verstößen drohen Bußgelder bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes.

Ist Emotionserkennung in Vorstellungsgesprächen verboten?

Ja. Seit dem 2. Februar 2025 verbietet der EU AI Act KI-Systeme, die Emotionen aus biometrischen Daten am Arbeitsplatz ableiten. Der Bewerbungsprozess fällt ausdrücklich darunter. Jedes Tool, das Gesichtsausdrücke, Stimmlage oder Körpersprache in Bewerbungsgesprächen analysiert, ist in der EU rechtswidrig. Bußgelder: bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes.

Brauche ich eine Betriebsvereinbarung für KI im Recruiting?

In mitbestimmten Unternehmen in Deutschland ja. Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht bei technischen Einrichtungen, die Verhalten oder Leistung überwachen können. KI-Recruiting-Tools fallen regelmäßig darunter. Ohne Betriebsvereinbarung darf kein KI-Tool im Recruiting eingesetzt werden. Der Betriebsrat kann zudem einen externen KI-Sachverständigen auf Arbeitgeberkosten hinzuziehen.

Gilt der EU AI Act auch für Unternehmen außerhalb der EU?

Ja. Der EU AI Act hat eine extraterritoriale Reichweite ähnlich der DSGVO. Er gilt für jedes Unternehmen, das KI-Systeme auf dem EU-Markt bereitstellt oder dessen KI-Ergebnisse in der EU genutzt werden. Wer KI einsetzt, um EU-basierte Bewerber zu screenen, zu bewerten oder auszuwählen, unterliegt dem AI Act, unabhängig vom Firmensitz.

Was droht bei Verstößen gegen den EU AI Act im Recruiting?

Die Bußgelder sind gestaffelt: Einsatz verbotener KI-Praktiken (z. B. Emotionserkennung im Bewerbungsgespräch) kostet bis zu 35 Millionen Euro oder 7 % des Umsatzes. Verstöße gegen Hochrisiko-Anforderungen (fehlende Dokumentation, keine menschliche Aufsicht beim Lebenslauf-Screening) werden mit bis zu 15 Millionen Euro oder 3 % bestraft. Für KMU gelten proportional niedrigere Obergrenzen.

Wir verfolgen KI-Compliance-Entwicklungen und ihre Auswirkungen auf HR-Technologie. Abonnieren Sie unseren Newsletter für praxisnahe Leitfäden.

Titelbild von Pexels Source