Der 2. August 2026 rückt näher – und mit ihm die vollständige Anwendbarkeit der Hochrisiko-Anforderungen des EU AI Act für KI-gestützte Recruiting-Systeme. Was abstrakt klingt, hat konkrete Konsequenzen: Wer Bewerber-Screening, automatisches Ranking, Candidate Matching oder KI-basiertes Performance-Monitoring anbietet oder einsetzt, unterliegt ab diesem Datum einem umfangreichen Pflichtenkatalog. Die Erfahrung aus vergleichbaren Regulierungsprojekten zeigt: Wer erst im Frühjahr 2026 mit der Vorbereitung beginnt, hat bereits zu spät angefangen.

Dieser Artikel richtet sich an technische Entscheider bei HR-SaaS-Anbietern und Unternehmen, die solche Systeme einsetzen. Er erklärt, was konkret zu tun ist, wo die häufigsten Lücken liegen – und wie Sie den verbleibenden Zeitraum strukturiert nutzen können.

Warum Recruiting-KI als Hochrisiko-System eingestuft ist

Der EU AI Act klassifiziert KI-Systeme, die bei Beschäftigungsentscheidungen eingesetzt werden, explizit als hochriskant (Anhang III, Nummer 4). Der Gesetzgeber begründet dies mit dem erheblichen Einfluss auf die Lebensumstände von Personen: Ein System, das automatisch entscheidet, welche Bewerberin in die nächste Runde kommt – oder welcher Kandidat gar nicht erst gesichtet wird – hat direkte Auswirkungen auf Berufs- und Lebenschancen.

Die betroffenen Systemkategorien sind dabei breiter als viele Anbieter annehmen:

  • Screening-Systeme, die Lebensläufe automatisch filtern oder priorisieren
  • Ranking-Algorithmen, die Bewerber anhand von Scores sortieren
  • Matching-Systeme, die Kandidaten und Stellen zusammenführen
  • Assessment-Tools, die Video-Interviews oder psychometrische Tests automatisch auswerten
  • Performance-Monitoring-Systeme für bestehende Mitarbeiter

Ein häufiges Missverständnis: Auch Systeme, die lediglich eine Empfehlung ausgeben und die finale Entscheidung beim Menschen belassen, fallen unter die Hochrisiko-Kategorisierung – sofern das System wesentlich zur Entscheidungsfindung beiträgt.

Die Pflichten im Überblick: Was Provider und Deployer schulden

Der EU AI Act unterscheidet zwischen Providern (Anbieter, die das KI-System entwickeln und in Verkehr bringen) und Deployern (Unternehmen, die das System im eigenen Kontext einsetzen). Beide Parteien tragen Pflichten – die Verteilung ist jedoch asymmetrisch.

Pflichten der Provider

1. Konformitätsbewertung (Conformity Assessment) Provider müssen nachweisen, dass ihr System die Anforderungen des AI Act erfüllt. Für die meisten Recruiting-KI-Systeme ist eine interne Konformitätsbewertung ausreichend – eine Zertifizierung durch eine Drittpartei ist nur in bestimmten Fällen (z. B. biometrische Systeme) vorgeschrieben. Die Bewertung muss dokumentiert und auf aktuellem Stand gehalten werden.

2. Technische Dokumentation nach Anhang IV Dies ist einer der aufwändigsten Punkte. Anhang IV schreibt vor, dass die technische Dokumentation folgende Elemente umfassen muss:

  • Allgemeine Beschreibung des Systems und seines Verwendungszwecks
  • Beschreibung der verwendeten Daten (Trainings-, Validierungs- und Testdaten)
  • Angaben zu Leistungsmetriken und Testverfahren
  • Angaben zu bekannten Einschränkungen und Risiken
  • Beschreibung der Logging-Mechanismen
  • Informationen für Deployer (Instructions for Use)

In der Praxis bedeutet das: Wer bisher keine systematische Modellkarte führt oder Trainingsdaten nicht vollständig dokumentiert hat, steht vor erheblichem Nachholbedarf.

3. Risikomanagement-System Provider müssen ein kontinuierliches Risikomanagement-System etablieren – kein einmaliges Audit, sondern ein laufender Prozess. Dieser umfasst die Identifikation von Risiken, die Bewertung ihrer Wahrscheinlichkeit und Schwere sowie die Implementierung von Maßnahmen zur Risikominimierung.

4. Datenverwaltung und Bias-Testing Das Thema algorithmischer Diskriminierung steht im Zentrum der Hochrisiko-Anforderungen. Provider müssen sicherstellen, dass Trainingsdaten auf relevante Verzerrungen untersucht werden und dass das System keine unzulässigen Diskriminierungen produziert – insbesondere entlang der in der EU-Grundrechtecharta geschützten Merkmale wie Geschlecht, ethnische Herkunft, Alter oder Behinderung.

5. Logging und Audit-Trail Hochrisiko-Systeme müssen automatische Protokollierung implementieren, die eine nachträgliche Überprüfbarkeit von Systementscheidungen ermöglicht. Die Logs müssen mindestens für den Zeitraum aufbewahrt werden, der für die jeweilige Anwendung als angemessen gilt – in der Regel orientiert an den Aufbewahrungsfristen für Personaldaten.

6. EU-Registrierung Provider müssen ihre Hochrisiko-Systeme in der EU-Datenbank für KI-Systeme registrieren, bevor sie diese auf den Markt bringen.

7. EU-Repräsentant und Konformitätserklärung Anbieter aus Drittstaaten müssen einen in der EU ansässigen Repräsentanten benennen. Die Konformitätserklärung muss die CE-Kennzeichnung erlauben.

Pflichten der Deployer

Deployer – also Unternehmen, die Recruiting-KI im eigenen HR-Prozess einsetzen – tragen ebenfalls substanzielle Pflichten:

  • Nutzung gemäß den Anweisungen des Providers: Das System darf nur für den vorgesehenen Zweck eingesetzt werden.
  • Fundamentale Rechte und Folgenabschätzung: Öffentliche Stellen sowie private Betreiber unter bestimmten Bedingungen müssen eine Grundrechte-Folgenabschätzung durchführen.
  • Menschliche Aufsicht: Deployer müssen sicherstellen, dass Systementscheidungen unter menschlicher Aufsicht getroffen werden. Ein vollautomatischer Ablehnungsprozess ohne menschliche Intervention ist nicht zulässig.
  • Transparenzpflichten gegenüber betroffenen Personen: Bewerber müssen informiert werden, wenn KI-Systeme bei ihrer Bewerbung eingesetzt werden.
  • Monitoring und Anomalie-Meldung: Deployer müssen das System im laufenden Betrieb überwachen und relevante Anomalien an den Provider melden.

Die häufigsten Umsetzungslücken – und wie man sie schließt

Basierend auf dem aktuellen Regulierungsstand und der typischen Reife von HR-SaaS-Produkten lassen sich fünf kritische Lücken identifizieren, die besonders häufig auftreten:

Lücke 1: Unvollständige Trainingsdaten-Dokumentation

Viele Systeme wurden vor Jahren trainiert, ohne systematische Dokumentation der verwendeten Datensätze. Anfang 2026 entspricht das nicht mehr dem Stand der Technik. Die Maßnahme: Retrospektive Rekonstruktion der Datenprovenienz, soweit möglich, sowie Einführung eines Data-Governance-Prozesses für künftige Modellversionen.

Lücke 2: Kein strukturiertes Bias-Testing

Ad-hoc-Tests oder rein technische Fairness-Metriken reichen nicht aus. Der AI Act verlangt einen nachvollziehbaren, dokumentierten Prozess. Empfehlung: Etablierung eines regelmäßigen Bias-Audits mit definierten Metriken (z. B. Demographic Parity, Equal Opportunity) über relevante geschützte Merkmale – und Dokumentation der Ergebnisse sowie der eingeleiteten Maßnahmen.

Lücke 3: Fehlende oder unzureichende Instructions for Use

Anbieter unterschätzen häufig, wie konkret die Nutzungsanweisungen für Deployer sein müssen. Der AI Act fordert, dass Provider Deployern alle Informationen geben, die diese benötigen, um ihre eigenen Pflichten zu erfüllen. Das schließt Grenzen des Systems, bekannte Risiken und Anforderungen an die menschliche Aufsicht explizit ein.

Lücke 4: Kein funktionierendes Logging im Produktivsystem

Logging ist oft rudimentär implementiert oder auf technische Fehlerprotokolle beschränkt. Für den AI Act ist ein entscheidungsbezogenes Logging erforderlich: Welche Eingaben hat das System zu welchem Zeitpunkt verarbeitet, und welches Ergebnis hat es erzeugt? Das erfordert in vielen Fällen Architekturanpassungen.

Lücke 5: Keine Post-Market-Monitoring-Strategie

Die Konformitätspflicht endet nicht mit dem Deployment. Provider müssen ein System zur aktiven Überwachung des Systemverhaltens im Echtbetrieb etablieren – inklusive Mechanismen zur Anomalie-Erkennung und eines definierten Prozesses für Serious Incident Reporting an nationale Marktaufsichtsbehörden.

Ein realistischer Zeitplan für die verbleibenden Monate

Bis zum 2. August 2026 verbleiben rund 18 Wochen ab Ende März 2026. Das ist knapp, aber ausreichend – vorausgesetzt, die Priorisierung stimmt.

April 2026: Gap-Analyse und Priorisierung Führen Sie eine strukturierte Bestandsaufnahme durch. Welche Anforderungen sind bereits erfüllt, welche teilweise, welche gar nicht? Priorisieren Sie nach Risiko: Fehlende Konformitätsbewertung und fehlende Registrierung sind blocking issues – ohne diese können Sie das System nicht rechtskonform vermarkten.

Mai 2026: Technische Dokumentation und Bias-Testing Nutzen Sie diesen Monat, um die Technische Dokumentation nach Anhang IV zu erstellen oder zu vervollständigen. Starten Sie parallel das strukturierte Bias-Audit. Beide Maßnahmen erfordern die engste Zusammenarbeit zwischen Data Science, Legal und Product.

Juni 2026: Logging, Monitoring, Instructions for Use Implementieren Sie das entscheidungsbezogene Logging und überarbeiten Sie die Nutzungsdokumentation für Deployer. Etablieren Sie den Post-Market-Monitoring-Prozess und definieren Sie Eskalationspfade für Anomalien.

Juli 2026: Konformitätsbewertung, Registrierung, finale Prüfung Schließen Sie die Konformitätsbewertung ab, erstellen Sie die EU-Konformitätserklärung und registrieren Sie das System in der EU-Datenbank. Reservieren Sie Zeit für eine finale interne Prüfung – Nachkorrekturen in letzter Minute sind teuer.

Was Deployer konkret von ihren Anbietern einfordern sollten

Wenn Sie als Unternehmen HR-SaaS-Produkte mit KI-Komponenten einsetzen, sind Sie nicht passiv. Sie haben aktive Sorgfaltspflichten – und das Recht, von Ihrem Anbieter entsprechende Nachweise einzufordern.

Stellen Sie Ihrem Anbieter folgende Fragen, und erwarten Sie schriftliche Antworten:

  1. Ist das System formal als Hochrisiko-KI-System nach EU AI Act klassifiziert?
  2. Liegt eine abgeschlossene Konformitätsbewertung vor?
  3. Ist das System in der EU-Datenbank registriert?
  4. Welche Bias-Tests wurden durchgeführt, und wie lauten die Ergebnisse?
  5. Welche Instructions for Use existieren, und wie unterstützt der Anbieter die Einhaltung der Deployer-Pflichten?
  6. Welche Logging-Funktionen stellt das System bereit?
  7. Wie wird Post-Market-Monitoring organisiert?

Anbieter, die auf diese Fragen keine substanztiellen Antworten geben können, signalisieren ein erhebliches Compliance-Risiko. In diesem Fall sollten Sie Ihre Vertragsbeziehung und die Nutzung des Systems vor dem 2. August 2026 kritisch prüfen.

Sanktionen und Haftung: Die Kosten des Nichtstuns

Der EU AI Act sieht für Verstöße im Hochrisiko-Bereich erhebliche Sanktionen vor. Provider, die verbotene Praktiken anwenden oder wesentliche Anforderungen nicht erfüllen, riskieren Bußgelder von bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes (der höhere Wert gilt). Für die Nichteinhaltung sonstiger Anforderungen, einschließlich der Dokumentations- und Registrierungspflichten, beträgt der Rahmen bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes.

Hinzu kommt das Reputationsrisiko: In einem Markt, in dem algorithmische Diskriminierung politisch hochsensibel ist, können bekannt gewordene Compliance-Mängel erheblichen Schaden anrichten – unabhängig vom behördlichen Verfahren.

Fazit

Der 2. August 2026 ist kein soft deadline. Die Anforderungen des EU AI Act an Hochrisiko-Systeme im Recruiting-Bereich sind umfangreich, technisch konkret und rechtlich bindend. Sowohl Provider als auch Deployer stehen in der Pflicht – und die Umsetzung erfordert mehr Zeit, als viele Teams derzeit einplanen.

Die gute Nachricht: Wer jetzt mit einer strukturierten Gap-Analyse startet und die Maßnahmen in der richtigen Reihenfolge priorisiert, kann den Stichtag rechtzeitig erreichen. Die schlechte Nachricht: Jede weitere Verzögerung verkürzt den verfügbaren Puffer für unvorhergesehene Komplikationen.

Wenn Sie Ihren aktuellen Compliance-Stand systematisch erfassen und Lücken strukturiert dokumentieren möchten: complyn.eu ist ein AI Act Compliance-Tool, das speziell für technische Teams entwickelt wurde – mit geführten Assessments, Dokumentationsvorlagen nach Anhang IV und einem Audit-Trail für Ihre Konformitätsbewertung.