Kostenlos beraten
KI-Einstellungstools EU-KI-Verordnung DSGVO Compliance Deutschland
compliance

KI-Einstellungstools: EU-KI-Verordnung, DSGVO & Betriebsrat (2026)

Kurzantwort

KI-Systeme zur Personalauswahl — Bewerbungsscreening, Videointerviewanalyse, Kandidatenranking — sind Hochrisiko-KI nach Anhang III EU-KI-Verordnung. Unternehmen in Deutschland benötigen ein Risikomanagementsystem, müssen Betriebsratsrechte beachten und DSGVO-Anforderungen einhalten. Ohne diese Maßnahmen ist der Einsatz ab August 2026 nicht rechtskonform und kann Bußgelder von bis zu 15 Mio. Euro auslösen.

  • Bewerbungsscreening, Videointerviewanalyse und Kandidatenranking sind nach EU-KI-Verordnung Anhang III Hochrisiko-KI.
  • Betriebsräte haben Mitbestimmungsrechte nach §87 BetrVG — eine Betriebsvereinbarung ist vor dem Einsatz zwingend erforderlich.
  • Art. 22 DSGVO schränkt vollständig automatisierte Einstellungsentscheidungen ein — echte menschliche Prüfung ist Pflicht.
  • Ab 2. August 2026 müssen Hochrisiko-KI-Systeme alle Anforderungen der EU-KI-Verordnung vollständig erfüllen.

KI-Systeme zur Personalauswahl — Bewerbungsscreening, Videointerviewanalyse und Kandidatenranking — sind Hochrisiko-KI nach Anhang III der EU-KI-Verordnung. Unternehmen in Deutschland, die solche Systeme einsetzen, benötigen ein dokumentiertes Risikomanagementsystem, müssen die Mitbestimmungsrechte des Betriebsrats beachten und DSGVO-Anforderungen einhalten. Ab dem 2. August 2026 können Verstöße mit Bußgeldern von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes geahndet werden.

Warum KI-Einstellungstools als Hochrisiko gelten

Einstellungsentscheidungen sind für Menschen von erheblicher Bedeutung: Sie beeinflussen wirtschaftliche Sicherheit, Karriereperspektiven und Lebensqualität. Die EU-KI-Verordnung erkennt dieses Risikopotenzial an und stuft KI-Systeme im Bereich der Beschäftigung in den anspruchsvollsten Regulierungsrahmen ein.

Die Einstufung nach Anhang III EU-KI-Verordnung

Anhang III, Nummer 2 der EU-KI-Verordnung erfasst KI-Systeme, die in den Bereichen Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit eingesetzt werden. Die Verordnung gilt ausdrücklich für KI-Systeme, die dazu genutzt werden:

  • Bewerbungen und Lebensläufe zu sichten und zu rangieren
  • Vorstellungsgespräche zu analysieren — einschließlich Mimik, Sprache und Verhalten
  • Kandidaten anhand vordefinierter Kriterien zu bewerten und zu selektieren
  • Einstellungs- und Beförderungsentscheidungen zu unterstützen oder zu treffen
  • die Leistung von Mitarbeitern zu überwachen, wenn die Ergebnisse das Beschäftigungsverhältnis berühren

Welche Systeme betroffen sind

Die folgende Tabelle gibt eine Übersicht typischer Recruiting-KI-Anwendungen und ihrer Einstufung:

AnwendungHochrisiko?
Automatisiertes Lebenslauf-ScreeningJa
Videointerviewanalyse (Mimik, Stimme, Verhalten)Ja
KI-gestützte Kandidatenbewertung und -ranglistenJa
Prädiktive Assessment-Tools (Culture Fit, Leistungsprognose)Ja
KI-Scoring in Bewerbermanagementsystemen (ATS)Ja
Chatbot für Terminplanung und allgemeine FAQsNein
KI-Autokorrektur in StellenausschreibungenNein
Regelbasierte Bewerberverwaltung mit fixen KriterienNein

Betroffen sind alle KI-Systeme, die maßgeblich beeinflussen, wer in die engere Auswahl kommt, wer abgelehnt wird oder wer ein Angebot erhält — unabhängig davon, ob ein Mensch formal die letzte Entscheidung trifft. Entscheidend ist der Einfluss des Systems auf das Ergebnis, nicht die formale Entscheidungsarchitektur.

Was zählt als „KI” im Recruiting?

Die EU-KI-Verordnung definiert KI-Systeme (Art. 3) bewusst weit: Erfasst sind alle maschinenbasierten Systeme, die auf Basis von Eingaben Outputs wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen und dabei über reine Datenverwaltung hinausgehen.

Regelbasierte Systeme mit fixen, transparenten Kriterien — z. B. „Bewerber mit weniger als drei Jahren Erfahrung werden nicht weitergeleitet” — fallen in der Regel nicht unter die KI-Definition. Machine-Learning-Modelle, die Lebensläufe gegen historische Einstellungsmuster abgleichen, sind KI-Systeme im Sinne der Verordnung. Drittanbieter-Tools, die in Ihr bestehendes Bewerbermanagementsystem eingebettet sind, können KI-Systeme sein — auch wenn der Anbieter diesen Begriff nicht aktiv verwendet. Prüfen Sie die technische Dokumentation.

Anforderungen der EU-KI-Verordnung für Hochrisiko-KI im Recruiting

Hochrisiko-KI-Systeme müssen nach Kapitel III, Abschnitt 2 der EU-KI-Verordnung sechs Anforderungskategorien erfüllen. Diese Pflichten richten sich an Sie als Betreiber — Sie bleiben verantwortlich, auch wenn ein externer Anbieter das KI-System bereitstellt. Der vollständige Pflichtenkatalog gilt ab dem 2. August 2026.

Einen vollständigen Überblick der Fristen finden Sie in unserem EU-KI-Verordnung Compliance Hub.

Risikomanagementsystem (Art. 9)

Sie müssen ein dokumentiertes Risikomanagementsystem über den gesamten Lebenszyklus des KI-Systems einrichten und aufrechterhalten. Dies ist kein einmaliger Bewertungsschritt, sondern ein kontinuierlicher Prozess:

  • Identifikation bekannter und vorhersehbarer Risiken in Ihrem spezifischen Einsatzkontext
  • Laufende Bewertung dieser Risiken im Betrieb
  • Ergreifung verhältnismäßiger Risikominderungsmaßnahmen
  • Dokumentation der Restrisiken und Information der zuständigen Mitarbeiter

Im Recruiting-Kontext müssen Sie konkret dokumentieren: Wie könnte das System bestimmte Kandidatengruppen systematisch benachteiligen? Welche Kontrollmechanismen bestehen? Wie werden diese regelmäßig überprüft?

Daten-Governance und Bias-Tests (Art. 10)

Hochrisiko-KI-Systeme müssen mit Daten trainiert, validiert und getestet werden, die angemessene Governance-Standards erfüllen. Artikel 10 verlangt:

  • Trainingsdaten sind relevant, repräsentativ und hinreichend vollständig
  • Daten sind soweit technisch möglich fehlerfrei
  • Bias-Erkennung und -Korrektur werden vor und nach der Inbetriebnahme angewendet

Für KI-Einstellungstools bedeutet das regelmäßige Bias-Tests, um sicherzustellen, dass das System keine Kandidaten mit nach dem AGG geschützten Merkmalen benachteiligt. Die Testergebnisse müssen dokumentiert und auf Anfrage von Aufsichtsbehörden vorgelegt werden können.

Technische Dokumentation und Nachvollziehbarkeit

Artikel 11 verpflichtet Anbieter — und in bestimmten Fällen Betreiber — zur Führung technischer Dokumentation, die enthalten muss:

  • Allgemeine Beschreibung des KI-Systems und seines Einsatzzwecks
  • Designspezifikationen und Entwicklungsprozess
  • Informationen zu Trainingsdaten und Daten-Governance-Ansatz
  • Validierungs- und Testverfahren mit Ergebnissen
  • Metriken zur Leistungsbewertung, einschließlich Bias-Metriken
  • Cybersicherheitsmaßnahmen

Als Betreiber sollten Sie diese Dokumentation von Ihrem Anbieter vor der Inbetriebnahme anfordern und prüfen. Ein Anbieter, der keine ausreichende technische Dokumentation vorlegen kann, ist ein Warnsignal.

Menschliche Aufsicht (Art. 14)

Hochrisiko-KI-Systeme müssen wirksame menschliche Aufsicht ermöglichen. Für Einstellungstools bedeutet das konkret:

  • Menschen müssen die Outputs des Systems verstehen, überprüfen und übergehen können
  • Menschen müssen KI-Empfehlungen ablehnen können, ohne dass dies automatisch erfasst oder nachteilig bewertet wird
  • Das System darf seine Ergebnisse nicht als eindeutig richtig oder automatisch bindend darstellen

Vollständig automatisierte Ablehnungen ohne menschliche Prüfung der KI-generierten Bewertungen erfüllen diese Anforderung nicht. Auch eine rein nominale menschliche Kontrolle — bei der eine Person lediglich die KI-Entscheidung bestätigt, ohne sie inhaltlich zu prüfen — genügt nicht den Anforderungen des Artikel 14.

Konformitätsbewertung

Für die meisten Hochrisiko-KI-Systeme nach Anhang III ist vor der Inbetriebnahme eine Konformitätsbewertung erforderlich. Als Betreiber eines marktüblichen KI-Produkts müssen Sie:

  • Prüfen, ob der Anbieter das Konformitätsbewertungsverfahren abgeschlossen hat
  • Die EU-Konformitätserklärung des Anbieters einholen
  • Das System ggf. in der EU-KI-Datenbank registrieren

Wenn Sie ein KI-Einstellungssystem intern entwickeln oder ein System ohne Anbieter-Konformitätserklärung einsetzen, kann die Pflicht entstehen, selbst ein Konformitätsbewertungsverfahren durchzuführen — was erheblichen juristischen und technischen Aufwand bedeutet.

DSGVO-Anforderungen für KI im Recruiting

Die EU-KI-Verordnung tritt neben die DSGVO — sie ersetzt sie nicht. In der Praxis löst KI-gestütztes Recruiting mehrere parallele DSGVO-Anforderungen aus, die gleichzeitig erfüllt werden müssen.

Rechtsgrundlage für Bewerberdaten

Die Verarbeitung personenbezogener Daten in der KI-gestützten Personalauswahl erfordert eine Rechtsgrundlage nach Art. 6 DSGVO. Gebräuchliche Rechtsgrundlagen im Bewerbungsprozess:

  • Art. 6(1)(b): Verarbeitung zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person — Standardgrundlage für Lebenslauf-Screening und Bewerbungsverfahren
  • Art. 6(1)(a): Einwilligung — im Bewerbungskontext problematisch wegen des Machtgefälles zwischen Arbeitgeber und Bewerber; nicht als alleinige Grundlage empfohlen
  • Art. 6(1)(f): Berechtigte Interessen — erfordert einen dokumentierten Abwägungstest; für automatisiertes Kandidaten-Scoring allein in der Regel nicht ausreichend

Wenn Videointerviewanalysen Mimik, Stimme oder Verhalten auswerten, kann Art. 9 DSGVO für biometrische Daten oder besondere Kategorien personenbezogener Daten einschlägig sein. Die Anforderungen an die Rechtsgrundlage sind hier erheblich strenger.

Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter

Wenn Ihr KI-Einstellungstool von einem Dritten bereitgestellt wird, der personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO vor Inbetriebnahme abzuschließen. Der AVV muss regeln:

  • Gegenstand, Dauer und Art der Verarbeitung
  • Art der verarbeiteten personenbezogenen Daten und Kategorien betroffener Personen
  • Technische und organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters
  • Pflichten des Auftragsverarbeiters zur Unterstützung bei der Erfüllung von Betroffenenrechten

Viele Standard-Vertragswerke enthalten generische AVV-Klauseln, die die spezifische Verarbeitung durch das KI-Tool nicht hinreichend abbilden. Prüfen Sie insbesondere: Werden Bewerberdaten für das Modelltraining oder die Produktoptimierung verwendet? Verlassen die Daten dabei den EWR? Falls ja, sind entsprechende Regelungen zu Drittlandsübermittlungen erforderlich.

Datensparsamkeit und Löschpflichten

Art. 5 DSGVO verlangt, dass personenbezogene Daten auf das für den Verarbeitungszweck notwendige Maß beschränkt werden. Im KI-gestützten Recruiting bedeutet das:

  • Nur tatsächlich entscheidungsrelevante Daten sollten in das KI-System einfließen — externe Signale wie Postleitzahl oder Ausbildungsstätte erhöhen sowohl das Diskriminierungsrisiko als auch das Datenschutzrisiko
  • Videoanalysen sollten keine emotional abgeleiteten Schlussfolgerungen über das unbedingt Notwendige hinaus speichern
  • Bewerberdaten sind nach Ablauf der Aufbewahrungsfrist zu löschen — bei abgelehnten Bewerbern in der Regel sechs Monate nach der Entscheidung, vorbehaltlich Ihrer dokumentierten Aufbewahrungsrichtlinie

Automatisierte Entscheidungen nach Art. 22 DSGVO

Art. 22 DSGVO gibt Bewerbern das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die für sie rechtliche oder ähnlich erhebliche Wirkungen entfaltet. Automatisierte Ablehnungsschreiben eines KI-Scoring-Systems ohne echte menschliche Prüfung verstoßen gegen diese Vorschrift.

Um die Anforderung zu erfüllen, müssen Sie:

  • Sicherstellen, dass ein Mensch die KI-Outputs inhaltlich prüft, bevor eine Entscheidung gegenüber Bewerbern kommuniziert wird
  • Bewerbern auf Anfrage eine verständliche Erläuterung KI-generierter Entscheidungen geben können
  • Bewerbern ermöglichen, KI-generierte Bewertungen anzufechten und eine menschliche Überprüfung zu verlangen

Die Schwelle für „ausschließlich automatisiert” ist niedriger als sie erscheint: Datenschutzbehörden haben entschieden, dass eine nominale menschliche Kontrolle ohne inhaltliche Prüfung die Anforderung nicht erfüllt.

Datentransfers in Drittstaaten

Verarbeitet Ihr KI-Anbieter Daten außerhalb des Europäischen Wirtschaftsraums (EWR), gilt Kapitel V DSGVO. Für Datenübermittlungen in die USA sind entweder Standardvertragsklauseln (SVC) in Verbindung mit einer Transfer-Folgenabschätzung oder das EU-US-Datenschutzrahmen erforderlich, sofern der Anbieter zertifiziert ist.

Zusätzlich ist für den Einsatz von Hochrisiko-KI im Recruiting in der Regel eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich, da die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.

Betriebsrat-Mitbestimmung (§87 BetrVG)

Für deutsche Unternehmen mit mehr als fünf Mitarbeitern und einem bestehenden Betriebsrat lösen KI-Einstellungstools eigenständige Anforderungen nach dem Betriebsverfassungsgesetz (BetrVG) aus — unabhängig von EU-KI-Verordnung und DSGVO. Der Betriebsrat-Abschnitt ist im deutschen Kontext von besonderer Bedeutung und kann nicht durch vertragliche Gestaltung umgangen werden.

Warum der Betriebsrat zustimmen muss

§87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. KI-Einstellungstools, die Bewerberverhalten erfassen und auswerten, Bewertungen auf Basis individuellen Verhaltens generieren oder Daten in Systeme einspeisen, die Beschäftigungsentscheidungen beeinflussen, fallen eindeutig unter diese Vorschrift.

Das Mitbestimmungsrecht ist ein Sperrrecht: Sie können das KI-System nicht rechtskonform einführen, bevor eine Einigung mit dem Betriebsrat erzielt wurde. Eine einseitige Einführung ohne Betriebsratsvereinbarung kann zu Unterlassungsklagen vor dem Arbeitsgericht, Schadensersatzforderungen und erheblichem Reputationsschaden führen. Die Kosten der Nicht-Compliance — an Managementzeit, Rechtskosten und gestörten Recruiting-Prozessen — übersteigen typischerweise bei Weitem den Aufwand eines korrekten Verfahrens.

Das Mitbestimmungsrecht gilt auch dann, wenn das KI-Tool primär für externe Bewerber eingesetzt wird, sofern dasselbe System auch auf interne Kandidaten oder Beförderungsentscheidungen angewendet wird.

Betriebsvereinbarung: Was sie enthalten sollte

Eine Betriebsvereinbarung für KI-Einstellungssysteme sollte folgende acht Punkte regeln:

  1. Geltungsbereich: Welche Stellen und Verfahren das KI-System abdeckt — und welche ausdrücklich ausgenommen sind
  2. Transparenz: Welche Daten verarbeitet werden, wie das Scoring funktioniert und welche Gewichtung verschiedenen Eingaben zukommt
  3. Menschliche Aufsicht: Wann und wie eine menschliche Prüfung erfolgt; wer KI-Outputs übergehen kann und wie Übergehungen dokumentiert werden
  4. Informationsrechte der Bewerber: Wie Bewerber über den KI-Einsatz informiert werden und wie sie ihr Recht auf Erläuterung ausüben können
  5. Bias-Monitoring: Wie und in welchen Abständen auf diskriminierende Outputs getestet wird und wie festgestellte Mängel behoben werden
  6. Datenspeicherung: Wie lange Bewerberdaten und KI-generierte Bewertungen aufbewahrt werden
  7. Beschwerdemechanismus: Wie Bewerber KI-generierte Bewertungen anfechten und eine menschliche Überprüfung beantragen können
  8. Überprüfungsklausel: Wann die Vereinbarung überprüft wird — in der Regel nach 12 Monaten oder nach wesentlichen Systemänderungen

Tipps für die Betriebsratsverhandlung

Frühzeitige, transparente Einbeziehung ist die einzige wirksame Strategie. Der Betriebsrat muss nach §80 Abs. 2 BetrVG rechtzeitig vor einer Beschaffungsentscheidung informiert werden, damit er das System inhaltlich bewerten kann. Er hat das Recht, technische Dokumentation, Anbieterverträge und Ihre Compliance-Bewertungen einzusehen sowie auf Kosten des Arbeitgebers einen externen Sachverständigen hinzuzuziehen (§80 Abs. 3 BetrVG).

Betriebsräte sind zunehmend gut über KI-Technologie informiert. Allgemeine Versicherungen über Anbieter-Zertifizierungen oder Datenschutz-Siegel sind nicht ausreichend. Bereiten Sie substanzielle Antworten auf Fragen zu Algorithmus-Logik, Trainingsdaten-Quellen, Bias-Testergebnissen und der Umsetzung menschlicher Aufsicht in der Praxis vor. Je transparenter Sie kommunizieren, desto kürzer wird in der Regel die Verhandlungsphase.

Compound Law unterstützt deutsche Unternehmen bei der Betriebsratsverhandlung und dem Entwurf von Betriebsvereinbarungen für KI-Einstellungssysteme. Für verwandte Themen im Bereich KI und Arbeitsrecht lesen Sie unseren Leitfaden zur KI-Mitarbeiterüberwachung.

AGG-Compliance: Diskriminierungsfreiheit

Was das AGG bei KI-Einsatz verlangt

Das Allgemeine Gleichbehandlungsgesetz (AGG) verbietet Diskriminierung im Zugang zur Beschäftigung aufgrund von Rasse, ethnischer Herkunft, Geschlecht, Religion oder Weltanschauung, Behinderung, Alter und sexueller Identität. Diese Schutzpflichten gelten für KI-gestützte Entscheidungen ebenso wie für menschlich getroffene — und in manchen Aspekten mit schärferen Konsequenzen.

Wenn Ihr KI-Einstellungssystem Ergebnisse produziert, die Kandidaten mit geschützten Merkmalen benachteiligen — auch unbeabsichtigt, etwa durch Proxy-Variablen, die mit geschützten Merkmalen korrelieren — entstehen Haftungsrisiken nach dem AGG. Gemäß §22 AGG verlagert sich die Beweislast, sobald ein Bewerber Indizien vorlegt, die eine Diskriminierung vermuten lassen: Der Arbeitgeber muss dann nachweisen, dass die Entscheidung nicht diskriminierend war.

Undokumentierte KI-gestützte Einstellungsentscheidungen sind in Diskriminierungsstreitigkeiten besonders riskant: Wenn Sie nicht erklären können, wie das System zu seiner Bewertung gelangt ist, können Sie Ihre Beweislastpflicht nicht erfüllen.

Regelmäßige Bias-Tests als Haftungsschutz

Bias-Tests sind sowohl nach der EU-KI-Verordnung (Art. 10) als auch für die AGG-Compliance erforderlich. Wirksame Bias-Tests sollten:

  • Vor der ersten Inbetriebnahme und in regelmäßigen Abständen während des Betriebs durchgeführt werden
  • Alle nach dem AGG geschützten Merkmale abdecken
  • Ergebnis-Disparitäten zwischen demografischen Gruppen analysieren
  • Schriftlich dokumentiert und als Compliance-Nachweis aufbewahrt werden

Werden Bias-Probleme festgestellt, müssen diese vor der weiteren Nutzung des Systems in dieser Konfiguration behoben werden. Der bewusste Weiterbetrieb eines Systems, das nachweislich diskriminierende Ergebnisse produziert, stellt einen Verstoß gegen AGG und EU-KI-Verordnung dar und verschärft Ihre Haftungsexposition erheblich.

Compliance-Checkliste für deutsche Unternehmen

Nutzen Sie diese Checkliste, um Ihren Compliance-Ansatz für KI-Einstellungstools zu strukturieren:

  1. KI-System klassifizieren: Prüfen Sie, ob das Tool die KI-Definition der EU-KI-Verordnung erfüllt und nach Anhang III als Hochrisiko einzustufen ist.
  2. Anbieter-Dokumentation einholen: Fordern Sie technische Dokumentation, Konformitätsbewertungsunterlagen und die EU-Konformitätserklärung an.
  3. AVV prüfen und abschließen: Stellen Sie sicher, dass ein DSGVO-konformer Auftragsverarbeitungsvertrag die spezifische KI-Verarbeitung abdeckt, einschließlich Modelltraining und Datentransfers.
  4. Drittlandsübermittlungen klären: Bestätigen Sie die Rechtsgrundlage für Datenverarbeitungen außerhalb des EWR — insbesondere für Modelltraining und Datenspeicherung.
  5. DSGVO-Rechtsgrundlage dokumentieren: Halten Sie Ihre Rechtsgrundlage für die Bewerberdatenverarbeitung schriftlich fest; behandeln Sie Art. 9 DSGVO separat, wo biometrische Daten betroffen sind.
  6. DSFA durchführen: Führen Sie eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO für den KI-Einsatz im Recruiting durch.
  7. Echte menschliche Aufsicht implementieren: Gestalten Sie Ihren Recruiting-Prozess so, dass KI-Outputs inhaltlich geprüft werden, bevor Entscheidungen gegenüber Bewerbern kommuniziert werden.
  8. Art. 22 DSGVO adressieren: Etablieren Sie Verfahren für Erläuterungsanfragen und menschliche Überprüfung automatisierter Bewertungen.
  9. Risikomanagementsystem aufbauen: Dokumentieren Sie identifizierte Risiken, Minderungsmaßnahmen und Ihren laufenden Überwachungsansatz schriftlich.
  10. Bias-Tests durchführen und dokumentieren: Führen Sie Bias-Bewertungen gegen alle AGG-geschützten Merkmale durch und bewahren Sie die Nachweise auf.
  11. Betriebsrat frühzeitig einbinden: Beginnen Sie die Betriebsratskonsultation vor der Beschaffungsentscheidung — das Mitbestimmungsrecht erfordert eine Einigung vor dem Go-Live.
  12. Betriebsvereinbarung aushandeln und abschließen: Schließen Sie eine Betriebsvereinbarung ab, die Geltungsbereich, Transparenz, Aufsicht, Bias-Monitoring und Aufbewahrung regelt.

Wie Compound Law helfen kann

Compound Law berät deutsche Unternehmen bei der vollständigen Compliance-Architektur für KI-Einstellungstools:

  • Hochrisiko-KI-Bewertung: Klassifizierung, Konformitätsprüfung und Gap-Analyse gegenüber den Anforderungen des Anhangs III
  • DSGVO-Beratung: Rechtsgrundlagen-Strukturierung, AVV-Prüfung, Art. 22-Umsetzung und Drittlandsübermittlungs-Compliance
  • Betriebsratstrategie: Planung der Betriebsratseinbindung und Entwurf von Betriebsvereinbarungen
  • Bias-Test-Protokolle: Konzeption von Testrahmen, die sowohl die EU-KI-Verordnung als auch AGG-Anforderungen erfüllen
  • Anbieterverträge: Prüfung von AVVs auf EU-KI-Verordnungs-Konformität nach Art. 25 und 26
  • Laufendes Compliance-Monitoring: Strukturierte Überprüfung bei Entwicklung regulatorischer Leitlinien und Durchsetzungspräzedenzfällen

Erfahren Sie, wie Claude Enterprise rechtliche und Compliance-Teams in Deutschland bei komplexen regulatorischen Projekten unterstützt. Einen vollständigen Überblick der EU-KI-Verordnungspflichten und Fristen finden Sie in unserem EU-KI-Verordnung Compliance Hub.

Nehmen Sie Kontakt auf, um Ihre Anforderungen rund um KI-Einstellungstools zu besprechen.

Weitere Compliance-Guides

KI-Medizindiagnostik Compliance DSGVO und EU AI Act Deutschland
compliance

KI-Medizindiagnostik & EU AI Act: Compliance für deutsche Anbieter

KI-Diagnosesysteme sind Hochrisiko nach EU AI Act und MDR. DSGVO Art. 9, DSFA, Dokumentation und Haftung – Praxis-Leitfaden für Deutschland.
Anthropic DSGVO-Compliance Überblick für Unternehmen in Deutschland
Leitfäden

Ist Anthropic DSGVO-konform? Vollständiger Compliance-Leitfaden

Anthropic DSGVO-Compliance: AVV, Standardvertragsklauseln, EU-Datenspeicherort, ZDR und was deutsche Unternehmen vor dem Claude-Einsatz prüfen müssen.
EU AI Act Rechtsberatung DSGVO Kanzlei Deutschland
Leitfäden

EU AI Act Rechtsberatung für Unternehmen in Deutschland

Ab August 2026 gelten Hochrisiko-KI-Pflichten. Compound Law berät Unternehmen im DACH-Raum zu EU AI Act-Compliance, Readiness-Assessments und DSGVO.

Häufige Fragen

Dürfen wir KI-Einstellungstools vor August 2026 einsetzen?

Ja, bestehende Systeme können vor dem 2. August 2026 weitergeführt werden. Der Aufbau der Compliance-Infrastruktur dauert jedoch Monate — beginnen Sie jetzt mit Risikomanagementsystem, Betriebsratseinbindung und DSGVO-Dokumentation. Frühere Anforderungen wie die KI-Kompetenzpflicht nach Art. 4 EU-KI-Verordnung gelten bereits.

Was wenn der Anbieter die KI bereitstellt?

Als Betreiber bleiben Sie nach der EU-KI-Verordnung verantwortlich, unabhängig davon, wer das System bereitstellt. Überprüfen Sie die Anbieter-Compliance, holen Sie die EU-Konformitätserklärung ein und stellen Sie sicher, dass Ihr Auftragsverarbeitungsvertrag (AVV) die durchgeführte KI-Verarbeitung abdeckt. Nicht-Compliance des Anbieters schützt Sie nicht vor behördlichen Maßnahmen.

Zählt KI-assistierte Auswahl als automatisierte Entscheidung nach Art. 22 DSGVO?

Ein KI-System ist Hochrisiko, wenn es Einstellungsentscheidungen maßgeblich beeinflusst. KI-Tools, die Kandidaten bewerten, rangieren oder empfehlen, sind Hochrisiko nach EU-KI-Verordnung, auch wenn ein Mensch formal die letzte Entscheidung trifft. Für Art. 22 DSGVO ist entscheidend, ob die Verarbeitung ausschließlich automatisiert erfolgt — nominale menschliche Kontrolle ohne inhaltliche Prüfung genügt nicht.

Welche Dokumente brauchen wir für die Konformitätsbewertung?

Sie benötigen die technische Dokumentation des Anbieters, die EU-Konformitätserklärung, Ihr Risikomanagementsystem-Dokument, Bias-Testergebnisse, den Auftragsverarbeitungsvertrag (AVV) sowie eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Fordern Sie Anbieterunterlagen frühzeitig an — ihr Fehlen ist ein Warnsignal.

Wie lange müssen Bewerberdaten aufbewahrt werden?

Bei abgelehnten Bewerbern beträgt die übliche Aufbewahrungsfrist sechs Monate nach der Einstellungsentscheidung, um mögliche AGG-Klagen abwehren zu können. Längere Aufbewahrungszeiten erfordern eine gesonderte Rechtsgrundlage und sind in Ihrer Datenschutzerklärung zu dokumentieren.

Was sollte eine Betriebsvereinbarung für KI-Einstellungstools enthalten?

Eine Betriebsvereinbarung für KI-Einstellungssysteme sollte Geltungsbereich, Transparenzpflichten, menschliche Aufsichtsmechanismen, Informationsrechte der Bewerber, Bias-Monitoring-Intervalle, Datenspeicherfristen, einen Beschwerdemechanismus und eine Überprüfungsklausel abdecken. Compound Law unterstützt bei der Verhandlung und dem Entwurf solcher Vereinbarungen.

Kostenlos beraten