KI-gestütztes Bewerber-Screening ist 2026 für Mittelständler attraktiv: HR-Effizienz steigt, Time-to-Hire sinkt. Aber: EU AI Act stuft Recruiting-KI als Hochrisiko-KI ein. Strikte Pflichten greifen — DSFA, menschliche Aufsicht, Transparenz, Datenqualität dokumentiert. Plus DSGVO mit erweiterten Bewerber-Rechten. Wer ohne Compliance-Setup einsetzt, riskiert Bußgelder bis 15 Mio. € oder 3 % Jahresumsatz. Dieser Guide zeigt die strukturierten Pflichten. Für Hugo DSB mit EU-AI-Act-Modul lohnt der Blick.
EU AI Act
Recruiting-KI = Hochrisiko-KI mit strikten Pflichten.
DSFA Pflicht
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend.
Menschliche Aufsicht
Keine automatische Ablehnung — Mensch muss entscheiden.
Bußgeld
Bis 15 Mio. € / 3 % Jahresumsatz bei Hochrisiko-Verstößen.
Die EU-AI-Act-Pflichten für Recruiting-KI 2026
- Risiko-Management-System dokumentiert
- Datenqualität nachgewiesen — keine voreingenommenen Training-Daten
- Menschliche Aufsicht — kein automatisches Ablehnen
- Transparenz gegenüber Bewerbenden
- Robustheit, Genauigkeit, Cybersicherheit dokumentiert
- Logging der KI-Entscheidungen für Audit
- Eintragung im EU-Register (für High-Risk-Anbieter)
DSGVO-Pflichten parallel zum EU AI Act
- DSFA (Art. 35 DSGVO): Datenschutz-Folgenabschätzung Pflicht
- Rechtsgrundlage: Berechtigtes Interesse oder Einwilligung — bei Bewerbern komplex
- Information der Bewerber: Art. 13 DSGVO mit KI-Hinweis
- Recht auf menschliche Entscheidung (Art. 22): Strikt durchsetzen
- DSAR-Workflow: Bewerber können Auskunft verlangen
- AVV mit KI-Anbieter: Standard-Pflicht
Wichtig: Reines Lebenslauf-Parsing (OCR + Strukturierung) ist NICHT Hochrisiko-KI. Erst Scoring oder Entscheidungs-Unterstützung wird Hochrisiko. Klärung in 2-3 Tagen DSB-Beratung.
„Recruiting-KI ist 2026 das Top-Compliance-Thema für deutsche HR. Wir empfehlen klare Trennung: OCR und Lebenslauf-Parsing OK, automatisches Scoring oder Ablehnung erfordert volle Hochrisiko-KI-Compliance. DSFA plus EU-AI-Act-Modul sind 2026 Mindeststandard.“
— Nils Oehmichen, Geschäftsführer der frag.hugo Informationssicherheit GmbH
FAQ — Recruiting-KI Datenschutz
Ist alle Recruiting-KI Hochrisiko?
Nein. Reines Lebenslauf-Parsing ist nicht Hochrisiko. Erst Scoring, Pre-Selection oder Entscheidungs-Unterstützung mit Auswirkungen auf Bewerber wird Hochrisiko.
Brauche ich eine DSFA für Recruiting-KI?
Ja, bei Hochrisiko-KI Pflicht nach Art. 35 DSGVO. Dauer typisch 3-5 Tage Beratung, Kosten 4.000-8.000 €.
Welche Bewerber-Rechte gelten 2026?
Art. 22 DSGVO: Recht auf menschliche Entscheidung — keine automatische Ablehnung ohne menschliche Prüfung. Plus DSAR-Workflow, Transparenz.
Was kostet EU-AI-Act-Compliance für Recruiting?
Setup 8-20 k € einmalig plus laufende Plattform 149-499 €/Monat. Refinanziert sich durch reduzierte Rechts-Risiken.
Welche Recruiting-KI-Tools sind 2026 sicher?
Solche mit dokumentierter EU-AI-Act-Konformität: HireVue mit EU-Setup, Personio mit DSGVO-Modulen, Pymetrics mit Bias-Checks. Generische US-Tools brauchen Custom-Compliance.
Was passiert bei Verstoß?
Bußgeld bis 15 Mio. € / 3 % Jahresumsatz für Hochrisiko-Verstöße. Plus Schadensersatz-Ansprüche von abgelehnten Bewerbern.
Fazit: Recruiting-KI 2026 ist strenge Compliance-Übung
EU AI Act + DSGVO machen Recruiting-KI 2026 zur Compliance-Aufgabe. DSFA Pflicht, menschliche Aufsicht zwingend, Transparenz gegenüber Bewerbern. Lohnt der Blick auf Hugo DSB mit EU-AI-Act-Modul.
Autor auf der Webseite cpsecure.de. Hier schreibt Herr Schmitz über IT-Sicherheit in der Cloud.