Checkliste: Bewerbungs-KI EU AI Act-konform einsetzen

12 Punkte, die HR-Abteilungen vor und während des Einsatzes von KI im Recruiting prüfen müssen. Praktisch, strukturiert, sofort umsetzbar.

Kurzfassung: KI im Recruiting ist nach EU AI Act ein Hochrisiko-Use-Case. Wer als Deployer die Pflichten kennt und strukturiert abarbeitet, ist nicht nur besser vorbereitet, sondern trifft auch bessere Entscheidungen. Diese Checkliste gibt Ihnen die 12 wichtigsten Prüfpunkte an die Hand.

Warum Bewerbungs-KI besondere Sorgfalt braucht

KI-gestütztes CV-Screening, automatisierte Vorauswahl, Video-Interview-Analyse: Diese Systeme fallen nach Anhang III, Nr. 4a EU AI Act explizit in die Kategorie Hochrisiko. Das bedeutet: Erhöhte Pflichten für alle, die solche Systeme einsetzen.

Als Deployer (Betreiber) trifft Sie das auch dann, wenn Sie die Software nicht selbst entwickelt haben. Die Pflicht liegt beim Einsatz, nicht nur bei der Entwicklung.

→ Hochrisiko-KI · Deployer/Anwender

Die 12-Punkte-Checkliste

Teil 1: Vor dem Einsatz

1. Einstufung klären

[ ] Fällt das System unter Anhang III, Nr. 4 (Beschäftigung, HR-Entscheidungen)?
[ ] Wenn unklar: KI-Risikocheck nutzen oder Anbieter schriftlich fragen

2. Anbieter-Dokumente einholen

[ ] DoC (EU-Konformitätserklärung) liegt vor → EU-Konformitätserklärung (DoC)
[ ] IFU (Instructions for Use / Betriebsanleitung) liegt vor → Instructions for Use
[ ] CE-Kennzeichnung bestätigt → CE-Kennzeichnung
[ ] Zweckbestimmung des Systems stimmt mit Ihrem Einsatz überein

3. Datenschutz prüfen

[ ] DPIA (Datenschutz-Folgenabschätzung nach DSGVO Art. 35) durchgeführt oder geprüft, ob Pflicht besteht → DPIA
[ ] AVV (Auftragsverarbeitungsvertrag) mit Anbieter geschlossen → AVV/DPA
[ ] Datenminimierung: Werden nur notwendige Bewerberdaten verarbeitet?

4. Transparenz vorbereiten

[ ] Transparenzhinweis für Bewerbende erstellt: Zweck, eingesetztes System, Kontakt für Rückfragen → Transparenzhinweis
[ ] Hinweis auf Karriereseite oder in der Einladungs-E-Mail platziert (vor dem KI-Einsatz, nicht danach)

5. Betriebsrat einbeziehen (falls vorhanden)

[ ] Betriebsrat über geplanten KI-Einsatz informiert
[ ] Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG geprüft
[ ] Betriebsvereinbarung vorbereitet oder bestehende Regelungen geprüft

Teil 2: Beim Livegang

6. Human Oversight einrichten

[ ] Rollen definiert: Wer prüft KI-Ausgaben? Wer darf übersteuern? → Human Oversight
[ ] Schwellenwerte festgelegt: Ab welchem Score wird manuell geprüft? → Schwellenwert/Score
[ ] Übersteuerungs-Protokoll eingerichtet: Zeitpunkt, Person, Begründung → Übersteuern
[ ] SOP (Standardarbeitsanweisung) schriftlich festgehalten → SOP

7. Logging aktivieren

[ ] Logging-Funktion des Systems aktiviert oder konfiguriert → Logging/Protokollierung
[ ] Logs enthalten: Eingaben, Systemversion, Zeitstempel, Score, Entscheidung
[ ] Aufbewahrungsfrist definiert (empfohlen: mindestens solange das Arbeitsverhältnis dauern könnte)
[ ] Zugriff auf Logs durch Deployer sichergestellt

8. Mitarbeiter schulen

[ ] Recruiter wissen, was das System tut und was es nicht tut
[ ] Grenzen und Grenzfälle des Systems kommuniziert
[ ] Übersteuerungs-Prozess bekannt und geübt

Teil 3: Im laufenden Betrieb

9. KPIs messen

[ ] KPI-Set definiert: Trefferquote, Übersteuerungsquote, Bias-Indikatoren → KPI
[ ] Regelmäßige Auswertung einplanen (mindestens quartalsweise)
[ ] Abweichungen dokumentieren und Maßnahmen ableiten

10. Post-Market Monitoring

[ ] PMM-Plan vorhanden: Zyklen, Prüfpunkte, Grenzwerte, Eskalationspfade → Post-Market Monitoring
[ ] Anbieter-Updates regelmäßig eingespielt und dokumentiert
[ ] Systemwechsel oder Versionswechsel neu bewertet

11. Vorfallsmanagement

[ ] Serious-Incident-Prozess definiert: Wann wird eskaliert? → Serious Incident
[ ] Meldewege intern bekannt (Datenschutzbeauftragter, Betriebsrat, ggf. Behörde)

12. Nachweise strukturieren

[ ] Alle Unterlagen zentral abgelegt: DoC, IFU, DPIA, AVV, Oversight-SOP, Logs
[ ] Audit Proof Pack vollständig → Audit Proof Pack
[ ] Zugriffsrecht für interne Prüfungen (Betriebsrat, Datenschutz) geregelt

Mini-Gesamtübersicht

Phase	Schwerpunkt	Wer
Vor dem Einsatz	Einstufung, Anbieter-Docs, DPIA, Transparenz, BR	HR + Datenschutz
Livegang	Oversight, Logging, Schulung	HR + IT
Betrieb	KPIs, PMM, Incidents, Nachweise	HR + Datenschutz

Häufige Fehler vermeiden

Fehler 1: Anbieter-Konformität als eigene Konformität missverstehen. Nur weil der Anbieter eine CE-Kennzeichnung hat, bedeutet das nicht, dass Ihr Betrieb compliant ist. Ihre Deployer-Pflichten bleiben bestehen.

Fehler 2: Transparenzhinweis vergessen oder zu spät platzieren. Der Hinweis muss vor dem KI-Einsatz sichtbar sein. Nicht im Kleingedruckten, nicht nach der Bewerbungsrunde.

Fehler 3: Human Oversight auf dem Papier, nicht in der Praxis. Schwellenwerte müssen dokumentiert und gelebt werden. Ein SOP-Dokument im Ablageordner reicht nicht.

Fehler 4: Logs vorhanden, aber nicht zugänglich. Viele Anbieter erstellen Logs. Aber als Deployer haben Sie das Recht und die Pflicht, auf diese zugreifen zu können. Klären Sie das im Vertrag.

Nächste Schritte

Einstufung prüfen: Nutzen Sie den KI-Risikocheck für eine strukturierte Erstbewertung Ihres Systems in unter 10 Minuten.

Governance aufbauen: Mit den GUIDES Recruiting bekommen Sie ein vollständiges 6-Schritte-System mit allen Ergebnis-Dokumenten, das genau auf den Recruiting-Kontext zugeschnitten ist.

Nachweise strukturieren: EVIDENCE ist der operative Einstieg: Prüfung, Dokumentation und Export in einer lokalen Browser-App.

Fragen? → Kontakt aufnehmen

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Prüfen Sie Ihren konkreten Sachverhalt mit einem Fachanwalt oder Datenschutzbeauftragten.

STATUS: BEREIT FÜR SEO-SPECIALIST | 2026-02-12