Einsatz von Hochrisiko-Systemen in HR - Rechtliche Vorgaben ab 02.08.2026

‍1. Was sind Hochrisiko-Systeme im Beschäftigtenkontext?

‍

Aus dem HR-Bereich sind nach Art. 6 Abs. 2 KI-VO in Verbindung mit Anhang III Nr. 4 KI-VO diese Systeme als "Hochrisiko-System" zu qualifizieren:

„KI-Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerber zu bewerten;

KI-Systeme, die bestimmungsgemäß für Entscheidungen, die die Bedingungen von Arbeitsverhältnissen, Beförderungen und Kündigungen von Arbeitsvertragsverhältnissen beeinflussen, für die Zuweisung von Aufgaben aufgrund des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder für die Beobachtung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beschäftigungsverhältnissen verwendet werden soll.“

‍

Beispiele:

• KI erstellt Scores und Rankings zur Evaluierung von Bewerbern, die maßgeblich für die Entscheidung sind, wer eingeladen, eingestellt oder abgelehnt wird;
• KI erstellt automatisch Rankings und schlägt Kandidaten für Beförderungen vor oder plant anhand von „Low Performance Scores“ verschiedene Personalmaßnahmen oder Kündigungen;
• Ein Logistikunternehmen nutzt ein KI-System, das täglich auf Grundlage von individuellen Effizienz-, Produktivitäts- und Gesundheitsdaten Aufgaben in Bezug auf Routen, Schichtzeiten und Aufträgen an Beschäftigte erteilt;
• KI-basiertes Performance-Monitoring im Callcenter;
• KI-gestützte Produktivitätsanalyse zu den „Pick-Raten“ und Bewegungsdaten im Lager.

Ausnahmsweise wird ein KI-System nach Art. 6 Abs. 3 KI-VO gleichwohl dann nicht als hochriskant eingestuft, wenn es dazu bestimmt ist,

• eine eng gefasste Verfahrensaufgabe durchzuführen (Beispiel: Lebensläufe werden nach formalen Kriterien (z. B. Vollständigkeit der Unterlagen) vorsortiert. Hier trifft die KI keine Entscheidungen, sondern liefert nur eine technische Unterstützung;
• das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern;
• Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und nicht dazu gedacht ist, die zuvor abgeschlossene menschliche Bewertung ohne eine angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen;
• eine vorbereitende Aufgabe für eine Bewertung durchzuführen.

Allerdings gibt es wiederum eine Ausnahme von dieser Ausnahme: Selbst wenn eine der vorgenannten Ausnahmen vorliegt, liegt trotzdem ein Hochrisiko-System vor, wenn ein „Profiling“ natürlicher Personen vorgenommen wird. Hier gilt der Begriff des „Profiling“ aus der Datenschutz-Grundverordnung, mit dem jede Art der automatisierten Verarbeitung personenbezogener Daten beschrieben wird, die darin besteht, bestimmte persönliche Aspekte einer Person zu bewerten, zu analysieren oder vorherzusagen. Im HR-Bereich kommen hier insbesondere Aspekte zur Arbeitsleistung, Gesundheit, Zuverlässigkeit oder Verhalten in Betracht.

Profiling liegt also vor, wenn aus den Daten ein individuelles Profil erstellt wird, um Vorhersagen oder Entscheidungen über diese Person zu treffen. Bewertet ein KI-System etwa automatisch Bewerbungen nach bestimmten Eignungskriterien, dürfte Profiling gegeben sein.

‍

‍

2. Pflichten beim Einsatz von Hochrisiko-Systemen im HR-Bereich

‍

Ist danach ein Hochrisiko-System gegeben, bedeutet das für das Anwender-Unternehmen als „Betreiber“ im Sinne der KI-VO einen erheblichen Compliance-Aufwand, denn es sind u.a. diese Pflichten nach Art. 26 und 27 KI-VO zu erfüllen:

Informationspflichten:

• Information an Arbeitnehmer und Arbeitnehmervertreter vor Inbetriebnahme oder Verwendung des Hochrisiko-Systems;
• Information an Beschäftigte und Bewerber, sobald ein KI-System sie betreffende Entscheidungen trifft;
• Information an Anbieter oder Händler des KI-Systems sowie der Marktüberwachungsbehörde, sobald Grund zu der Annahme für das Bestehen eines Risikos für die Gesundheit, Sicherheit oder die Grundrechte von Personen besteht;
• Information an Anbieter und Händler/Einführer des KI-Systems sowie der Marktüberwachungsbehörde, sobald ein schwerwiegender Vorfall festgestellt wurde.

Überwachungspflichten:

• Treffen geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung, dass das KI-System entsprechend der Betriebsanleitung des Anbieters verwendet wird;
• Aussetzung des Betriebs, wenn die Anwendung gemäß Betriebsanleitung dazu führen kann, dass ein Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Personen besteht;
• Übertragung der menschlichen Aufsicht über das KI-System an natürliche Personen mit KI-Kompetenz;
• Kontrolle, dass die Eingabedaten der Zweckbestimmung des KI-Systems entsprechen und ausreichend repräsentativ sind.

‍Dokumentationspflichten:

• Aufbewahrung der automatisch erzeugten Protokolle über die Ereignisse während des gesamten Lebenszyklus des Systems für mindestens 6 Monate.

Ggf. Registrierung in der EU-Datenbank (gilt für Organe, Einrichtungen und sonstige Stellen der EU);

Ggf. Durchführung einer Datenschutz-Folgeabschätzung (die Pflicht dürfte sich beim Betrieb eines Hochrisiko-Systems bereits nach Art. 35 Datenschutzgrundverordnung - DSGVO ergeben) auf der Grundlage der vom Anbieter zur Verfügung gestellten Betriebsanleitung;

Ggf. Durchführung einer Grundrechte-Folgeabschätzung (gilt für Einrichtungen des öffentlichen Rechts und oder private Einrichtungen, die öffentliche Dienste erbringen sowie für Betreiber von Hochrisiko-Systemen zur Kreditwürdigkeits- und Bonitätsprüfung oder zur Risikobewertung und Preisbildung bei Lebens- und Krankenversicherungen);

Kooperation mit den zuständigen Behörden.

In diesem Zusammenhang ist noch auf Art. 25 KI-VO hinzuweisen, wonach Betreiber eines Hochrisiko-Systems zum Anbieter werden und sämtlichen Anbieterpflichten unterliegen, wenn

• sie ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI-Systems mit ihrem Namen oder ihrer Handelsmarke versehen,
• wenn sie eine wesentliche Veränderung eines Hochrisiko-KI-Systems, das bereits in Verkehr gebracht oder in Betrieb genommen wurde, so vornehmen, dass es weiterhin ein Hochrisiko-KI-System bleibt;
• wenn sie die Zweckbestimmung eines KI-Systems, einschließlich eines KI-Systems mit allgemeinem Verwendungszweck, das nicht als hochriskant eingestuft wurde und bereits in Verkehr gebracht oder in Betrieb genommen wurde, so verändern, dass das betreffende KI-System zu einem Hochrisiko KI-System wird.

Praktisch relevant wird das insbesondere beim Einsatz von White-Label-Lösungen, bei denen der Betreiber eigene Label anbringt oder wenn das umfassende Trainieren des KI-Systems dazu führt, dass eine wesentliche Veränderung oder Änderung der Zweckbestimmung vorliegt. In dem Fall sind die weitergehenden Anbieterpflichten bei Hochrisiko-Systemen nach Art. 8 – 22 KI-VO umzusetzen.

‍

‍

3. Zusätzlich kann ein Hochrisiko-System ein KI-System mit Transparenzrisiko sein

‍

Je nach Gestaltung eines Hochrisiko-Systems kann gleichzeitig ein KI-System mit Transparenzrisiko vorliegen. Hierbei handelt es sich um KI-Systeme, die direkt mit Menschen interagieren oder synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen. Wegen des bestehenden Täuschungspotentials sind hier transparente Hinweise erforderlich, dass die betreffenden natürlichen Personen mit einem KI System interagieren.

Beispiele:

• Recruiting-Chatbots auf der Webseite zur Beantwortung häufig gestellter Fragen zu offenen Stellen, Bewerbungsprozessen, Arbeitszeitmodellen, Benefits;
• Beschäftigten-Chatbots zur Beantwortung von Fragen nach Urlaubsansprüchen, Gehaltsabrechnungen, Weiterbildungsangeboten;
• KI-generierte Texte für Stellenanzeigen.

Wird ein Chatbot eingesetzt, ist gesondert und transparent darauf hinzuweisen. Sie Kommunikation sollte daher immer mit Hinweis beginnen, „Hallo, ich bin ein KI-Assistent und ich beantworte Deine Fragen zu …“.

‍

‍

4. Schnittstellen zum Arbeitsrecht bei Hochrisiko-Systemen

‍

Arbeitsrechtlich ist bereits vor Beginn der Nutzung von KI-Systemen allgemein eine sorgfältige Prüfung aller rechtlicher Rahmenbedingungen erforderlich. Die Einführung und Anwendung von KI-Systemen löst regelmäßig Beteiligungsrechte des Betriebsrats aus. Zentrale Bedeutung kommt dabei § 87 Abs. 1 Nr. 6 BetrVG (Betriebsverfassungsgesetz) zu. Danach unterliegt die Einführung und Anwendung "technischer Einrichtungen" der zwingenden Mitbestimmung, wenn diese dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, was einer der Anwendungsbereiche von Hochrisiko-Systemen ist. Unter den Begriff der technischen Einrichtung fallen sämtliche elektronischen Systeme, mithin auch KI-Systeme. Nach der Rechtsprechung genügt bereits die objektive Eignung des Systems, Leistungs- oder Verhaltensdaten der Beschäftigten zu erfassen oder auszuwerten um das Mitbestimmungsrecht auszulösen. Typische Anwendungsfälle sind KI-gestütztes Monitoring, Scoring, Tracking sowie Leistungs- und Produktivitätsanalysen.

Neben diesem zentralen Mitbestimmungstatbestand kommen weitere Beteiligungsrechte des Betriebsrats in Betracht. Nach § 90 Abs. 1 Nr. 1 und Nr. 2 BetrVG ist der Betriebsrat frühzeitig über die Planung technischer Anlagen sowie über Arbeitsverfahren und Arbeitsabläufe und damit auch über den Einsatz von KI zu unterrichten und mit diesem Beratungen zu führen.

Werden KI-gestützte Bewertungs- oder Scoringverfahren eingeführt, können darüber hinaus Personalfragebögen und Beurteilungsgrundsätze im Sinne des § 94 BetrVG betroffen sein. Werden KI-Systeme zur Personalplanung bei Einstellungen, Beförderungen, Versetzungen oder Kündigungen eingesetzt, bedarf die Aufstellung entsprechender Auswahlrichtlinien der Zustimmung des Betriebsrats nach § 95 BetrVG. § 95 Abs. 2a BetrVG stellt ausdrücklich klar, dass diese Zustimmungspflicht auch dann gilt, wenn bei der Erstellung oder Anwendung solcher Richtlinien KI zum Einsatz kommt.

Auch im Bewerbungsverfahren können Beteiligungsrechte des Betriebsrats ausgelöst werden. Etwa im Rahmen von Auswahlrichtlinien nach § 95 BetrVG die auch für Bewerbungsverfahren gelten. Werden KI-Systeme zur Vorauswahl, Bewertung oder zum Ranking von Bewerbungen eingesetzt, ist daher regelmäßig die Zustimmung des Betriebsrats erforderlich.

KI-Systeme, die im Rahmen von Bewerbungsverfahren zur Sichtung, Filterung oder Bewertung von Bewerbungen eingesetzt werden, sind regelmäßig als Hochrisiko-KI-Systeme einzuordnen.

Der Einsatz solcher Systeme ist zugleich am Maßstab des Allgemeinen Gleichbehandlungsgesetzes (AGG) zu prüfen. Diskriminierungsrisiken bestehen insbesondere dann, wenn KI-gestützte Auswahl- oder Rankingverfahren auf verzerrten Trainingsdaten beruhen oder scheinbar neutrale Kriterien verwenden, die einzelne Bewerbergruppen mittelbar benachteiligen. Auch bei einer Auslagerung KI-gestützter Auswahlprozesse verbleibt die Verantwortung beim Arbeitgeber, sofern er die Ergebnisse in seine Einstellungsentscheidung einbezieht. Zur Risikominimierung ist sicherzustellen, dass KI-Systeme lediglich unterstützend eingesetzt werden und die finale Auswahlentscheidung durch eine verantwortliche natürliche Person erfolgt.

KI-Systeme werden zunehmend auch zur automatisierten Personalplanung eingesetzt, etwa zur Prognose von Personalbedarf, zur Einsatz- und Schichtplanung oder zur Identifikation von Entwicklungs- und Qualifizierungsbedarfen. Solche Systeme können – je nach Ausgestaltung – sowohl arbeitsrechtliche Mitbestimmungstatbestände als auch die Einstufung als Hochrisiko-KI auslösen, insbesondere wenn individuelle Leistungs- oder Verhaltensdaten verarbeitet werden.

‍

‍

5. Schnittstellen zum Datenschutz

‍

Datenschutzrechtlich gilt, dass die Verarbeitung personenbezogener Daten von Beschäftigten und Bewerbern für Zwecke eines Beschäftigungsverhältnisses den Grundsätzen des § 26 Bundesdatenschutzgesetz (BDSG) entsprechen muss. Beschäftigten und Bewerbern ist eine Datenschutzinformation nach Art. 13 DSGVO (Datenschutz-Grundverordnung) zur Verfügung zu stellen, in der insbesondere über den konkreten Einsatz des Hochrisiko-Systems, die jeweilige Rechtsgrundlage sowie den Zweck der Verarbeitung zu informieren ist.

Praktisch relevant sind Fragen wie:

• Werden besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Gewerkschaftszugehörigkeit) verarbeitet und ist die rechtliche Grundlage dafür geschaffen (z. B. Einwilligung des Betroffenen)?
• Welche Informationen sind in der Datenschutzinformation nach § 13 DSGVO für Beschäftigte und Bewerber zu ergänzen?
• Ist eine Datenschutzfolgeabschätzung nach § 35 DSGVO erforderlich, um das KI-System datenschutzkonform einsetzen zu können? Das ist der Fall, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Hier ist auch zu prüfen, welche technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten zu ergreifen sind (z. B. Zugriffsbeschränkungen, Pseudonymisierung). Die Datenschutzfolgeabschätzung wird beim Einsatz von Hochrisiko-Systemen in der Regel erforderlich sein.

Die Personalabteilung hat daher darauf zu achten, dass Mitarbeiterinformationen und Datenschutzhinweise stets auf dem aktuellen Stand sind und den konkreten KI-Einsatz vollständig abbilden. Auch Löschfristenkonzepte und Speicherfristen sollten im Zusammenhang mit KI-gestützten Auswertungen regelmäßig überprüft und dokumentiert werden.

‍

‍

6. Fazit

‍

HR-Abteilungen, die die Einführung von KI-Systemen im Bereich Personalplanung und Recruiting planen, sollten die Zeit bis 2. August 2026 nutzen und die auf sie zukommenden Anforderungen identifizieren. HR-Anwendungen, die in den Anwendungsbereich von Hochrisiko-Systemen fallen könnten, sollten eindeutig kategorisiert und die entsprechenden Pflichten für das Unternehmen rechtzeitig identifiziert und umgesetzt werden.

‍

Haben Sie Fragen zum Thema oder benötigen Sie rechtliche Unterstützung zu Hochrisiko-Systemen benötigen? Wir beraten Sie gern!