KI-gestütztes Recruiting und HR-Management: Compliance-Anforderungen nach KI-VO und DSGVO

von RA Clemens Handl und RAA Marco Ladner

Der Einsatz künstlicher Intelligenz (KI) im Recruiting sowie im laufenden HR-Management eröffnet Unternehmen erhebliche Effizienzgewinne und neue Möglichkeiten datenbasierter Personalentscheidungen. Gleichzeitig ist der Einsatz solcher Systeme mit einem dichten regulatorischen Rahmen verbunden. Insbesondere die Vorgaben der KI-Verordnung (KI-VO) sowie der Datenschutz-Grundverordnung (DSGVO) stellen hohe Anforderungen an Planung, Implementierung und Betrieb entsprechender Anwendungen.

1. KI im Recruitung: Hochrisiko und Verbote

KI-Systeme im Recruiting sind grundsätzlich zulässig, werden jedoch regelmäßig als Hochrisiko-KI-Systeme im Sinne der KI-VO qualifiziert. Arbeitgeber gelten dabei als Betreiber und unterliegen umfangreichen Pflichten, welche von der Einführung geeigneter technischer und organisatorischer Maßnahmen über die Überwachung bis zu Informations- und Aufbewahrungspflichten reichen. Zusätzlich ist das grundrechtlich abgesicherte Diskriminierungsverbot zu beachten, insbesondere im Hinblick auf mögliche algorithmische Verzerrungen.

Strikte Grenzen bestehen bei bestimmten Anwendungen: Insbesondere der Einsatz von Emotionserkennungssystemen, etwa zur Analyse von Verhalten oder Stimmung in Bewerbungsgesprächen, ist gemäß Art 5 KI-VO grundsätzlich unzulässig.

2. Datenschutzrechtliche Anforderungen im Bewerbungsprozess

Neben der KI-VO sind die Vorgaben der DSGVO einzuhalten. Zentrale Bedeutung kommt den Grundsätzen der Zweckbindung und Datenminimierung gemäß Art 5 DSGVO zu. Jede Verarbeitung bedarf zudem einer Rechtsgrundlage nach Art 6 DSGVO, etwa der Einwilligung des Betroffenen, die Zwecke der Vertragserfüllung oder das überwiegende Interesse des Arbeitgebers. Daneben bestehen spezielle Informationserteilungspflichten gegenüber Bewerbern im Falle von automatisierten Einzelentscheidungen betreffend die Funktionsweise des Recruiting-Tools und die Auswirkungen der KI auf den Auswahlprozess.

Besondere Relevanz hat Art 22 DSGVO, wonach die betroffenen Personen nicht einer ausschließlich auf einer automatisierten Verarbeitung (inkl Profiling) beruhenden Entscheidung unterworfen werden dürfen, die rechtliche Wirkung entfaltet oder zu einer vergleichbaren erheblichen Beeinträchtigung führt. Nach der Rechtsprechung des EuGH (Rs C-634/21 – SCHUFA) kann bereits eine KI-gestützte Vorbewertung als solche Entscheidung qualifiziert werden, wenn der menschliche Entscheider seine finale Entscheidung maßgeblich und quasi-automatisch auf diesen KI-generierten Output stützt. Entscheidend ist daher, dass eine echte menschliche Letztentscheidung mit eigenem Entscheidungsspielraum gewährleistet bleibt.

Erforderlich ist überdies eine leicht verständliche Datenschutzerklärung, die den Informationserfordernissen der ausschreibenden Stelle gem Art 13 und 14 DSGVO gerecht wird.

3. KI im laufenden Beschäftigungsverhältnis

Auch im laufenden Beschäftigungsverhältnis sind der Anwendung von KI-Systemen durch die KI-VO Grenzen gesetzt. Art 5 KI-VO verbietet im arbeitsbezogenen Kontext bestimmte KI-Praktiken mit inakzeptablem Risiko (Verbotskatalog). Danach sind manipulative KI-Systeme, die Verhalten von Beschäftigten gezielt beeinflussen, Systeme, die Schutzbedürftigkeit ausnutzen, sowie sogenanntes Social Scoring verboten. Ebenfalls unzulässig ist der Einsatz von Emotionserkennung am Arbeitsplatz, einschließlich im Home Office. Dies betrifft etwa Systeme zur Erkennung von Müdigkeit, Langeweile, Frustration oder Aggression zu Führungs- oder Kontrollzwecken.

Darüber hinaus gelten zahlreiche HR-Anwendungen als Hochrisiko-KI-Systeme. Hierzu zählen etwa KI-Systeme für Beförderungs- oder Kündigungsentscheidungen, KI-gestützte Aufgabenzuweisung, Systeme zur Leistungsüberwachung und Leistungsbewertung, KI-Modelle zur Arbeitszeit-, Dienst- oder Schichtplanung oder auch Systeme mit Empfehlungen zu Entgelt, Funktionen oder Einsatzorten. Dabei genügt es bereits, dass die KI den Entscheidungsprozess wesentlich vorbereitet, unterstützt oder beeinflusst.

4. Hochrisiko-KI: Pflichten und Ausnahmen

Liegt ein Hochrisiko-KI-System vor, treffen den Arbeitgeber umfassende Compliance-Pflichten. Dazu zählen insbesondere die Sicherstellung angemessener menschlicher Aufsicht, die Kontrolle der Eingabedaten, laufende Systemüberwachung, Protokollierung der Nutzung, Informationspflichten gegenüber Beschäftigten sowie die Sicherstellung ausreichender KI-Kompetenz der involvierten Personen.

Ausnahmen von der Hochrisiko-Einstufung bestehen nur eingeschränkt, etwa wenn das System nur eine eng begrenzte Verfahrensaufgabe erfüllt oder bloß eine vorbereitende Aufgabe übernimmt und die menschliche Bewertung nicht ersetzt. Diese Ausnahmen sind jedoch eng auszulegen.

5. Fazit

Der Einsatz von KI im Recruiting und HR-Management ist rechtlich zulässig, jedoch mit einigen Anforderungen verbunden. Unternehmen sind gehalten, sowohl die Vorgaben der KI-VO als auch der DSGVO einzuhalten und insbesondere eine Trennung zwischen automatisierter Analyse und menschlicher Entscheidungsverantwortung sicherzustellen. Eine sorgfältige rechtliche und technische Implementierung ist entscheidend, um Compliance-Risiken zu vermeiden.