Ein Lebenslauf, der nie gelesen wird. Nicht weil die Qualifikation fehlt, sondern weil ein Algorithmus entschieden hat, dass bestimmte Muster nicht ins Profil passen. Was nach einer Düstervision klingt, ist längst Praxis. Unternehmen setzen KI-gestützte Screening-Tools ein, um Bewerbungen vorzufiltern, Kandidatenprofile zu bewerten und Interviewtermine zu vergeben. Die Effizienzgewinne sind real. Die Risiken allerdings auch.

Diese Systeme lernen aus historischen Daten. Und historische Daten bilden nun einmal historische Ungleichheiten ab. Wer das ignoriert, riskiert nicht nur eine ethisch fragwürdige Personalauswahl, sondern auch handfeste rechtliche Konsequenzen. Der EU AI Act, das Allgemeine Gleichbehandlungsgesetz und die DSGVO setzen Leitplanken, die viele Personalabteilungen noch nicht auf dem Schirm haben.

Wenn der Algorithmus aussortiert

Im Februar 2026 berichtete t3n über eine Studie, die aufhorchen lässt. KI-Screening-Tools bewerteten Bewerbungen von Frauen systematisch schlechter als gleichwertige Bewerbungen von Männern. Die Unterschiede waren nicht marginal. Bei identischer Qualifikation erhielten weibliche Profile in mehreren getesteten Systemen niedrigere Eignungswerte, was in der Praxis bedeutet, dass sie früher aussortiert wurden.

Das Muster ist freilich nicht neu. Amazon hatte bereits 2018 ein internes Recruiting-Tool stillgelegt, weil es Bewerbungen mit dem Wort „women's" systematisch abwertete. Das System hatte aus zehn Jahren Einstellungsdaten gelernt, in denen überwiegend Männer eingestellt wurden, und diese Verteilung als Qualitätsmerkmal interpretiert. Acht Jahre später zeigen aktuelle Studien, dass das Grundproblem nicht gelöst ist. Es hat sich lediglich in neuere Modellgenerationen verschoben.

Was diese Befunde besonders brisant macht, ist die Unsichtbarkeit. Kein Personalverantwortlicher sortiert bewusst nach Geschlecht. Der Algorithmus tut es, ohne dass es in den Ergebnislisten erkennbar wäre. Die Entscheidung erscheint objektiv, weil sie maschinell getroffen wurde. Genau darin liegt die Gefahr.

EU AI Act: HR-Screening ist Hochrisiko

Der EU AI Act (Verordnung (EU) 2024/1689) klassifiziert KI-Systeme nach Risikoklassen. Für das Personalwesen ist die Einordnung eindeutig. Anhang III, Nr. 4 benennt KI-Systeme, die für „Einstellung oder Auswahl natürlicher Personen" eingesetzt werden, explizit als Hochrisiko-KI-Systeme. Das gilt für das Screening von Bewerbungen ebenso wie für die automatisierte Bewertung von Kandidaten oder die Vorauswahl für Interviews.

Die Konsequenzen sind erheblich. Hochrisiko-KI-Systeme unterliegen nach Art. 9 bis Art. 15 der Verordnung strengen Anforderungen.

Pflichten für Hochrisiko-KI nach EU AI Act

  • Risikomanagement (Art. 9): Ein dokumentiertes Risikomanagementsystem über den gesamten Lebenszyklus
  • Datenqualität (Art. 10): Trainingsdaten müssen repräsentativ, fehlerfrei und frei von systematischen Verzerrungen sein
  • Transparenz (Art. 13): Anwender müssen verstehen können, wie das System zu seinen Ergebnissen kommt
  • Menschliche Aufsicht (Art. 14): Eine natürliche Person muss die Ergebnisse überwachen und eingreifen können
  • Genauigkeit und Robustheit (Art. 15): Das System muss zuverlässig funktionieren und gegen Fehler robust sein

Ab August 2026 gelten diese Pflichten vollständig. Wer dann ein KI-Screening-Tool im Recruiting einsetzt, ohne diese Anforderungen zu erfüllen, riskiert Bußgelder von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes (Art. 99 Abs. 3).

AGG und DSGVO: Was bereits heute gilt

Unabhängig vom EU AI Act existieren zwei Rechtsrahmen, die schon jetzt greifen und die viele Unternehmen in Bezug auf KI-gestützte Personalauswahl unterschätzen.

Allgemeines Gleichbehandlungsgesetz (AGG)

Das AGG verbietet Benachteiligungen in Beschäftigungsverhältnissen aufgrund von Geschlecht, ethnischer Herkunft, Religion, Behinderung, Alter und sexueller Identität (§ 1, § 7 AGG). Die Vorschrift gilt auch dann, wenn die Benachteiligung durch ein automatisiertes System erfolgt. Ein Unternehmen kann sich nicht darauf berufen, dass „die KI das so entschieden hat". Die Verantwortung bleibt beim Arbeitgeber.

Praktisch heißt das, dass ein Verstoß gegen § 7 AGG vorliegt, wenn ein KI-Screening-Tool nachweislich Bewerberinnen systematisch schlechter bewertet. Die Beweislast kehrt sich nach § 22 AGG um. Sobald Indizien für eine Benachteiligung vorliegen, muss der Arbeitgeber beweisen, dass die Ungleichbehandlung sachlich gerechtfertigt war. Bei einem intransparenten Algorithmus dürfte dieser Beweis ohnehin schwerfallen.

DSGVO Art. 22: Automatisierte Einzelentscheidungen

Art. 22 Abs. 1 DSGVO gibt betroffenen Personen das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt". Eine automatisierte Vorauswahl im Bewerbungsprozess fällt unter diese Regelung.

Sofern ein Unternehmen dennoch automatisierte Entscheidungen einsetzt, müssen nach Art. 22 Abs. 3 DSGVO „angemessene Maßnahmen" ergriffen werden, darunter das Recht auf Eingreifen einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. In der Praxis heißt das, dass kein Bewerber allein aufgrund eines algorithmischen Scores abgelehnt werden darf, ohne dass ein Mensch die Entscheidung überprüft hat.

Die Verantwortung für algorithmische Entscheidungen bleibt beim Arbeitgeber. Ein Unternehmen kann sich nicht darauf berufen, dass „die KI das so entschieden hat".

Kernaussage zum AGG-Bezug im ki-bewerbungsprozess

Warum KI-Bias keine Überraschung sein darf

Die technischen Ursachen für diskriminierende Ergebnisse sind gut verstanden. Drei Mechanismen treten dabei besonders häufig auf.

Ein erster Mechanismus ist die historische Verzerrung. Trainingsdaten spiegeln vergangene Einstellungsentscheidungen wider. Waren diese von Bias geprägt, reproduziert das Modell diesen Bias. Das Amazon-Beispiel zeigt das Muster in Reinform.

Eng damit verbunden sind Proxy-Variablen. Selbst wenn das Merkmal „Geschlecht" explizit ausgeschlossen wird, kann der Algorithmus Stellvertretervariablen nutzen. Hochschulname, Studienfach, Lücken im Lebenslauf, Hobbys. Wenn bestimmte Hochschulen überwiegend von Frauen besucht werden, wird der Hochschulname zum Proxy für das Geschlecht.

Hinzu kommt die Unterrepräsentation. Wenn in den Trainingsdaten bestimmte Gruppen unterrepräsentiert sind, lernt das Modell für diese Gruppen schlechtere Vorhersagen. Die Fehlerrate steigt, die Bewertungsqualität sinkt, und zwar systematisch für genau jene Gruppen, die ohnehin benachteiligt sind.

Keiner dieser Mechanismen ist ein Softwarefehler im klassischen Sinne. Es sind emergente Eigenschaften statistischer Modelle, die auf verzerrten Daten trainiert wurden. Genau deshalb reicht es nicht, ein Tool zu kaufen und einzusetzen. Die Verantwortung für die Ergebnisse liegt beim Anwender, und der muss diese Mechanismen kennen.

Checkliste: Sieben Punkte für verantwortungsvolle KI im Recruiting

Für Unternehmen, die KI-Screening-Tools einsetzen oder einführen wollen, ergeben sich aus den regulatorischen Anforderungen und den bekannten Risiken konkrete Handlungsschritte.

  1. Bestandsaufnahme durchführen. Welche KI-Systeme werden im Recruiting bereits eingesetzt? Auch eingebettete Funktionen in Bewerbermanagementsystemen (ATS) zählen. Viele HR-Abteilungen wissen nicht, dass ihr ATS bereits KI-basierte Vorfilterung enthält.
  2. Risikoklassifizierung vornehmen. KI-Systeme im Recruiting sind nach EU AI Act Anhang III, Nr. 4 Hochrisiko. Das muss dokumentiert und im KI-Inventar vermerkt sein.
  3. Bias-Audits planen. Regelmäßige Überprüfung der Ergebnisse auf systematische Verzerrungen. Mindestens Geschlecht, Alter und ethnische Herkunft. Die Audit-Ergebnisse müssen dokumentiert werden.
  4. Menschliche Aufsicht sicherstellen. Keine Bewerbung darf allein auf Basis eines KI-Scores abgelehnt werden. Eine qualifizierte Person muss jede Ablehnung überprüfen, die durch automatisierte Vorauswahl erfolgt ist.
  5. Transparenz herstellen. Bewerber müssen darüber informiert werden, dass KI-Systeme im Auswahlprozess eingesetzt werden (Art. 13 DSGVO, Art. 50 EU AI Act). Das gehört in die Datenschutzerklärung und in die Stellenanzeige.
  6. Vertragliche Absicherung. Anbieter von KI-Screening-Tools müssen vertraglich zusichern, welche Maßnahmen gegen Bias implementiert sind, welche Trainingsdaten verwendet werden und wie regelmäßig das System auf Fairness geprüft wird.
  7. Dokumentation pflegen. Die technische Dokumentation gemäß Art. 11 EU AI Act muss den gesamten Lebenszyklus abdecken. Beschaffung, Konfiguration, Anpassungen, Audit-Ergebnisse, Vorfälle.

ISO 42001 als Governance-Rahmen

Die ISO 42001 (Managementsystem für Künstliche Intelligenz) bietet einen strukturierten Rahmen, um KI-Systeme systematisch zu steuern. Für den HR-Bereich ist die Norm durchaus relevant, weil sie genau jene Anforderungen adressiert, die der EU AI Act für Hochrisikosysteme vorschreibt. Risikomanagement, Dokumentation, Überwachung, kontinuierliche Verbesserung.

Konkret liefert ein AIMS nach ISO 42001 die Prozesse für folgende Bausteine.

  • Ein zentrales KI-Inventar, in dem alle eingesetzten Systeme erfasst und klassifiziert sind
  • Risikobeurteilungen, die Bias-Risiken explizit einschließen
  • Verantwortlichkeiten. Wer entscheidet über den Einsatz, wer überwacht die Ergebnisse, wer reagiert auf Vorfälle
  • Audit-Zyklen, die sicherstellen, dass Bias-Prüfungen nicht einmalig, sondern regelmäßig stattfinden

Organisationen, die bereits ein ISMS nach ISO 27001 betreiben, können die AIMS-Integration deutlich schneller umsetzen, weil Risikomanagement-Methodik, Dokumentationsstrukturen und Audit-Prozesse bereits etabliert sind. Wer ohnehin ein integriertes Managementsystem betreibt, sollte KI-Governance als Erweiterung betrachten, nicht als separates Projekt.

Was jetzt zu tun ist

Die Frist läuft. Ab August 2026 gelten die Hochrisiko-Anforderungen des EU AI Act vollständig. Das AGG und Art. 22 DSGVO gelten bereits heute. Wer KI-Screening-Tools im Recruiting einsetzt, ohne Bias-Audits, ohne menschliche Aufsicht und ohne Dokumentation, bewegt sich auf unsicherem Terrain.

Die Handlungsempfehlung ist dabei nicht, KI aus dem Personalwesen zu verbannen. Die Technologie kann durchaus helfen, Auswahlprozesse effizienter und in bestimmten Fällen sogar fairer zu gestalten, etwa wenn ein gut kalibriertes System unbewusste menschliche Vorurteile korrigiert. Entscheidend ist, dass Unternehmen wissen, was ihre Systeme tun, dass sie die Ergebnisse überwachen und dass sie eingreifen können, wenn der Algorithmus in die falsche Richtung optimiert.

Die größte Gefahr ist nicht die KI selbst. Es ist das Vertrauen in algorithmische Objektivität, das dazu führt, dass niemand mehr hinschaut. Genau dagegen setzen EU AI Act, AGG und DSGVO ihre Leitplanken. Unternehmen, die diese Leitplanken ernst nehmen, schützen nicht nur ihre Bewerber, sondern auch sich selbst. Vor Reputationsschäden, Bußgeldern und dem Verlust der besten Talente, die der Algorithmus nie hätte aussortieren dürfen.

QUELLEN

  1. Verordnung (EU) 2024/1689 (EU AI Act), Art. 9-15, 50, 99, Anhang III Nr. 4, EUR-Lex
  2. Verordnung (EU) 2016/679 (DSGVO), Art. 13, 22, EUR-Lex
  3. Allgemeines Gleichbehandlungsgesetz (AGG), § 1, § 7, § 22
  4. t3n: Studie zu geschlechtsspezifischer Bewertung in KI-Recruiting-Tools (Februar 2026)
  5. Reuters: „Amazon scraps secret AI recruiting tool that showed bias against women" (2018)
  6. ISO/IEC 42001:2023 AI Management System, iso.org