HR-AI unter EU AI Act Hochrisiko

TL;DR

Vier produktive HR-AI-Use-Cases 2026: CV-Screening plus Vorqualifikation, Stellenausschreibungs-Optimierung, Onboarding-RAG, Skills-Mapping plus Reskilling — jeder mit messbarem ROI bei sauberer Compliance.
EU AI Act stuft Recruiting und Mitarbeiter-Bewertung als Hochrisiko ein (Annex III §4) — Konformitätsbewertung, Fundamental-Rights-Impact-Assessment und dokumentierter Bias-Test sind 2026 Pflicht.
Vier-Augen-Prinzip ist nicht-verhandelbar: DSGVO Art. 22 verbietet ausschließlich automatisierte Personalentscheidungen, BetrVG §87 verpflichtet zur Betriebsrat-Mitbestimmung bei jeder Recruiting-AI. Wer das ignoriert, klagt sich später vor dem Arbeitsgericht.

Vier HR-AI-Use-Cases

HR ist 2026 die regulatorisch heikelste AI-Domäne in DACH neben MedTech und Finanzen. Alle produktiven Use-Cases haben einen Nenner: AI klassifiziert und schlägt vor, der Mensch entscheidet final. Wer diese Trennlinie verlässt, riskiert nicht nur Bußgelder, sondern existenzielle Klage-Verfahren.

Regulatorische Anforderungs-Matrix HR-AI 2026 Use-Case mal EU AI Act mal DSGVO mal BetrVG CV-Screening Hochrisiko Annex III Paragraph 4 Konformitaetsbewertung plus FRIA Pflicht DSGVO Artikel 22 Vier-Augen Pflicht BetrVG Paragraph 87 Absatz 1 Nummer 6 Mitbestimmung Pflicht Stellenausschreibung Niedrigrisiko Transparenz-Pflicht Onboarding-RAG Artikel 32 Sicherheit Skills-Mapping Hochrisiko zwei der vier Use-Cases sind Hochrisiko-Default alle vier triggern BetrVG-Mitbestimmung — Exhibit 2: Regulatorische Anforderungs-Matrix HR-AI 2026 — zwei der vier Use-Cases sind EU-AI-Act-Hochrisiko-Default, alle vier triggern BetrVG-Mitbestimmung. EU-Hosting, Vier-Augen-Prinzip, Bias-Test und Betriebsrat-Vereinbarung sind 2026 Mindeststandard.

CV-Screening plus Vorqualifikation

Die AI klassifiziert Bewerbungen nach harten Kriterien — Berufserfahrung, formaler Abschluss, technische Skills aus dem Anforderungsprofil. Soft-Bias-Signale wie Foto, Name, Wohnort oder Hobbys sind aus dem Prompt zu entfernen. Vier-Augen-Prinzip ist zwingend: AI markiert "Match", "Teilmatch" oder "Kein Match", der HR-Manager bestätigt oder überschreibt. Die Pre-Screening-Zeit pro Bewerbung sinkt von 8–12 Minuten auf 90 Sekunden — bei 800+ Bewerbungen pro Monat 80–120 h Recruiter-Zeit pro Quartal.

Stellenausschreibungs-Optimierung

LLM-Analyse identifiziert gender-codierte Sprache ("durchsetzungsstark", "wettbewerbsorientiert" → männlich-codiert) und schlägt neutrale Alternativen vor. Sie prüft Anforderungs-Listen auf Überfrachtung — typische Ausschreibungen tragen 30–50 % "Nice-to-have"-Punkte als "Must-have" und verlieren qualifizierte Bewerber. Conversion-Lift: 15–30 % mehr qualifizierte Bewerbungen pro Stelle.

Onboarding-RAG

Neue Mitarbeiter haben ab Tag 1 einen 24/7-Q&A-Assistenten auf der internen Wissensbasis — Arbeitsanweisungen, IT-Setup, Urlaub, Reisekosten, Organigramm. Das LLM antwortet mit Citation auf die Quell-Dokumente, der HR-Business-Partner ist nur noch für Eskalationen zuständig. Time-to-Productivity sinkt um 2–4 Wochen.

Skills-Mapping plus Reskilling-Empfehlung

LLM-Analyse von Tätigkeitsbeschreibungen, LinkedIn-Skills, Performance-Reviews und Projekthistorie generiert ein Skill-Profil pro Mitarbeiter, matched gegen Stellen-Anforderungs-Bibliotheken und schlägt einen Lern-Pfad vor — typisch 3–5 Kurse plus 1–2 Stretch-Assignments über 6–12 Monate. Adoption-Rate gegenüber klassischer Katalog-Suche: 35–50 % höher. Der härteste Hebel zur Reduktion externer Recruiting-Cost in 24-Monats-Sicht.

Regulatorische Anforderungs-Matrix

Drei Regelwerke überlagern sich bei jedem HR-AI-Use-Case. Wer eines übersieht, baut auf juristischem Treibsand. Diese Matrix gehört in jede Lenkungskreis-Vorlage vor PoC-Start.

Use-Case	EU AI Act	DSGVO	BetrVG
CV-Screening	Hochrisiko Annex III §4 — Konformitätsbewertung + FRIA	Art. 22 — Vier-Augen Pflicht	§87 Abs. 1 Nr. 6 — Mitbestimmung
Stellenausschreibung	Niedrigrisiko — Transparenz-Pflicht	Art. 5 — Zweckbindung	§87 Abs. 1 Nr. 1 — Information
Onboarding-RAG	Niedrigrisiko — Transparenz-Pflicht	Art. 32 — Sicherheit	§87 Abs. 1 Nr. 6 — Mitbestimmung
Skills-Mapping	Hochrisiko Annex III §4 — Konformitätsbewertung + FRIA	Art. 22 — Vier-Augen Pflicht	§87 Abs. 1 Nr. 6 — Mitbestimmung

Zwei der vier Use-Cases sind Hochrisiko-Default, alle vier triggern BetrVG-Mitbestimmung. Provider-Realität: EU-Hosting, Vier-Augen-Prinzip, dokumentierter Bias-Test und Betriebsrat-Vereinbarung sind 2026 Mindeststandard.

Bias-Test als Pflicht-Layer

Bias-Test ist nicht mehr optional — er ist Konformitätsbewertungs-Pflicht nach EU AI Act Article 15 für Hochrisiko-Systeme. Drei Metriken sind in der DACH-Audit-Praxis Standard, jede halbjährlich neu erhoben und im Risk Register dokumentiert:

Pilot-Cockpit 80 Millionen Euro DACH-Industrie-Mittelstand Maschinenbau Sueddeutschland 420 Mitarbeiter 120 Neueinstellungen pro Jahr Dual-Track CV-Screening plus Onboarding-RAG ueber 9 Monate Phase 0 Betriebsrat-Vereinbarung plus FRIA 8 Wochen Verhandlung Vier-Augen-Klausel halbjaehrlicher Bias-Test Phase 1 Onboarding-RAG Pilot 3.200 Dokumente indexiert Faithfulness 0.91 78 Prozent Adoption Phase 2 CV-Screening Shadow 6 Wochen 1.800 Bewerbungen Subgruppen-Spread 3,2 pp Phase 3 Go-Live Canary 25 auf 100 Prozent minus 68 Prozent Pre-Screening-Zeit Phase 4 Bias-Audit 0 Major-Findings Konformitaetsbewertung bestanden Capex 145 Tausend Euro Run-Rate-Ersparnis 280 Tausend pro Jahr Payback 6.2 Monate — Exhibit 3: Industrie-Mittelstand-Pilot über 9 Monate — Dual-Track CV-Screening plus Onboarding-RAG, Capex inkl. FRIA und Betriebsrat-Beratung, Run-Rate-Ersparnis /Jahr, Payback 6,2 Monate, 0 Major-Findings im externen Bias-Audit. Phase 0 Betriebsrat war 8 Wochen — und der entscheidende Erfolgsfaktor.

Subgruppen-Performance: Der Match-Score pro Subgruppe (Geschlecht, Alter, Migrationshintergrund über Proxy-Variablen wie Name oder Bildungsweg) darf sich um maximal 5 Prozentpunkte unterscheiden. Größere Spreads triggern Re-Training oder Feature-Entfernung.
Demografische Parity: Die Annahme-Quote pro Subgruppe sollte innerhalb ±20 % der Gesamt-Quote liegen (4/5-Rule der EEOC, in DACH als Auslegungs-Hilfe etabliert). Verstoß = formale Bias-Beanstandung im Audit.
Equalized-Odds: True-Positive-Rate und False-Positive-Rate müssen pro Subgruppe innerhalb 10 Prozentpunkten liegen. Diese Metrik schützt vor strukturellem Vorteils-Bias, den Demografische Parity allein nicht abdeckt.

Pilot-Erfahrung aus dem Industrie-Mittelstand

Ein süddeutscher Maschinenbau-Mittelständler mit rund 120 Neueinstellungen pro Jahr hat zwei Use-Cases dual implementiert: CV-Screening als Hochrisiko-Pflicht-Pfad, Onboarding-RAG als Velocity-Quick-Win.

Phase	Findings	Adoption
Phase 0 Betriebsrat + FRIA	8 Wochen Verhandlung, Vier-Augen-Klausel + halbjährlicher Bias-Test fixiert	100 % Betriebsrat-Zustimmung
Phase 1 Onboarding-RAG	3.200 Dokumente indexiert, Eval-Set 240 Q&A, Faithfulness 0,91	78 % der Neueinstellungen aktiv
Phase 2 CV-Screening Shadow	6 Wochen auf 1.800 Bewerbungen, Subgruppen-Spread 3,2 pp	Recruiter-Feedback 4,4/5
Phase 3 CV-Screening Go-Live	Canary 25 → 100 %, Vier-Augen-Klick dokumentiert	−68 % Pre-Screening-Zeit
Phase 4 Bias-Audit	Externe Auditierung, 0 Major-Findings, Konformitätsbewertung bestanden	Time-to-Productivity −18 Tage

Das Programm amortisierte sich im ersten Jahr. Der harte Erfolgs-Faktor war nicht das LLM, sondern die 8-wöchige Phase 0 mit dem Betriebsrat.

Anti-Patterns

Drei Anti-Patterns treffen wir bei 60 % der HR-AI-Projekte. Jedes kann existenziell eskalieren — Klage, Bußgeld, BetrVG-Einigungsstelle. Vor PoC-Start prüfen, nicht danach:

Recruiting-AI ohne Betriebsrat-Vereinbarung: BetrVG §87 Abs. 1 Nr. 6 gibt dem Betriebsrat zwingende Mitbestimmung bei jedem System, das Verhalten oder Leistung der Beschäftigten überwachen oder auswerten kann. Wer ohne Vereinbarung live geht, sammelt Unterlassungsverfügung plus Klage-Risiko mit existenzieller Wirkung.
Kein dokumentierter Bias-Test: EU AI Act Article 15 verlangt dokumentierten Bias-Test mit Metriken, Testdaten und Re-Test-Cadence. Wer ihn nur als "haben wir geprüft, sieht gut aus" abhakt, fällt im ersten Audit. Halbjährlicher Bias-Test, dokumentiert im Risk Register mit Owner und Datum, ist Mindeststandard.
Fully-automated Personalentscheidung: DSGVO Art. 22 verbietet ausschließlich automatisierte Entscheidungen mit rechtlicher Wirkung — und eine Absage auf eine Bewerbung ist eine rechtliche Wirkung. Auch ein "Auto-Reject" unter einer Match-Score-Schwelle ohne menschliche Kontrolle ist verboten. Vier-Augen-Prinzip mit dokumentiertem Recruiter-Klick ist nicht-verhandelbar.

Default-Empfehlung 2026

Für jeden DACH-Mittelständler gilt ein vier-Punkte-Mindeststandard, unabhängig von Branche und Größe. Jeder Punkt ist im Pilot-Vertrag und der Betriebsrat-Vereinbarung explizit zu fixieren.

#	Mindeststandard	Cadence
1	Betriebsrat-Vereinbarung nach BetrVG §87 mit Vier-Augen-Klausel	Vor PoC-Start, jährlich Review
2	EU-Hosting (Frankfurt/Schweden/EU-Region-Pin) plus Audit-Recht in DPA	Provider-Auswahl, vertraglich fixiert
3	Vier-Augen-Prinzip mit dokumentiertem Recruiter-Klick je Entscheidung	Pro Entscheidung, technisch erzwungen
4	Bias-Test halbjährlich auf Subgruppen-Performance, Parity, Equalized-Odds	Alle 6 Monate, Risk-Register

Wer diese vier Punkte ehrlich umsetzt, hat ein produktives HR-AI-System ohne juristisches Restrisiko. Wer einen davon spart, baut sich eine Zeitbombe.

Praxis-Schritt: Ein 120-Min-HR-AI-Assessment klassifiziert Ihre Use-Cases gegen EU AI Act, DSGVO und BetrVG, identifiziert die Hochrisiko-Pfade und liefert die 9-Monats-Roadmap inkl. Betriebsrat-Vorlage. Erstgespräch anfragen → /anfrage

Stand Mai 2026. AI-Beratung für HR-Use-Cases in Kooperation mit arbeitsrechtlich spezialisierten Kanzleien und akkreditierten Compliance-Partnern — eigene BAFA-/go-digital-Akkreditierung in Vorbereitung Q3 2026.

Baybora Gülec· Gründer, Azena

Nächster Schritt

Passt das auf Ihren Fall?

30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.

Erstgespräch buchen

Teilen LinkedIn Per E-Mail