Gorici Legal Logo

Mar 13, 2026

KI im Personalwesen: Welche Pflichten haben Arbeitgeber in Rumänien nach dem AI Act vor August 2026

Nutzen Sie Künstliche Intelligenz in Ihren HR-Prozessen? Dann fallen Sie wahrscheinlich bereits in den Anwendungsbereich des derzeit strengsten europäischen Regulierungsrahmens.

Viele Unternehmen in Rumänien haben in den vergangenen Jahren Instrumente der Künstlichen Intelligenz in ihre Rekrutierungs- und Personalprozesse integriert — von automatisierten CV-Screening-Tools und Pre-Screening-Chatbots bis hin zu Video-Interview-Plattformen mit Verhaltensanalyse oder Systemen zur Leistungsbewertung. Manche Unternehmen verwenden hierfür spezialisierte Lösungen; andere setzen schlicht Tools wie ChatGPT oder Microsoft Copilot als Assistenz in Auswahlverfahren ein.

Was viele Arbeitgeber nicht wissen: Eine erhebliche Zahl dieser Anwendungsfälle kann unter die Kategorie der „Hochrisiko-KI-Systeme“ im Sinne der Verordnung (EU) 2024/1689, das „AI Act”, fallen, und die maßgebliche Compliance-Frist rückt rasch näher: der 2. August 2026.

Verstöße können zu Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes führen — Sanktionen, die in bestimmten Fällen sogar über dem Sanktionsniveau der Datenschutz-Grundverordnung (DSGVO) liegen.



Was ist der AI Act?

Der AI Act ist der weltweit erste umfassende Rechtsrahmen, der speziell der Regulierung Künstlicher Intelligenz gewidmet ist. Er ist am 1. August 2024 in Kraft getreten und gilt in allen Mitgliedstaaten der Europäischen Union, einschließlich Rumänien, unmittelbar, ohne dass es eines gesonderten nationalen Umsetzungsgesetzes bedarf.

Die Verordnung hat extraterritoriale Wirkung: Sie gilt für jedes Unternehmen, unabhängig von seinem Sitz, wenn KI-Systeme für Entscheidungen eingesetzt werden, die Personen im Gebiet der Europäischen Union betreffen. Ein rumänischer Arbeitgeber mit Bewerbern oder Arbeitnehmern in der EU fällt daher grundsätzlich in ihren Anwendungsbereich.

Der AI Act wird stufenweise anwendbar. Für die Zwecke dieses Beitrags sind insbesondere folgende Zeitpunkte relevant:

  • Februar 2025 — die Vorschriften zu verbotenen KI-Praktiken und die Pflicht zur KI-Kompetenz (AI literacy) werden anwendbar;
  • August 2025 — die Vorschriften für General-Purpose AI-Modelle (zum Beispiel ChatGPT, Claude, Gemini usw.) werden anwendbar;
  • August 2026 — der AI Act wird im Wesentlichen voll anwendbar: Das vollständige Pflichtenprogramm für Hochrisiko-KI-Systeme (einschließlich solcher im HR-Bereich) greift; die im AI Act vorgesehenen Geldbußen werden anwendbar; und der im AI Act vorgesehene Aufsichts- und Durchsetzungsrahmen wird weitgehend operativ.

Mit anderen Worten: Einige Pflichten aus dem AI Act gelten bereits, während der überwiegende Teil des verbleibenden Rahmens in weniger als sechs Monaten anwendbar wird.



Warum der Einsatz von KI in der Rekrutierung als „hochriskant“ eingestuft wird

Der AI Act verfolgt einen risikobasierten Ansatz: Je größer die potenziellen Auswirkungen auf die Grundrechte betroffener Personen, desto strenger sind die regulatorischen Anforderungen.

Nach Artikel 6 Absatz 2 und Anhang III des AI Act werden KI-Systeme, die im Bereich Beschäftigung, Arbeitnehmermanagement und Zugang zur selbstständigen Erwerbstätigkeit eingesetzt werden, grundsätzlich als Hochrisiko-KI-Systeme eingestuft. Dazu zählen insbesondere:

  • KI-Systeme, die für Rekrutierung und Auswahl eingesetzt werden — einschließlich zielgerichteter Stellenanzeigen, CV-Screening, Sortierung oder Ranking von Bewerbern sowie deren Bewertung im Interview;
  • KI-Systeme, die die Bedingungen des Beschäftigungsverhältnisses beeinflussen — einschließlich Beförderungen, Aufgabenverteilung, Leistungsüberwachung und Kündigungsentscheidungen;
  • KI-Systeme, die Arbeitnehmer während der Ausführung ihrer Tätigkeit überwachen und bewerten.

Der Grundgedank ist einfach: Eine Einstellungs- oder Kündigungsentscheidung, die von einem Algorithmus getroffen oder maßgeblich beeinflusst wird, kann tief in die Grundrechte einer Person eingreifen — insbesondere in das Recht auf Arbeit, das Diskriminierungsverbot und die Menschenwürde. Der AI Act behandelt solche Systeme daher mit derselben Ernsthaftigkeit wie KI in kritischen Infrastrukturen oder biometrischen Systemen.



Die zentrale Regel: Entscheidend ist nicht, wer das KI-System entwickelt hat, sondern wie es genutzt wird

Dies ist vermutlich die wichtigste praktische Erkenntnis dieses Beitrags — und eine, die viele Arbeitgeber überrascht.

Der AI Act unterscheidet grundlegend zwischen:

  • Provider — dem Unternehmen, das das KI-System entwickelt und in Verkehr bringt (zum Beispiel OpenAI, Microsoft oder der Anbieter einer Recruiting-Software wie LinkedIn Recruiter);
  • Deployer — jedem Unternehmen oder jeder Person, die ein KI-System im Rahmen ihrer beruflichen Tätigkeit einsetzt.

Ein Arbeitgeber, der ein KI-Tool im HR-Bereich einsetzt, ist in der Regel ein Deployer — und unterliegt damit konkreten Pflichten, auch wenn er die im Rekrutierungsprozess eingesetzte Software nicht selbst entwickelt hat.

Einige praktische Beispiele verdeutlichen, wo die Grenze verläuft:

Ein Mitarbeiter der Personalabteilung eines Unternehmens lädt 20 Lebensläufe in ChatGPT hoch und fordert das Modell auf, die Bewerber anhand der Stellenbeschreibung zu ranken und anschließend zu empfehlen, wer im Rekrutierungsprozess weiterkommen soll und wer nicht. Durch diesen Prompt und diesen konkreten Anwendungsfall kann das Unternehmen eine Hochrisiko-Nutzung auslösen, obwohl es kein eigenes KI-System entwickelt hat.

Ein weiteres relevantes Beispiel ist die Nutzung von „Candidate Fit Score“-Funktionen in LinkedIn Recruiter: Filtert der Recruiter Bewerber anhand des vom Algorithmus generierten Scores und überprüft die Profile der ausgeschlossenen Bewerber nicht manuell, wird die Entscheidung, einen Bewerber nicht zu kontaktieren, maßgeblich durch ein KI-System beeinflusst.

Dasselbe Regelungsregime gilt auch im Verhältnis zwischen Arbeitgeber und bereits beschäftigten Arbeitnehmern. Nutzt ein Unternehmen ein KI-System zur Überwachung der Produktivität, indem es etwa die Anzahl von Handlungen innerhalb eines bestimmten Zeitraums, Reaktionszeiten oder das Aktivitätsniveau am Computer misst, und verwendet es den Output dieses Systems als Grundlage für regelmäßige Leistungsbeurteilungen oder Kündigungsentscheidungen, betreibt es ein Hochrisiko-KI-System. Unerheblich ist, dass die endgültige Entscheidung formal von einem Manager unterzeichnet wird: Wenn der algorithmische Bericht diese Entscheidung maßgeblich trägt, ist das System hochriskant, und die Compliance-Pflichten greifen in vollem Umfang.

Die praktische Regel lautet daher: Wenn der Output eines KI-Systems die dem menschlichen Entscheidungsträger zur Verfügung stehenden Optionen verengt, filtert oder ordnet — also der Recruiter oder Manager nicht mehr die Gesamtheit der Bewerber oder Informationen sieht, sondern nur noch das, was der Algorithmus gefiltert oder gerankt hat — ist diese Nutzung aller Wahrscheinlichkeit nach hochriskant, unabhängig davon, ob das System intern entwickelt oder von einem Dritten bezogen wurde. Praktisch gesprochen: Wenn einzelne Bewerber automatisch ausgeschlossen werden, ohne dass ein Mensch ihren Lebenslauf geprüft hat, und der Recruiter auf der Grundlage eines vom System generierten Scores handelt, ohne eine eigene unabhängige Bewertung vorzunehmen, liegt sehr wahrscheinlich ein Hochrisiko-Fall vor.



Welche konkreten Pflichten hat der Arbeitgeber (Deployer) ab August 2026?

1. Vorherige Information der Arbeitnehmer und ihrer Vertreter

Bevor ein Hochrisiko-KI-System am Arbeitsplatz eingesetzt wird, muss der Arbeitgeber die betroffenen Arbeitnehmer und ihre Vertreter darüber informieren, dass sie dem Einsatz dieses Systems unterliegen werden. Diese Pflicht gilt für bestehende Arbeitnehmer und ist vor der Implementierung zu erfüllen, nicht erst danach.

2. Information der von KI-gestützten Entscheidungen betroffenen Personen

Ein Arbeitgeber, der ein Hochrisiko-KI-System nutzt, um Entscheidungen über natürliche Personen zu treffen oder an solchen Entscheidungen mitzuwirken, muss diese Personen darüber informieren, dass sie dem Einsatz eines solchen Systems unterliegen. Im Rekrutierungskontext betrifft diese Pflicht die Bewerber — sie müssen wissen, dass ein Hochrisiko-KI-System in den sie betreffenden Prozess eingebunden war.

3. Tatsächliche menschliche Aufsicht

Der Arbeitgeber muss Personen benennen, die über die erforderliche Fachkunde, Schulung und Entscheidungsbefugnis verfügen, um die menschliche Aufsicht über das System sicherzustellen. Es genügt nicht, wenn ein Mensch den Output lediglich sieht und auf „bestätigen“ klickt — die Aufsicht muss wirksam sein und eine reale Möglichkeit bieten, einzugreifen oder die Empfehlung des Systems unberücksichtigt zu lassen.

4. Daten-Governance

Soweit der Arbeitgeber Kontrolle über die in das System eingegebenen Daten ausübt — Lebensläufe, Stellenbeschreibungen, Auswahlkriterien — muss er sicherstellen, dass diese Daten relevant und hinreichend repräsentativ sind, um das Risiko diskriminierender oder fehlerhafter Ergebnisse zu reduzieren.

5. Recht auf Erläuterung

Personen, die von einer unter Mitwirkung eines Hochrisiko-KI-Systems getroffenen Entscheidung betroffen sind, haben das Recht, eine klare Erläuterung zur Rolle des Systems im Entscheidungsprozess zu verlangen und zu erhalten. Der Arbeitgeber muss in der Lage sein, diese Erläuterung zu geben; das setzt in der Praxis voraus, dass die Personen, die das System bedienen, verstehen, wie es funktioniert und wie es die endgültige Entscheidung beeinflusst.

6. Laufende Überwachung

Der Arbeitgeber hat den Betrieb des Systems entsprechend den Anweisungen des Providers zu überwachen. Stellt er ein Risiko oder einen schwerwiegenden Vorfall fest, muss er sowohl den Provider als auch die zuständige nationale Marktüberwachungsbehörde informieren.

7. Aufbewahrung von Logs

Die vom KI-System automatisch erzeugten Logs sind für einen Zeitraum von mindestens sechs Monaten aufzubewahren, soweit diese Logs der Kontrolle des Deployers unterliegen.

8. DPIA (Datenschutz-Folgenabschätzung)

Wenn das KI-System personenbezogene Daten verarbeitet — was typischerweise in jedem Rekrutierungsprozess der Fall sein wird — hat der Arbeitgeber nach Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen, sofern die Voraussetzungen hierfür vorliegen. Der AI Act verlangt ausdrücklich, dass hierbei unter anderem auch die vom Provider zur Verfügung gestellte Dokumentation berücksichtigt wird.



Was seit Februar 2025 bereits verboten ist

Bestimmte KI-Nutzungen sind nach dem AI Act bereits seit dem 2. Februar 2025 vollständig verboten. Im hier behandelten Kontext und mit besonderer Relevanz für HR-Teams und Personalabteilungen sind insbesondere folgende Praktiken untersagt:

  • Emotionserkennungssysteme am Arbeitsplatz oder in Interviews (zum Beispiel Plattformen, die behaupten, den emotionalen Zustand von Bewerbern anhand von Gesichtsausdrücken „lesen“ zu können);
  • Biometrische Kategorisierung zur Ableitung sensibler Merkmale (politische Ansichten, Religion, sexuelle Orientierung usw.);
  • Subliminale oder manipulative Techniken, die Entscheidungen von Personen ohne deren Kenntnis beeinflussen.

Falls Ihr Unternehmen derzeit solche Instrumente nutzt, befindet es sich bereits in Verstoß gegen den AI Act.



Nutzung von KI-Tools durch Arbeitnehmer

Eine häufig gestellte Frage lautet: „Wenn Arbeitnehmer ChatGPT aus eigener Initiative und ohne unternehmensinterne Richtlinie nutzen, ist der Arbeitgeber dann dennoch ein Deployer?“

Die rechtliche Antwort ist bislang nicht abschließend geklärt, die Stoßrichtung ist jedoch relativ deutlich. Der AI Act definiert den Deployer als die Stelle, die ein KI-System „unter ihrer Autorität“ nutzt; die überwiegende Auffassung in der juristischen Literatur tendiert dazu, jede berufliche Nutzung als dem Arbeitgeber zurechenbare Nutzung einzuordnen, selbst wenn keine formelle interne Richtlinie besteht. Mit anderen Worten: Dass ein Arbeitnehmer ChatGPT auf eigene Initiative verwendet, entlastet das Unternehmen nicht automatisch von seiner Verantwortung nach dem AI Act.

Die Europäische Kommission hat bislang noch keine Leitlinien veröffentlicht, die diese Grenze ausdrücklich klären. Leitlinien zu den Pflichten von Deployern wurden für das zweite Quartal 2026 angekündigt, sodass Unternehmen diese Frage derzeit noch ohne offizielle Klarstellung navigieren müssen.

Vor diesem Hintergrund ist ein vorsichtiger Ansatz ratsam, und diese Frage sollte unternehmensintern nicht offenbleiben. Eine klare interne Richtlinie zur Nutzung von KI durch Arbeitnehmer, die festlegt, welche Tools zulässig sind, unter welchen Bedingungen und mit welchen Einschränkungen, erfüllt zwei Funktionen: (1) Sie reduziert das rechtliche Risiko, und (2) sie hilft, die Position des Unternehmens gegenüber den Behörden im Fall einer Prüfung klar zu bestimmen.



Anwendbare Sanktionen

Der AI Act sieht ein dreistufiges Sanktionsregime vor, das von den zuständigen nationalen Behörden durchgesetzt wird:

  • Stufe 1 — Einsatz von nach Artikel 5 verbotenen KI-Systemen: Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dies ist die schwerwiegendste Verstoßkategorie;
  • Stufe 2 — Nichtbeachtung der Deployer-Pflichten nach Artikel 26: Geldbußen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist;
  • Stufe 3 — Übermittlung unrichtiger, unvollständiger oder irreführender Informationen an nationale Behörden: Geldbußen von bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes.

Für kleine und mittlere Unternehmen (KMU) sowie Start-ups sieht Artikel 99 Absatz 6 ein günstigeres Regime vor: Es gilt der niedrigere Betrag aus dem festen Bußgeldbetrag und dem Prozentsatz des Umsatzes, nicht der höhere.

Über verwaltungsrechtliche Geldbußen hinaus setzt sich ein Arbeitgeber, der Hochrisiko-KI-Systeme im HR-Bereich einsetzt, ohne die einschlägigen Compliance-Pflichten einzuhalten, auch weiteren rechtlichen Risiken aus: einer kumulativen Haftung nach der DSGVO bei damit verbundenen Verstößen im Bereich personenbezogener Daten sowie der Möglichkeit von Diskriminierungsklagen betroffener Bewerber oder Arbeitnehmer.



Fazit

Der Einsatz von KI in Rekrutierung und HR ist längst nicht mehr nur eine Frage von Technologie oder operativer Effizienz. Einige Pflichten gelten bereits — die Verbote nach Artikel 5 und die Pflicht zur KI-Kompetenz sind seit Februar 2025 anwendbar. Ab August 2026 wird der gesamte Compliance-Rahmen weitgehend anwendbar, einschließlich der Sanktionen für die Nichtbeachtung der Pflichten, die Arbeitgeber in ihrer Eigenschaft als Deployer treffen.

Unternehmen, die ihren Compliance-Prozess jetzt beginnen, haben noch ausreichend Zeit, die wesentlichen Schritte umzusetzen: die Erfassung der eingesetzten KI-Systeme, die Einordnung der jeweiligen Anwendungsfälle sowie die Implementierung der erforderlichen internen Richtlinien und Schulungen. Unternehmen, die die Umsetzung aufschieben, riskieren einen fehlerhaften oder unvollständigen Compliance-Prozess oder — schlimmer noch — eine Prüfung durch die Behörden, bevor sie vorbereitet sind.



Wenn Sie nicht sicher sind, ob die in Ihren HR-Prozessen eingesetzten KI-Tools in den Anwendungsbereich des AI Act fallen oder welche Pflichten Ihnen in Ihrer Eigenschaft als Deployer obliegen, kann Sie das Team von Gorici Legal mit einer auf die konkrete Situation Ihres Unternehmens zugeschnittenen Compliance-Analyse unterstützen.

Kontaktieren Sie uns →



Dieser Beitrag dient ausschließlich allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Für eine auf Ihre konkrete Situation zugeschnittene Analyse empfehlen wir Ihnen, sich mit dem Team von Gorici Legal in Verbindung zu setzen.

© Gorici Legal | Alle Rechte vorbehalten