Darf ich Background Checks ueberhaupt DSGVO-konform durchfuehren?

Ja. Die DSGVO regelt das in Artikel 6. Du stuetzt Dich auf berechtigtes Interesse (Art. 6 Abs. 1f) oder Einwilligung (Art. 6 Abs. 1a). So bist Du 100% DSGVO-konform.

Verschreckt ein Background Check meine Bewerber?

Im Gegenteil: Ein fairer, digitaler Prozess verbessert die Candidate Experience. Keine wochenlangen Wartezeiten — das schaetzen Top-Bewerber.

Wie schnell erhalte ich die Ergebnisse?

Unsere KI liefert erste Ergebnisse oft in 30 Minuten (Essential Check) statt 2-5 Tagen bei manuellen Berichten.

Warum nicht einfach selbst googeln oder ChatGPT nutzen?

Googeln und ChatGPT liefern unklare, oft veraltete Daten und sind rechtlich riskant. Indicium nutzt verifizierte Quellen wie Moodys und LexisNexis fuer audit-sichere Reports.

Was kostet ein Background Check mit Indicium?

Transparente Abos ab 1.990 EUR/Monat, zugeschnitten auf Dein Hiring-Volumen. 100% planbare Kosten ohne Einzelgebuehren.

Schuetzt ein Background Check vor Innentaetern?

Ja. Indicium prueft automatisiert gegen Sanktionslisten, PEP-Datenbanken und Firmennetzwerke — bevor jemand Zugang zu sensiblen Daten erhaelt.

Kann ich Indicium kostenlos testen?

Ja. 14 Tage kostenlos, 3 Checks inklusive, keine Kreditkarte noetig. Alternativ: kostenlose 30-Minuten-Demo.

Regulatorik

EU AI Act und HR: Wann Background-Check-Software zur Hochrisiko-KI wird

20.04.2026

Regulatorik

EU AI Act und HR: Wann Background-Check-Software zur Hochrisiko-KI wird

20.04.2026

EU AI Act und HR: Wann Background-Check-Software zur Hochrisiko-KI wird

Ab 2. August 2026 sind die zentralen Pflichten des EU AI Act voll anwendbar. Artikel 6 in Verbindung mit Annex III stuft Recruiting- und Personalauswahl-KI als Hochrisiko ein. Für HR-Teams heißt das: Transparenzpflichten, Bias-Monitoring, Dokumentation. Dieser Leitfaden zeigt, welche Background-Check-Software darunter fällt — und wie Du compliant wirst.

Was sagt Artikel 6 AI Act?

Artikel 6 AI Act definiert, wann ein KI-System als „Hochrisiko" gilt. Zwei Wege:

Produktintegrierte KI (Art. 6 Abs. 1) — KI als Sicherheitskomponente regulierter Produkte (Medizingeräte, Fahrzeuge).
Standalone-KI nach Annex III (Art. 6 Abs. 2) — KI-Systeme in sensiblen Bereichen.

Annex III Nummer 4 umfasst „Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit" — konkret:

KI zur Analyse und Filterung von Bewerbungen
KI zur Bewertung von Kandidaten (Video-Interview-Analyse, Scoring, Ranking)
KI für Entscheidungen über Einstellung, Beförderung, Kündigung
KI zur Überwachung der Arbeitsleistung

Welche Background-Check-Software ist Hochrisiko?

Die Abgrenzung ist entscheidend. Nicht jede Software mit KI-Komponente ist automatisch Hochrisiko.

Hochrisiko (Annex III)

KI-basiertes CV-Parsing, das Kandidaten eigenständig ranked oder scored
Video-Interview-Analyse mit automatischer Persönlichkeitsbewertung
Automatisierte Ablehnungs-Entscheidungen ohne menschliche Prüfung
Predictive Hiring — KI, die Erfolgswahrscheinlichkeit prognostiziert

Nicht zwingend Hochrisiko

Reine Datenabgleich-Tools (Sanktionslisten, PEP, Adverse Media) ohne Bewertungslogik
Identitätsverifizierung mit Machine-Vision (wird meist als „biometrische Verifikation" geführt, Art. 6 Abs. 3 lit. b)
Automatisierung, die lediglich menschliche Prüfung vorbereitet (Vorschlag-Liste, Treffer-Anzeige)

Art. 6 Abs. 3 AI Act gibt eine Ausnahme: KI-Systeme, die kein signifikantes Risiko bergen, sind nicht Hochrisiko — etwa rein vorbereitende Aufgaben oder eng begrenzte prozedurale Arbeit. Entscheidend ist, ob die KI eigenständig entscheidet oder menschliche Entscheidung strukturiert unterstützt.

Pflichten für Arbeitgeber (Deployer)

Wer Hochrisiko-KI einsetzt, ist nach AI Act „Deployer" — und hat mehrere Pflichten:

Transparenz gegenüber Kandidaten (Art. 26 Abs. 7): Kandidaten müssen vor der KI-Auswertung informiert werden
Menschliche Aufsicht (Art. 14): qualifizierte Person muss die Ergebnisse prüfen, bevor eine Entscheidung fällt
Impact Assessment (Art. 27): Grundrechte-Folgenabschätzung vor Einsatz, Dokumentation
Input-Daten-Monitoring (Art. 26 Abs. 4): Trainings- und Input-Daten müssen repräsentativ sein
Logging (Art. 26 Abs. 6): Automatische Protokollierung der KI-Entscheidungen für mindestens 6 Monate
Arbeitnehmer-Information (Art. 26 Abs. 7): Betriebsrat / Belegschaft vor Einführung informieren

Pflichten für Anbieter (Provider)

Software-Hersteller haben noch strengere Pflichten:

Konformitätsbewertung nach Anhang IV
CE-Kennzeichnung für Hochrisiko-KI
Risikomanagementsystem (Art. 9)
Qualitätsmanagementsystem (Art. 17)
Post-Market Monitoring (Art. 72)
Registrierung in der EU-Datenbank für Hochrisiko-KI

Wer in der EU Hochrisiko-KI anbietet, muss eine benannte Person in der EU haben (Art. 25).

Wie Indicium positioniert ist

Indicium ist kein Hochrisiko-KI-System nach Annex III. Die Plattform führt strukturierte Datenabgleiche durch (Sanktionslisten, PEP, Adverse Media), dokumentiert Treffer und präsentiert Ergebnisse über eine Ampel — die finale Einstellungsentscheidung trifft ausschließlich der menschliche Personalentscheider.

Konkret:

Keine automatisierte Ablehnung — Indicium liefert Prüfergebnisse, keine Hiring-Empfehlung
Keine Persönlichkeitsbewertung — keine Video-Interview-Analyse, keine Predictive Scoring
Audit-Trail für menschliche Aufsicht (Art. 14 AI Act kompatibel)
Dokumentierte Trainings-Daten-Governance für die eingesetzten Datenbanken

Für regulierte Branchen (BaFin, FINMA) bauen wir auf Anfrage zusätzliche Compliance-Layer nach AI-Act-Standard aus.

Was gilt in der Schweiz, Österreich und EU-weit?

Schweiz

Die Schweiz hat den AI Act nicht übernommen. Eine eigene KI-Regulierung ist für 2027 in Vorbereitung. Bis dahin gelten Art. 26 ff. revDSG (Datenschutz), Art. 328b OR (Arbeitgeberdatenbearbeitung) und das allgemeine Diskriminierungsverbot. Schweizer Unternehmen, die in der EU tätig sind, müssen den AI Act dennoch beachten (extraterritorialer Scope nach Art. 2).

Österreich

AI Act gilt direkt. Zusätzlich: § 10 AVRAG (Beschäftigtendatenschutz) und Gleichbehandlungsgesetz (GlBG). Die Datenschutzbehörde (DSB) wird voraussichtlich als AI-Act-Aufsichtsbehörde für Hochrisiko-HR-KI benannt.

EU-weit

Am 2. Februar 2026 hat die Kommission Leitlinien zur praktischen Umsetzung von Art. 6 veröffentlicht (Art. 6 Abs. 5). Der vollständige Anwendungsbeginn für Hochrisiko-KI ist 2. August 2026.

Checkliste für HR-Teams

Inventar aller KI-Tools im Recruiting erstellen — inklusive eingebetteter KI in ATS, Scoring-Tools, Video-Interview-Plattformen
Je Tool prüfen: Hochrisiko nach Annex III oder Art. 6 Abs. 3 Ausnahme?
Vom Anbieter Konformitätsdokumentation anfordern (CE, Technical Documentation)
Deployer-Pflichten umsetzen: Impact Assessment, menschliche Aufsicht, Logging, Kandidaten-Information
Betriebsrat einbinden (§ 87 BetrVG, § 96 ArbVG in Österreich)
Datenschutz-Folgenabschätzung (Art. 35 DSGVO) aktualisieren

Fazit

Der AI Act trennt Background-Check-Tools sauber: reine Datenabgleichs-Plattformen wie Indicium sind nicht Hochrisiko. Scoring-, Ranking- und Decision-KI schon. Für HR-Teams heißt das: Tool-Inventar machen, Scope prüfen, Dokumentation einfordern. Wer bei einem KI-Anbieter keine klare AI-Act-Positionierung bekommt, sollte wechseln — die Deployer-Haftung liegt sonst bei Dir.

Buche eine Demo und sieh, wie Indicium menschliche Entscheidung strukturiert unterstützt, statt sie zu ersetzen. Alle Compliance-Dokumente findest Du im Trust Center.

Nabil El Berr