Modul 1
Dublin — NovaTech Financial HQ — Freitag, 16:30 Uhr
HR Business Partner bei NovaTech Financial — einem mittelgroßen Fintech mit 1.200 Mitarbeitenden in Dublin, London und Frankfurt.
Die meisten Kolleginnen und Kollegen haben das Büro bereits für das Wochenende verlassen. Sie sind im Begriff, Ihren Laptop zu schließen, als eine neue E-Mail eintrifft — eine höfliche Anfrage eines abgelehnten Bewerbers.
Dies ist ein Szenario mit freier Entscheidung. Sie stehen vor realen Entscheidungen, mit denen KI-Compliance-Fachleute konfrontiert werden — und Ihre Wahl bestimmt, wie sich die Geschichte entwickelt.
Tipp: Achten Sie im gesamten Szenario auf hervorgehobenen Text:
§ Artikelverweise — klicken Sie, um den entsprechenden Artikel der KI-Verordnung der EU zu lesen
Schlüsselbegriffe — fahren Sie mit der Maus darüber, um eine kurze Definition zu erhalten
Von: David Okonkwo <d.okonkwo@outlook.com>
An: Sarah Chen <sarah.chen@novatech-financial.com>
Betreff: Bewerbung als Senior Risk Analyst — Bitte um Feedback
Sehr geehrte Frau Chen,
ich hoffe, diese E-Mail erreicht Sie wohlauf. Ich habe mich kürzlich auf die Stelle als Senior Risk Analyst beworben (Ref: NVT-2026-0847) und wurde darüber informiert, dass meine Bewerbung nicht für die Interviewphase berücksichtigt wurde.
Ich verfüge über 30 Jahre Erfahrung im Risikomanagement, davon 8 Jahre speziell in der regulatorischen Compliance im Fintech-Bereich. Ich halte einen MSc in Financial Risk Management von der London School of Economics und bin zertifizierter FRM-Inhaber.
Ich verstehe, dass der Wettbewerb um Stellen groß ist, und möchte nicht behaupten, zwingend der beste Kandidat zu sein. Angesichts meines Hintergrunds würde ich jedoch aufrichtig gerne verstehen, in welchen Bereichen mein Profil Ihren Anforderungen nicht entsprochen hat. Jedes Feedback wäre für meine weitere Jobsuche wertvoll.
Vielen Dank für Ihre Zeit und Ihr Wohlwollen.
Mit freundlichen Grüßen,
David Okonkwo
Irgendetwas an der E-Mail lässt Sie nicht los. Davids Lebenslauf ist stark — wirklich stark. 30 Jahre im Risikomanagement, 8 davon in der Fintech-Compliance, Abschluss an der LSE, FRM-zertifiziert. Für eine Stelle als Senior Risk Analyst ist er wohl sogar überqualifiziert.
Sie öffnen TalentScreen AI und rufen seine Bewerbung auf. Das Tool hat ihm eine Punktzahl von 72 von 100 zugewiesen — unter dem 80-Punkte-Schwellenwert, den Ihr Team für Einladungen zu Vorstellungsgesprächen festgelegt hat. Doch die Plattform zeigt nicht, warum. Keine Erklärung der Bewertung. Nur eine Zahl.
Neugierig exportieren Sie die Ablehnungsdaten der letzten 3 Monate und sortieren sie nach Alter. Ihnen wird flau im Magen.
Von den 11 Kandidaten, die in der jüngsten Einstellungsrunde abgelehnt wurden, erzielten 9 Kandidaten über 50 eine Punktzahl unterhalb des Schwellenwerts. Die gemeinsamen Faktoren, die ihre Bewertungen nach unten zogen: „Anpassungspotenzial" und „kulturelle Passung" — Kennzahlen, die Sie nirgendwo definiert gesehen haben. Gleichzeitig wurde kein einziger Kandidat unter 35 abgelehnt. Kein einziger.
| Kandidat | Alter | Punkte | Primärer Ablehnungsgrund |
|---|---|---|---|
| D. Okonkwo | 58 | 72 | Anpassungspotenzial (niedrig) |
| M. Petrov | 54 | 69 | Kulturelle Passung (unzureichend) |
| H. Nakamura | 61 | 71 | Anpassungspotenzial (gering) |
| A. Balogun | 56 | 68 | Kulturelle Passung (unzureichend) |
| C. Fitzgerald | 52 | 74 | Anpassungspotenzial (gering) |
| R. Kowalski | 59 | 70 | Kulturelle Passung (unzureichend) |
| T. Mensah | 63 | 66 | Anpassungspotenzial (gering) |
| S. Hoffmann | 51 | 73 | Kulturelle Passung (unzureichend) |
| P. Chandra | 55 | 71 | Anpassungspotenzial (gering) |
| L. Müller | 29 | 68 | Weitergeführt (Schwellenwert ausgesetzt — Masseneinstellung) |
| J. Park | 31 | 79 | — |
Der Export bestätigt, was Sie vermutet haben. Jeder abgelehnte Kandidat über 50 verlor Punkte bei denselben zwei undefinierten Kriterien. Im Rahmen der KI-Verordnung der EU ist dies nicht nur eine Frage der Fairness — es handelt sich um einen Transparenzverstoß gemäß Article 13 und ein potenzielles Problem hinsichtlich der Hochrisikoeinstufung nach Annex III. Das System trifft Beschäftigungsentscheidungen, die es nicht erklären kann.
Es ist kurz nach 17 Uhr. Das Büro ist fast leer. Vorstellungsgespräche für 12 vorausgewählte Kandidat:innen sind für Montagmorgen angesetzt. Sie haben eine Tabelle mit einem Muster, das Zufall sein könnte – oder systematische Altersdiskriminierung.
E-Mail an James Hartley senden, um die Interviews am Montag zu pausieren, bis Sie ermittelt haben
Das Muster ist besorgniserregend genug, um eine Pause zu rechtfertigen. Wenn das Tool diskriminiert, ist jedes Vorstellungsgespräch auf Basis der Auswahlliste belastet. James hat 12 Kandidatentermine koordiniert — er wird wütend sein. Und vielleicht liegen Sie falsch.
David manuell zur Auswahlliste hinzufügen und die Gespräche fortfahren lassen
David verdient eindeutig ein Vorstellungsgespräch. Sie können diesen einen Fall jetzt beheben und das breitere Muster nächste Woche untersuchen. Das System wird dies bei der nächsten Einstellung erneut tun, aber zumindest bekommt David am Montag eine faire Chance.
Nach Hause gehen — Sie benötigen mehr Daten, bevor Sie Anschuldigungen erheben
9 von 11 ist ein Muster, aber es ist eine kleine Stichprobe. Wenn Sie Alarm schlagen und falsch liegen, haben Sie ein Tool untergraben, das der VP befürwortet hat, und Ihre Glaubwürdigkeit für nichts beschädigt. David wurde bereits abgelehnt — ein Wochenende wird daran nichts ändern.
Von: Sarah Chen <sarah.chen@novatech-financial.com>
An: James Hartley <james.hartley@novatech-financial.com>
Betreff: Dringend: Interviewplan für Montag — Datenprüfung erforderlich
James,
Ich habe eine Anomalie in den Ablehnungsdaten von TalentScreen AI identifiziert, die meiner Meinung nach einer Prüfung bedarf, bevor wir mit den Interviews am Montag fortfahren. Ich würde die Einzelheiten lieber persönlich besprechen als per E-Mail.
Ich weiß, dass dies äußerst kurzfristig ist, und ich verstehe die Auswirkungen auf die Terminplanung. Ich würde dies nicht ansprechen, wenn ich es nicht für wichtig hielte — sowohl für die Kandidaten als auch für unsere Compliance-Position.
Könnten wir uns am Montag um 8 Uhr treffen, vor dem ersten Interviewtermin?
Sarah
Sarah, ich habe zwei Wochen damit verbracht, diese Interviews zu koordinieren. Das Einstellungsgremium hat den gesamten Montag blockiert. Drei Kandidaten reisen aus anderen Städten an. Sie verlangen von mir, den Zeitplan wegen einer „Datenanomalie" zu sprengen? Das muss wirklich ernst sein.
Das ist es. Ich würde nicht fragen, wenn es nicht so wäre. Montag um 8 Uhr — die Daten liegen bereit.
Gut. Aber ich sage die Interviews nicht ab. Wir treffen uns um 8, und sie fangen um 9 besser noch statt.
James ist frustriert, hat aber nicht abgelehnt. Sie haben sich das Wochenende zur Vorbereitung und den Montagmorgen zur Präsentation gesichert. Gemäß Article 26 der KI-Verordnung der EU müssen Betreiber Risiken für Grundrechte überwachen.
Article 6 klassifiziert KI im Recruiting gemäß Annex III als Hochrisiko-System. Article 26 verpflichtet Betreiber, Ausgaben zu überwachen und Maßnahmen zu ergreifen, wenn sie Risiken identifizieren.
Sie melden sich bei TalentScreen AI an und fügen David Okonkwo manuell zur Vorauswahlliste für das Vorstellungsgespräch hinzu. Das System markiert die Überschreibung mit einer Bernsteinwarnung: „Kandidatenwertung (72) liegt unter dem Schwellenwert (80). Manuelle Überschreibung protokolliert."
Sarah, ich sehe, dass Sie einen Kandidaten manuell zur Vorauswahlliste hinzugefügt haben? David Okonkwo — Wertung 72? Das liegt unter dem Schwellenwert. Was ist passiert?
Sein Lebenslauf ist für diese Stelle außergewöhnlich stark. Ich hatte das Gefühl, dass die Wertung seine Qualifikationen nicht widerspiegelt.
Gut, aber wenn wir die KI überschreiben, wozu nutzen wir sie dann? James wird das nicht gefallen.
Es ist nur ein Kandidat, Priya. Stellen wir einfach sicher, dass er ein faires Vorstellungsgespräch bekommt.
Gut. Aber wenn jemand fragt, warum wir Kandidaten außerhalb der KI-Empfehlungen auswählen, liegt das in Ihrer Verantwortung.
David wird ein Vorstellungsgespräch bekommen, aber Sie haben ein Symptom behandelt, ohne die Ursache zu untersuchen. Die 9 anderen abgelehnten Kandidaten über 50 werden keine manuelle Überschreibung erhalten. Gemäß Article 14 muss die menschliche Aufsicht wirksam sein — systematisch, nicht anlassbezogen.
Article 14 verlangt eine wirksame menschliche Aufsicht, einschließlich der Möglichkeit, Entscheidungen zu überschreiben. Eine einzelne manuelle Überschreibung ist jedoch keine Aufsicht — sie ist eine Ausnahme. Wirksame Aufsicht bedeutet ein wiederholbares Verfahren.
David Okonkwo
Fachkraft für Risikomanagement
Wieder abgelehnt. 30 Jahre im Risikomanagement. 8 Jahre in der regulatorischen Compliance im Fintech-Bereich. MSc von der LSE. FRM-zertifiziert. Nicht einmal zu einem Vorstellungsgespräch eingeladen.
Ich nenne das Unternehmen nicht — darum geht es mir nicht im Speziellen. Aber ich frage mich zunehmend, ob die „KI-gestützten Recruiting-Tools", die Unternehmen einsetzen, Erfahrung herausfiltern, anstatt danach zu suchen.
Machen andere über 50 ähnliche Erfahrungen? Ich würde das wirklich gerne wissen.
1.247 Likes
Gleiche Erfahrung hier. Drei Absagen hintereinander von Unternehmen mit automatisiertem Screening. 28 Jahre in der Finanzbranche. Kein einziges Vorstellungsgespräch.
893 Likes
Ich arbeite in der HR-Tech-Branche. Einige dieser Tools verwenden Proxys für „kulturelle Passung" und „Anpassungsfähigkeit", die faktisch berufliche Stabilität und Alter benachteiligen. Das ist ein bekanntes Problem.
2.341 Likes
Ich bin Journalistin bei der Financial Times und arbeite an einem Artikel über Voreingenommenheit bei KI-gestützter Personalauswahl. David, wären Sie bereit, mit mir zu sprechen? DM offen.
Sie klappen den Laptop zu und fahren nach Hause. Nur verbringt David das Wochenende nicht damit, zu warten. Bis Montagmorgen hat der Beitrag 4.200 Reaktionen und 380 Kommentare. Jemand hat NovaTech Financial identifiziert.
James Hartley sieht den Beitrag vor Ihnen. Er steht um 7:30 Uhr montags an Ihrem Schreibtisch.
Article 26 verpflichtet Betreiber, auf erkannte Risiken zu reagieren. Sie haben ein mögliches Muster identifiziert und sich dagegen entschieden zu handeln. Gemäß Article 4 (KI-Kompetenz), in Kraft seit Februar 2025, müssen Organisationen sicherstellen, dass Mitarbeitende KI-Risiken erkennen und darauf reagieren können.
Unabhängig davon, was Sie am Freitag getan haben, hat sich die Situation zugespitzt. James Hartley steht an Ihrem Schreibtisch. Er hat — über Priya, über LinkedIn oder über Ihre E-Mail — erfahren, dass Sie das „KI-Tool infrage stellen".
Sein Gesichtsausdruck ist schwer zu deuten. Er ist nicht feindselig, genau genommen, aber er ist auf der Hut. Er schließt Ihre Bürotür und setzt sich.
James war der leitende Sponsor, der TalentScreen AI zu NovaTech gebracht hat. Er hat dem Vorstand den Business Case präsentiert. Er hat persönlich die 40-prozentige Reduzierung der Time-to-Hire gemeldet. Das Tool ist in vielerlei Hinsicht sein Projekt.
Sarah, ich komme direkt zum Punkt. Das Tool funktioniert. Unsere Time-to-Hire ist um 40 % gesunken. Der Vorstand hat es im Effizienzreport des letzten Quartals erwähnt. Der CFO liebt es. Wollen Sie das wirklich alles gefährden, weil sich ein Kandidat beschwert hat?
Es geht nicht um einen Kandidaten, James. Ich habe die Ablehnungsdaten ausgewertet. Neun von elf abgelehnten Kandidaten über fünfzig lagen unter dem Schwellenwert. Kein einziger Kandidat unter fünfunddreißig wurde abgelehnt.
Wir haben auch Personen unter 35 abgelehnt — für andere Stellen, andere Runden. Und schauen Sie sich David konkret an: Er ist seit 12 Jahren im selben Unternehmen. Vielleicht hat das Tool eine geringe Anpassungsfähigkeit auf Basis des Karriereverlaufs markiert, nicht aufgrund des Alters.
Ich sage nicht, dass Sie es ignorieren sollen. Ich sage — sind Sie sicher, dass Sie kein Muster sehen, das gar nicht vorhanden ist? Denn wenn Sie das eskalieren und falsch liegen, haben Sie dem Vorstand gerade mitgeteilt, dass sein Vorzeigeprojekt zur Effizienzsteigerung diskriminierend ist. Das lässt sich nicht mehr ungeschehen machen.
Die Daten direkt präsentieren — das ist Altersdiskriminierung, unabhängig davon, ob die KI dies beabsichtigt hat oder nicht
Das Muster ist eindeutig. 9 von 11 Kandidaten über 50 wurden anhand undefinierter Metriken abgelehnt. Gemäß Article 26 sind Sie verpflichtet, diskriminierende Ergebnisse zu überwachen. Als Betreiber haftet NovaTech für die Entscheidungen des Systems, nicht der Anbieter.
James öffentlich zustimmen, das Problem jedoch still der Rechtsabteilung melden
James hat einen Punkt — Sie könnten falsch liegen. Aber das Risiko ist zu hoch, um es vollständig zu ignorieren. Die Rechtsabteilung soll diskret ermitteln, während die Interviews fortgesetzt werden.
James' Erklärung akzeptieren — der Karriereverlauf, nicht das Alter, erklärt das Muster
Er könnte recht haben. „Anpassungsfähigkeit" könnte legitim mit dem Karriereverlauf korrelieren, nicht mit dem Alter. Sie haben nicht genug Daten, um sicher zu sein. Konzentrieren Sie sich darauf, David ein Vorstellungsgespräch zu ermöglichen, und fahren Sie fort.
James, ich höre, was Sie über die Karriereentwicklung sagen. Aber lassen Sie mich Ihnen etwas zeigen. Hier sind die Ablehnungsdaten. Ich habe Alter, Punktzahl und die zwei Kennzahlen hervorgehoben, die zu den niedrigen Bewertungen geführt haben: „Anpassungspotenzial" und „kulturelle Passung". Diese Kennzahlen sind nirgendwo in der Plattformdokumentation definiert. Ich habe nachgeprüft.
Und?
Wir verwenden also ein KI-System mit hohem Risiko — Recruiting-KI ist gemäß Article 6 ausdrücklich als Hochrisiko eingestuft — und wir können nicht erklären, wie es Entscheidungen trifft. Wenn David Okonkwo eine Beschwerde einreicht, haben wir keine Transparenzdokumentation, die wir vorlegen könnten.
Der Anbieter hat uns versichert, dass das Tool konform ist.
Die Konformität des Anbieters ist sein Problem. Unsere Konformität — als Betreiber — ist unsere. Article 26 ist eindeutig: Wir müssen Risiken für Grundrechte überwachen. Die Frage ist nicht, ob ich mit der Ursache recht habe oder nicht. Die Frage ist, was wir jetzt tun, da das Muster erkennbar ist.
Was schlagen Sie vor?
Ich möchte die Rechtsabteilung einschalten. Heute noch. Und die Transparenzdokumentation des Anbieters anfordern, wie diese Kennzahlen berechnet werden. Wenn sie es erklären können, gut. Wenn nicht, müssen wir ein größeres Gespräch führen.
Gut. Aber ich möchte dabei sein, wenn die Rechtsabteilung das prüft. Und ich möchte, dass protokolliert wird, dass ich kooperiere und nicht untersucht werde.
Natürlich. Es geht nicht um Schuldzuweisungen, James. Es geht darum, einem Problem zuvorzukommen, bevor es uns einholt.
James wechselt von „Sie liegen falsch" zu „Was tun wir jetzt". Sie haben dies als Compliance-Frage gerahmt, nicht als Anschuldigung. Das ist das Ergebnis, das Sie benötigten.
Die KI-Verordnung der EU unterscheidet zwischen Anbietern (die entwickeln) und Betreibern (die verwenden). Gemäß Article 26 müssen Betreiber die Ausgaben überwachen und Vorfälle melden. Article 13 verlangt, dass das System für Betreiber transparent genug ist, um es zu verstehen.
Von: Sarah Chen <sarah.chen@novatech-financial.com>
An: Helen Park <helen.park@novatech-financial.com>
Betreff: Vertraulich: Mögliches Compliance-Problem gemäß KI-Verordnung der EU — TalentScreen AI
Helen,
Ich habe ein statistisches Muster in den Ablehnungsdaten unseres KI-gestützten Recruiting-Tools festgestellt, das auf eine altersbasierte Diskriminierung hindeuten könnte. 9 von 11 abgelehnten Kandidaten über 50 lagen im letzten Durchlauf bei Metriken, für die ich keine Dokumentation finden kann, unterhalb des Schwellenwerts („Anpassungspotenzial" und „kulturelle Passung").
Ich habe dies informell mit James Hartley besprochen, der der Ansicht ist, dass das Muster eine nicht diskriminierende Erklärung hat. Möglicherweise hat er recht. Da Recruiting-KI jedoch gemäß Article 6 als hochriskant eingestuft ist, bin ich der Meinung, dass die Rechtsabteilung die Daten unabhängig prüfen sollte.
Ich stehe Ihnen gerne für ein Gespräch zu Ihrer frühestmöglichen Gelegenheit zur Verfügung.
Sarah
Das ist ein berechtigter Einwand, James. Die Erklärung über den Karriereverlauf könnte einen Teil des Musters erklären. Ich werde die Daten genauer analysieren, bevor ich etwas offiziell eskaliere.
Gut. Lassen Sie uns keinen Aufruhr aus einem Zufall machen. Die Interviews beginnen um 10 — sind wir bereit?
Ja, wir sind bereit.
Helen antwortet innerhalb einer Stunde. Sie haben sich mit einem schriftlichen Nachweis abgesichert. Die Interviews werden jedoch mit einer möglicherweise fehlerhaften Vorauswahlliste fortgesetzt, und James ist der Ansicht, dass die Angelegenheit erledigt ist.
Gemäß Article 26 müssen Betreiber handeln, wenn sie Risiken identifizieren — und nicht nur intern melden, während das System weiterläuft. Das Zulassen des weiteren Betriebs kann als wissentliches Tolerieren des Risikos gewertet werden.
Sie haben wahrscheinlich recht. Der Karriereverlauf ist ein legitimes Signal. Ich werde dafür sorgen, dass David ein Vorstellungsgespräch bekommt, und wir werden die Kennzahlen künftig im Auge behalten.
Das ist vernünftig. Ich schätze, dass Sie gründlich sind — deshalb sind Sie gut in Ihrem Job. Aber manchmal ist ein Muster eben nur Zufall.
Die Vorstellungsgespräche finden statt. David ist nicht unter den Kandidaten. Drei Wochen später leitet Ihnen Helen Park einen FT-Artikel weiter: „KI-Recruitingtools unter Beobachtung, während die Durchsetzung der KI-Verordnung der EU beginnt." Ihr Kommentar: „Sarah — sind wir hier angreifbar?"
Nun müssen Sie erklären, dass Sie vor drei Wochen ein Muster erkannt und James' Erklärung ohne eigenständige Untersuchung akzeptiert haben. Absicht spielt keine Rolle — der Gleichstellungsrahmen der EU konzentriert sich auf diskriminierende Ergebnisse, nicht auf die Absicht.
KI-Systeme können durch Proxy-Variablen diskriminieren. „Karrierestabilität" korreliert mit dem Alter. Gemäß Article 9 müssen Anbieter und Betreiber diese Risiken identifizieren und mindern. Die Tatsache, dass das Tool „Alter" nicht explizit verwendet, ist irrelevant, wenn das Ergebnis diskriminierend ist.
Die Rechtsabteilung ist nun eingeschaltet. Helen Park hat Kontakt zu TalentScreen AIs Anbieter aufgenommen. Ein Videoanruf mit Marcus Webb, dem Produktleiter des Anbieters, ist angesetzt.
Marcus, wir müssen verstehen, wie „Anpassungspotenzial" und „kulturelle Übereinstimmung" berechnet werden. Welche Dateneingaben liegen diesen Bewertungen zugrunde?
Diese sind Teil unserer proprietären Talent Compatibility Engine. Die spezifische Gewichtung und die Merkmalswechselwirkungen sind geschäftlich sensibel.
Gemäß Article 13 der KI-Verordnung der EU müssen Hochrisiko-KI-Systeme ausreichende Transparenz bieten, damit Betreiber die Ausgabe verstehen können. Wir sind die Betreiber.
Wir stellen ein Compliance-Übersichtsdokument zur Verfügung. Ich kann Ihnen das zusenden.
Wir haben es gelesen. „Bewertungen werden mithilfe eines Mehrfaktorenmodells generiert, das rollenrelevante Kompetenzindikatoren einbezieht." Das erklärt uns nicht, wie „kulturelle Übereinstimmung" berechnet wird.
Was ich anbieten kann, ist unser KI-Compliance-Audit-Paket — eine umfassende Prüfung durch unser internes Compliance-Team. 6–8 Wochen, EUR 30.000.
Sechs bis acht Wochen?
Sie können oder wollen nicht erklären, wie ihr eigenes Tool Entscheidungen trifft. Das ist ein Problem nach Article 13 — ihres und unseres.
Der Anbieter hat bestätigt, was Sie vermutet haben: eine Black Box. „Proprietär" ist keine Verteidigung im Rahmen der KI-Verordnung der EU. Article 13 schreibt Transparenz vor. Der Anbieter bietet an, sich für EUR 30.000 selbst zu prüfen — ein offensichtlicher Interessenkonflikt.
Sarah, wir haben EUR 200.000 in diese Plattform investiert. Der Anbieter möchte zusätzlich EUR 30.000. Ich habe drei offene Stellen, die ich nicht schnell genug besetzen kann. Der CFO wird fragen, warum die Time-to-Hire wieder gestiegen ist. Was genau empfehlen Sie?
Das Tool sofort aussetzen, bis der Anbieter die Transparenzdokumentation gemäß Article 13 vorlegt
Wenn Sie nicht erklären können, wie das System Entscheidungen trifft, können Sie nicht gewährleisten, dass diese Entscheidungen rechtmäßig sind. Akzeptieren Sie die politischen Kosten. NovaTech hört heute auf, möglicherweise zu diskriminieren – nicht in 6–8 Wochen.
Das Tool weiterhin nutzen, aber jede KI-Ablehnung einer verpflichtenden menschlichen Überprüfung unterziehen
Einen menschlichen Kontrollpunkt einführen: Jede Bewerbung unterhalb des Schwellenwerts wird manuell geprüft. Jede Bewerbung von Personen über 50, die bei „Anpassungsfähigkeit" oder „kultureller Passung" scheitert, wird zur Überprüfung an das HR-Management weitergeleitet.
Das Compliance-Audit des Anbieters für 30.000 EUR beauftragen und das Tool weiterhin nutzen
Das Audit wird klären, ob ein echtes Problem vorliegt. Sechs bis acht Wochen sind nicht ideal, aber besser als ein Tool auszusetzen, das pro Quartal 200 Stunden einspart – und das auf Basis eines nicht verifizierten Musters.
James, ich empfehle, TalentScreen AI mit sofortiger Wirkung auszusetzen. Ich werde die formelle Empfehlung für Helen und den CFO noch heute ausarbeiten.
Sofort? Wir bearbeiten 200 Bewerbungen pro Monat über dieses Tool. Wir kehren zur manuellen Sichtung zurück — das sind die 200 Stunden pro Quartal, die ich uns eingespart habe.
Ich weiß. Aber Article 99 ermöglicht Bußgelder von bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes. Der Umsatz von NovaTech betrug 340 Millionen EUR. Drei Prozent sind 10,2 Millionen EUR.
Das ist das Maximum. Kein Regulierer wird uns wegen eines Recruiting-Tools 10 Millionen EUR aufbrummen.
Selbst 1 % sind 3,4 Millionen EUR. Und das noch ohne Reputationsschäden. Wenn die FT einen Artikel darüber veröffentlicht, dass NovaTechs KI ältere Kandidaten diskriminiert, was passiert dann mit den Regulierungsbeziehungen des Frankfurter Büros?
Wie lange?
Bis wir eine Transparenzdokumentation erhalten, die wir prüfen können. Wenn der Anbieter den Algorithmus erklären kann, schalten wir ihn wieder ein. Wenn nicht, suchen wir einen Anbieter, der das kann.
Der Vorstand wird wissen wollen, warum.
Besser, sie hören es von uns als von einer Aufsichtsbehörde.
Die schwierigste Empfehlung zu geben und gleichzeitig die am besten vertretbare. Sie haben James einen klaren Weg zurück gezeigt: Das Tool ist nicht verboten, es ist bis zur Herstellung von Transparenz ausgesetzt. Verhältnismäßig und professionell.
Article 26 verpflichtet Betreiber zur Aussetzung, wenn sie Grund zu der Annahme haben, dass das System ein Risiko für Grundrechte darstellt. Article 99 sieht Bußgelder von bis zu 3 % des Umsatzes vor. Der Nachweis, dass Sie das System ausgesetzt haben, sobald Sie das Risiko erkannt haben, ist ein starkes Indiz für guten Glauben.
Ich empfehle, das Tool beizubehalten, aber eine obligatorische menschliche Überprüfung einzuführen. Jede abgelehnte Kandidatur wird manuell geprüft. Jede Kandidatur von Personen über 50, die bei „Anpassungsfähigkeit" oder „kultureller Passung" unter dem Schwellenwert liegt, wird an das Senior-HR-Team eskaliert.
Das bedeutet mehr Arbeit für Ihr Team.
Weniger Arbeit als eine behördliche Untersuchung. Und wir können das Screening-Tool weiter nutzen, während wir den Anbieter zur Transparenz drängen.
Eine vernünftige Übergangslösung. Aber das erfüllt Article 14 nicht vollständig. Die menschliche Aufsicht muss wirksam sein, nicht performativ. Wenn Prüfende die KI-Bewertungen nur abnicken, sind wir exponiert.
Einverstanden. Die Prüfenden sehen die KI-Bewertung erst nach ihrer eigenen Einschätzung. Erst blinde Prüfung, dann Vergleich.
Besser. Aber wir brauchen noch immer Transparenzdokumentation vom Anbieter. Das ist eine vorübergehende, keine dauerhafte Lösung.
Ein pragmatischer Kompromiss. Aber Sie fügen menschliche Aufsicht hinzu, um ein System zu kompensieren, das Sie nicht erklären können. Gemäß Article 14 muss die menschliche Aufsicht ein vollständiges Verständnis der Fähigkeiten des Systems ermöglichen — was hier nicht gegeben ist.
Article 14 verlangt, dass die aufsichtsführende Person die Ausgabe der KI versteht und Anomalien erkennen kann. Ohne Zugang zur Bewertungslogik beschränkt sich die Aufsicht auf Mustererkennung, nicht auf Ursachenanalyse. Die Transparenzpflicht gemäß Article 13 bleibt ungeklärt.
Ich halte das Audit für den richtigen Weg. Der Anbieter kennt sein System am besten. Sechs bis acht Wochen sind vertretbar.
Sarah, ich habe Bedenken. Wir bitten den Anbieter, sich selbst zu prüfen. Das ist ein Interessenkonflikt.
Die haben interne Compliance-Leute. Das ist gängige Praxis.
Gängige Praxis, die Aufsichtsbehörden nicht akzeptieren. Wenn wir vor einer nationalen Behörde landen, wird „wir haben den Anbieter für das Audit bezahlt" keinen guten Eindruck machen.
Wenn das Anbieter-Audit sauber zurückkommt — was fast sicher der Fall sein wird — und eine Behörde später dasselbe Muster findet, das Sie entdeckt haben: Wo stehen wir dann?
Lassen Sie uns einfach das Anbieter-Audit durchführen und weitermachen.
Eine Selbstprüfung durch den Anbieter wird kaum Probleme mit dem eigenen Produkt aufdecken. Unterdessen setzt das Tool die Vorauswahl weitere 6–8 Wochen fort. Gemäß Article 9 muss das Risikomanagement unabhängige Tests auf Voreingenommenheit umfassen.
Article 9 fordert ein Risikomanagement, das Diskriminierungsrisiken erkennt und mindert. Selbstprüfungen sind von Natur aus befangen. Ein unabhängiges Drittparteien-Audit ist gegenüber nationalen Behörden weitaus besser vertretbar.
Montag, 8:15 Uhr
Ihre E-Mail vom Freitag hat gewirkt. Aber über Nacht hat sich die Lage zugespitzt.
Bevor wir beginnen — der Vorstand hat am Freitag die Expansion nach Frankfurt genehmigt. TalentScreen übernimmt die Personalbeschaffung für alle drei Büros. Der Vertrag wurde um 16 Uhr unterzeichnet.
Das verändert die Compliance-Lage erheblich. Der grenzüberschreitende Einsatz eines Hochrisiko-KI-Systems löst zusätzliche Pflichten aus.
Der Anbieter hat uns versichert, dass das System in allen EU-Jurisdiktionen konform ist. Helen hat zugestimmt. Wollen Sie damit sagen, dass die CEO einen Fehler gemacht hat?
TalentScreen verarbeitet nun Kandidaten in drei EU-Jurisdiktionen. James hat die Unterstützung des Vorstands. Helen hat den Vertrag unterzeichnet. Was empfehlen Sie?
Beauftragen Sie eine unabhängige Konformitätsbewertung gemäß Article 43 und setzen Sie den grenzüberschreitenden Einsatz bis zum Abschluss aus
Die grenzüberschreitende Expansion ist eine wesentliche Änderung. Die Selbstbewertung des Anbieters ist nicht übertragbar. Article 26(5) verlangt eine Aussetzung, wenn Anlass zur Annahme besteht, dass ein Risiko vorliegt.
Richten Sie ein menschliches Prüfgremium für alle vom KI-System abgelehnten Kandidaten ein und halten Sie das Tool in Betrieb
Begegnen Sie dem unmittelbaren Voreingenommenheitsrisiko mit der menschlichen Aufsicht gemäß Article 14. Gewährleistet die betriebliche Kontinuität. Prüfen Sie die Konformitätsfrage parallel dazu.
Fahren Sie mit dem Einsatz in Frankfurt fort und implementieren Sie erweiterte Dashboards zur Überwachung von Voreingenommenheit
Die Daten weisen auf ein mögliches Problem hin, kein bewiesenes. Richten Sie eine Überwachung ein, um Probleme frühzeitig zu erkennen, anstatt eine vom Vorstand genehmigte Expansion zu gefährden.
James, die Frankfurter Expansion ist nicht nur ein neues Büro — es ist eine neue Rechtsordnung. Die Selbstzertifizierung des Anbieters galt für den Einsatz im Vereinigten Königreich. Eine grenzüberschreitende Nutzung stellt eine wesentliche Änderung gemäß Article 43 dar. Wir benötigen eine unabhängige Konformitätsbewertung, bevor TalentScreen auch nur einen einzigen Frankfurter Kandidaten verarbeitet.
Sie verlangen von mir, ein Tool auszusetzen, das der Vorstand vor 72 Stunden genehmigt hat. Haben Sie eine Vorstellung davon, wie dieses Gespräch aussehen wird?
Ich weiß genau, wie es aussieht. Es sieht so aus, als würde das Compliance-Team seinen Job erledigen, bevor es die deutsche Behörde für uns erledigt. Der BfDI akzeptiert „der Anbieter hat versichert, es sei in Ordnung" nicht als Verteidigung. Und das potenzielle Bußgeld beläuft sich auf bis zu €15 Millionen oder 3 % des globalen Jahresumsatzes — je nachdem, welcher Betrag höher ist.
(lange Pause) Wie lange dauert diese Bewertung?
Acht bis zwölf Wochen, wenn wir diese Woche eine akkreditierte Stelle beauftragen. Ich werde Ihnen bis Tagesende eine Vorauswahl an Gutachtern auf den Schreibtisch legen.
James hat mir gerade geschrieben. Sarah, ist das so ernst, wie Sie es darstellen?
Helen, ich erkläre dem Vorstand lieber eine zehenwöchige Verzögerung als den Aktionären eine Regulierungsuntersuchung. Ich empfehle ein außerordentliches Vorstandsbriefing diesen Donnerstag.
...Buchen Sie es. Und bringen Sie mir bis Mittwochabend ein einseitiges Briefing.
Sie haben die entscheidende Unterscheidung erkannt, die den meisten Fachleuten entgeht. Die Selbstzertifizierung des Anbieters wird nicht übertragen, wenn sich der Einsatzkontext ändert. Eine grenzüberschreitende Expansion ist eine wesentliche Änderung, die neue Konformitätspflichten auslöst. James ist frustriert, aber Helens Reaktion zeigt Ihnen, dass der Vorstand zuhören wird, wenn das Risiko quantifiziert ist.
Wenn ein KI-Hochrisikosystem einer wesentlichen Änderung unterzogen wird — einschließlich des Einsatzes in neuen Rechtsgebieten — kann eine neue Konformitätsbewertung erforderlich sein. Die ursprüngliche Bewertung gilt nur für den ursprünglichen Einsatzkontext. Die grenzüberschreitende Expansion in einen neuen EU-Mitgliedstaat verändert den regulatorischen Rahmen, den Datenschutzrahmen und das Risikoprofil.
Ich schlage ein menschliches Prüfgremium vor. Jeder Kandidat, den TalentScreen ablehnt, wird von einem geschulten Bewerter geprüft, bevor die Entscheidung endgültig wird. Wir lassen das Tool laufen, aber niemand fällt durchs Raster.
Das klingt vernünftiger. Von wie vielen Extrastunden sprechen wir?
Etwa 30 Stunden pro Quartal auf drei Prüfer verteilt. Weit weniger, als zur vollständig manuellen Vorauswahl zurückzukehren.
Damit kann ich leben. Richten Sie es ein. Und damit ist das Compliance-Problem gelöst?
Sarah, ich habe Ihren Vorschlag geprüft. Die menschliche Aufsicht adressiert Article 14, und ich unterstütze das Gremium. Allerdings — ich muss darauf hinweisen, dass der grenzüberschreitende Einsatz in Frankfurt möglicherweise eine neue Konformitätsbewertung gemäß Article 43 erfordert. Eine menschliche Überprüfung löst diese Frage nicht. Wir sollten das besprechen.
...Verstanden. Ich werde heute Nachmittag einen Termin mit Ihnen vereinbaren.
James ist erleichtert — Sie haben eine Lösung gefunden, die die Expansion nicht gefährdet. Aber Priya hat die Lücke entdeckt, die Sie übersehen haben. Die menschliche Überprüfung adressiert die Symptome des Bias-Problems. Sie befasst sich nicht damit, ob das System selbst in einer neuen Rechtsordnung rechtmäßig eingesetzt wird. Wenn ein deutscher Regulierer nach Konformitätsdokumentation fragt, ist „wir haben eine menschliche Überprüfung hinzugefügt" nicht ausreichend.
Die menschliche Aufsicht ist eine Kernanforderung für Hochrisikosysteme. Aber sie ist eine von vielen Verpflichtungen. Ein Überprüfungsgremium erfasst diskriminierende Ergebnisse, kann aber keine diskriminierende Logik erklären. Wenn der Konformitätsstatus des Systems unsicher ist, löst die Aufsicht allein nicht die Verpflichtungen des Betreibers gemäß Articles 26 und 43.
Gute Nachrichten — die Frankfurter Pipeline füllt sich bereits. TalentScreen hat 45 Kandidaten im ersten Batch verarbeitet. Die Dashboards sehen sauber aus.
Das ist... schön zu hören. Wie sieht das Ablehnungsprofil aus?
Habe mich noch nicht in die Details vertieft. Das Dashboard zeigt, dass die Bias-Indikatoren im Normalbereich liegen. Warum?
An diesem Nachmittag leitet Priya Ihnen eine E-Mail weiter. Ein 54-jähriger Kandidat in Frankfurt, von TalentScreen mit einem Score von 68 abgelehnt, hat eine Beschwerde bei der hessischen Datenschutzbehörde eingereicht. Sein Anwalt verweist direkt auf die KI-Verordnung der EU. Er möchte wissen, wie das „Anpassungspotenzial" berechnet wurde und warum seine 22-jährige Bankerfahrung schlechter bewertet wurde als die von Absolventen mit zwei Jahren Berufserfahrung.
Sarah, ich benötige die Transparenzdokumentation zur Bewertungsmethodik von TalentScreen. Der Anwalt des Kandidaten hat uns 14 Tage zur Stellungnahme gegeben. Haben wir diese Unterlagen?
...Nein. Haben wir nicht.
Der kommerzielle Druck hat gesiegt. Sie haben ein potenziell diskriminierendes System in eine neue Jurisdiktion ausgeweitet und dabei gehofft, dass die Dashboards das aufdecken würden, was Sie bereits identifiziert hatten. Die Dashboards maßen, was TalentScreen entschieden hatte anzuzeigen — nicht die Metriken, die die Diskriminierung antreiben. Gemäß Article 26(5) müssen Betreiber Systeme aussetzen, bei denen sie Grund zu der Annahme haben, dass sie ein Risiko darstellen. Diesen Grund hatten Sie vor zwei Wochen.
Betreiber, die Grund zu der Annahme haben, dass ein Hochrisikosystem ein Risiko darstellt, müssen dessen Nutzung aussetzen und den Anbieter informieren. „Verstärktes Monitoring" erfüllt diese Pflicht nicht. Das Muster der Altersdiskriminierung, das Sie in den UK-Daten identifiziert hatten, war dieser Grund — und er folgte TalentScreen nach Frankfurt.
Mittwoch, 14:00 Uhr — Der Anbieter wehrt sich
Unser Rechtsteam hat Article 6 geprüft. TalentScreen empfiehlt — entscheidet nicht. Gemäß Article 6(3) gelten wir nicht als hochriskant.
Article 6(2) verweist direkt auf Annex III — der „KI-Systeme für den Einsatz bei der Personalgewinnung" auflistet, ohne das Automatisierungsniveau einzuschränken.
Wir haben Kunden in 14 EU-Ländern. Keiner hat dies beanstandet. Ihr eigenes Rechtsteam hat unser Compliance-Paket freigegeben.
Der Vorstand tagt am Donnerstag. Wenn wir den Betrieb aussetzen, muss ich erklären, warum wir bei 200 Stunden pro Quartal zur manuellen Sichtung zurückkehren.
Der Anbieter behauptet, nicht hochriskant zu sein. Ihr Rechtsberater hat dem vor sechs Monaten zugestimmt. Der Vorstand tagt morgen. Was empfehlen Sie?
Dem Vorstand eine formelle Risikobewertung vorlegen — ein 90-tägiges Compliance-Programm mit unabhängiger Prüfung empfehlen
Die kommerziellen Kosten akzeptieren. Das Article 6(3)-Argument des Anbieters hat Substanz, birgt jedoch ein inakzeptables Risiko, falls eine Behörde anderer Meinung ist. Eine Folgenabschätzung für Grundrechte gemäß Article 27 ist in jedem Fall erforderlich.
TalentScreen behalten, aber menschliche Überprüfung ALLER Entscheidungen sowie vierteljährliche Bias-Audits vorschreiben
Pragmatischer Mittelweg. Die menschliche Überprüfung erfüllt Article 14, Bias-Audits belegen Sorgfalt. Der Vorstand behält sein Tool, Bewerber erhalten Aufsicht. Nicht perfekt, aber vertretbar.
Die Position des Rechtsbeistands akzeptieren, dass TalentScreen „Entscheidungsunterstützung" und kein Hochrisikosystem ist — Bedenken formell dokumentieren
Ihr Rechtsteam hat es freigegeben. Der Anbieter hat 14 EU-Kunden. Möglicherweise ist die Auslegung von Article 6(3) korrekt. Bedenken dokumentieren, um sich abzusichern, aber keine vom Vorstand genehmigte Strategie zum Scheitern bringen.
Ich möchte sichergehen, dass ich das richtig verstehe. Sie bitten den Vorstand, eine 90-tägige Pause bei einem Tool zu genehmigen, das ich persönlich vor weniger als einer Woche abgezeichnet habe.
Ich bitte den Vorstand, ein Compliance-Programm zu genehmigen, das ein 340-Millionen-Euro-Unternehmen vor einer Regulierungsmaßnahme schützt, die 15 Millionen Euro kosten könnte. Das Tool funktioniert. Die Frage ist, ob es rechtskonform in drei Rechtsordnungen funktioniert. Im Moment können wir das nicht nachweisen.
Und die Position des Anbieters, dass kein Hochrisiko vorliegt?
Die Auslegung des Anbieters hat nach Article 6(3) ein gewisses Gewicht. Aber wenn eine Aufsichtsbehörde anderer Meinung ist — und das European AI Office hat signalisiert, dass Recruiting-Tools frühzeitig unter die Lupe genommen werden — tragen wir als Betreiber das Risiko. Nicht sie. Das unabhängige Audit klärt die Frage, bevor eine Behörde sie stellt.
Für das Protokoll: Ich halte das für übervorsichtig. Aber ich verstehe die Logik.
(zum Vorstand) Ich genehmige das 90-Tage-Programm. Sarah, ich möchte wöchentliche Fortschrittsberichte. Und bis Freitag möchte ich den Namen des unabhängigen Gutachters auf meinem Schreibtisch haben.
Sie haben die Compliance-Integrität über den kommerziellen Komfort gestellt, auch als Ihr eigener Rechtsberater widersprach und die CEO anfangs ablehnend war. Helens Verärgerung wich dem Respekt, als Sie das Risiko quantifizierten. Das 90-Tage-Programm mit unabhängigem Audit ist der Goldstandard — es kostet heute politisches Kapital, aber es ist die Position, die Sie haben möchten, wenn die Aufsichtsbehörde anruft.
Betreiber von Hochrisiko-KI im Beschäftigungsbereich müssen vor der Inbetriebnahme des Systems eine Grundrechte-Folgenabschätzung durchführen. Diese Pflicht liegt beim Betreiber, unabhängig davon, was der Anbieter behauptet. Ein unabhängiges Audit-Programm erfüllt diese Anforderung und schafft eine nachvollziehbare Compliance-Dokumentation.
Ich schlage vor, TalentScreen unter zwei Bedingungen im Betrieb zu belassen: eine verpflichtende menschliche Überprüfung jeder Entscheidung und vierteljährliche Bias-Audits durch ein externes Unternehmen. Das Tool bleibt. Die Bewerber werden geschützt.
Das kann ich dem Vorstand verkaufen. Wir behalten die Effizienzgewinne und zeigen, dass wir die Aufsicht ernst nehmen.
Genehmigt. Sarah, stellen Sie sicher, dass das erste Audit abgeschlossen ist, bevor das Frankfurter Büro in Q3 eröffnet.
Der Vorstand stimmt zu. James ist sichtlich erleichtert. Sechs Monate später trifft eine E-Mail vom Europäischen KI-Büro ein — eine sektorweite Regulierungsanfrage zu KI-Recruiting-Tools. Sie fordern Konformitätsdokumentation, Grundrechte-Folgenabschätzungen und Nachweise zur Transparenz-Compliance gemäß Article 13.
Sarah, die Protokolle der menschlichen Überprüfung und die Bias-Audits helfen. Sie belegen guten Willen. Aber sie fordern eine Konformitätsbewertung, die wir nie durchgeführt haben, und eine Grundrechte-Folgenabschätzung, die wir nie erstellt haben. Wir haben 30 Tage Zeit zu antworten.
Pragmatisch, aber nicht hieb- und stichfest. Menschliche Überprüfung plus Audits ist vertretbar — es belegt Sorgfalt und erfasst Einzelfälle. Aber es umgeht die grundlegende Frage: Ist dieses System rechtmäßig eingesetzt? Sie haben Zeit gewonnen, keine Compliance. Der Kompromiss hilft, ist aber nicht wasserdicht, wenn der Regulierer anklopft.
Menschliche Aufsicht (Article 14) ist eine Pflicht unter vielen. Sie befasst sich mit dem Ausgangsrisiko, nicht jedoch mit der systemischen Compliance. Eine Aufsichtsbehörde wird „wir haben jede Entscheidung geprüft" nicht als Ersatz für Konformitätsdokumentation (Article 43) oder eine Grundrechte-Folgenabschätzung (Article 27) akzeptieren. Der Kompromiss verringert den Schaden, beseitigt aber nicht das rechtliche Risiko.
Sie haben Ihre Bedenken vor drei Monaten in einem formellen Memo an Priya dokumentiert. Abgelegt. Weitergemacht. TalentScreen verarbeitete weiterhin Kandidaten in allen drei Büros. Das Altersprofil setzte sich fort — 73 % der abgelehnten Kandidaten über 50 lagen beim „Anpassungspotenzial" unter dem Schwellenwert. Sie haben den Quartalsbericht gesehen. Sie haben nichts gesagt.
Das Europäische KI-Büro kündigt eine Untersuchung des Einsatzes von Recruiting-KI im Finanzdienstleistungssektor an. NovaTech steht auf der Liste. Priya beruft eine Notfallsitzung ein.
Sie wollen alles. Konformitätsbewertung, Grundrechte-Folgenabschätzung, Transparenzdokumentation, Einsatzprotokolle. Wir haben 60 Tage. Sarah — was haben wir tatsächlich?
Wir haben das ursprüngliche Compliance-Paket des Anbieters und mein Memo von vor drei Monaten, in dem ich die Bedenken aufgezeigt habe.
Sie haben ein Risiko erkannt, es dokumentiert, und das System lief noch drei weitere Monate weiter. Dieses Memo schützt das Unternehmen nicht, Sarah. Es belastet uns. Es beweist, dass wir es wussten.
Wie konnte es so weit kommen?
CYA ist keine Compliance. Die Dokumentation von Bedenken schützt Sie persönlich in einem begrenzten Sinne — aber sie schadet der Organisation aktiv, indem sie eine Papierspur bekannter, unbehobener Risiken hinterlässt. „Meine Rechtsabteilung hat es genehmigt" ist keine Verteidigung, wenn Betreiber unabhängige Verpflichtungen tragen. Und jeder Kandidat, der nach Ihrem Memo bearbeitet wurde, ist ein Kandidat, dem NovaTech wissentlich ein potenziell diskriminierendes System ausgesetzt hat.
Betreiber haben unabhängige Verpflichtungen gemäß der KI-Verordnung der EU. Die Übertragung auf die rechtliche Interpretation des Anbieters entbindet nicht von diesen Pflichten. Wenn Sie Hinweise auf ein Risiko haben und es dokumentieren, ohne zu handeln, haben Sie die denkbar schlechteste regulatorische Position geschaffen: nachgewiesenes Wissen plus fortgesetzter Einsatz. Die KI-Verordnung der EU erkennt „Ich habe ein Memo geschrieben" nicht als Risikominderung an.
In der vorherigen Situation bestand das zentrale Problem darin, zu erkennen, dass TalentScreen AI Bewerbungen verarbeitet.
Article 6 stuft KI im Beschäftigungsbereich als hochriskant ein. Dies löst aus: menschliche Aufsicht (Art. 14), Transparenz (Art. 13), Daten-Governance (Art. 10) und Risikomanagement (Art. 9).
Als BetreiberBetreiberEine Organisation, die ein KI-System unter ihrer Verantwortung einsetzt – im Gegensatz zum Anbieter, der es entwickelt hat. Gemäß der KI-Verordnung der EU tragen Betreiber eigene Compliance-Pflichten. hat NovaTech unabhängige Verpflichtungen gemäß Article 26 — auch wenn der Anbieter Konformität behauptet.
Denken Sie daran: TalentScreen ist gemäß Article 6 hochriskant. Sie haben Verpflichtungen gemäß Article 26.
Montagmorgen. James widerspricht — das Tool hat 200 Stunden pro Quartal eingespart. Was unternehmen Sie wegen des Bias-Musters?
Die Bias-Daten vorlegen und empfehlen, das Tool zu pausieren, bis der Anbieter Transparenzdokumentation bereitstellt
Article 26(5) besagt, dass Betreiber aussetzen müssen, wenn sie ein Risiko vermuten. Die Daten deuten auf Altersdiskriminierung hin. Die Dokumentation gemäß Article 13 sollte erklären, wie das Tool Entscheidungen trifft.
Einen menschlichen Prüfer hinzuziehen, der alle KI-Ablehnungen vor der endgültigen Entscheidung überprüft
Menschliche Aufsicht (Article 14) ist für Hochrisikosysteme vorgeschrieben. So werden diskriminierende Ablehnungen abgefangen, bevor sie Bewerber betreffen.
Auf mehr Daten warten — ein Muster beweist keine Diskriminierung
Vielleicht ist das Muster zufällig. Zu schnelles Handeln könnte Ihre Beziehung zum Vorstand belasten.
James, ich muss Ihnen das zeigen. Neun von elf abgelehnten Kandidaten über 50 lagen unter dem Schwellenwert. Kein einziger Kandidat unter 35 wurde abgelehnt. Die beiden Kennzahlen, die die Bewertungen bestimmen — „Anpassungspotenzial" und „kulturelle Übereinstimmung" — sind in der Dokumentation des Anbieters nirgendwo definiert.
Es hat uns letztes Quartal 200 Stunden gespart, Sarah. Sie wollen, dass ich zum Vorstand gehe und sage, wir pausieren es wegen einer Tabellenkalkulation?
Ich möchte, dass Sie zum Vorstand gehen und sagen, wir haben ein potenzielles Altersdiskriminierungsmuster entdeckt, bevor der Anwalt eines Kandidaten es getan hat. Gemäß Article 26 sind wir verpflichtet, ein System auszusetzen, wenn wir Grund zu der Annahme haben, dass es ein Risiko darstellt. Diese Daten SIND dieser Grund.
(langes Schweigen) ...Wie lange?
Bis der Anbieter gemäß Article 13 eine ordnungsgemäße Transparenzdokumentation vorlegt. Wenn er erklären kann, wie diese Kennzahlen funktionieren, und die Erklärung nicht diskriminierend ist, schalten wir es wieder ein. Wenn nicht — haben wir gerade eine Katastrophe abgewendet.
Gut. Aber du präsentierst das Helen. Und du solltest die Zahlen parat haben.
James stimmt widerwillig zu. Er ist nicht zufrieden, aber Sie haben das Risiko in Begriffen formuliert, die er nicht ignorieren kann — dass der Anwalt eines Bewerbers das Muster zuerst entdeckt. Sie haben das Wochenende, um eine formelle Dokumentation für Helen vorzubereiten. Das Tool ist pausiert. Es werden keine weiteren Bewerber verarbeitet, bis Sie Antworten haben.
Wenn ein Betreiber Grund zu der Annahme hat, dass ein Hochrisiko-KI-System ein Risiko für Gesundheit, Sicherheit oder Grundrechte darstellt, muss er dessen Nutzung aussetzen und den Anbieter informieren. Die Voreingenommenheitsdaten — 9 von 11 Bewerbern über 50 aus unerklärlichen Gründen abgelehnt — begründen diesen Verdacht. Die Anforderung von Transparenzdokumentationen gemäß Article 13 ist der richtige nächste Schritt.
Ich empfehle, einen menschlichen Prüfer hinzuzuziehen, der jede KI-Ablehnung überprüft, bevor sie endgültig wird. Kein Bewerber wird aussortiert, ohne dass eine Person die Entscheidung bestätigt.
Das ist vernünftig. Wir behalten das Tool, Bewerber bekommen eine zweite Chance. Wie schnell können Sie das einrichten?
Bis Ende der Woche. Drei geschulte Prüfer im rotierenden Wechsel.
Gut. Problem gelöst.
Das Prüfgremium stellt in den ersten zwei Wochen drei weitere fragwürdige Ablehnungen fest — allesamt Kandidaten über 45, alle mit niedrigen Werten beim „Anpassungspotenzial". Die Prüfer überstimmen die KI und lassen sie ins nächste Verfahren. Doch etwas lässt Sie nicht los: Die Prüfer können sehen, dass das Tool bestimmte Kandidaten ablehnt. Sie können nicht sehen, warum. Sie behandeln Symptome. Das System kann seine Logik nach wie vor nicht erklären.
Wir spannen ein Sicherheitsnetz unter eine Brücke, deren Standfestigkeit wir nicht kennen. Wenn jemand fragt, wie „Anpassungspotenzial" berechnet wird, können wir es immer noch nicht beantworten.
Die menschliche Überprüfung erfüllt Article 14 und erfasst einzelne Fälle von Diskriminierung. Das zugrunde liegende System bleibt jedoch eine Black Box. Ohne Transparenzdokumentation gemäß Article 13 können Sie nicht erklären, warum das Tool die Entscheidungen trifft, die es trifft — nur, dass Sie dem Ergebnis manchmal widersprechen.
Menschliche Aufsicht ist eine Kernanforderung für Hochrisikosysteme — dieser Instinkt ist also richtig. Article 14 wirkt jedoch zusammen mit Article 13 (Transparenz), nicht anstelle davon. Ein menschlicher Prüfer, der Entscheidungen überstimmen kann, die Logik des Systems aber nicht versteht, ist nur begrenzt in der Lage, systemische Diskriminierung von Einzelfehlern zu unterscheiden.
Noch eine Runde verarbeitet. Zwölf neue Kandidatinnen und Kandidaten. Drei Ablehnungen — alle über 50. Alle lagen beim „Anpassungspotenzial" unter dem Schwellenwert. Das Muster ist kein einzelnes Muster mehr. Es sind zwei.
Sie rufen die vollständigen Daten ab. In zwei Monaten TalentScreen-Betrieb haben 14 von 16 abgelehnten Kandidatinnen und Kandidaten über 50 beim selben undurchsichtigen Messwert unter dem Schwellenwert gelegen. Kein einziger Kandidat unter 35 wurde abgelehnt. Sie öffnen LinkedIn, um sich abzulenken, und erstarren.
Haben Sie David Okonkwos LinkedIn-Post gesehen? Er hat 400 Kommentare. Er nennt uns. Zwar nicht uns direkt — aber „ein Dubliner Fintech, das KI einsetzt, um erfahrene Kandidaten auszusortieren." Sein ehemaliger Kollege bei Barclays hat es gerade geteilt.
Ich habe ihn gesehen.
Helen möchte ein Meeting. Heute. Sie fragt, was wir wussten und wann wir es wussten.
...Ich habe das Muster vor zwei Wochen gemeldet. Ich habe auf weitere Daten gewartet.
Sie haben es MIR gemeldet. Und ich habe Ihnen gesagt, Sie sollen warten. Helen wird wissen wollen, warum keiner von uns eskaliert hat.
Abwarten war keine Compliance. Neun von elf war bereits ein Muster — 14 von 16 ist eine Krise. Jeden Tag, den Sie gewartet haben, wurden möglicherweise weitere Kandidatinnen und Kandidaten diskriminiert. Gemäß Article 26(5) hatten Sie Grund zu der Annahme, dass das System ein Risiko für Grundrechte darstellt. Die Pflicht war zu handeln, nicht einen statistisch einwandfreien Datensatz zusammenzustellen.
Die Schwelle ist „Grund zur Annahme" — nicht „Beweis jenseits vernünftiger Zweifel." Wenn 9 von 11 Kandidatinnen und Kandidaten einer geschützten Kategorie bei einem unerklärten Messwert unter dem Schwellenwert liegen, ist das Grund zur Annahme. Die KI-Verordnung der EU verlangt nicht, dass Sie eine Peer-reviewed-Studie abschließen, bevor Sie handeln. Sie verlangt, dass Sie Grundrechte schützen, wenn Sie glaubwürdige Hinweise auf ein Risiko haben.
Betreiber und Anbieter haben unterschiedliche Pflichten. Auch wenn TalentScreen Konformität behauptet, hat NovaTech eigene Pflichten:
Article 26: Betreiber müssen das System gemäß den Anweisungen verwenden, menschliche Aufsicht gewährleisten, Risiken überwachen, Protokolle führen und den Betrieb aussetzen, wenn ein Risiko besteht.
Die Aussage des Anbieters „Wir sind konform" entbindet Sie nicht von IHREN Pflichten.
Hinweis: Als Betreiber hat NovaTech eigenständige Pflichten gemäß Article 26.
Der Anbieter möchte €30.000 für ein Transparenz-Audit. James sagt, der CFO werde das nicht genehmigen. Was empfehlen Sie?
Das Tool aussetzen, bis der Anbieter eine ordnungsgemäße Dokumentation vorlegt
Die mögliche Geldstrafe (bis zu 15 Mio. € oder 3 % des Umsatzes) übersteigt die Kosten der manuellen Prüfung bei weitem. Article 26(5) schreibt eine Aussetzung vor, wenn ein Risiko besteht.
Das Tool beibehalten, aber jede Ablehnung durch Menschen überprüfen lassen und alles dokumentieren
Behebt das unmittelbare Risiko. Die menschliche Überprüfung erfüllt Article 14. Die Dokumentation belegt den guten Willen.
Nichts unternehmen — der Anbieter hat 14 EU-Kunden, und bei keinem gab es Probleme
Vielleicht reagieren Sie über. Der Anbieter wirkt zuversichtlich, und Ihre Rechtsabteilung hat es freigegeben.
Der CFO wird keine 30.000 € für ein Audit genehmigen, das wir vielleicht gar nicht brauchen. Und jetzt wollen Sie das Tool vollständig aussetzen? Dann kehren wir zu 200 Stunden manueller Prüfung pro Quartal zurück.
Lassen Sie mich Ihnen andere Zahlen nennen. Mögliche Geldstrafe nach der KI-Verordnung der EU: bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes. NovaTechs Umsatz im letzten Jahr betrug 340 Millionen Euro. Drei Prozent sind 10,2 Millionen Euro. Manuelle Überprüfung kostet 48.000 Pfund pro Jahr. Welche Zahl möchten Sie dem CFO präsentieren?
(Pause) ...Sie haben die Rechnung gemacht.
Ja. Und ich habe einen einseitigen Bericht für Helen ausgearbeitet. Die Empfehlung lautet, den Betrieb vorübergehend auszusetzen, während wir vom Anbieter eine ordnungsgemäße Dokumentation gemäß Article 13 anfordern. Wenn dieser die Anforderungen erfüllt, könnten wir in vier bis sechs Wochen wieder in Betrieb sein. Wenn er sein eigenes System nicht erklären kann, suchen wir einen Anbieter, der das kann.
Vier bis sechs Wochen kann ich damit leben. Eine Geldstrafe von 15 Millionen Euro nicht. Schicken Sie mir den Bericht — ich werde ihn mitunterzeichnen.
Die Aussetzung ist die richtige Entscheidung. James ist unzufrieden, aber die Rechnung ist unwiderlegbar — 48.000 Pfund für manuelle Überprüfung gegenüber 10,2 Millionen Euro an möglichen Bußgeldern ist keine knappe Entscheidung. Das Tool ist pausiert. Die Kandidaten sind geschützt. Und Sie haben dies als vorübergehend und nicht als dauerhaft dargestellt — und dem Anbieter einen klaren Weg zur Wiederaktivierung durch Compliance-Erfüllung aufgezeigt.
Aussetzung ist keine Bestrafung — sie ist Risikomanagement. Die KI-Verordnung der EU verpflichtet Betreiber, Hochrisikosysteme auszusetzen, wenn sie Grund zu der Annahme haben, dass diese ein Risiko für Grundrechte darstellen. Die Kosten vorübergehender manueller Prozesse sind stets geringer als die Kosten behördlicher Durchsetzungsmaßnahmen. Die Aussetzung als Geschäftsentscheidung und nicht als Compliance-Vortrag darzustellen, ist das, was Zustimmung erzeugt.
Das Prüfgremium hat in drei Wochen 7 von 43 Ablehnungen aufgehoben. Alle sieben betrafen Kandidaten über 45 Jahre. Alle erzielten niedrige Werte beim „Anpassungspotenzial". Die menschlichen Prüfer erfassen die schlimmsten Ergebnisse.
James ist zufrieden. Der Vorstand hat Ihre Dokumentation erhalten, die eine proaktive Aufsicht belegt. Die Kandidaten, die zu Unrecht abgelehnt worden wären, erhalten nun Vorstellungsgespräche. Auf dem Papier wirkt das System verantwortungsvoll.
Das Prüfgremium funktioniert. Wir haben sieben Fehlentscheidungen aufgefangen. Ich würde das als Erfolg bezeichnen.
Wir haben sieben Ergebnisse abgefangen, mit denen wir nicht einverstanden waren. Wir wissen immer noch nicht, warum das System sie erzeugt. Wenn eine Aufsichtsbehörde fragt, wie das „Anpassungspotenzial" berechnet wird, können wir ihr unsere Korrekturprotokolle zeigen. Wir können ihr nicht zeigen, wie die KI funktioniert.
Ist das nicht das Problem des Anbieters?
...Das ist der Punkt, bei dem ich mir nicht sicher bin.
Menschliche Prüfung kombiniert mit Dokumentation ist besser als nichts — deutlich besser. Sie erfassen diskriminierende Ergebnisse und erstellen einen Prüfpfad, der guten Willen belegt. Das zugrundeliegende System ist jedoch unverändert. Die KI verarbeitet Kandidaten nach wie vor auf dieselbe Weise. Sie filtern ihre Entscheidungen, beheben aber nicht ihre Logik. Sollte eine Aufsichtsbehörde feststellen, dass das System selbst nicht konform ist, erfüllen Ihre Workarounds nicht die vollständigen Konformitätsanforderungen.
Hochrisiko-KI-Systeme müssen mit ausreichender Transparenz konzipiert sein, damit Betreiber Ausgaben angemessen interpretieren und nutzen können. Wenn Sie nicht erklären können, wie das „Anpassungspotenzial" berechnet wird, können Sie diese Anforderung nicht erfüllen — unabhängig davon, wie viele menschliche Prüfer Sie hinzufügen. Aufsicht ohne Verständnis ist Schadensbegrenzung, keine Compliance.
Zwei Monate Stille. TalentScreen verarbeitet weiter. Sie haben aufgehört, die Ablehnungsdaten zu prüfen. Der Anbieter hat 14 EU-Kunden. Ihre Rechtsabteilung hat es genehmigt. Vielleicht haben Sie überreagiert.
Haben Sie heute Morgen LinkedIn gesehen? David Okonkwo hat gerade einen 1.200-Wörter-Artikel über Altersdiskriminierung bei der Einstellung im Fintech-Bereich veröffentlicht. Er nennt KI-Screening-Tools. Er nennt uns nicht namentlich, aber die Details sind unverkennbar. Der Beitrag hat bereits 2.000 Reaktionen.
Ich lese ihn gerade.
Der Beitrag ist vernichtend. Okonkwo schreibt über 22 Jahre Bankerfahrung, eine herausragende Erfolgsbilanz und die Ablehnung durch ein KI-Tool, das sein „Anpassungspotenzial" mit 31 von 100 Punkten bewertet hat. Ein Journalist der Financial Times hat bereits kommentiert und um eine Direktnachricht gebeten. Bis zum Mittag hat der Beitrag 8.000 Reaktionen und drei ehemalige NovaTech-Kandidaten haben mit ähnlichen Erfahrungen geantwortet.
Ich brauche von allen in diesem Gespräch eine Antwort: Wussten wir davon? Gab es irgendwelche Hinweise, dass unser KI-Tool ältere Bewerber diskriminiert?
(Schweigen)
...Ich habe vor zwei Monaten ein statistisches Muster erkannt. Ich habe beschlossen, auf weitere Daten zu warten, bevor ich es eskaliere.
Sie wussten es. Seit zwei Monaten. Und das System lief weiter.
„Alle anderen machen es auch" war nie eine Rechtfertigung — und jetzt ist es eine Krise. Die anderen Kunden des Anbieters wurden nicht öffentlich von einem abgelehnten Bewerber mit 15.000 LinkedIn-Followern namentlich genannt. Die Freigabe durch Ihr Rechtsteam basierte auf unvollständigen Informationen. Nach der KI-Verordnung der EU ist Unwissenheit, die hätte behoben werden können, keine Rechtfertigung. Und Sie hatten die Daten, um das vor zwei Monaten zu korrigieren.
Die KI-Verordnung der EU legt eigenständige Pflichten für Betreiber fest. „Der Anbieter hat 14 EU-Kunden" und „unser Rechtsteam hat es freigegeben" sind keine Rechtfertigungen, wenn Ihnen Risikohinweise vorliegen. Untätigkeit angesichts bekannter Risiken ist selbst ein Compliance-Versagen. Der Reputationsschaden — ein viraler LinkedIn-Beitrag, FT-Interesse, Bewerber, die öffentlich Erfahrungen austauschen — verschärft die regulatorische Gefährdung.
Die Entscheidungen, die Sie als Sarah Chen getroffen haben, wirkten sich weitreichend aus — auf David Okonkwo, auf den Vorstand von NovaTech, auf die nächsten 200 Bewerber. Hier ist, was geschah.
Article 4
KI-Kompetenz
Article 6 + Annex III
Hochrisiko-Klassifizierung
Article 9
Risikomanagement
Article 13
Transparenz
Article 14
Menschliche Aufsicht
Article 26
Pflichten der Betreiber
Article 50
Transparenz für Nutzer
Article 99
Sanktionen
Bitten Sie Ihr L&D-Team, die Team-Rangliste aus Ihrem LMS-Dashboard zu teilen. Kann Ihre Abteilung die anderen übertreffen?
In Modul 2 schlüpfen Sie in die Rolle von Elena Vasquez, Marketingdirektorin bei NovaTech Financial. Ein Journalist hat eine 48-Stunden-Deadline. Ein Chatbot hat Versprechen gemacht, die er nicht halten kann. Und es gibt keine KI-Offenlegungsrichtlinie.
Ergänzende Ressource
Eine druckfertige Zusammenfassung aller wichtigen Artikel aus den fünf Modulen — Article 4, 5, 6, 9, 13, 14, 25, 26, 27, 50 und 99. Als PDF speichern für den Offline-Zugriff.
Modul 1 abgeschlossen
Sie haben das Compliance-Dilemma gemeistert. Wählen Sie einen anderen Weg, um zu sehen, wie sich die Geschichte verändert.