3 KI-Systeme im Kerngeschäft, von denen 2 unter den EU AI Act fallen. Das wusste vorher niemand.
Kundenname auf Wunsch anonymisiert.
Branche
Personalberatung / Recruiting
Grösse
ca. 20 Mitarbeitende
Standort
Raum Bern
3 KI-Systeme im Kerngeschäft, von denen 2 unter den EU AI Act fallen. Das wusste vorher niemand.
Kundenname auf Wunsch anonymisiert.
Branche
Personalberatung / Recruiting
Grösse
ca. 20 Mitarbeitende
Standort
Raum Bern
Ausgangslage
Der Kunde ist eine Schweizer Personalberatung mit 20 Mitarbeitenden, die auf Fach- und Führungskräfte im technischen Bereich spezialisiert ist. Das Unternehmen arbeitet für Kunden in der Schweiz und in Deutschland.
KI war in dieser Firma kein Randthema. Sie steckte mitten im Geschäftsmodell. Die Berater nutzten ein Matching-Tool, das Kandidatenprofile automatisch mit Stellenanforderungen abgleicht und eine Rangliste erstellt. Für die Erstansprache von Kandidaten lief ein teilautomatisierter Prozess über ein Tool, das auf Basis des CV-Inhalts personalisierte Nachrichten generiert. Und im Backoffice wurde ChatGPT für die Erstellung von Stelleninseraten und Kandidatenberichten eingesetzt. Kurzum: Shadow AI, die im Kerngeschäft steckte, ohne dass jemand die regulatorischen Konsequenzen kannte.
Die Geschäftsführerin war technisch versiert und sah KI als Wettbewerbsvorteil. Was sie nicht bedacht hatte: Das Matching-Tool verarbeitete systematisch Kandidatenprofile: personenbezogene Daten, die unter das Schweizer DSG und die DSGVO fallen.
Was den Kunden zu uns gebracht hat
Der Anstoss kam über einen Fachartikel in einem HR-Branchenmagazin. Darin wurde beschrieben, dass KI-Systeme im Bereich Beschäftigung und Personalmanagement unter dem EU AI Act als Hochrisiko eingestuft werden. Die Geschäftsführerin hat den Artikel gelesen und zum ersten Mal realisiert, dass das direkt auf ihr Kerngeschäft zutrifft. Nicht auf ein Randtool, sondern auf das, womit sie jeden Tag arbeitet.
Ihre Frage an uns war: Stimmt das? Und wenn ja, was muss ich jetzt tun?
Was wir gemacht haben
Wir haben zuerst alle Systeme mit KI-Komponenten erfasst. Bei einer Firma mit 20 Leuten geht das schnell: ein halber Tag Gespräche, dazu eine Analyse der eingesetzten Software. Ergebnis: 5 Systeme mit KI-Komponenten. Die drei genannten plus ein ATS (Applicant Tracking System), das im Hintergrund KI-basiert Lebensläufe parst und sortiert, und ein Analyse-Dashboard, das Vermittlungserfolge vorhersagt.
Dann kam die Klassifikation nach EU AI Act. Und hier wurde es konkret.
Das Matching-Tool, das Kandidaten automatisch rankt, fällt unter Anhang III des EU AI Act: KI-Systeme, die für die Einstellung oder Auswahl natürlicher Personen verwendet werden (automatisierte Entscheidungen im Personalwesen). Hochrisiko. Dafür gelten Dokumentationspflichten, Anforderungen an die Datenqualität, menschliche Aufsicht und Transparenz gegenüber den betroffenen Personen.
Das ATS mit automatischer Lebenslauf-Sortierung fällt in dieselbe Kategorie. Auch Hochrisiko.
Die Geschäftsführerin war überrascht. Sie hatte mit dem Matching-Tool gerechnet, aber nicht damit, dass auch das ATS betroffen ist. "Das sortiert doch nur Dokumente", war ihre erste Reaktion. Aber wenn diese Sortierung beeinflusst, welche Kandidaten ein Berater zuerst sieht, ist das eine KI-gestützte Vorauswahl im Beschäftigungskontext.
Für die restlichen drei Systeme (ChatGPT, das Ansprache-Tool, das Analyse-Dashboard) ergaben sich niedrigere Anforderungen. Transparenzpflichten ja, aber kein Hochrisiko-Regime.
Wir haben dann für jedes System dokumentiert: Welche Pflichten gelten, was der Software-Anbieter bereits abdeckt (oder eben nicht), und was das Unternehmen selbst tun muss. Für die zwei Hochrisiko-Systeme haben wir eine konkrete Massnahmenliste erstellt: Dokumentation nachziehen, Prozess für menschliche Überprüfung von Rankings definieren, Transparenzhinweise für Kandidaten aufsetzen, Datenqualitätsprüfung einführen.
Was das gebracht hat
Nach vier Wochen wusste die Geschäftsführerin genau, wo sie steht. Zwei Hochrisiko-Systeme, drei mit niedrigeren Anforderungen, und für jedes eine klare Massnahmenliste.
Beim Matching-Tool hat sie sofort mit dem Anbieter gesprochen. Der konnte einen Teil der Dokumentation liefern, aber die Transparenz gegenüber Kandidaten und die menschliche Aufsicht musste das Unternehmen selbst regeln. Das war mit einem halben Tag Aufwand erledigt: Ein kurzer Hinweis im Bewerbungsprozess und eine Regel, dass kein Kandidat nur auf Basis des Rankings ausgeschlossen wird. Die Kundendaten, die dabei verarbeitet werden, unterliegen dem Schweizer DSG und der DSGVO, da das Unternehmen auch für Kunden in Deutschland tätig ist. Als Teil der Massnahmen wurde eine KI-Richtlinie erstellt, die klar regelt, welche Tools für welche Prozesse freigegeben sind.
Die Geschäftsführerin hat danach gesagt, dass sie der Aufwand gar nicht gestört habe. Was sie beschäftigt habe: dass sie mit ihren Kern-Tools seit zwei Jahren regulatorische Risiken eingegangen war, ohne es zu ahnen. Und dass ihre Mitbewerber, die dieselben Tools nutzen, das wahrscheinlich auch noch nicht realisiert haben.
rojektdauer: 4 Wochen | Aufwand: ca. 7 Beratertage | Durchgeführt von Navigant