EU-Regulierungswelle: Neue Regeln für Recruiting und HR ab 2026

Mehrere EU-Direktiven zwingen Unternehmen zu grundlegenden Änderungen bei Stellenausschreibungen, Bewerbungsgesprächen und dem Einsatz von Künstlicher Intelligenz. Besonders die EU-Entgelttransparenzrichtlinie ab Juni und das KI-Gesetz ab August 2026 setzen neue Maßstäbe.

Gehaltsangaben werden Pflicht

Am 7. Juni 2026 tritt die EU-Entgelttransparenzrichtlinie in Kraft – und das ändert alles für Personaler. Arbeitgeber dürfen Bewerber dann nicht mehr nach ihrem bisherigen Gehalt fragen. Ziel: Die Vererbung von Gehaltsunterschieden von Job zu Job soll gestoppt werden.

Stattdessen müssen Unternehmen vor dem ersten Vorstellungsgespräch eine klare Gehaltsspanne oder ein konkretes Einstiegsgehalt nennen. Entweder direkt in der Stellenanzeige oder auf anderem Weg vor dem ersten Termin. Schluss mit schwammigen Formulierungen wie „leistungsgerechte Vergütung“ – die neue Transparenz soll faire Verhandlungen ermöglichen.

Ergänzend hat der Europäische Gerichtshof im März 2026 im Fall „Brillen Rottler“ klargestellt: Zwar haben Betroffene umfassende Auskunftsrechte, doch reine „Abfragen auf Vorrat“ ohne legitimes Interesse können als Missbrauch gewertet werden. Für HR-Abteilungen heißt das: präzise Systeme für Datenanfragen aufbauen, aber auch Schutz vor missbräuchlichen Forderungen einbauen.

KI im Bewerbungsprozess wird Hochrisiko

Ab dem 2. August 2026 stuft das EU-KI-Gesetz den Einsatz automatisierter Systeme im Personalwesen als „Hochrisiko“ ein. Das betrifft die Analyse von Lebensläufen, das Screening von Bewerbern und KI-gestützte Vorauswahlverfahren. Die Auflagen sind massiv: Unternehmen müssen menschliche Aufsicht, Transparenz und Datenqualität garantieren.

Angesichts der Einstufung von Recruiting-Systemen als Hochrisiko-Anwendungen müssen Unternehmen jetzt die neuen gesetzlichen Auflagen des EU AI Acts erfüllen. Dieser kompakte Leitfaden bietet Ihnen einen vollständigen Überblick über alle Anforderungen, Pflichten und Fristen der neuen Verordnung. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Der Europäische Datenschutzbeauftragte betont: Menschliche Kontrolle darf keine Alibiübung sein. Geschulte Mitarbeiter müssen automatisierte Entscheidungen korrigieren oder überstimmen können. Das ist besonders brisant angesichts aktueller Zahlen: Laut Bitkom nutzen zwar 41 Prozent der deutschen Unternehmen KI, aber 64 Prozent haben noch keine formale KI-Strategie. Ein gefährlicher Zustand angesichts der drohenden Strafen.

Die Bußgelder sind happig: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes drohen bei verbotenen Praktiken. Selbst bei weniger schweren Verstößen sind es noch 15 Millionen Euro oder 3 Prozent des Umsatzes. Hinzu kommt das Problem der „Shadow AI“: Über 70 Prozent der Mitarbeiter nutzen wöchentlich KI-Tools – oft ohne Wissen der IT-Abteilung. Für HR bedeutet das: Die Nutzung von KI im Recruiting muss schnell formalisiert werden, um undurchsichtige Entscheidungen zu vermeiden.

Neue Regeln für Bewerberdaten

Auch beim Umgang mit Bewerberdaten ändert sich einiges. Der Europäische Datenschutzausschuss (EDPB) veröffentlichte Mitte April 2026 neue Leitlinien zur Speicherung und Löschung personenbezogener Daten. Kernpunkt: Ein strenger „Sechs-Faktoren-Test“ für die Datenverarbeitung. Unbegrenzte Speicherung – selbst für Forschungszwecke – ist strikt verboten. Für Recruiting bedeutet das: Unternehmen müssen konkrete Lösch- oder Anonymisierungsfristen für Bewerberprofile festlegen, sobald ein Einstellungsprozess abgeschlossen ist.

Das im November 2025 vorgeschlagene Reformpaket „Digital Omnibus“ will zudem verschiedene Datenvorschriften harmonisieren. Eine geplante Änderung: Die Meldefrist für Datenschutzverletzungen soll von 72 auf 96 Stunden verlängert werden. Außerdem ist eine zentrale Meldestelle für alle Cybersicherheitsmeldungen in der EU geplant.

Ein Urteil des Landesarbeitsgerichts München vom Juni 2025 zeigt die Grenzen der Auskunftsrechte: Abgelehnte Bewerber haben keinen Anspruch auf vollständige interne Compliance-Berichte – nur auf ihre eigenen personenbezogenen Daten. Für HR-Abteilungen ist das eine wichtige Abgrenzung bei internen Ermittlungen oder Hintergrundchecks.

Datenschutzbeauftragte werden zu Risikomanagern

Die Komplexität der neuen Vorschriften verändert die Rolle externer Datenschutzbeauftragter grundlegend. Sie werden vom reinen Datenverwalter zum strategischen Risikomanager, der IT-Sicherheit, Rechtskonformität und Personalstrategie verbindet. Besonders wichtig wird dies durch die NIS2-Richtlinie, die seit Dezember 2025 rund 30.000 Unternehmen in Deutschland betrifft und einen ganzheitlichen Ansatz für Unternehmensresilienz fordert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im April 2026 einen neuen Leitfaden für die „Grundschutz++“-Methodik veröffentlicht. Dieser prozessorientierte Ansatz soll traditionelle Sicherheitsstandards an die aktuelle Bedrohungslage anpassen – mit maschinenlesbaren Anforderungen, die in digitale Managementsysteme integriert werden können.

Die Dringlichkeit zeigt sich in den Kosten: Schätzungen zufolge könnten die Schäden durch Cyberkriminalität für die deutsche Wirtschaft 2026 auf bis zu 290 Milliarden Euro steigen. „Compliance by Design“ ist für Recruiting-Prozesse daher keine option mehr, sondern Pflicht.

Ausblick: Digitale Identität und neue Prüfpflichten

Bis Ende 2026 müssen EU-Mitgliedstaaten eine Digital ID Wallet bereitstellen. Diese könnte traditionelle Cookie-Banner ersetzen und die Überprüfung von Qualifikationen im Bewerbungsprozess vereinfachen. In Deutschland ist die „BundID“ seit Oktober 2025 verfügbar, weitere Funktionen sollen im Juli 2026 folgen.

Die Durchführung einer Datenschutz-Folgenabschätzung ist für moderne Recruiting-Software mittlerweile unverzichtbar, um hohe Bußgelder zu vermeiden. Mit praxiserprobten Checklisten und einer fertigen Muster-Vorlage erstellen Sie Ihre Dokumentation rechtssicher und effizient. Kostenloses E-Book zur Datenschutz-Folgenabschätzung sichern

Unternehmen sollten die kommenden Monate nutzen, um gründliche Datenschutz-Folgenabschätzungen (DPIA) durchzuführen – besonders für ihre Recruiting-Software. Der EDPB startete am 14. April 2026 eine Konsultation für eine standardisierte DPIA-Vorlage, die einen klaren Fahrplan für die Bewertung von Hochrisiko-KI und Datenverarbeitung bieten soll.

Bei Millionenstrafen und einem rechtlichen Umfeld, das zunehmend Transparenz fordert, wird die Modernisierung der Recruiting-Compliance zur Chefsache. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch den Verlust des Vertrauens von Bewerbern und Mitarbeitern.

de | boerse | 69255618 |