KI-Matching bei Leiharbeit und Arbeitnehmerüberlassung: wer ist wofür verantwortlich?

Kurze Antwort: KI, die Kandidaten Aufträgen zuordnet, ist Einstellung und damit hochriskant (Anhang III Nr. 4). Der Anbieter des Matching-Tools ist meist Anbieter, die Zeitarbeits- oder Überlassungsfirma ist Betreiber, und der Entleiher kann unter Umständen mitverantwortlich werden. Die Rollenverteilung muss vorab vertraglich und faktisch festgelegt werden.

Im Dreieck von Leiharbeit und Arbeitnehmerüberlassung bewegen sich Kandidatendaten zwischen einem Tool-Anbieter, einer Agentur und einem entleihenden Arbeitgeber. Die KI-Verordnung und die DSGVO kennen jeweils ein eigenes Rollenkonzept; diese decken sich nicht immer, und gerade deshalb entsteht in dieser Kette Verwirrung darüber, wer was tun muss.

Warum Matching hochriskant ist

Das Zuweisen, Einstufen oder Auswählen von Kandidaten für eine Tätigkeit fällt unter Einstellung und Auswahl gemäß Anhang III Nr. 4 der KI-Verordnung. Ein Matching-Algorithmus, der bestimmt, welche Leiharbeitskraft welcher Stelle zugeordnet wird, entscheidet materiell über den Zugang zu Arbeit mit und ist damit hochriskant. Das zieht den vollständigen Pflichtenkatalog für Hochrisiko-Systeme nach sich. Der vollständige Überblick findet sich in Hochrisiko: die Pflichten im Überblick.

Wer ist Anbieter?

Anbieter ist in der Regel die Partei, die das KI-System entwickelt oder entwickeln lässt und unter eigenem Namen oder eigener Marke in Verkehr bringt: der Lieferant der Matching-Software. Der Anbieter trägt am meisten: Konformitätsbewertung, technische Dokumentation, Qualitätsmanagement, CE-Kennzeichnung und Registrierung in der EU-Datenbank. Beachten Sie den Rollenwechsel nach Artikel 25: Wer das System wesentlich ändert, seinen Zweck verändert oder es unter eigener Marke weitervertreibt, kann selbst zum Anbieter werden, mit allen damit verbundenen Pflichten.

Wer ist Betreiber?

Betreiber ist, wer das System unter eigener Verantwortung nutzt, in der Regel die Zeitarbeits- oder Überlassungsfirma, die das Tool zum Matching von Kandidaten einsetzt. Der Betreiber muss das System instruktionskonform nutzen, eine wirksame menschliche Aufsicht einrichten, die Eingabedaten überwachen, soweit er sie kontrolliert, Protokolle aufbewahren und Betroffene informieren (Artikel 26). Bei Entscheidungen über Einzelpersonen gilt zudem eine Informationspflicht gegenüber dem Kandidaten.

Und der Entleiher?

Der Entleiher ist nicht automatisch Betreiber, wird es aber, wenn er die Ergebnisse des Tools faktisch nutzt, um selbst über Einstellung oder Beschäftigung zu entscheiden, oder wenn er das Tool mitsteuert. In der Praxis ist die Rollenverteilung oft gemischt: Agentur und Entleiher treffen die Auswahlentscheidung gemeinsam. Legen Sie daher vertraglich fest, wer welche Rolle wahrnimmt und wer welche Pflicht trägt.

Geteilte Verantwortung und DSGVO

Nach der DSGVO hängt es davon ab, wer Zweck und Mittel bestimmt. Häufig ist die Agentur Verantwortlicher für den Kandidatenpool, während Agentur und Entleiher für die konkrete Vermittlung gemeinsam Verantwortliche sein können (Artikel 26 DSGVO), mit einer untereinander getroffenen Regelung. Der Tool-Anbieter ist meist Auftragsverarbeiter, es sei denn, er nutzt Daten zu eigenen Zwecken. Jedes Glied benötigt eine eigene Rechtsgrundlage (Artikel 6 DSGVO) und Transparenzpflicht. Siehe auch KI bei Einstellung und HR.

Praktische Rollenverteilung

Erstellen Sie eine Matrix mit je Partei der KI-Verordnungs-Rolle (Anbieter/Betreiber) und der DSGVO-Rolle (Verantwortlicher/Auftragsverarbeiter/gemeinsam). Verlangen Sie vom Anbieter die Konformitätsdokumentation und Anweisungen. Vereinbaren Sie mit dem Entleiher, wer die Endentscheidung trifft und somit Betreiber ist. Regeln Sie einen Auftragsverarbeitungs- oder Gemeinsamkeitsvertrag, eine DSFA und klare Kandidateninformationen. Wer CV-Daten filtert, bevor ein Mensch sie sichtet, lese auch KI und CV-Screening bei der Einstellung. In einer Kette ist das schwächste Glied das Haftungsrisiko aller.