EU AI Act Annex III Konformitäts-Check für HR-Hochrisiko-KI mit FRIA

# Context (C)
Rechtsstand: <heutiges Datum>. Du erstellst einen EU-AI-Act-Konformitäts-
Check für ein konkretes HR-KI-Tool nach Annex III Nr. 4. Input: Tool-
Steckbrief, Risiko-Ampel-Bericht (UC-V-HR-HRC-011), ggf. pseudonymisierte
Pilot-Daten, ggf. Bias-Audit.

# Role (R)
Du agierst als KI-Governance-Drafting-Assistenz mit Kenntnis EU AI Act
(insbesondere Annex III Nr. 4 HR-Hochrisiko, Art. 26 Operator-Pflichten,
Art. 27 FRIA, Art. 50 Transparenz, Art. 4 KI-Kompetenz, Art. 99 Bußgelder),
DSGVO (Art. 22, Art. 35 DPIA), AGG (§ 22 Beweislastumkehr), BAG 8 AZR 74/25.

# Action (A)
1. **Annex-III-Klassifikation**: ist das Tool Hochrisiko-KI nach
   Nr. 4 (Recruiting/Bewertung/Beförderung/Beendigung/Aufgaben-Zuweisung/
   Leistungs-Monitoring)? Begründung.
2. **Operator-Pflichten Art. 26 — 7 Sub-Pflichten**:
   - (a) **Verwendung nach Anbieter-Anweisung**: Anbieter-Doku vorhanden?
   - (b) **Menschliche Aufsicht**: durch geschulte Personen; DSGVO Art. 22-
     Konformität.
   - (c) **Input-Daten-Repräsentativität**: AG-Verantwortung für
     Trainings-/Eingabe-Daten.
   - (d) **Logs ≥ 6 Monate**: Audit-Trail; BV-Klausel.
   - (e) **AN-Information**: VOR Hochrisiko-KI-Einsatz; BR-Mitwirkung.
   - (f) **DPIA-Verzahnung**: Art. 35 DSGVO als Voraussetzung; DPIA-Update.
   - (g) **Überwachung + Vorfall-Meldepflicht**: Bias-/Halluzinations-
     Vorfälle melden.
3. **FRIA Art. 27 — Grundrechte-Folgenabschätzung** (falls anwendbar):
   - (a) Beschreibung Verwendungs-Prozesse.
   - (b) Zeit-Verlauf der Nutzung.
   - (c) Kategorien betroffener Personen.
   - (d) Spezifische Schadens-Risiken.
   - (e) Risiko-Minderungs-Maßnahmen.
   - (f) Menschliche Aufsicht-Implementierung.
   - (g) Beschwerde-Mechanismen für Betroffene.
4. **Transparenz Art. 50**: bei Chatbot/Emotionserkennung/biometrischer
   Kategorisierung Bewerber-/Beschäftigten-Information Pflicht.
5. **Bußgeld-Risiko Art. 99**: Operator-Pflichten-Verstöße bis 15 Mio EUR
   / 3 %; Verbots-Verstöße Art. 5 bis 35 Mio EUR / 7 %.
6. **Vorfall-Meldepflicht-Workflow**: bei Bias-/Halluzinations-/Fehl-Vorfällen
   Aufsichtsbehörden-Meldung.
7. Bei jeder unsicheren Bewertung `[[FEHLEND]]`-Markierung.

# Format (F)
- Strukturierter Konformitäts-Bericht mit nummerierten Sections.
- Annex-III-Klassifikation als Block.
- Operator-Pflichten Art. 26 als Tabelle (7 Sub-Pflichten je grün/gelb/rot).
- FRIA Art. 27 als separates Dokument (falls anwendbar).
- Bußgeld-Risiko-Bewertung.
- Bei jeder unsicheren Bewertung `[[FEHLEND]]`.

# Target Audience (T)
KI-Governance-Officer + DSB + HR-Compliance + ggf. externe EU-AI-Act-
Kanzlei + jährliches Aufsichtsbehörden-Review.

Tool: Workday Illuminate Talent-Score
Annex-III-Klassifikation: HR-KI Bewertung/Beförderung (Nr. 4 (a) + (b))
Operator: [[AG-Name-a3f9]] GmbH; Provider: Workday Inc.
Risiko-Ampel-Bericht (UC-V-HR-HRC-011): Datenschutz grün (EU-Tenant Frankfurt), Mitbestimmung gelb (BV in Verhandlung), AGG-Bias gelb (Workday-internes Bias-Audit, externes EU-Audit fehlt), Transparenz gelb (Logik teilweise erklärt), menschliche Aufsicht grün (HR-Manager-Override), Audit-Logs grün (18 Monate).
Pilot-Daten: 6 Monate Pilot-Phase, 250 MA in 3 Berufsgruppen; pseudonymisiert.
Bias-Audit: Workday internes Audit 2025-Q4 (AGG-Schutz-Merkmale geprüft); externes EU-Audit ausstehend.

# EU-AI-Act-Konformitäts-Check: Workday Illuminate Talent-Score

## 1. Annex-III-Klassifikation
**Hochrisiko-KI JA** nach Annex III Nr. 4 (a) (Recruiting, Beförderung) +
(b) (Bewertungs-Entscheidungen). Operator-Pflichten Art. 26 + ggf. FRIA
Art. 27 + Transparenz Art. 50 anwendbar.

## 2. Operator-Pflichten Art. 26 (7 Sub-Pflichten)

| Sub-Pflicht | Status | Begründung | Maßnahmen |
|---|---|---|---|
| (a) Verwendung nach Anbieter-Anweisung | **grün** | Workday-Verwendungs-Dokumentation vorhanden | jährliches Update bei Workday-Release-Wechsel |
| (b) Menschliche Aufsicht | **grün** | HR-Manager-Override; DSGVO Art. 22-Konformität dokumentiert | Schulung HR-Manager (→ UC-V-HR-HRC-017) |
| (c) Input-Daten-Repräsentativität | **gelb** | Workday-interner Audit; externes EU-Audit ausstehend | externes Bias-Audit beauftragen vor Roll-out auf 1000+ MA |
| (d) Logs ≥ 6 Monate | **grün** | 18 Monate Workday-Standard erfüllt | BV-Klausel: 18 Monate Audit-Log (→ UC-V-HR-HRC-012) |
| (e) AN-Information vor Einsatz | **gelb** | Pilot-Phase informiert; Roll-out-Information vor breitem Roll-out ausstehend | Pflicht-E-Learning + BR-Information VOR Roll-out |
| (f) DPIA-Verzahnung Art. 35 DSGVO | **gelb** | DPIA Pilot-Phase erstellt; Update für Roll-out ausstehend | DPIA-Update VOR breitem Roll-out |
| (g) Überwachung + Vorfall-Meldepflicht | **gelb** | Bias-Vorfall-Workflow noch nicht etabliert | Vorfall-Workflow definieren; quartärliches Bias-Re-Audit |

**Gesamt-Bewertung Art. 26**: gelb mit 4 Maßnahmen-Erfordernissen vor Roll-out.

## 3. FRIA Art. 27 (Grundrechte-Folgenabschätzung)
**Anwendbar** auf privaten Operator [[AG-Name-a3f9]] bei Hochrisiko-Recruiting-/
Beförderungs-KI — dringend empfohlen wegen BAG 8 AZR 74/25 (120k EUR
algorithmische Altersdiskriminierung).

### (a) Beschreibung Verwendungs-Prozesse
Workday Illuminate Talent-Score wird in Beförderungs-Entscheidungs-Prozess
verwendet: HR initiiert Beförderungs-Cycle → Workday berechnet Talent-Score
für alle Kandidaten → HR-Manager + VP überprüfen Score → menschliche
Letzt-Entscheidung.

### (b) Zeit-Verlauf der Nutzung
Quartärlicher Beförderungs-Cycle; jährliches Performance-Review.

### (c) Kategorien betroffener Personen
- Beschäftigte mit Beförderungs-Anwartschaft (ca. 800 MA betroffen).
- Vergleichs-Kandidaten in Sozialauswahl-ähnlichen Konstellationen.

### (d) Spezifische Schadens-Risiken
- **AGG-Diskriminierung**: BAG 8 AZR 74/25 als Mahnung (algorithmische Altersdiskriminierung).
- **Beförderungs-Nicht-Berücksichtigung**: Karriere-/Vergütungs-Nachteil.
- **Vertrauens-Verlust**: bei Black-Box-Score-Verwendung.

### (e) Risiko-Minderungs-Maßnahmen
- Externes EU-Bias-Audit jährlich.
- BV-Klausel: SchwB-Auswertungen separater menschlicher Prüfung.
- Substantielle Logik-Erklärung gem. EuGH C-203/22 in DSGVO Art. 15-
  Auskünften (→ UC-V-HR-HRC-013 + UC-V-HR-HRC-014).
- AGG-Merkmale (Alter, Geschlecht, Ethnie, Religion, Behinderung, sexuelle
  Identität) NICHT als Score-Faktor.

### (f) Menschliche Aufsicht-Implementierung
- HR-Manager-Override-Recht bei jeder Score-basierten Empfehlung.
- VP-Letzt-Entscheidung mit zusätzlichen qualitativen Faktoren.
- Audit-Log dokumentiert Override-Entscheidungen.

### (g) Beschwerde-Mechanismen für Betroffene
- DSGVO Art. 15-Auskunfts-Anspruch mit substantieller Logik-Erklärung.
- AGG § 13 Beschwerderecht.
- BeschDG-Anfrage (sobald in Kraft).
- Aufsichtsbehörden-Beschwerde (LfD + BfDI).

## 4. Transparenz Art. 50
**Nicht direkt anwendbar** (kein Chatbot, keine Emotionserkennung, keine
biometrische Kategorisierung). Aber: Bewerber-/Beschäftigten-Information
über KI-Einsatz im Beförderungs-Prozess als Best Practice.

## 5. Art. 4 KI-Kompetenz
Schulungs-Pflicht für HR-Manager + VPs, die Workday-Scores interpretieren
(→ UC-V-HR-HRC-017). Vor Roll-out: Pflicht-E-Learning mit Quiz.

## 6. Bußgeld-Risiko Art. 99
- Bei Operator-Pflichten-Verstoß: bis 15 Mio EUR / 3 % Umsatz.
- Bei Verbots-Verstoß Art. 5 (z.B. Social Scoring, Emotionserkennung
  am Arbeitsplatz): bis 35 Mio EUR / 7 %.

## 7. Roll-out-Empfehlung
**Roll-out NICHT empfohlen** in aktueller Konfiguration. **Voraussetzungen**:
1. Externes EU-Bias-Audit beauftragen + abgeschlossen.
2. DPIA-Update für Roll-out-Phase.
3. BV-Verhandlung abgeschlossen (→ UC-V-HR-HRC-012).
4. AN-Information + Pflicht-Schulung (→ UC-V-HR-HRC-017).
5. Vorfall-Meldepflicht-Workflow etabliert.
6. FRIA-Dokumentation finalisiert.

[[FEHLEND: konkrete Anfrage an Workday zur externen EU-Bias-Audit-Beauftragung]]