HR & Rekruttering — EU AI Act-compliance

EU AI Act-forpligtelser for AI anvendt i rekruttering, medarbejderovervågning og præstationsvurdering. Annex III kategori 4 omfatter alle AI-systemer til beskæftigelse.

Hvorfor EU AI Act er central for HR-teknologi

Kunstig intelligens er blevet dybt forankret i ansættelsespraksissen på tværs af EU — fra automatiseret CV-parsing i ansøgersporingssystemer til realtidspræstationsdashboards og adfærdsanalyse i kontaktcentre. EU AI Act, som er trådt i kraft siden 1. august 2024 med forpligtelser for højrisiko-AI-systemer gældende fra 2. august 2026, behandler AI til beskæftigelse som et område med grundlæggende rettighedsfølsomhed, der berettiger det højeste niveau af regulatorisk kontrol.

Annex III, kategori 4 i forordningen identificerer AI-systemer anvendt i beskæftigelse, arbejdsstyringsstyring og adgang til selvstændig erhvervsvirksomhed som højrisiko på tværs af tre særskilte underkategorier: rekruttering og udvælgelse (kat. 4(a)), afgørelser om forfremmelse, opgavefordeling og overvågning af kontraktmæssige forpligtelser (kat. 4(b)) og realtidsovervågning af arbejderes følelsesmæssige eller adfærdsmæssige tilstand (kat. 4(c)). Denne klassificering er kategorisk — der er ingen materialitetstærskel, ingen undtagelse for mindre implementeringer og ingen sondring baseret på, om værktøjet er egudviklet eller indkøbt fra en tredjepartsleverandør.

Sektoren befinder sig i skæringspunktet mellem tre regulatoriske rammer: AI Act, GDPR (navnlig Art. 22 om automatiseret beslutningstagning) og national arbejdsret — herunder medbestemmelsesrettigheder over arbejdspladsteknologi. Compliance kræver en koordineret tilgang, der spænder over juridisk, HR, IT og involvering af samarbejdsudvalg.

Højrisiko-anvendelsestilfælde — Alle Annex III Kategori 4-systemer

Rekruttering og udvælgelse (Kat. 4(a))

AI-systemer anvendt i rekrutteringsprocessen er højrisiko uden undtagelse. Dette omfatter:

CV- og ansøgningsscreeningværktøjer integreret i ATS-platforme (Workday, SAP SuccessFactors, Greenhouse, Lever, SmartRecruiters). Rangordning, kortlistning og afvisningslogik drevet af AI falder klart inden for kat. 4(a).
Analyseredskaber til videosamtaler, der vurderer ansigtsudtryk, stemmeklang, talemønstre eller mikro-udtryk for at udlede kandidatens egnethed eller personlighedstræk (f.eks. HireVue-lignende værktøjer). Disse kan endvidere udløse transparensforpligtelser i henhold til Art. 50(2), hvis de inkorporerer følelsesregistrering.
Algoritmer til målrettet jobannoncering, der afgør, hvilke enkeltpersoner der vises jobopslag baseret på udledte karakteristika — herunder alder, køn eller geografiske indikatorer — er eksplicit opregnet i kat. 4(a) og indebærer en særlig risiko for diskriminerende målretning.

Arbejdsstyring og overvågning (Kat. 4(b))

AI anvendt til at styre ansættelsesforholdet efter ansættelse er ligeledes højrisiko:

AI til præstationsvurdering, der genererer point, vurderinger eller rangeringer, som anvendes til at informere afgørelser om forfremmelse, bonus eller afskedigelse.
Opgavefordelingsalgoritmer på gig-økonomiplatforme (Uber, Deliveroo, Amazon Flex), der tildeler arbejde, fastsætter lønsatser og afgør deaktivering. Disse er højrisiko i henhold til kat. 4(b) uanset arbejderens ansættelsesklassificering.
Software til produktivitetsovervågning, der aggregerer tastaturaktivitet, applikationsbrug, kommunikationsmetadata eller lokationsdata for at generere præstationsmålinger. Hvor output indgår i kontraktmæssige afgørelser, finder kat. 4(b) anvendelse.

Realtids følelsesmæssig og adfærdsmæssig overvågning (Kat. 4(c))

Annex III kat. 4(c) er specifikt rettet mod systemer, der overvåger arbejderes følelsesmæssige eller adfærdsmæssige tilstand i realtid. Almindelige implementeringer inden for anvendelsesområdet:

Følelsesanalyse i callcentre, der vurderer kundens og agentens stemning under igangværende opkald og genererer præstationsmarkører.
Biometriske trivselplatforme, der udleder stress, træthed eller engagement fra fysiologiske eller adfærdsmæssige signaler.
Opmærksomheds- og engagementsovervågning under fjernarbejde ved brug af webkamerabaseret inferens.

Disse systemer udløser desuden Art. 50(2): enhver deployer, der anvender følelsesregistrering på arbejdere, skal underrette disse arbejdere om, at de er underlagt systemet. Denne underretningsforpligtelse gælder uanset, om den bredere højrisiko-compliancetidsplan er overholdt.

Leverandørers vs. deployeres forpligtelser — Arbejdsgiverens position

I henhold til AI Act indtager de fleste arbejdsgivere rollen som deployer — de anskaffer højrisiko-AI-systemer fra leverandører (softwareleverandører) og anvender dem i deres HR-processer. Sondringen mellem leverandør og deployer er juridisk betydningsfuld, da forpligtelserne adskiller sig.

Leverandørforpligtelser (Leverandørens ansvar)

Leverandører — HR-softwareleverandører — skal, inden de bringer højrisiko-systemer i omsætning på EU-markedet:

Etablere og opretholde et kvalitetsstyringssystem (Art. 9), der dækker risikostyring, dataforvaltning, teknisk dokumentation og overvågning efter markedsføring.
Udarbejde teknisk dokumentation i henhold til Annex IV, der dokumenterer systemets design, tilsigtede formål, præstationsmålinger, træningsdata og kendte begrænsninger.
Gennemføre en overensstemmelsesvurdering i henhold til Art. 43 og registrere systemet i EU-databasen (Art. 49).
Anbringe CE-mærkning og udstede en EU-overensstemmelseserklæring.
Forsyne deployere med brugervejledning (Art. 13) med oplysninger om begrænsninger, tilsigtede brugerprofiler og tilsynskrav.

Deployerforpligtelser (Arbejdsgiverens ansvar)

Arbejdsgivere skal:

Verificere leverandørens compliance inden ibrugtagning: kontrollere CE-mærkning, overensstemmelseserklæring og tilstrækkelig brugervejledning.
Implementere i overensstemmelse med vejledningen: deployere må ikke anvende systemet til formål ud over dets angivne tilsigtede anvendelse (Art. 25(1)).
Sikre meningsfuldt menneskeligt tilsyn (Art. 25(2)): medarbejdere udpeget til at føre tilsyn med AI-output skal have den beføjelse, tekniske kompetence og den tid, der er nødvendig for at forstå systemets output og tilsidesætte det, når det er relevant. Nominel menneskelig prøvelse — en afkrydsningsgodkendelse uden reel evaluering — opfylder ikke dette krav.
Gennemføre en vurdering af virkningen på grundlæggende rettigheder (FRIA) (Art. 27): obligatorisk for offentlige myndigheder; stærkt anbefalet for private arbejdsgivere, der anvender kat. 4-systemer, navnlig hvor output påvirker beskyttede karakteristika.
Overvåge for risici efter ibrugtagning: hvis en deployer identificerer risici, som leverandøren ikke forudså, skal deployeren underrette leverandøren og, hvor relevant, markedsovervågningsmyndigheden.
Suspendere brugen, hvis der opstår alvorlige hændelser, eller hvis systemet viser sig at være ikke-compliant i praksis.

Samspil med GDPR Artikel 22 og arbejdsret

GDPR Artikel 22 — Automatiseret beslutningstagning

GDPR Art. 22 forbliver fuldt operativ sideløbende med AI Act og finder direkte anvendelse på HR-AI. Den forbyder afgørelser, der udelukkende baseres på automatisk behandling, hvor disse afgørelser producerer retsvirkninger eller tilsvarende betydelige virkninger for den registrerede. I ansættelsessammenhæng er følgende afgørelser utvetydigt inden for anvendelsesområdet: ansættelse og afvisning, afskedigelse, forfremmelse og degradering, lønfastsættelse og disciplinære foranstaltninger.

Compliance kræver:

Meningsfuld menneskelig indgriben forud for enhver afgørelse af konsekvens — den prøvende medarbejder skal have adgang til de underliggende data og den logik, der er anvendt, ikke blot en opsummeret anbefaling.
Ret til at opnå menneskelig prøvelse af enhver automatiseret afgørelse på anmodning, med reel rekursmulighed.
Et retsgrundlag for behandling i henhold til Art. 6 og, hvor der er involveret særlige kategorier af personoplysninger (helbred, etnicitet, biometriske data udledt af ansigtanalyse), i henhold til Art. 9.

AI Act og GDPR er komplementære, ikke gensidigt udelukkende. Art. 2(7) i AI Act bekræfter, at den finder anvendelse med forbehold for GDPR. Arbejdsgivere skal overholde begge regelsæt samtidigt.

National arbejdsret — Samarbejdsudvalg og medbestemmelse

I adskillige EU-medlemsstater giver national arbejdsret medbestemmelsesrettigheder over arbejdspladsteknologi, der finder anvendelse på AI-systemer uafhængigt af AI Act:

Tyskland — Betriebsverfassungsgesetz §87(1) nr. 6: samarbejdsudvalget har en bindende medbestemmelsesret ved indførelse af tekniske anordninger, der er beregnet til at overvåge medarbejdernes adfærd eller præstation. Ibrugtagning af AI-overvågnings- eller vurderingsværktøjer uden forudgående aftale med samarbejdsudvalget kan anfægtes ved arbejdsretten (Arbeitsgericht) og forbydes ved foreløbigt forbud.
Nederlandene — Wet op de ondernemingsraden (WOR) Art. 27: ondernemingsraad har samtykkeret over personalesystemer og overvågningsordninger.
Østrig — Arbeitsverfassungsgesetz §96: bindende medbestemmelse over overvågningsforanstaltninger, der påvirker den personlige værdighed.
Frankrig — Code du Travail L. 2312-38: Comité Social et Économique skal informeres og høres inden ibrugtagning af automatiserede værktøjer, der påvirker arbejdsvilkårene.

Samarbejdsudvalgets rettigheder kræver typisk forudgående varsel, dokumentation for systemets funktion og i mange tilfælde formel aftale eller en samarbejdsaftale (Betriebsvereinbarung) inden ibrugtagning. Disse forpligtelser udløses inden AI Act-compliancetidsplanen og kan ikke udskydes.

Direktiv 2002/14/EF om information og høring af arbejdstagere udgør desuden en ramme for Europæiske Samarbejdsudvalg i multinationale koncerner, der anvender AI-værktøjer på tværs af medlemsstater.

Håndhævelse — Datatilsyn, ligebehandlingsorganer og arbejdstilsyn

Håndhævelse af AI Act-forpligtelser i HR-sektoren vil involvere flere kompetente myndigheder:

Datatilsynsmyndigheder: den primære markedsovervågningsmyndighedsstatus i mange medlemsstater vil ligge hos eller sideløbende med datatilsynsmyndigheden. Datatilsynene har parallel kompetence i henhold til GDPR Art. 22 for overtrædelser af automatiseret beslutningstagning. EDPB's retningslinjer om AI og beskæftigelse er den autoritative fortolkning på EU-plan.
Nationale ligebehandlingsorganer: hvor AI-systemer producerer diskriminerende resultater i rekruttering eller forfremmelse — f.eks. uforholdsmæssig negativ indvirkning på kvinder, etniske minoriteter eller ældre arbejdstagere — har ligebehandlingsorganer (f.eks. ECRI, Défenseur des droits, Equinet-medlemmer) undersøgelses- og håndhævelsesbeføjelser i henhold til ligebehandlingsdirektiverne (2000/43/EF, 2000/78/EF, 2006/54/EF).
Arbejdstilsyn: i medlemsstater med stærke arbejdstilsynsregimer kan inspektører undersøge AI-relaterede overtrædelser af arbejdsvilkår, overvågningsbegrænsninger og samarbejdsudvalgets rettigheder. Frankrig (DREETS), Tyskland (Gewerbeaufsicht) og Spanien (Inspección de Trabajo) er eksempler på aktive håndhævelsesorganer.

Sanktioner i henhold til AI Act når op til €30 millioner eller 6 % af den globale årlige omsætning for forbudte praksisser og €15 millioner eller 3 % af omsætningen for andre højrisiko-overtrædelser. GDPR-bøder i henhold til Art. 83 finder kumulativ anvendelse. Omdømmemæssig risiko og medarbejdersøgsmål i henhold til national arbejdsret udgør yderligere eksponering.

Compliance-køreplan for HR-professionelle

Et struktureret complianceprogram for arbejdsgivere, der anvender AI i HR, bør adressere følgende i rækkefølge:

1. AI-systeminventar: katalogiser alle AI-værktøjer anvendt på tværs af ansættelsesfaserne — rekruttering, onboarding, præstationsstyring, arbejdsstyrkeplanlægning og fratrædelse. For hvert værktøj: identificer Annex III-kategorien og bekræft højrisiko-klassificeringen.

2. Leverandør-due diligence: inden 2. august 2026 (eller ved næste kontraktfornyelse) kræves af hver leverandør: CE-mærkning, EU-overensstemmelseserklæring, resumé af teknisk dokumentation og brugervejledning. Leverandører, der ikke kan fremlægge disse, bør behandles som ikke-compliant.

3. Høring af samarbejdsudvalg: igangsæt medbestemmelsesprocesser eller høringsprocesser i henhold til gældende national ret for alle AI-systemer, der endnu ikke er underlagt formel aftale. Dokumenter resultaterne i en samarbejdsaftale eller tilsvarende instrument.

4. GDPR Art. 22-revision: kortlæg alle HR-afgørelser med retsvirkninger eller betydelige virkninger og verificer, at ingen afgørelse udelukkende beror på automatiseret output. Implementer menneskelige tilsynsprotokoller med dokumenteret prøverkompetence og interventionsregistreringer.

5. Vurdering af virkningen på grundlæggende rettigheder: gennemfør FRIA i henhold til Art. 27 for alle Annex III kat. 4-implementeringer. For offentlige arbejdsgivere er dette obligatorisk; for private arbejdsgivere er det den forventede standard for due diligence og et forsvar mod håndhævelsesforanstaltninger.

6. Transparensforpligtelser: implementer medarbejderunderretning i henhold til Art. 50(2) for ethvert system til følelsesregistrering. Sikr, at jobansøgere informeres om AI-assisteret screening i henhold til GDPR-transparenskravene (Art. 13–14).

7. Menneskelig tilsynskapacitet: verificer, at personale udpeget til at gennemgå AI-output i HR har reel beføjelse til at tilsidesætte anbefalinger, tilstrækkelig tid til at foretage meningsfuld prøvelse og dokumenteret oplæring svarende til systemets kompleksitet.

8. Procedurer for hændelsesrespons: etabler procedurer for registrering, undersøgelse og indberetning af alvorlige hændelser vedrørende HR-AI-systemer i overensstemmelse med Art. 73-leverandørforpligtelser overdraget til deployere via kontraktlige ordninger.

Compliance i denne sektor er ikke et engangsprojekt. Kombinationen af AI Act-forpligtelser, den løbende GDPR Art. 22-vejledning fra datatilsynsmyndigheder og aktivt samarbejdsudvalgsengagement kræver en løbende governancestruktur med dedikeret ejerskab inden for HR-, juridiske og databeskyttelsesfunktioner.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Er AI til CV-screening automatisk højrisiko i henhold til EU AI Act?

Ja. **Annex III, kategori 4(a)** opregner eksplicit AI anvendt til rekruttering og udvælgelse — herunder CV-screening, rangordning af ansøgninger og målrettet jobannoncering — som højrisiko. Der gælder ingen bagatelgrænse. Ethvert screeningværktøj integreret i et ATS og anvendt i EU er underlagt samtlige højrisiko-forpligtelser i henhold til **Art. 9–15** og **Art. 25–27**, uanset leverandørens størrelse eller modellens kompleksitet.

Skal arbejdsgivere høre samarbejdsudvalg, inden de anvender AI til rekruttering eller overvågning?

I Tyskland giver **Betriebsverfassungsgesetz §87(1) nr. 6** samarbejdsudvalg bindende medbestemmelsesret over tekniske overvågningsanordninger, herunder AI-systemer der overvåger medarbejderes adfærd eller præstation. Tilsvarende høringsrettigheder gælder i Nederlandene (OR), Østrig (Betriebsrat) og Frankrig (Comité Social et Économique). Undladelse af at indhente forudgående samtykke kan gøre ibrugtagningen ulovlig i henhold til national arbejdsret, uafhængigt af AI Act-compliance.

Hvordan interagerer GDPR Artikel 22 med AI Act i HR-sammenhænge?

**GDPR Art. 22** forbyder afgørelser, der udelukkende baseres på automatisk behandling, og som producerer retsvirkninger eller tilsvarende betydelige virkninger for den registrerede. I HR-kontekst falder ansættelses-, afskedigelses- og forfremmelsesafgørelser klart inden for anvendelsesområdet. AI Act erstatter ikke Art. 22 — den tilføjer forpligtelser oveni. Arbejdsgivere skal sikre **meningsfuld menneskelig prøvelse** forud for enhver afgørelse af konsekvens, dokumentere denne prøvelse og sikre, at den ansvarlige medarbejder har kompetencen og beføjelsen til at tilsidesætte AI-outputtet.

Kan AI til følelsesregistrering anvendes ved jobsamtaler?

AI til følelsesregistrering er ikke forbudt i rekrutteringssammenhænge, men **Art. 50(2)** i AI Act pålægger en obligatorisk transparensforpligtelse: den der anvender systemet, skal informere enkeltpersoner, når de er underlagt et system til følelsesregistrering. Da sådanne systemer endvidere er klassificeret som Annex III kat. 4(a) højrisiko-AI, gælder alle højrisiko-krav — overensstemmelsesvurdering, teknisk dokumentation, menneskelig tilsyn og vurdering af grundlæggende rettigheder. Den videnskabelige validitet af følelsesregistrering i rekruttering er bredt anfægtet, hvilket skaber yderligere GDPR-proportionalitetsbetænkeligheder.

Hvad skal en arbejdsgiver gøre, når vedkommende anvender et tredjeparts AI-rekrutteringsværktøj (f.eks. fra Workday eller SAP SuccessFactors)?

Arbejdsgivere er **deployere** i henhold til AI Act (**Art. 3(4)**) og har specifikke forpligtelser i henhold til **Art. 25–27**. De skal: verificere, at leverandøren har leveret en overensstemmelseserklæring, EU-teknisk dokumentation og brugervejledning; implementere systemet i overensstemmelse med denne vejledning; sikre, at udpegede tilsynspersoner har beføjelse, kompetence og tid til at gribe ind; gennemføre en **vurdering af virkningen på grundlæggende rettigheder** (obligatorisk for offentlige myndigheder; anbefalet for private virksomheder); og suspendere brugen, hvis der opstår risici. Deployere må ikke omgå leverandørens begrænsninger eller anvende systemet til formål ud over dets tilsigtede anvendelsesområde.

Finder AI Act anvendelse på AI brugt til opgavefordeling i gig-økonomien?

Ja. **Annex III, kategori 4(b)** omfatter AI anvendt til opgavefordeling og overvågning af arbejderes kontraktmæssige forpligtelser, hvilket direkte inkluderer algoritmiske styringssystemer anvendt af gig-økonomiplatforme som levering, ridesharing og on-demand-serviceudbydere. Disse systemer er højrisiko. Arbejdere på disse platforme har ret til meningsfuldt menneskeligt tilsyn med afgørelser, der påvirker deres adgang til arbejde, lønsatser og kontodeaktivering.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.