Wir möchten Bewerbungsdaten mit KI auswerten. Was ist rechtlich erlaubt? 

Bewerbungsmanagement gehört zu den am stärksten regulierten Einsatzfeldern für KI im Unternehmen. Wer hier ChatGPT, Claude oder eine spezialisierte Personalsoftware einsetzt, bewegt sich gleichzeitig im Beschäftigtendatenschutz und in den Hochrisikoanforderungen der KI-Verordnung. Die Anforderungen sind hoch, der Einsatz kann sich trotzdem lohnen, aber nur wenn das Setup von Anfang an stimmt.

 

Das Wichtigste auf einen Blick

  • KI-Systeme zur Auswahl oder Bewertung von Bewerbern gelten nach Anhang III Nr. 4 der KI-Verordnung als Hochrisikosysteme. Damit greifen ab 2. August 2026 strenge Anforderungen an Risikomanagement, Dokumentation, menschliche Aufsicht und Konformitätsbewertung.
  • Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist regelmäßig erforderlich, ebenso eine tragfähige Rechtsgrundlage. Generische Tools wie ChatGPT oder Claude sind ohne erhebliche Zusatzmaßnahmen für diesen Einsatzzweck nicht geeignet.

  • Die meisten Unternehmen sind Betreiber im Sinne der KI-Verordnung, nicht Anbieter. Das reduziert den Pflichtenkatalog, beseitigt ihn aber nicht. Zentrale Pflichten wie wirksame menschliche Aufsicht, Bewerberinformation und ordnungsgemäße Nutzung des Systems bleiben.

     

Warum hier strengere Regeln gelten

Bewerbungsdaten sind besonders schutzwürdig. Sie werden in einem strukturellen Machtungleichgewicht erhoben, in dem die betroffene Person kaum in der Lage ist, frei einzuwilligen oder zu widersprechen. Der deutsche Gesetzgeber hat das in § 26 BDSG eigens geregelt. Die Verarbeitung von Beschäftigtendaten, zu denen auch Bewerber zählen, ist nur zulässig, soweit sie für die Begründung des Beschäftigungsverhältnisses erforderlich ist. Das ist ein engerer Maßstab als der allgemeine Erforderlichkeitsbegriff der DSGVO.

Hinzu kommt die KI-Verordnung. Anhang III Nr. 4 stuft KI-Systeme, die für die Einstellung oder Auswahl von Personen eingesetzt werden, ausdrücklich als Hochrisikosysteme ein. Das gilt für die Sichtung von Bewerbungen, das Screening von Lebensläufen und die Bewertung von Kandidaten.

Ab dem 2. August 2026 greifen für solche Systeme die vollen Pflichten aus Kapitel III der KI-Verordnung. Dazu gehören Risikomanagement, Anforderungen an die Datenqualität, technische Dokumentation, menschliche Aufsicht, Genauigkeits- und Robustheitsstandards sowie eine Konformitätsbewertung.

Anbieter und Betreiber haben dabei unterschiedliche, aber jeweils erhebliche Pflichten. Wo KI-Systeme zu Auswahlentscheidungen beitragen, können je nach Ausgestaltung zusätzlich Fragen aus dem Antidiskriminierungsrecht relevant werden, insbesondere wenn die Entscheidungslogik des Systems nicht hinreichend transparent ist.

 

Was bedeutet das konkret?
 

  • Können wir ChatGPT oder Claude einfach für die Vorsortierung von Lebensläufen nutzen?

In der Standardform nicht. Beide Tools sind allgemeine generative KI-Systeme, die sich nicht ohne Weiteres als Hochrisikosystem im Sinne der KI-Verordnung betreiben lassen, weil zentrale Anforderungen wie technische Dokumentation, definierte Genauigkeitsmaße und strukturierte menschliche Aufsicht im Auslieferungszustand nicht abgebildet sind.

Hinzu kommen der Drittlandtransfer in die USA und die fehlende vertragliche Sicherheit gegen eine Trainingsnutzung in Standardplänen. Wer Bewerbungsdaten in solche Systeme eingibt, schafft fast zwangsläufig einen mehrschichtigen Compliance-Verstoß.

 

  • Reicht es, wenn am Ende ein Mensch entscheidet?

Das mildert das Bild, löst es aber nicht. Art. 22 DSGVO verbietet vollautomatisierte Entscheidungen mit erheblicher Wirkung, nicht KI-gestützte Vorauswahl.

Aber: Wenn der menschliche Entscheider faktisch nur die KI-Vorschläge übernimmt, weil die Datenmenge oder der Zeitdruck nichts anderes zulassen, gehen Aufsichtsbehörden regelmäßig von einer faktisch automatisierten Entscheidung aus. Die KI-Verordnung verlangt zudem eigenständig eine wirksame menschliche Aufsicht, also nicht bloß ein formales Gegenzeichnen.

 

  • Sind wir Anbieter oder Betreiber, und was ändert das?

Anbieter ist, wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt. Betreiber ist, wer ein KI-System unter eigener Verantwortung professionell einsetzt. Das ist die Rolle, in der sich die meisten Unternehmen im Bewerbermanagement wiederfinden.

Die Anbieterpflichten der KI-Verordnung sind die umfangreichsten. Sie umfassen unter anderem die Konformitätsbewertung, die technische Dokumentation und die CE-Kennzeichnung.

Die Betreiberpflichten sind niedriger, aber substanziell. Dazu gehören die Nutzung des Systems entsprechend der Gebrauchsanweisung des Anbieters, die Sicherstellung wirksamer menschlicher Aufsicht, die Überwachung des Betriebs, die Information betroffener Personen über den Einsatz des Hochrisikosystems und die Durchführung einer Datenschutz-Folgenabschätzung, sofern erforderlich.

Wer aber ein bestehendes System wesentlich verändert oder unter eigenem Namen einsetzt, wechselt nach Art. 25 in die Anbieterrolle und übernimmt deren volle Pflichten.

 

  • Was muss vor der Einführung erfolgen?

    • Eintrag im Verarbeitungsverzeichnis nach Art. 30 DSGVO,
    • eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO,
    • die Information der Bewerber nach Art. 13 DSGVO einschließlich Hinweis auf die KI-gestützte Verarbeitung,
    • gegebenenfalls eine Vereinbarung mit dem Betriebsrat.

Als Rechtsgrundlage greift in der Regel § 26 BDSG, weil eine Einwilligung der Bewerber im laufenden Verfahren nicht freiwillig ist.

Bei Anwendung als Hochrisikosystem ab August 2026 kommen Risikomanagement, technische Dokumentation, Konformitätsnachweise des Anbieters und dokumentierte menschliche Aufsicht hinzu.

 

  • Wie wird das in Audits sichtbar?

Wer im B2B-Geschäft mit größeren Kunden arbeitet, kennt die DDQ-Bögen, Sicherheits-Assessments und ISO- oder TISAX-Audits, die regelmäßig durchlaufen werden. KI-Governance ist dort inzwischen ein eigener Prüfpunkt.

Die Frage "Setzen Sie KI im Personalbereich ein und wie ist das abgesichert?" steht stellvertretend für eine ganze Kategorie. Wer dort keine belastbare Antwort hat, gefährdet das Vertrauen in die Datenschutz-Compliance des gesamten Unternehmens.

 

Unsere Einschätzung und der nächste Schritt

Die Rechtslage ist anspruchsvoll, aber das Lösungsbild ist klar. Wer KI im Bewerbermanagement einsetzen will, braucht eine spezialisierte Lösung mit dokumentierter Konformität nach den Hochrisiko Anforderungen der KI-Verordnung, eine saubere Rechtsgrundlage, eine Datenschutz-Folgenabschätzung und ein Aufsichtsmodell, das den Namen verdient. Generische Tools sind dafür der falsche Ausgangspunkt.

Wir prüfen geplante oder bestehende HR-Tools auf KI-rechtliche und datenschutzrechtliche Tragfähigkeit, begleiten Datenschutz-Folgenabschätzungen und Konformitätsbewertungen, klären die Rollenverteilung zwischen Anbieter und Betreiber und unterstützen bei der Bewerberinformation.

Als Teil des Bitkom Verbands kennen wir die Prüfpraxis der Aufsichtsbehörden aus direkter Erfahrung und sind nah an der Auslegung von KI-Verordnung und DSGVO.

Ob als einmaliges Beratungsmandat oder als laufende Compliance-Partnerschaft, wir begleiten Sie dabei, KI im Personalbereich rechtssicher zu nutzen.

Gespräch vereinbaren

Ein kurzes Gespräch reicht oft, um Klarheit zu schaffen und die nächsten Schritte zu definieren.

Share