Zwischen DSGVO, EU AI Act & HR-Tech: Was Personalentscheider jetzt wissen müssen

Verfasst von Sandra Ramsauer

Warum rechtliche Klarheit beim Einsatz von KI in HR heute unverzichtbar ist

KI-gestütztes Recruiting, automatisierte Vorauswahl, Chatbots im Bewerbungsprozess – was technologisch möglich ist, hält längst Einzug in viele HR-Abteilungen. Doch mit den neuen Chancen wachsen auch die rechtlichen Anforderungen. Personalentscheider stehen heute nicht nur vor der Aufgabe, die besten Talente zu finden, sondern müssen dabei auch zunehmend komplexe Vorschriften aus Datenschutz, Arbeitsrecht und KI-Regulierung beachten.

In diesem Beitrag geben wir einen fundierten Überblick über die wichtigsten rechtlichen Fallstricke – und zeigen, wie Unternehmen sich rechtssicher und zukunftsfähig aufstellen können.

1. DSGVO & Recruiting: Der Klassiker mit Fallhöhe

Bereits seit 2018 ist die Datenschutz-Grundverordnung (DSGVO) Pflichtprogramm für jede Personalabteilung. Doch auch Jahre später bestehen oft Unsicherheiten:

  • Wie lange dürfen Bewerberdaten gespeichert werden?

  • Welche Einwilligungen sind notwendig – und wie müssen sie formuliert sein?

  • Welche Daten dürfen automatisiert verarbeitet werden, welche nicht?

Grundsatz: Nur die Daten, die für den konkreten Auswahlprozess erforderlich sind, dürfen erhoben werden. Alles darüber hinaus (z. B. Social Media Screening oder KI-Profilanalysen) braucht eine zusätzliche, freiwillige Einwilligung – und muss transparent kommuniziert werden.

Besonders sensibel: Der Umgang mit „abgelehnten“ Bewerberdaten. Hier gelten strenge Löschfristen – oft übersehen, mit teuren Folgen bei Beschwerden.

2. EU AI Act: KI im Recruiting wird zur Hochrisiko-Anwendung

Mit dem EU AI Act (voraussichtlich in Kraft ab 2026, Übergangsfristen beachten) wird der Einsatz von Künstlicher Intelligenz erstmals EU-weit reguliert. Besonders betroffen: HR-Prozesse.

Denn: Die EU stuft KI-Systeme im Recruiting – etwa zur Vorauswahl von Kandidaten, zur Bewertung von Interviews oder bei Matching-Verfahren – als Hochrisiko-Anwendungen ein.

Was das bedeutet:

  • Strenge Transparenzpflichten: Bewerber müssen wissen, ob und wie KI eingesetzt wird.

  • Technische Dokumentation & Risikobewertung: Unternehmen müssen nachvollziehbar darlegen, welche Systeme sie wie einsetzen – inkl. möglicher Diskriminierungsrisiken.

  • Kontrollmechanismen & menschliche Letztentscheidung: Vollautomatisierte Entscheidungen über Einstellungen oder Absagen sind nicht zulässig.

Besonders relevant: Auch zugekaufte Tools (z. B. Matching-Plattformen, Chatbots, Interviewanalyse) fallen darunter – und müssen geprüft werden.

3. Tools & Anbieter: Shared Responsibility, nicht ausgelagert

Ein häufiger Irrtum: Wer ein externes HR-Tool nutzt, lagert auch die Verantwortung aus. Falsch. Der Auftraggeber (also das Unternehmen) bleibt mitverantwortlich für die Rechtskonformität.

Das bedeutet:

  • Anbieter sorgfältig prüfen (Privacy by Design, Auditmöglichkeiten, Konformität mit AI Act & DSGVO)

  • Auftragsverarbeitung rechtssicher regeln (AV-Vertrag!)

  • Transparente Kommunikation gegenüber Bewerbern (auch bei der Nutzung von Drittplattformen wie LinkedIn oder Bewerbermanagementsystemen)

Tipp: Checklisten und Anbieterbewertungen können helfen – aber am Ende trägt das Unternehmen die Verantwortung.

4. Diskriminierungsfreiheit & Fairness: Mehr als ein Buzzword

Ob KI oder Mensch – Recruiting darf keine Bewerbergruppe systematisch benachteiligen. Besonders bei automatisierten Verfahren ist das Risiko hoch: Unausgewogene Trainingsdaten, unreflektierte Promptlogiken oder fehlende Diversitätsfilter können zu struktureller Benachteiligung führen.

Wichtig:

  • Systeme regelmäßig auf Bias prüfen

  • Vielfalt bewusst einbauen (z. B. bei Prompt-Design, Testdaten, Feedbackschleifen)

  • Bewerberkommunikation sensibel und inklusiv gestalten

Gerade in Zeiten von Fachkräftemangel kann es fatal sein, potenzielle Talente ungewollt auszuschließen – rechtlich und unternehmerisch.

5. Praxisbeispiel: Bewerberauswahl mit KI – wo es brenzlig wird

Ein mittelständisches Unternehmen setzt ein neues Bewerbertool ein. Es verspricht automatisierte Ranglisten nach Passung. Klingt effizient – doch die Bewerber erfahren nichts über die Logik der Bewertung. Auch das Bewerbungsformular enthält keine Hinweise zum KI-Einsatz.

Risiken:

  • Verletzung der Informationspflichten (DSGVO, AI Act)

  • Mangelnde Nachvollziehbarkeit der Bewertungskriterien

  • Diskriminierungsgefahr (z. B. wenn bestimmte Begriffe systematisch bevorzugt werden)

Fazit: Technologie ja – aber mit Transparenz, Einwilligung und menschlicher Kontrolle.

6. Was Personalentscheider jetzt tun sollten

✔️ Bestandsaufnahme machen: Welche Tools sind im Einsatz? Wo wird KI verwendet – bewusst oder nebenbei?

✔️ Dokumentation aufbauen: Prozesse, Tools, Einwilligungen, Verantwortlichkeiten – strukturiert erfassen.

✔️ Kommunikation prüfen: Datenschutzhinweise, Karriereseite, Auswahlprozess – ist der KI-Einsatz transparent?

✔️ Risiken aktiv minimieren: Bias-Prüfungen, Feedbackprozesse, menschliche Kontrollinstanzen etablieren.

✔️ Schulungen anbieten: HR-Teams für rechtliche und ethische Fragen sensibilisieren – und handlungsfähig machen.

Fazit: KI im Recruiting braucht Regeln – und Haltung

KI ist ein mächtiges Werkzeug. Doch wer sie im Recruiting einsetzt, trägt Verantwortung – für Fairness, Transparenz und Datenschutz. Zwischen DSGVO, EU AI Act und HR-Tech liegt kein Freifahrtschein, sondern ein Spielfeld mit klaren Linien. Wer sie kennt und einhält, kann gewinnen: an Effizienz, Glaubwürdigkeit und Vertrauen.

Jetzt ist die Zeit, HR-Prozesse zukunftssicher aufzustellen – und Personalgewinnung mutig, aber verantwortungsvoll zu gestalten.

👉 Übersichtliche Checkliste für Unternehmen (zum Download auf Anfrage)

👉 Auf Wunsch erstellen wir eine passgenaue Risikoanalyse für Ihr Unternehmen – sprechen Sie uns an.

Sandra Ramsauer
Weiter

Personalmarketing beginnt nicht bei der Anzeige – und endet nicht beim KlickWas Unternehmen übersehen, wenn sie Recruiting auf Jobtexte reduzieren