Kostenlos beraten
KI Recruiting Deutschland — DSGVO Artikel 22 und automatisierte Einstellungsentscheidungen
Leitfäden

KI im Recruiting: Rechtliche Anforderungen für automatisierte Einstellungen

Kurzantwort

Unternehmen in Deutschland dürfen KI im Recruiting einsetzen, aber rein automatisierte Einstellungsentscheidungen sind nach DSGVO Art. 22 grundsätzlich verboten. Ein Mensch muss entscheiden, Bewerber müssen informiert werden, und ab August 2026 gelten zusätzliche EU-AI-Act-Pflichten.

  • DSGVO Artikel 22 verbietet rein automatisierte Entscheidungen mit erheblichen Auswirkungen — menschliche Prüfung ist Pflicht.
  • BDSG § 26 regelt die Verarbeitung von Bewerberdaten; Einwilligung ist meist keine geeignete Rechtsgrundlage.
  • EU AI Act Anhang III stuft KI im HR-Bereich als Hochrisiko-System ein — Anforderungen gelten ab August 2026.
  • Der Betriebsrat hat Mitbestimmungsrechte bei der Einführung von KI-Tools nach BetrVG § 87 Abs. 1 Nr. 6.

Unternehmen in Deutschland können KI-Tools im Recruiting einsetzen — aber rein automatisierte Einstellungsentscheidungen mit erheblichen Auswirkungen sind nach DSGVO Artikel 22 grundsätzlich verboten. Dieser Leitfaden erklärt den rechtlichen Rahmen aus DSGVO, BDSG, EU AI Act und Betriebsverfassungsgesetz und zeigt, was HR-Teams beachten müssen.

Dürfen Unternehmen in Deutschland KI zur Bewerberauswahl einsetzen?

Ja — unter Bedingungen. KI-gestützte Tools zur Sichtung, Vorauswahl und Bewertung von Bewerbungen sind für Unternehmen in Deutschland rechtlich möglich, dürfen aber nicht alleine entscheiden. Die zentrale Einschränkung ergibt sich aus DSGVO Artikel 22, der Entscheidungen, die ausschließlich automatisiert getroffen werden und erhebliche Auswirkungen auf eine Person haben, grundsätzlich verbietet — sofern keine der definierten Ausnahmen greift.

In der Praxis bedeutet das:

  • KI darf Lebensläufe ranken, fehlende Qualifikationen markieren oder Kandidaten bewerten.
  • Sie darf Bewerber nicht allein auf Basis eines automatisierten Ergebnisses ablehnen oder einladen, ohne menschliche Prüfung.
  • Ein Mensch muss das KI-Ergebnis tatsächlich beurteilen — bloßes Abnicken genügt nicht.

DSGVO Artikel 22 und automatisierte Einstellungsentscheidungen

DSGVO Artikel 22 verbietet grundsätzlich Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Auswirkungen haben. Im Recruiting erfüllt die Ablehnung, Aufnahme in die engere Auswahl oder Einladung zum Vorstellungsgespräch dieses Kriterium eindeutig.

Drei Ausnahmen nach Artikel 22 Abs. 2:

  1. Die Entscheidung ist für den Abschluss eines Vertrags mit der betroffenen Person erforderlich.
  2. Die Entscheidung ist durch Unionsrecht oder nationales Recht zugelassen.
  3. Die betroffene Person hat ausdrücklich eingewilligt.

In der deutschen Recruitingpraxis wird am häufigsten auf Ausnahme (1) zurückgegriffen — die Verarbeitung von Bewerberdaten zur Eignungsbeurteilung ist für den Vertragsabschluss notwendig. Aber selbst wenn eine Ausnahme greift: Artikel 22 Abs. 3 verlangt, dass geeignete Schutzmaßnahmen getroffen werden, einschließlich des Rechts des Bewerbers auf menschliche Überprüfung, auf Äußerung des eigenen Standpunkts und auf Anfechtung der Entscheidung.

Was gilt als „ausschließlich automatisiert”? Nach der Leitlinie der EDPB muss der Mensch eine echte Entscheidung treffen. Wer lediglich das algorithmische Ergebnis bestätigt, ohne eigenständige Beurteilung, handelt im Zweifel noch immer „rein automatisiert”.

BDSG § 26 — Schutz von Bewerberdaten in Deutschland

§ 26 des Bundesdatenschutzgesetzes (BDSG) liefert die spezifische Rechtsgrundlage für die Verarbeitung von Bewerberdaten. Er erlaubt die Verarbeitung, soweit sie für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich ist.

Was HR-Teams wissen müssen:

  • Einwilligung ist selten die richtige Rechtsgrundlage für Bewerberdaten. Das Machtgefälle zwischen Arbeitgeber und Bewerbern macht eine freiwillige Einwilligung im DSGVO-Sinne kaum darstellbar. Stützen Sie sich auf § 26 BDSG.
  • Besondere Kategorien (Gesundheit, Behinderung, ethnische Herkunft) erfordern eine höhere Rechtfertigungsschwelle — in der Regel ausdrückliche Einwilligung oder Notwendigkeit zur Ausübung von Rechten aus dem Arbeitsrecht.
  • Löschpflichten: Bewerberdaten müssen nach Abschluss des Recruitingprozesses in angemessener Frist gelöscht werden. Die deutsche Praxis hält 4–6 Monate für vertretbar; längere Aufbewahrung bedarf einer Begründung.
  • Datensparsamkeit: Erheben Sie nur die für die Stelle relevanten Daten. KI-Tools, die aus Lebenslauftexten oder Video-Interviews Persönlichkeitsprofile, Kulturfit-Scores oder psychometrische Merkmale ableiten, tragen ein erhöhtes Risiko.

EU AI Act und Hochrisiko-KI im HR-Bereich

Der EU AI Act, der im August 2024 in Kraft getreten ist, stuft KI-Systeme für Personalentscheidungen als Hochrisiko-Systeme gemäß Anhang III ein. Darunter fallen:

  • KI zur Vorauswahl oder Filterung von Bewerbungen.
  • KI zur Bewertung von Kandidaten in Tests im Rahmen oder zur Vorbereitung von Auswahlverfahren.
  • KI, die Entscheidungen über Beförderung, Kündigung oder Aufgabenzuteilung trifft oder maßgeblich beeinflusst.

Die Hochrisiko-Anforderungen gelten ab dem 2. August 2026. Ab diesem Datum müssen Unternehmen, die Hochrisiko-KI im Recruiting einsetzen:

  • Sicherstellen, dass das System beim EU-Anbieterregister für Hochrisiko-KI eingetragen ist (Pflicht der Anbieter).
  • Eine Konformitätsbewertung durchführen oder die CE-Kennzeichnung des Anbieters prüfen.
  • Protokolle über die Systemnutzung führen und ein Monitoring betreiben.
  • Menschliche Aufsichtsmaßnahmen implementieren.
  • Transparenz gegenüber betroffenen Personen sicherstellen.

Wenn Sie aktuell einen KI-Recruiting-Anbieter auswählen, fragen Sie jetzt nach dem AI-Act-Compliance-Fahrplan. Dessen Compliance — oder deren Fehlen — wird ab August 2026 zu Ihrem Problem.

Einen umfassenden Überblick finden Sie in unserem EU AI Act Compliance-Leitfaden für deutsche Unternehmen und in unserem Branchenüberblick KI Act im HR- und Recruitingbereich.

Welche KI-Recruiting-Tools dürfen Unternehmen in Deutschland einsetzen?

Es gibt keine offizielle Positivliste. Die entscheidenden Fragen bei der Bewertung eines KI-Recruiting-Tools:

1. Hat der Anbieter einen Auftragsverarbeitungsvertrag (AVV)? Nach DSGVO Artikel 28 zwingend erforderlich, wenn der Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet. Prüfen Sie den AVV sorgfältig — insbesondere Unterauftragsverarbeiter, Datenspeicherort und Meldefristen bei Datenpannen.

2. Wo werden die Daten verarbeitet? Datenübermittlungen außerhalb der EU/des EWR erfordern zusätzliche Schutzmaßnahmen (Standardvertragsklauseln, Angemessenheitsbeschluss). US-amerikanische Anbieter müssen durch den EU-US-Datenschutzrahmen oder SCCs abgesichert sein.

3. Unterstützt das Tool eine menschliche Prüfung? Jedes Tool, das vorgibt, autonome Einstellungsentscheidungen ohne Mensch zu treffen, begründet Haftungsrisiken nach DSGVO Artikel 22. Das Tool soll menschliche Entscheidungen unterstützen, nicht ersetzen.

4. Stellt der Anbieter Dokumentation zur AI-Act-Compliance bereit? Ab August 2026 müssen Sie nachweisen können, dass das eingesetzte System die Hochrisiko-Anforderungen des EU AI Act erfüllt. Fordern Sie jetzt die technische Dokumentation und Konformitätsbewertungsunterlagen an.

Typische Toolkategorien:

  • ATS mit KI-Ranking (z.B. Workday, SAP SuccessFactors, Greenhouse): Grundsätzlich geringeres Risiko, wenn als Entscheidungsunterstützung konfiguriert.
  • KI zur Lebenslaufanalyse (eigenständige Tools): Erhöhtes Risiko — menschlicher Prüfschritt ist zentral.
  • Video-Interview-KI (automatisierte Analyse von Mimik, Sprache, Vokabular): In Deutschland sehr kritisch bewertet. Betriebsräte lehnen solche Tools häufig ab. Die Verarbeitung biometrischer Daten erfordert ausdrückliche Einwilligung oder eine besondere Rechtsgrundlage.

Betriebsrat und KI-Recruiting

Unternehmen ab fünf Beschäftigten können einen Betriebsrat haben. Nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) hat der Betriebsrat zwingend mitzubestimmen bei der Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Auch wenn Bewerber keine Arbeitnehmer sind, haben Arbeitsgerichte und die arbeitsrechtliche Literatur Bewerber-Tracking-Systeme in der Regel als mitbestimmungspflichtig eingestuft, wenn HR-Mitarbeiter mit dem System interagieren oder wenn die Entscheidungen die Zusammensetzung der Belegschaft beeinflussen.

In der Praxis:

  • Informieren Sie den Betriebsrat, bevor Sie ein KI-Recruiting-Tool einführen.
  • Schließen Sie eine Betriebsvereinbarung ab, die Nutzung, Datenzugriff, Aufbewahrungsfristen und den menschlichen Prüfschritt regelt.
  • Der Betriebsrat kann die Einstellungsentscheidung nicht verhindern, aber die Nutzung des Tools rechtlich unmöglich machen, wenn keine Einigung erzielt wird.
  • Verstöße gegen das Mitbestimmungsrecht können zu einstweiligen Verfügungen gegen den Systemeinsatz führen.

Praktische Compliance-Schritte für KI-Recruiting in Deutschland

Diese Checkliste sollte vor dem Einsatz eines KI-Recruiting-Tools abgearbeitet werden:

  1. DSFA durchführen: Datenschutz-Folgenabschätzung nach DSGVO Artikel 35. Erforderlich bei systematischer, umfangreicher automatisierter Bewerberdatenverarbeitung mit Profiling.
  2. Rechtsgrundlage prüfen: Sicherstellen, dass § 26 BDSG die Verarbeitung abdeckt. Rechtsgrundlagenprüfung dokumentieren.
  3. AVV mit Anbieter abschließen: Auftragsverarbeitungsvertrag nach DSGVO Artikel 28.
  4. Drittlandübermittlungen absichern: Wenn Daten die EU/den EWR verlassen, geeignete Schutzmaßnahmen einrichten.
  5. Datenschutzinformation für Bewerber aktualisieren: Automatisierte Verarbeitung, verwendete Logik und Rechte nach Artikel 22 Abs. 3 aufnehmen.
  6. Menschlichen Prüfschritt gestalten: Dokumentieren, was der Prüfschritt bedeutet. HR-Mitarbeiter schulen, was eine echte Prüfung erfordert.
  7. Betriebsrat einbinden: Betriebsrat vor Go-live informieren und Betriebsvereinbarung aushandeln.
  8. Löschfristen implementieren: Automatische Löschung von Bewerberdaten nach Abschluss des Prozesses (in der Regel 4–6 Monate).
  9. AI-Act-Readiness: Für Tools, die als Hochrisiko-KI nach Anhang III AI Act einzustufen sind, Compliance-Dokumentation des Anbieters jetzt anfordern und für August 2026 planen.

Unser Leitfaden zur KI-Act-Compliance für Arbeitgeber behandelt die AI-Act-Pflichten im Detail. Für beschäftigungsrechtliche Fragen zu Ihrer konkreten Situation sprechen Sie mit unserem Team.

Dieser Leitfaden stellt allgemeine rechtliche Informationen für HR-Teams und Unternehmer bereit. Er stellt keine Rechtsberatung dar. Konkrete Situationen — insbesondere Betriebsratsverhandlungen oder die Abgrenzung der DSFA — erfordern individuelle rechtliche Beratung.

Das könnte dich auch interessieren

EU AI Act Compliance-Checkliste für deutsche Unternehmen
Leitfäden

EU AI Act Compliance-Checkliste für deutsche Unternehmen

EU KI-Verordnung Checkliste: Was seit August 2025 gilt und was deutsche Tech-Unternehmen bis August 2026 umsetzen müssen.
KI-Tools für Kanzleien in Deutschland — BRAO-Compliance und DSGVO-Leitfaden
Leitfäden

KI für Kanzleien: Tools, Compliance und BRAO-Anforderungen

Praxisleitfaden für Rechtsanwältinnen und Rechtsanwälte in Deutschland: KI-Tools rechtssicher einsetzen — BRAO, DSGVO, Mandatsgeheimnis und Berufsrecht.
Entgelttransparenz-Richtlinie Deutschland fuer Arbeitgeber
Leitfäden

Entgelttransparenz-Richtlinie Deutschland: Arbeitgeber-Guide 2026

Arbeitgeber sollten jetzt Gehaltsspannen, Salary-History-Verbot und Entgeltkriterien fuer die Entgelttransparenz-Richtlinie vorbereiten.
Firma gründen in Deutschland mit GmbH oder UG
Leitfäden

Firma gründen in Deutschland: GmbH, UG und die wichtigsten Schritte

Erfahren Sie, wie Sie eine Firma in Deutschland gründen, GmbH oder UG einordnen und die rechtlichen Schritte sauber planen.
VSOP Deutschland mit Fokus auf Leaver-Klauseln und Vesting
Leitfäden

VSOP Deutschland: Leaver-Klauseln, Vesting nach BAG und BGH

VSOP Deutschland nach BAG und BGH: wie Gruender Vesting-, Bad-Leaver- und De-Vesting-Klauseln 2026 neu pruefen sollten.
Konrad Abraham tritt Compound Law bei
Team

Vom Unicorn-GC zu Compound Law. Konrad Abraham kommt.

Konrad Abraham kommt zu Compound Law nach seiner Zeit als General Counsel bei Gorillas. 15 Jahre In-House-Erfahrung trifft auf die KI-native Kanzlei.

Mehr aus dem News-Bereich

Häufige Fragen

Ist KI-gestützte Lebenslaufanalyse in Deutschland erlaubt?

Ja, KI zur Analyse von Lebensläufen ist zulässig, darf aber nicht alleinige Grundlage einer Entscheidung mit erheblichen Auswirkungen auf den Bewerber sein. Nach DSGVO Artikel 22 muss ein Mensch die Entscheidung treffen und verantworten.

Gilt DSGVO Artikel 22 für KI-Recruiting-Tools?

Ja. Jedes KI-Tool, das eine Entscheidung trifft oder wesentlich beeinflusst, die erhebliche Auswirkungen auf Bewerber hat, fällt unter Artikel 22 DSGVO. Rein automatisierte Entscheidungen ohne menschliche Überprüfung sind verboten, sofern keine der Ausnahmen nach Artikel 22 Abs. 2 greift.

Müssen Unternehmen in Deutschland eine Datenschutz-Folgenabschätzung für KI-Recruiting-Tools durchführen?

In der Regel ja. Die deutschen Aufsichtsbehörden (DSK) haben klargestellt, dass die systematische, umfangreiche automatisierte Verarbeitung von Bewerberdaten — insbesondere mit Profiling — nach DSGVO Artikel 35 eine Datenschutz-Folgenabschätzung (DSFA) erfordert.

Was müssen Bewerber über KI-gestützte Auswahlverfahren wissen?

Bewerber müssen in der Datenschutzinformation darüber informiert werden, dass automatisierte Systeme eingesetzt werden, welche Logik dabei verwendet wird, welche Bedeutung und Auswirkungen dies hat und dass sie das Recht haben, eine menschliche Überprüfung zu verlangen — gemäß DSGVO Artikel 13 und 22 Abs. 3.

Kann der Betriebsrat KI-Recruiting-Tools blockieren?

Der Betriebsrat kann die unternehmerische Entscheidung zur Einstellung nicht verhindern, hat aber nach BetrVG § 87 Abs. 1 Nr. 6 Mitbestimmungsrecht bei der Einführung technischer Systeme zur Verhaltens- und Leistungsüberwachung. Ohne Einigung kann der Einsatz des Tools rechtlich unzulässig sein.

Bereit loszulegen?

Kostenlos beraten