Commoditech Schreiben Sie uns
← Zurück zum Blog

KI im Recruiting und DSGVO

22. Juni 2026

Wir befinden uns in einer Ära, in der künstliche Intelligenz die Personalabteilungen revolutioniert. Tools, die auf großen Sprachmodellen (LLMs) basieren, wie ChatGPT oder moderne, KI-gestützte ATS-Systeme, ermöglichen eine blitzschnelle Vorauswahl von Bewerbungen, das Verfassen von Stellenanzeigen oder die Analyse von Bewerberprofilen. Doch diese Revolution birgt enorme rechtliche Risiken. Das Hochladen von Lebensläufen in öffentliche KI-Modelle ohne entsprechende Sicherheitsvorkehrungen ist ein direkter Weg zu gigantischen Geldstrafen wegen Verstößen gegen die DSGVO.

In diesem Artikel analysieren wir detailliert das Verhältnis zwischen KI im Recruiting und der DSGVO, zeigen die häufigsten Fehler von Personalvermittlern auf und präsentieren praktische sowie sichere Methoden zur Implementierung moderner Technologien in HR-Prozessen, ohne das Unternehmen rechtlichen Risiken auszusetzen.

1. Die neue Realität im HR – wie hilft künstliche Intelligenz beim Recruiting?

Recruiting-Abteilungen weltweit kämpfen mit einer Flut von Bewerbungen auf beliebte Stellen. Das manuelle Sichten hunderter Bewerbungsunterlagen kostet wertvolle Zeit. Es ist daher wenig überraschend, dass die Automatisierung im Recruiting zu einem der wichtigsten Technologietrends geworden ist. Heutige Algorithmen können Aufgaben erledigen, für die vor wenigen Jahren noch stundenlange menschliche Arbeit erforderlich war:

  • Automatisches CV-Screening – schnelle Bewertung eingegangener Bewerbungen nach Schlagworten, Technologien und Erfahrung.
  • Generierung von Interviewfragen – Erstellung maßgeschneiderter technischer und verhaltensbezogener Fragen basierend auf den Stellenanforderungen.
  • Matching-Analyse – mathematische Bestimmung des Übereinstimmungsgrades eines Kandidatenprofils mit dem Anforderungsprofil der Stelle.
  • Erstellung ansprechender Inhalte – schnelles Verfassen von Stellenanzeigen, Einladungs-E-Mails oder Feedback-Schreiben.

Trotz der enormen Produktivitätsvorteile muss jeder Recruiter, der diese Hilfsmittel nutzt, bedenken, dass personenbezogene Daten in Bewerbungsunterlagen streng rechtlich geschützt sind. Dies wird primär durch die EU-Datenschutz-Grundverordnung (DSGVO) geregelt, und in Kürze auch durch den in Kraft tretenden EU AI Act (KI-Gesetz), der KI-gestützte Recruiting-Systeme als Hochrisikosysteme einstuft.

Wichtige Information: AI Act und Recruiting

Die EU-Vorschriften des AI Act klassifizieren künstliche Intelligenz, die bei der Einstellung, Verwaltung von Mitarbeitern und im Recruiting eingesetzt wird, offiziell als Hochrisiko-KI-Systeme (High-Risk AI Systems). Das bedeutet, dass diese Systeme strenge Anforderungen an Transparenz, menschliche Aufsicht, Genauigkeit und Cybersicherheit erfüllen müssen.

2. Grundprinzipien der DSGVO und Algorithmen der künstlichen Intelligenz

Um zu verstehen, warum der traditionelle Ansatz bei der Nutzung kostenloser KI-Tools im HR gefährlich ist, müssen wir uns an die zentralen Grundsätze des Datenschutzes erinnern. Die DSGVO verbietet Technologie nicht, setzt ihr aber klare Rahmenbedingungen. Hier erfahren Sie, wie die grundlegenden Prinzipien der Verordnung auf KI-Algorithmen anzuwenden sind:

Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Der Verantwortliche (d. h. das rekrutierende Unternehmen oder die Agentur) darf nur die Daten verarbeiten, die für den spezifischen Zweck (das Recruiting) erforderlich sind. Lebensläufe enthalten jedoch oft überflüssige Informationen – z. B. Hobbys, die genaue Wohnadresse oder manchmal sogar den Familienstand oder ein Foto. Das Einspeisen des gesamten Dokumenteninhalts in externe Datenbanken von Sprachmodellen verletzt diesen Grundsatz, da wir Daten weitergeben, die über das notwendige Maß hinausgehen.

Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung sowie vor versehentlichem Verlust oder Zerstörung. Bei der Nutzung kostenloser Consumer-Versionen von KI-Tools senden wir Daten an die Server der Anbieter (oft außerhalb des Europäischen Wirtschaftsraums, z. B. in den USA), über die wir keinerlei technische oder rechtliche Kontrolle haben.

„Die Übermittlung personenbezogener Daten eines Kandidaten an ein KI-System, das keine Vertraulichkeit garantiert und über das der Verantwortliche keine volle Kontrolle ausübt, stellt einen direkten Verstoß gegen Art. 32 DSGVO dar, der die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen vorschreibt, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.“

Leitfaden der Aufsichtsbehörde zum Datenschutz in Beschäftigungsverhältnissen

Automatisierte Entscheidungsfindung und Profiling (Art. 22 DSGVO)

Dies ist einer der wichtigsten Artikel der DSGVO im Kontext des Recruitings. Gemäß Art. 22 hat der Kandidat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung zu unterliegen, die ihm gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt.

Wenn ein KI-basiertes ATS einen Kandidaten automatisch ablehnt (sog. Auto-Rejection), ohne dass ein menschlicher Recruiter diese Entscheidung überprüft hat, liegt ein klarer Rechtsverstoß vor. Damit ein solcher Prozess legal ist, muss der Kandidat darüber informiert werden, explizit zustimmen und die Möglichkeit haben, die Entscheidung der Maschine durch einen menschlichen HR-Mitarbeiter überprüfen zu lassen (sog. Human-in-the-Loop-Mechanismus).

3. Kardinalfehler: Lebensläufe in ChatGPT und andere öffentliche Modelle einspeisen

Betrachten wir das häufigste Szenario in der Arbeit eines Recruiters. Sie suchen einen Java-Programmierer und erhalten 50 Bewerbungen. Um Zeit zu sparen, öffnen Sie die kostenlose Version von ChatGPT, fügen den Inhalt des erhaltenen Lebenslaufs ein und schreiben einen Prompt: „Beurteile, ob dieser Kandidat zu den Anforderungen dieser Anzeige passt, und nenne seine Stärken.“

Aus Effizienzgründen – ein großartiger Schritt. Aus rechtlicher Sicht – Sie haben gerade einen schweren Rechtsverstoß begangen. Warum?

ACHTUNG! Warum kostenloses ChatGPT und DSGVO sich ausschließen:

  • Fehlender Auftragsverarbeitungsvertrag (AVV/DPA): Wenn Sie kostenlose Consumer-Tools nutzen, akzeptieren Sie Bedingungen für Privatpersonen. Ihr Unternehmen hat keinen Auftragsverarbeitungsvertrag mit OpenAI (oder einem anderen Anbieter) unterzeichnet. Ohne AVV ist jede Übermittlung personenbezogener Daten an Dritte rechtswidrig.
  • Nutzung der Daten zum Modelltraining: Kostenlose Versionen nutzen die eingegebenen Daten (Prompts und Anhänge, einschließlich PDF-Lebensläufe) standardmäßig für das weitere Training und zur Verbesserung des Modells. Das bedeutet, dass die persönlichen Daten Ihres Kandidaten Teil der globalen Wissensdatenbank der KI werden. Es besteht das Risiko, dass ein anderer Nutzer weltweit bei einer entsprechenden Frage Fragmente der Daten Ihres Kandidaten erhält.
  • Datentransfer außerhalb des EWR: OpenAI verarbeitet Daten hauptsächlich auf Servern in den USA. Die DSGVO legt strenge Anforderungen an den Datentransfer außerhalb des EWR fest. Ohne die Umsetzung entsprechender Mechanismen (wie Standardvertragsklauseln – SCCs) ist dieser Transfer rechtswidrig.

Was macht einen Lebenslauf zu sensiblen Daten?

Ein Lebenslauf ist eine Sammlung von direkten und indirekten personenbezogenen Daten. Neben Name, E-Mail-Adresse und Telefonnummer enthält er detaillierte Informationen über Beschäftigungsverlauf, Ausbildung und Standort. Manchmal fügen Kandidaten Informationen über eine Behinderung (z. B. zur Inanspruchnahme von Rechten) oder die Zugehörigkeit zu Organisationen hinzu, was als Daten besonderer Kategorien (Art. 9 DSGVO) eingestuft wird, deren Verarbeitung noch strengere rechtliche Auflagen erfordert.

4. Welche Strafen drohen bei der illegalen Verarbeitung von Lebensläufen durch KI?

Die rechtlichen und finanziellen Konsequenzen für Unternehmen, die Datenschutzrichtlinien ignorieren, sind sehr schmerzhaft. Verwaltungsgelder, die von der Aufsichtsbehörde verhängt werden, können betragen:

  • Bis zu 20.000.000 EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist).
  • Verlust von Reputation und Vertrauen auf dem Arbeitsmarkt – ein Datenleck oder Berichte über Strafen schrecken Fachkräfte, besonders aus der IT-Branche, massiv ab, sich bei dem Unternehmen zu bewerben.
  • Zivilrechtliche Ansprüche von Kandidaten – ein Kandidat, dessen Daten rechtswidrig verarbeitet wurden, kann vor Gericht Schadensersatz für die Verletzung seiner Persönlichkeitsrechte fordern.
Aktion des Recruiters Rechtlicher Status (DSGVO) Risiko / Konsequenz
Einfügen des vollständigen Lebenslaufs in das kostenlose ChatGPT zur Analyse. ILLEGAL Nutzung der Daten zum Modelltraining, fehlender AVV, Datentransfer in die USA ohne Schutzmaßnahmen, Risiko von Datenlecks.
Nutzung eines zertifizierten ATS-Systems mit eingebautem KI-Modul und unterschriebenem AVV. LEGAL Geringes Risiko, solange das System keine eigenständigen Entscheidungen zur Ablehnung trifft (kein automatisches Profiling).
Übermittlung eines anonymisierten Kandidatenprofils (ohne personenbezogene Daten) an KI zur Kompetenzbewertung. LEGAL Keine Verarbeitung personenbezogener Daten. Die KI bewertet nur „trockene“ technische Fähigkeiten. Vollkommen sichere Methode.
Automatische Ablehnung von Bewerbungen durch einen KI-Algorithmus ohne Überprüfung durch einen Recruiter. ILLEGAL (mit Ausnahmen) Verstoß gegen Art. 22 DSGVO (automatisierte Entscheidungsfindung). Der Kandidat kann das Verfahren bei der Aufsichtsbehörde anfechten.

5. Sicheres Recruiting mit KI – wie implementiert man KI im Einklang mit der DSGVO?

Bedeutet das, dass Sie auf moderne Tools verzichten und zur manuellen Sichtung zurückkehren müssen? Absolut nicht! Bei Commoditech helfen wir Unternehmen seit Jahren bei der Implementierung fortschrittlicher technologischer Systeme, einschließlich Open-Source-CRM- und ATS-Systemen sowie maßgeschneiderten Lösungen. Der Schlüssel liegt in der Einhaltung von Verfahren und der Auswahl der richtigen Werkzeuge.

Hier ist die Checkliste für HR-Abteilungen zur sicheren Nutzung von KI im Recruiting:

Checkliste: Legale und sichere KI im HR

  • Unterzeichnen Sie immer einen AVV (Auftragsverarbeitungsvertrag): Nutzen Sie ausschließlich Enterprise- oder API-Versionen von Tools, die den Abschluss eines Vertrags zur Auftragsverarbeitung personenbezogener Daten garantieren. OpenAI garantiert in seinen kostenpflichtigen Tarifen für Unternehmen (ChatGPT Team, Enterprise, OpenAI API), dass die eingegebenen Daten nicht zum Trainieren der Modelle verwendet werden.
  • Implementieren Sie eine vollständige Anonymisierung vor der Analyse: Bevor Sie einen Lebenslauf an das KI-Modell senden, entfernen Sie alle persönlichen Identifikatoren. Dies kann manuell oder durch Skripte geschehen, die automatisch Namen, Adressen, Telefonnummern und Namen früherer Arbeitgeber löschen.
  • Sorgen Sie für menschliche Aufsicht (Human-in-the-loop): Der KI-Algorithmus kann als Unterstützungstool dienen (z. B. zum Sortieren nach Punkten oder zur Zusammenfassung), aber die endgültige Entscheidung zur Einladung oder Ablehnung muss immer von einem Menschen getroffen werden.
  • Aktualisieren Sie Datenschutzerklärungen und Einwilligungen: Platzieren Sie in der Fußzeile von Stellenanzeigen und im Bewerbungsformular einen klaren Hinweis darauf, dass im Bewerbungsprozess Tools zur automatisierten Datenanalyse verwendet werden können, und beschreiben Sie Ziele, Umfang und Funktionsweise dieser Algorithmen.
  • Führen Sie eine DSFA (Datenschutz-FolgenAbschätzung) durch: Vor der Implementierung eines neuen KI-Tools im Unternehmen sollte der Datenschutzbeauftragte (DSB) eine Folgenabschätzung durchführen, um Risiken zu identifizieren und zu minimieren.

6. Szenarien aus der Praxis – Fallstudien (Case Studies)

Um das Problem zu verdeutlichen, präsentieren wir zwei Szenarien, die den Unterschied zwischen leichtsinnigem und professionellem Umgang mit Technologie im Recruiting zeigen.

Szenario A: Datenleck und behördliche Kontrolle (Wie man es nicht macht)

Eine Recruiterin in einem Fertigungsunternehmen erhielt den Auftrag, schnell die Stelle eines Finanzdirektors zu besetzen. Um die Profile von 5 Kandidaten präzise zu vergleichen, fügte sie deren vollständige Lebensläufe in ein kostenloses Online-Chat-Fenster ein. Einen Monat später gab einer der Kandidaten seinen Namen in eine Suchmaschine ein und stellte fest, dass der kostenlose Chatbot in den generierten Antworten für andere Nutzer Fragmente seiner beruflichen Laufbahn zusammen mit einzigartigen Details seiner Geschäftsprojekte zitierte. Der Kandidat reichte Beschwerde bei der Aufsichtsbehörde ein. Das Unternehmen hatte keinen AVV mit dem Tool-Anbieter und keine Einwilligung des Kandidaten zum Profiling. Die Aufsichtsbehörde verhängte eine empfindliche Geldstrafe und ordnete einen Stopp der Rekrutierung an.

Szenario B: Sicherer API-basierter Screening-Prozess (Wie man es macht)

Eine Personalvermittlungsagentur, die mit Commoditech zusammenarbeitet, implementierte ein sicheres Screening-System. Wenn ein Lebenslauf im ATS-System landet, löscht ein Skript automatisch die Kontakt- und Identifikationsdaten aus der Datei und ersetzt sie durch einen eindeutigen Token (z. B. Kandydat_ID_8842). Ein derart anonymisierter Text wird über eine dedizierte API-Verbindung (mit unterzeichnetem Enterprise-AVV) an ein Sprachmodell gesendet, das ausschließlich die technische Passung zu den Projektanforderungen bewertet. Das Ergebnis gelangt zurück ins System, und der Recruiter sieht die Punktzahl, die dem anonymisierten Profil zugeordnet ist. Erst nach der Entscheidung des Recruiters, zur nächsten Stufe überzugehen, werden die Daten des Kandidaten in der lokalen, sicheren Datenbank wieder mit seiner Identität verknüpft. Der Prozess ist zu 100 % DSGVO-konform.

7. Die Rolle von Open-Source-Technologie bei der Sicherheit von HR-Daten

Eine der effektivsten Methoden zur vollständigen Kontrolle über Daten im Recruiting ist die Nutzung von Open-Source-Systemen, die auf eigenen, physischen Servern innerhalb des EWR gehostet werden. Bei Commoditech empfehlen wir diese Lösung häufig unseren Kunden.

Durch die Implementierung eines dedizierten Rekrutierungssystems auf Ihrer eigenen Infrastruktur (z. B. basierend auf Open-Source-CRM/ATS) gewinnen Sie die Gewissheit, dass keine personenbezogenen Daten Ihre Sicherheitszone ohne Ihr Wissen verlassen. Darüber hinaus können moderne, lokale Sprachmodelle (Llama, Mistral) direkt auf Ihrem Server (sog. On-Premise oder Private Cloud) ausgeführt werden, was das Problem des Datentransfers an Dritte vollständig eliminiert und eine 100%ige Konformität mit der DSGVO garantiert.

Wenn Ihre Agentur oder HR-Abteilung nach bewährten, sicheren Technologielösungen sucht, laden wir Sie ein, unsere Dienstleistungen im Bereich IT-Programmierer-Recruiting, dediziertes IT-Leasing (Contracting) sowie unsere eigene, sichere IT-Kandidatensuche kennenzulernen.

Zusammenfassung – Innovation ja, aber mit Verstand

Künstliche Intelligenz im Recruiting ist ein mächtiges Werkzeug, mit dem man der Konkurrenz im Kampf um Talente einen Schritt voraus sein kann. Doch die Jagd nach Effizienz darf nicht auf Kosten der Privatsphäre der Kandidaten gehen. HR-Abteilungen müssen eng mit der IT und den Datenschutzbeauftragten zusammenarbeiten, um Verfahren für die Nutzung von KI zu entwickeln.

Denken Sie daran: Kostenlose Consumer-Tools sind für Spaß oder die Arbeit mit öffentlichen Daten gedacht. Die Arbeit mit personenbezogenen Daten, Lebensläufen und beruflichen Werdegängen erfordert professionelle Werkzeuge, unterzeichnete AVVs und die absolute menschliche Aufsicht über jede Einstellungsentscheidung.

Möchten Sie sichere KI-Tools in Ihrem Unternehmen implementieren?

Wir helfen beim Aufbau dedizierter ATS/CRM-Systeme, der Integration sicherer KI-Modelle (OpenAI API, LLM On-Premise) und bei der Sicherheitsprüfung von Rekrutierungssystemen.

Lassen Sie sich von uns beraten
Künstliche IntelligenzDSGVOIT-RecruitingCybersicherheitHR Tech