KI in der Personalabteilung: Bewerberdaten DSGVO-konform verarbeiten

Jede dritte HR-Abteilung in Deutschland nutzt bereits KI-Tools im Recruiting. Gleichzeitig sind Bewerberdaten eine der sensibelsten Datenkategorien überhaupt — mit Diskriminierungsrisiken, die kein anderer Unternehmensbereich kennt. Dieser Artikel zeigt den schmalen Grat zwischen Effizienz und Compliance.

Warum Bewerberdaten besonders schützenswert sind

Bewerbungsunterlagen enthalten eine einzigartige Dichte personenbezogener Daten: Name, Adresse, Geburtsdatum, Foto, Familienstand, Staatsangehörigkeit, Ausbildung, Berufserfahrung, Gehaltsvorstellungen — oft auch Gesundheitsdaten (Schwerbehinderung) oder Angaben zur ethnischen Herkunft.

Diese Daten fallen teilweise unter Art. 9 DSGVO (besondere Kategorien) und sind gleichzeitig durch das AGG (Allgemeines Gleichbehandlungsgesetz) geschützt. Wer sie unkontrolliert an KI-Anbieter weitergibt, riskiert gleich mehrere Rechtsverstöße.

Art. 22 DSGVO: Das Verbot automatisierter Einzelentscheidungen

Art. 22 Abs. 1 DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. Für das KI-gestützte Recruiting bedeutet das: Eine KI darf Bewerbungen vorsortieren und Empfehlungen geben — aber die finale Entscheidung muss ein Mensch treffen.

Das klingt simpel, ist es aber nicht. Wenn ein HR-Manager die KI-Empfehlung routinemäßig übernimmt, ohne sie inhaltlich zu prüfen, ist das nach Ansicht der Datenschutzkonferenz (DSK) keine echte menschliche Entscheidung — sondern eine verschleierte automatisierte.

5 KI-Use-Cases in HR und ihre DSGVO-Risiken

1. CV-Parsing und Vorauswahl

KI extrahiert Daten aus Lebensläufen und bewertet sie gegen das Anforderungsprofil. Das spart bei 200+ Bewerbungen pro Stelle enorm Zeit.

DSGVO-Risiko: Wenn der CV-Parser Cloud-basiert ist (z.B. via ChatGPT oder eine SaaS-Lösung), verlassen komplette Lebensläufe das Unternehmen. Jede einzelne Bewerbung enthält durchschnittlich 12-18 personenbezogene Datenpunkte.

AGG-Risiko: Trainiert auf historische Einstellungsdaten, kann die KI bestehende Diskriminierungsmuster reproduzieren. Das berühmte Amazon-Recruiting-Tool bevorzugte männliche Bewerber, weil historisch mehr Männer eingestellt wurden.

2. Anschreiben-Analyse und Soft-Skill-Bewertung

KI analysiert Formulierungen, Tonalität und Struktur von Anschreiben, um auf Soft Skills zu schließen.

Risiko: Solche Systeme können unbeabsichtigt nach Alter (Schreibstil), Herkunft (Sprachgewohnheiten) oder Bildungshintergrund diskriminieren. Nach Art. 35 DSGVO ist eine DSFA zwingend erforderlich.

3. Interview-Terminierung und Kommunikation

Chatbots koordinieren Termine, beantworten FAQ und halten Bewerber auf dem Laufenden. Harmlos? Nicht ganz.

Risiko: Auch Chatbot-Konversationen enthalten personenbezogene Daten (Name, verfügbare Termine, Gehaltsvorstellungen). Transparenzpflicht nach Art. 13 DSGVO: Bewerber müssen wissen, dass sie mit einer KI kommunizieren.

4. Gehaltsvergleiche und Vergütungsanalyse

KI vergleicht Gehaltsvorstellungen mit Marktdaten und internen Benchmarks. Effizient, aber Gehaltsdaten sind hochsensibel.

Risiko: Gehaltsvorstellungen in Kombination mit Qualifikation, Region und Erfahrung können Rückschlüsse auf die Identität ermöglichen — selbst wenn der Name entfernt wird.

5. Onboarding-Dokumentation

KI generiert personalisierte Einarbeitungspläne, Vertragsentwürfe und Willkommensmails. Dafür werden Personaldaten verarbeitet: Position, Abteilung, Gehalt, Startdatum, Sondervereinbarungen.

Risiko: Vertragsinhalte sind vertraulich. Wenn eine KI aus Vorlage + Personaldaten einen Vertragsentwurf generiert, dürfen diese Daten nicht beim KI-Anbieter landen.

Der rechtliche Rahmen: Was HR beachten muss

DSGVO-Pflichten im Überblick

• Rechtsgrundlage (Art. 6): Im Bewerbungskontext greift Art. 88 DSGVO i.V.m. §26 BDSG (Datenverarbeitung im Beschäftigungskontext). Die Verarbeitung muss für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich sein.
• DSFA (Art. 35): Pflicht bei systematischer Bewertung von Bewerbern durch KI. Die DSK hat „Profiling von Beschäftigten" explizit in die Positivliste aufgenommen.
• Transparenz (Art. 13/14): Bewerber müssen in der Datenschutzerklärung erfahren, dass KI eingesetzt wird, welche Daten verarbeitet werden und zu welchem Zweck.
• Löschfristen: Bewerberdaten sind nach Abschluss des Verfahrens zu löschen — bei Absagen spätestens nach 6 Monaten (AGG-Klagefrist).

AGG-Konformität

Das AGG verbietet Diskriminierung aufgrund von Rasse, ethnischer Herkunft, Geschlecht, Religion, Behinderung, Alter und sexueller Identität. Eine KI, die auf historischen Daten trainiert wurde, kann jedes dieser Merkmale unbeabsichtigt als Entscheidungsfaktor nutzen.

Praxis-Tipp: Dokumentieren Sie, welche Kriterien die KI zur Bewertung heranzieht, und lassen Sie diese durch Ihren AGG-Beauftragten prüfen. Regelmäßige Bias-Audits sind keine Kür, sondern Pflicht.

Praxisbeispiel: Mittelständisches Ingenieurbüro

Ein Ingenieurbüro mit 180 Mitarbeitern erhält pro Stellenausschreibung durchschnittlich 140 Bewerbungen. Die HR-Abteilung (2 Personen) verbrachte 3 Wochen mit der Erstbewertung — zu lange im Wettbewerb um Fachkräfte.

Lösung: ChatGPT analysiert Lebensläufe gegen das Anforderungsprofil und erstellt eine priorisierte Shortlist. KI-Shield pseudonymisiert dabei automatisch alle personenbezogenen Daten: Namen, Adressen, Geburtsdaten, Arbeitgeber, Bildungseinrichtungen.

Ergebnis: Erstbewertung in 2 Tagen statt 3 Wochen. Kein einziger personenbezogener Datenpunkt erreicht OpenAI. Die finale Auswahl trifft weiterhin der HR-Manager — dokumentiert im Audit-Trail.

Checkliste für DSGVO-konforme KI im HR

• DSFA für KI-gestütztes Recruiting durchgeführt?
• Rechtsgrundlage nach §26 BDSG dokumentiert?
• Datenschutzerklärung für Bewerber aktualisiert (KI-Hinweis)?
• Menschliche Letztentscheidung gewährleistet (Art. 22)?
• Bias-Audit der KI-Kriterien durchgeführt?
• AVV mit KI-Anbieter abgeschlossen?
• Löschfristen für Bewerberdaten implementiert?
• Betriebsrat informiert/beteiligt (§87 BetrVG)?
• Technische Pseudonymisierung vor KI-Übermittlung?
• Audit-Trail für Compliance-Nachweis aktiv?

Betriebsrat nicht vergessen

Nach §87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung der Arbeitnehmer überwachen können. KI im HR-Bereich fällt regelmäßig darunter — auch wenn sie „nur" Bewerbungen auswertet.

Binden Sie den Betriebsrat frühzeitig ein. Eine Betriebsvereinbarung zur KI-Nutzung schafft Rechtssicherheit und vermeidet Konflikte.

Fazit

KI in der Personalabteilung ist ein Effizienz-Booster — aber nur mit den richtigen Leitplanken. Die Kombination aus automatischer Pseudonymisierung, dokumentierter menschlicher Entscheidung und regelmäßigen Bias-Audits macht den Unterschied zwischen innovativem HR und teurem Compliance-Verstoß.