Zunehmend findet künstliche Intelligenz (KI) in Unternehmen Einsatz zur Vereinfachung von Arbeitsabläufen. Dazu gehört auch die Nutzung von KI im Personalbereich, insbesondere im Zusammenhang mit Bewerbungen. Gerade im Hinblick auf den Datenschutz im Bewerbungsprozess wirft der Einsatz solcher Systeme jedoch besondere rechtliche Fragen auf. In größeren Unternehmen ist die auf Stellenausschreibungen eingehende Flut von Bewerbungen vielfach kaum noch durch die Personalabteilung zu bewältigen, sodass der Wunsch naheliegt, Bewerbungsunterlagen durch eine KI bewerten zu lassen.
Was auf den ersten Blick verlockend einfach aussieht, erweist sich jedoch bei näherer Betrachtung als eine durchaus heikle Maßnahme. Denn der Einsatz von KI wird flankiert von verschiedenen gesetzgeberischen Maßgaben, insbesondere durch die KI-Verordnung (KI-VO) und die Europäische Datenschutz-Grundverordnung (DSGVO).
Welche Rechte haben Bewerber nach der DSGVO, insbesondere nach Art. 22 DSGVO bei KI-gestützter Auswahl?
Die KI-VO ist risikobasiert und regelt im Wesentlichen die Voraussetzungen, unter denen KI-Anwendungen hergestellt und verwendet werden dürfen.
Demgegenüber schützt die DSGVO den einzelnen Menschen, den sogenannten Betroffenen, vor einer unbefugten Verwendung seiner personenbezogenen Daten einschließlich der besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), wie beispielsweise Gesundheit, Religion, sexuelle Orientierung usw. Die DSGVO schützt also insbesondere die sogenannte „informationelle Selbstbestimmung“ natürlicher Personen.
Rechtsanwalt Sendler: „Durch den zunehmenden Einsatz von KI in Bewerbungsprozessen durch Unternehmen bzw. deren Personal- bzw. HR-Abteilungen (HR gleich Human Resources) ist eine Vorschrift der DSGVO in den Fokus gerückt, die bislang eher ein Schattendasein fristete und im Wesentlichen nur Anwendung fand im Zusammenhang mit Bonitätsbewertungen durch Auskunfteien wie Creditreform oder Schufa. Gemeint ist Art. 22 DSGVO, wonach der Betroffene das Recht hat, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden.
Dieses Risiko aber besteht für Bewerber, wenn die HR-Abteilung des den Job ausschreibenden Unternehmens mit Unterstützung durch KI die Bewerbungsunterlagen auswertet.“
Datenschutz im Bewerbungsprozess: Welche datenschutzrechtlichen Vorgaben gelten beim Einsatz von KI?
Aus diesen Gründen müssen Unternehmen, die im Bewerbungsprozess mit KI arbeiten, einige besondere Regeln beachten:
Zunächst einmal gehören hierzu ein rechtmäßiger Zweck der KI-Verwendung und deren Transparenz. KI-gestützte Prozesse dürfen nur für festgelegte legitime Zwecke eingesetzt werden (z.B. Vorabauswahl basierend auf Qualifikation). Außerdem sollten Unternehmen Bewerberinnen und Bewerbern auf Nachfrage offenlegen, dass sie KI bei der Auswertung von Profilen, Lebensläufen oder sonstiger Kommunikation im Bewerbungsprozess einsetzen.
Anwalt Sendler: „Es muss stets im Auge behalten werden, auf welcher Rechtsgrundlage die Verwendung von KI im Bewerbungsprozess beruht. In Betracht kommen hier Art. 6 Abs. 1 lit. b DSGVO im Hinblick auf die Vorbereitung eines Vertragsschlusses oder Art. 6 Abs. 1 lit. f DSGVO wegen des Bestehens eines berechtigten Interesses. Letzteres ist mit Vorsicht zu genießen. Denn das berechtigte Interesse wird vielfach angenommen, wo es in Wirklichkeit nicht besteht.“ (vergleiche hierzu informativ den neuen Fragenkatalog des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit zum berechtigten Interesse vom 6. Januar 2026)
Wie wichtig ist die Gewährleistung von Transparenz beim Datenschutz im Bewerbungsprozess?
Von großer Bedeutung ist die Gewährung von Transparenz, also auf jeden Fall die Aufklärung darüber, dass KI zum Einsatz kommt, welche personenbezogenen Daten nach welchen Kriterien Bedeutung für Entscheidungen haben und welche Logik dahinter steckt.
Anwalt Sendler: „Wichtig ist der Hinweis darauf, welche Datenkategorien verarbeitet werden (z.B. Arbeitsproben, Zertifikate, Bild-/Videoaufnahmen etc.) und wie lange gespeichert werden soll. Gemeinhin wird eine Maximaldauer von sechs Monaten für zulässig gehalten, wenn eine Berücksichtigung der Bewerbung nicht erfolgen soll.“
Die ausschreibenden Unternehmen sollten auch darauf achten, dass sie so wenig Daten wie möglich erheben und Daten der besonderen Kategorie gemäß Art. 9 DSGVO im Zweifel nur mit der Einwilligung des Betroffenen.
Rechtsanwalt Sendler: „In diesem Zusammenhang ist zu beachten, dass zumindest fraglich sein kann, ob eine im Rahmen eines Bewerbungsprozesses erteilte Einwilligung als freiwillig im Sinne des Art. 4 Nr. 11 DSGVO angesehen werden kann. Hier sind zumindest erhebliche Zweifel angebracht. Daher sollten Unternehmen nach Möglichkeit auf Datenerhebungen verzichten, die eine Einwilligung erfordern.“
KI im Bewerbungsprozess: Warum eine menschliche Entscheidung nach Art. 22 DSGVO Pflicht bleibt
Unternehmen, die KI im Bewerbungsprozess verwenden, sollten unbedingt darauf achten, dass Bewerberinnen und Bewerber als Betroffene über Art. 22 DSGVO das Recht darauf haben, dass die Entscheidung der HR-Abteilung im Ergebnis doch auf einer menschlichen Prüfung beruht, also nicht alleine auf einer Auswahl durch die KI.
Anwalt Sendler: „In der Praxis hat eine KI bereits ausschließlich männliche Bewerber berücksichtigt, weil die Trainingsdaten eine Bevorzugung männlicher Stellenbewerber widerspiegelten.“
Bewerber sollten vorsorglich darüber unterrichtet werden, an welche Stelle im Unternehmen sie sich im Falle von Zweifeln an der datenschutzgerechten Verarbeitung ihrer Bewerberdaten wenden können (z.B. Kontaktdaten des Datenschutzbeauftragten).
Unternehmen sollten darauf achten, dass sie im Falle des Einsatzes von KI-Dienstleistern diese vertraglich durch einen Auftragsverarbeitungs-Vertrag gemäß Art. 28 DSGVO rechtlich binden.
Rechtsanwalt Sendler: „Insgesamt ist der Einsatz von KI im Bewerbungs- und Onboarding-Prozess sicherlich hilfreich. Allerdings ist der Einsatz, wie dargestellt, mit erheblichen Hürden versehen, die für den datenschutzkonformen Einsatz zu nehmen sind. Daher sollten Unternehmen dringend rechtzeitig fachkundigen Rat einholen.“
Häufig gestellte Fragen zum Datenschutz im Bewerbungsprozess
Unternehmen dürfen Bewerberdaten nur für einen klar definierten Zweck verarbeiten und müssen dabei die Vorgaben der DSGVO konsequent einhalten. Zudem sind Bewerbende transparent darüber zu informieren, welche Daten erhoben werden und wie lange eine Speicherung erfolgt, damit ihre Rechte gewahrt bleiben.
Die Verarbeitung von Bewerberdaten ist zulässig, wenn sie zur Anbahnung eines Arbeitsvertrags erforderlich ist oder wenn ein berechtigtes Interesse des Unternehmens besteht. Allerdings muss sorgfältig geprüft werden, ob dieses Interesse tatsächlich überwiegt und ob die Verarbeitung verhältnismäßig ist.
Bewerbungsunterlagen dürfen nur so lange gespeichert werden, wie es für die Entscheidung über die Bewerbung erforderlich ist. In der Praxis hat sich eine Speicherdauer von bis zu sechs Monaten etabliert, sofern keine Einwilligung für eine längere Aufbewahrung vorliegt.
Besondere Kategorien personenbezogener Daten dürfen nur verarbeitet werden, wenn eine ausdrückliche gesetzliche Grundlage besteht oder eine wirksame Einwilligung vorliegt. Da die Freiwilligkeit im Bewerbungsprozess jedoch häufig zweifelhaft ist, sollte die Erhebung solcher Daten möglichst vermieden werden.
Der Einsatz von KI im Bewerbungsprozess unterliegt einer Informationspflicht, sodass Bewerbende über die Nutzung entsprechender Systeme aufzuklären sind. Darüber hinaus ist darzulegen, nach welchen Kriterien die Auswertung erfolgt und welche Logik der Entscheidung zugrunde liegt.
Art. 22 DSGVO gewährt Bewerbenden das Recht, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu werden. Daher muss sichergestellt sein, dass eine menschliche Überprüfung erfolgt und die finale Entscheidung nicht allein durch ein KI-System getroffen wird.
Werden externe Dienstleister im Bewerbungsprozess eingebunden, ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abzuschließen. Zusätzlich ist zu überprüfen, ob der Dienstleister geeignete technische und organisatorische Maßnahmen zum Schutz der Daten umsetzt.
Werden externe Dienstleister im Bewerbungsprozess eingebunden, ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abzuschließen. Zusätzlich ist zu überprüfen, ob der Dienstleister geeignete technische und organisatorische Maßnahmen zum Schutz der Daten umsetzt.
