Smarter einstellen, sicher bleiben Personalrecruiting mit KI: Was ist erlaubt, was nicht?

Personalrecruiting mit KI-Unterstützung ist schon heute möglich, aber längst nicht alles, was technisch machbar ist, ist auch rechtlich erlaubt. Wer als Unternehmen KI in der Bewerbungsphase einsetzt, bewegt sich in einem Spannungsfeld aus DSGVO, EU AI Act und Allgemeinem Gleichbehandlungsgesetz. Dieser Beitrag zeigt, wo die Grenzen liegen und wie ihr sie souverän einhaltet.

Mann sitzt an einem Schreibtisch und spricht in einem modernen Büro mit einem humanoiden KI-Roboter.

KI im Personalrecruiting bleibt in Deutschland bisher die Ausnahme. Laut einer repräsentativen Bitkom-Studie vom März 2025 setzen gerade einmal vier Prozent der deutschen Unternehmen KI aktiv im Bewerbungsprozess ein. Gleichzeitig planen knapp 30 Prozent, sich mit dem Thema zu befassen. Das Interesse wächst also deutlich und das ist verständlich, denn der Fachkräftemarkt ist eng und Recruitingprozesse kosten Zeit. Wer KI-Tools einführt, ohne die rechtlichen Rahmenbedingungen zu kennen, geht aber ein erhebliches Risiko ein. Beim Thema KI im Recruiting treffen DSGVO, EU AI Act und das Allgemeine Gleichbehandlungsgesetz aufeinander. Wer die Spielregeln nicht kennt, riskiert Bußgelder und Diskriminierungsklagen. Dieser Beitrag gibt euch einen klaren Überblick, was erlaubt ist, was nicht und wie ihr KI-Systeme in eurem Unternehmen rechtssicher nutzt.

Was KI im Personalrecruiting überhaupt kann

Bevor wir uns dem Erlaubten und Verbotenen widmen, lohnt ein kurzer Blick auf die Einsatzmöglichkeiten. KI kann im Recruiting eine breite Palette von Aufgaben übernehmen:

  • Stellenanzeigen erstellen und optimieren:
    KI formuliert Texte auf Basis von Anforderungsprofilen und prüft sie auf diskriminierende Formulierungen.
  • Bewerbungsunterlagen screenen:
    Algorithmen gleichen Lebensläufe mit Stellenprofilen ab und priorisieren Kandidat:innen.
  • Matching:
    KI bewertet, wie gut eine Bewerbung zu einer offenen Stelle passt.
  • Chatbots im Bewerbungsprozess:
    Automatisierte Systeme beantworten erste Fragen oder führen Erstgespräche.
  • Persönlichkeits- und Kompetenzanalysen:
    Manche Tools erstellen auf Basis von Texteingaben Kompetenzprofile.
  • Interviewplanung und Kommunikation:
    Terminfindung, Absagen und Statusmeldungen können automatisiert werden.

Schon auf dieser Liste fällt auf: Je stärker KI die eigentliche Auswahlentscheidung beeinflusst, desto sensibler wird der rechtliche Rahmen. Und genau dort beginnen die Fragen, die viele Unternehmen unterschätzen.

 

Mann arbeitet am Schreibtisch vor großem Monitor mit Chatbot-Oberfläche im modernen Büro.
Für Unternehmen bieten Chatbots die Möglichkeit, Prozesse effizienter zu gestalten, Wartezeiten zu verkürzen und die Servicequalität zu steigern. © Adobe Stock, DC Studio

Das rechtliche Fundament: DSGVO, EU AI Act und AGG zusammen denken

Der Dreh- und Angelpunkt im KI-gestützten Personalrecruiting ist Artikel 22 der DSGVO. Er schreibt fest, dass jede Person das Recht hat, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und ihr gegenüber eine rechtliche oder vergleichbar erhebliche Wirkung entfaltet. Auf das Recruiting übersetzt bedeutet das: Wenn eine KI eigenständig entscheidet, dass eine Bewerbung nicht weiter berücksichtigt wird, und kein Mensch diese Entscheidung substantiell überprüft, verstößt das gegen die DSGVO.

Definition: Vollautomatisierte Einzelentscheidung nach Art. 22 DSGVO Eine vollautomatisierte Entscheidung liegt vor, wenn ein algorithmisches System ohne substanzielle menschliche Beteiligung eine für die betroffene Person erhebliche Entscheidung trifft. Im Recruiting fällt darunter jede KI, die Bewerber:innen aussortiert, bevor HR-Mitarbeitende sie überhaupt zu Gesicht bekommen. Entscheidend ist nicht nur, ob formal ein Mensch beteiligt ist, sondern ob dieser die KI-Bewertung tatsächlich nachvollzieht und eigenständig prüft.

Der Europäische Gerichtshof hat im sogenannten SCHUFA-Urteil (C-634/21) klargestellt, dass auch eine weitgehend durch Software vorbereitete Entscheidung als automatisiert gilt, wenn der Mensch die maschinell errechneten Werte nur noch abnickt. Wer als HR-Verantwortliche:r also einfach die KI-Rangliste übernimmt, ohne die Ergebnisse zu hinterfragen, bewegt sich rechtlich auf dünnem Eis.

Bei Verstößen gegen Artikel 22 DSGVO drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ausfällt.

§26 BDSG: Beschäftigtendatenschutz greift mit

Neben der DSGVO gilt im Arbeitsverhältnis zusätzlich §26 des Bundesdatenschutzgesetzes. Er erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten und Bewerber:innen nur, wenn dies zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Daten, die über diesen Zweck hinausgehen, etwa persönliche Social-Media-Aktivitäten ohne Berufsrelevanz, dürfen nicht verarbeitet werden.

Auch eine Einwilligung heilt das Problem nicht automatisch. Im Bewerbungskontext geht die Datenschutzaufsicht in der Regel davon aus, dass Bewerber:innen aufgrund des Machtgefälles nicht wirklich freiwillig zustimmen können.

Der EU AI Act: Recruiting als Hochrisiko

Seit dem 1. August 2024 ist der EU AI Act in Kraft. Für HR-Verantwortliche hat er eine direkte Konsequenz: KI-Systeme, die im Personalrecruiting zur Vorauswahl, Bewertung oder Beförderungsentscheidung eingesetzt werden, gelten als Hochrisiko-KI-Systeme gemäß Artikel 6 Absatz 2 in Verbindung mit Anhang III der Verordnung. Das bedeutet konkret, dass wer solche Systeme einsetzt, folgende Pflichten erfüllen muss:

  • Risikoanalyse vor dem Einsatz des Systems dokumentieren
  • Transparenz gegenüber Bewerber:innen herstellen, also über Einsatz, Funktionsweise und Entscheidungslogik informieren
  • Menschliche Aufsicht sicherstellen: echte Kontrolle, kein formales Abnicken
  • Technische Dokumentation des Systems vorhalten
  • Monitoring des Systems auch im laufenden Betrieb gewährleisten

Modulare HR-Plattformen, die mehrere KI-Komponenten kombinieren, etwa Lebenslauf-Screening, Potenzialanalyse und automatisches Ranking, müssen als Gesamtsystem betrachtet werden. Wenn diese Module gemeinsam eine Auswahlentscheidung vorbereiten, gilt das gesamte System als Hochrisiko-KI – auch wenn die einzelnen Bausteine für sich genommen harmlos erscheinen.

Bei Verstößen gegen die Hochrisiko-Anforderungen des EU AI Act drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Das AGG: Diskriminierung durch Algorithmen

Das Allgemeine Gleichbehandlungsgesetz verbietet Diskriminierung aufgrund von Geschlecht, Alter, Herkunft, Religion, Behinderung oder sexueller Identität. KI-Systeme können dieses Gesetz verletzen, wenn sie mit fehlerhaften Trainingsdaten arbeiten.

Ein typisches Beispiel: Eine KI, die mit historischen Einstellungsdaten eines Unternehmens trainiert wurde, in dem überwiegend Männer in Führungspositionen tätig waren, kann weibliche Bewerberinnen systematisch niedriger bewerten. Dieser sogenannte Bias ist in den Trainingsdaten angelegt – und führt trotzdem zu handfester Diskriminierung im Sinne des AGG.

Teammeeting im Büro mit Präsentation zu KI am Whiteboard und AI-Skizze.
KI entfaltet ihr volles Potenzial dort, wo Technologie und menschliche Expertise zusammenspielen. Die richtige Handhabung ist dabei entscheidend. © Adobe Stock, HudHudPro

Was konkret erlaubt ist – und was nicht

KI darf im Personalrecruiting eingesetzt werden, wenn folgende Bedingungen erfüllt sind:

  • Die KI unterstützt die Entscheidungsvorbereitung, trifft aber keine Finalentscheidungen.
  • Ein Mensch überprüft die KI-Ergebnisse tatsächlich und eigenständig, nicht nur formal.
  • Bewerber:innen werden transparent über den KI-Einsatz informiert.
  • Es liegt eine rechtliche Grundlage für die Datenverarbeitung vor, in der Regel §26 BDSG.
  • Das System wurde auf Diskriminierungsrisiken geprüft.
  • Für Hochrisiko-Systeme wurden Risikoanalyse und Dokumentation erstellt.

Konkrete Einsatzfelder, die bei korrekter Umsetzung rechtlich zulässig sind: das KI-gestützte Matching von Bewerberprofilen auf Stellenanzeigen, die automatische Vorpriorisierung zur Unterstützung der HR-Sichtung sowie der Einsatz von Chatbots für allgemeine Fragen im Bewerbungsprozess. Chatbots mit begrenztem Risiko, die lediglich Informationen bereitstellen und keine Auswahlentscheidungen treffen, unterliegen gemäß Artikel 50 EU AI Act zwar Transparenzpflichten, fallen aber nicht unter die strengen Hochrisiko-Anforderungen.

Das ist verboten oder rechtlich hochriskant

  • Vollautomatische Aussortierung von Bewerber:innen ohne substantielle menschliche Kontrolle
  • KI-basierte Emotionserkennung, etwa durch Videoanalyse in Vorstellungsgesprächen (seit dem 2. Februar 2025 ausdrücklich verboten nach EU AI Act)
  • Biometrische Kategorisierung von Bewerber:innen
  • Social Scoring auf Basis von Social-Media-Daten
  • Einsatz von Blackbox-Systemen, deren Entscheidungslogik nicht nachvollziehbar ist, ohne entsprechende Transparenzmaßnahmen
  • Verarbeitung sensibler Daten wie Gesundheit, Religionszugehörigkeit oder politische Überzeugungen ohne ausdrückliche Rechtsgrundlage

Häufige Fragen aus der Praxis

Darf ich als Unternehmen KI nutzen, um Bewerbungen vorzusortieren?

Ja, aber mit klaren Bedingungen. Die KI darf eine Vorschlagsliste erstellen, Lebensläufe nach Kriterien filtern oder passende Profile markieren. Verboten ist es, wenn diese Vorauswahl ohne echte menschliche Überprüfung die Grundlage dafür bildet, wer zum Gespräch eingeladen wird. Entscheidend ist, ob eure HR-Mitarbeitenden die Ergebnisse der KI kritisch prüfen oder ob sie die Liste schlicht übernehmen. Wer nur formal abnickt, handelt nach geltendem Recht rechtswidrig.

Müssen Bewerber:innen darüber informiert werden, dass KI im Spiel ist?

Ja, das schreiben sowohl die DSGVO als auch der EU AI Act vor. Bewerber:innen müssen wissen, dass und wie KI im Auswahlprozess eingesetzt wird und welche Konsequenzen das für sie hat. Diese Information gehört in die Datenschutzerklärung oder direkt in die Bewerbungsunterlagen. Außerdem haben Bewerber:innen das Recht zu erfahren, nach welchen Kriterien das System sie bewertet hat.

Betriebsrat, Betriebsvereinbarung und weitere Pflichten

Wer in einem Unternehmen mit Betriebsrat KI-Systeme im Personalbereich einführt, muss diesen zwingend einbeziehen. Die Einführung technischer Einrichtungen, mit denen das Verhalten oder die Leistung von Arbeitnehmer:innen überwacht werden können, unterliegt dem Mitbestimmungsrecht nach §87 BetrVG. Artikel 26 Absatz 7 des EU AI Act verpflichtet Arbeitgeber zusätzlich dazu, Arbeitnehmervertretungen vor dem Einsatz von Hochrisiko-KI zu informieren und zu konsultieren. In der Praxis empfiehlt sich vor dem Rollout eines KI-Tools für HR eine Betriebsvereinbarung, die folgende Punkte regelt:

  • Wie die menschliche Kontrolle sichergestellt wird
  • Wie Bewerber:innen und Beschäftigte informiert werden
  • Wer Zugang zu den KI-Ergebnissen hat
  • Wie lange Daten gespeichert werden

Auch ohne Betriebsrat gilt: Die Einführung von KI-Systemen sollte intern geregelt und dokumentiert werden. Das schützt nicht nur vor rechtlichen Risiken, sondern schafft auch Vertrauen bei Mitarbeitenden und Bewerber:innen.

Person arbeitet am Laptop, digitale KI-Analyse mit Bewerberbewertung und Checkmark-Symbolen eingeblendet.
Richtig eingesetzt, sorgt KI im Recruiting für effizientere Prozesse, kürzere Time-to-Hire und eine verbesserte Candidate Experience. Wichtig bleibt jedoch die menschliche Komponente. © Adobe Stock, NongAsimo

Praktische Checkliste: KI im Recruiting rechtssicher einführen

Bevor ihr ein KI-System im Personalrecruiting einsetzt, solltet ihr folgende Punkte abgearbeitet haben:

  1. Risikoklassifizierung prüfen: Ist das System nach EU AI Act als Hochrisiko einzustufen? Bei Vorauswahl, Bewertung oder Matching: ja.
  2. Rechtsgrundlage klären: Auf welcher Basis werden Bewerberdaten verarbeitet? Meist §26 BDSG.
  3. Datenschutz-Folgenabschätzung durchführen: Bei Hochrisiko-KI nach Art. 35 DSGVO verpflichtend.
  4. Transparenzpflichten erfüllen: Bewerber:innen über KI-Einsatz und Entscheidungslogik informieren.
  5. Menschliche Kontrollprozesse definieren: Wer überprüft die KI-Ergebnisse wie und wann?
  6. Bias-Prüfung des Systems einfordern: Beim Anbieter nach Trainingsdaten und Diskriminierungsrisiken fragen.
  7. Betriebsrat einbeziehen: Falls vorhanden, vor der Einführung und nicht danach.
  8. Dokumentation anlegen: Technische Dokumentation, Risikobewertung und Prozessbeschreibung aufbewahren.

Automatisierte Auswahl, menschliche Verantwortung

KI im Personalrecruiting ist erlaubt, aber nur mit klaren Rahmenbedingungen. Die menschliche Letztentscheidung ist rechtlich zwingend, Transparenz gegenüber Bewerber:innen Pflicht, und die Einstufung als Hochrisiko-KI zieht handfeste Dokumentations- und Kontrollpflichten nach sich. Wer diese Regeln kennt und umsetzt, kann KI-Tools als echten Vorteil im Wettbewerb um Talente nutzen. Wer sie ignoriert, riskiert Bußgelder in Millionenhöhe, Diskriminierungsklagen und Vertrauensverluste.