Datenschutz-Folgenabschätzung bei KI-Recruiting: Pflicht oder Kür?
Wenn du KI im Recruiting einsetzt, ist eine Datenschutz-Folgenabschätzung oft Pflicht – nicht Empfehlung. Viele HR-Teams übersehen das. Die Konsequenz: Bußgelder, Abmahnungen, und im schlimmsten Fall muss das Tool sofort abgeschaltet werden.
Dieser Artikel zeigt dir, wann du eine DSFA brauchst, wie du sie durchführst – und wie du das Ganze pragmatisch angehst.
Wann ist eine DSFA gesetzlich vorgeschrieben?
Art. 35 DSGVO schreibt eine Datenschutz-Folgenabschätzung vor, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Das ist keine Kann-Bestimmung.
Drei Szenarien lösen die Pflicht aus:
1. Systematische und umfangreiche Auswertung persönlicher Aspekte KI-gestütztes CV-Screening analysiert Qualifikationen, Berufserfahrung, Lücken im Lebenslauf und manchmal sogar Schreibstil. Das ist eine automatisierte Bewertung von Menschen – klassischer Auslöser für die DSFA-Pflicht.
2. Automatisierte Entscheidungen mit erheblichen Auswirkungen Wenn ein KI-Algorithmus entscheidet, wer zum Gespräch eingeladen wird, liegt eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO vor. Das erhöht die Risikoeinstufung nochmals.
3. Umfangreiche Verarbeitung sensibler Daten Bewerbungsunterlagen enthalten oft sensible Informationen – Gesundheitszustand, Nationalität, Foto, Alter. Werden diese per KI verarbeitet, greift Art. 9 DSGVO.
Österreich: Nach §4 Abs. 1 DSG (Datenschutzgesetz) müssen Unternehmen bei risikoreicher Verarbeitung eine DSFA durchführen – in Übereinstimmung mit Art. 35 DSGVO, jedoch mit nationalen Ergänzungen der österreichischen Datenschutzbehörde (DSB).
Deutschland: Das BDSG ergänzt die DSGVO um §67 ff. für öffentliche Stellen. Private Arbeitgeber folgen direkt Art. 35 DSGVO.
Warum KI-gestütztes CV-Screening als „risikoreich" gilt
Datenschutzbehörden in der EU – darunter die österreichische DSB und das deutsche BayLDA – stufen automatisiertes Bewerber-Scoring eindeutig als hochriskante Verarbeitung ein.
Die Gründe sind konkret:
- Bias-Risiko: Trainingsdaten historischer Einstellungsentscheidungen können strukturelle Diskriminierung reproduzieren. Das ist kein theoretisches Problem – es ist dokumentiert.
- Intransparenz: Bewerber verstehen nicht, warum sie abgelehnt werden. Das verletzt das Recht auf Erklärung (Art. 22 Abs. 3 DSGVO).
- Irreversibilität: Ein abgelehnter Bewerber kann seinen Ruf nicht reparieren, wenn ein Algorithmus ihn aussortiert hat.
- Skalierung: KI verarbeitet hunderte Bewerbungen pro Stunde. Fehler skalieren mit.
Die EU-DSGVO-Aufsichtsbehörden listen automatisiertes Profiling und Scoring als Standardfall für die DSFA-Pflicht. Du kannst also nicht argumentieren, dein KI-Tool sei "zu klein" für eine DSFA.
Schritt-für-Schritt: Wie eine DSFA für KI-Recruiting-Tools abläuft
Eine DSFA ist kein Bürokratie-Monster – wenn du sie strukturiert angehst. Diese fünf Schritte decken den gesetzlichen Mindeststandard ab.
Schritt 1: Verarbeitungsvorgang beschreiben Dokumentiere genau, was passiert: Welche Daten werden erhoben? (Name, CV, Anschreiben, Kontaktdaten, ggf. Foto) Wer verarbeitet sie? (du, das KI-Tool, ggf. Drittanbieter) Wo liegen die Daten? (Server in EU oder USA?)
Schritt 2: Notwendigkeit und Verhältnismäßigkeit prüfen Ist die KI-Verarbeitung für das Recruiting-Ziel notwendig? Gibt es mildere Mittel? Kannst du mit einem Schlüsselwort-Filter statt vollautomatischem Scoring arbeiten?
Schritt 3: Risiken identifizieren Liste alle potenziellen Schäden auf: Diskriminierung durch Bias, unbefugter Datenzugriff, fehlerhafte Ablehnung qualifizierter Kandidaten, Datenverlust. Bewerte Eintrittswahrscheinlichkeit und Schwere.
Schritt 4: Abhilfemaßnahmen festlegen Für jedes identifizierte Risiko: Was tust du konkret dagegen? Beispiele: menschliche Überprüfung aller KI-Empfehlungen, regelmäßige Bias-Audits, Datenlöschfristen, Verschlüsselung, Vertragsbindung des KI-Anbieters an DSGVO-Standards.
Schritt 5: Ergebnis dokumentieren und Verantwortliche benennen Die DSFA muss schriftlich vorliegen. Datenschutzbeauftragte müssen konsultiert werden (falls vorhanden). Wenn Risiken trotz Maßnahmen hoch bleiben: Aufsichtsbehörde vorab konsultieren (Art. 36 DSGVO).
Typische Risiken bei KI-Recruiting
In der Praxis tauchen immer wieder dieselben Probleme auf:
Algorithmischer Bias KI-Systeme lernen aus historischen Daten. Wenn dein Unternehmen in der Vergangenheit überwiegend Männer über 35 eingestellt hat, wird der Algorithmus das reproduzieren. Das ist juristisch heikel – Gender Pay Gap Act, AGG in Deutschland, GlBG in Österreich.
Automatisierte Entscheidungen ohne Mensch im Loop Art. 22 DSGVO gibt Bewerbern das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein. "Ausschließlich automatisiert" ist eng definiert – aber jede Einladungs-Entscheidung, die ein HR-Mitarbeiter einfach bestätigt, ohne inhaltlich zu prüfen, zählt trotzdem.
Drittanbieter-Risiken Nutzt du ein SaaS-KI-Tool, muss der Anbieter ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen. Viele US-Anbieter haben keinen rechtskonformen AVV. Das ist ein eigenständiger DSGVO-Verstoß – unabhängig von der DSFA.
Datenspeicherung über Bewerbungsende hinaus Abgelehnte Bewerber dürfen nur für begrenzte Zeit gespeichert bleiben – in der Regel 6 Monate nach Abschluss des Verfahrens. KI-Systeme speichern oft alle Daten dauerhaft für Modell-Training.
Maßnahmen zur Risikominimierung
Diese Maßnahmen reduzieren Risiken auf ein vertretbares Niveau:
- Human-in-the-Loop: Jede Entscheidung, die ein KI-Ranking direkt umsetzt, muss von einer menschlichen Fachkraft inhaltlich überprüft werden.
- Explainability: Nutze KI-Tools, die ihre Bewertungskriterien transparent machen. "Kandidat hat 8/10 Punkte" ohne Begründung ist datenschutzrechtlich problematisch.
- Regelmäßige Bias-Audits: Mindestens jährlich Algorithmus-Output auf systematische Verzerrungen prüfen.
- Datensparsamkeit: Verarbeite nur Daten, die für die Stellenentscheidung tatsächlich relevant sind.
- Anbieter-Prüfung: Stelle sicher, dass der Anbieter AVV, EU-Serverstandort und DSGVO-Konformität nachweist.
- Transparenzhinweis: Bewerber müssen vor Einreichung über den KI-Einsatz informiert werden.
💡 HireSift kostenlos testen
HireSift wurde von Grund auf DSGVO-konform entwickelt: Daten liegen auf EU-Servern, Auftragsverarbeitungsvertrag ist standardmäßig enthalten, und jede KI-Empfehlung ist mit Begründung hinterlegt – damit du als Recruiter die finale Entscheidung bewusst triffst. Jetzt kostenlos starten →
Praxisbeispiel: HireSift DSFA-konform einsetzen
Angenommen, du führst HireSift für das Screening von Bewerbungen ein. So sieht eine schlanke DSFA in der Praxis aus:
Verarbeitungsvorgang: Eingehende CVs und Anschreiben werden durch HireSift analysiert. Das System erstellt ein strukturiertes Ranking mit Begründungen. Kein automatischer Ausschluss – HR entscheidet manuell.
Risiken: Potenzieller Bias bei bestimmten Ausbildungsprofilen, Datenspeicherung beim Anbieter.
Maßnahmen: Human-in-the-Loop (alle Empfehlungen werden von HR geprüft), AVV mit HireSift abgeschlossen, EU-Server, automatische Datenlöschung nach 6 Monaten, Transparenzhinweis in der Stellenanzeige.
Ergebnis: Verbleibende Restrisiken sind gering und werden durch organisatorische Maßnahmen abgedeckt. Keine Pflicht zur Vorab-Konsultation der Aufsichtsbehörde.
Relevanz für Österreich und Deutschland
Österreich (DSB): Die österreichische Datenschutzbehörde hat 2025 erste Prüfverfahren rund um automatisiertes Bewerber-Screening eingeleitet. Die DSB folgt den Leitlinien des EDSA (Europäischer Datenschutzausschuss) zu automatisierten Entscheidungen. §4 DSG ergänzt Art. 35 DSGVO durch nationale Konkretisierungen.
Deutschland (BayLDA, DSK): Das Bayerische Landesamt für Datenschutzaufsicht und die Datenschutzkonferenz (DSK) haben Positionspapiere zu KI im HR veröffentlicht. Der Tenor: DSFA ist bei automatisiertem Scoring Pflicht, keine Ermessensache.
Betriebsrat: In Unternehmen mit Betriebsrat (Österreich: §96a ArbVG, Deutschland: §87 Abs. 1 Nr. 6 BetrVG) ist der Einsatz von KI-Tools mitbestimmungspflichtig. Ohne Betriebsvereinbarung kein Tool-Einsatz – unabhängig von der DSFA.
Fazit
Eine Datenschutz-Folgenabschätzung für KI im Recruiting ist keine bürokratische Schikane. Sie schützt Bewerber vor diskriminierenden Algorithmen und schützt dein Unternehmen vor Bußgeldern bis zu 4 % des weltweiten Jahresumsatzes.
Die gute Nachricht: Eine gut durchgeführte DSFA dauert bei einem schlanken KI-Tool wie HireSift einige Stunden – nicht Wochen. Wer die fünf Schritte konsequent abarbeitet, ist auf der sicheren Seite.
Starte mit der Verarbeitungsbeschreibung, identifiziere die konkreten Risiken und dokumentiere deine Gegenmaßnahmen. Dann steht dem DSGVO-konformen KI-Einsatz im Recruiting nichts mehr im Weg.
Weniger screenen. Mehr einstellen.
HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.
7 Tage kostenlos testenWeitere Artikel
CLOUD Act und US-Anbieter im Recruiting: Was HR-Teams wissen müssen
Der CLOUD Act gibt US-Behörden Zugriff auf Daten bei US-Cloud-Anbietern – auch auf Bewerberdaten in Greenhouse, Workday oder Lever. Was das für dein Recruiting bedeutet.
AVV Auftragsverarbeitung für HR-Tools: Was Personaler wirklich prüfen müssen
Ein AVV ist bei HR-Software Pflicht — aber was muss drin stehen? Dieser Leitfaden erklärt Art. 28 DSGVO praxisnah für Personalabteilungen.
Schrems II und Recruiting-Software: Was du jetzt wirklich tun musst
US-Clouds im Recruiting bleiben riskant. So prüfst du deine Software nach Schrems II und machst dein Setup belastbar.