HireSift
ENKostenlos testen
Recht & Compliance

KI-Screening und Datenschutz in Österreich: Was du als Arbeitgeber wissen musst

HireSift22. April 20267 Min Lesezeit
KI-Screening und Datenschutz in Österreich: Was du als Arbeitgeber wissen musst

Du nutzt KI zum CV-Screening oder planst es. Gut — damit kannst du Bewerbungen effizienter auswerten. Aber: In Österreich gelten spezifische Datenschutzregeln, die du kennen musst, bevor du loslegst. Dieser Artikel erklärt die wichtigsten Punkte praxisnah.

Die Rechtslage auf einen Blick

Österreich hat die DSGVO national umgesetzt — und dabei stellenweise eigenständige Regeln ergänzt. Das Datenschutzgesetz (DSG) enthält Vorschriften, die über den europäischen Mindeststandard hinausgehen. Dazu kommt das Arbeitsrecht, das die Verarbeitung von Mitarbeiterdaten (und damit auch Bewerberdaten) reguliert.

Für dich als Arbeitgeber bedeutet das drei Dinge:

  1. Du brauchst eine Rechtsgrundlage für jede Verarbeitung
  2. Du musst Bewerber transparent informieren
  3. Vollautomatisierte Entscheidungen sind nur unter bestimmten Bedingungen zulässig

Welche Rechtsgrundlage gilt für KI-Screening?

Im Recruiting stützt du die Datenverarbeitung meist auf Art. 6 Abs. 1 lit. b DSGVO — die Verarbeitung ist notwendig für die Durchführung eines vorvertraglichen Verhältnisses (= Bewerbungsprozess). Das klingt sperrig, meint aber einfach: Wenn jemand sich bei dir bewirbt, darfst du seine Daten verarbeiten, um die Bewerbung zu prüfen.

Aber: Der Grundsatz der Datenminimierung gilt. Du darfst nur Daten verarbeiten, die du tatsächlich für die Auswahlentscheidung brauchst. Ein KI-Tool, das Geburtsdatum, Foto oder Wohnort auswertet, um Scores zu berechnen, bewegt sich in der Grauzone — oft ist das für die eigentliche Stellenbesetzung nicht notwendig.

Praxis-Tipp: Lass dein KI-Tool nur Daten auswerten, die direkt für die Stelle relevant sind: Qualifikationen, Berufserfahrung, spezifische Kenntnisse. Alles andere raus.

Vollautomatisierte Entscheidungen: Was ist erlaubt?

Art. 22 DSGVO ist hier der entscheidende Artikel. Er besagt: Bewerber haben das Recht, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu werden, wenn diese für sie erhebliche Auswirkungen hat.

Was bedeutet das konkret?

Ein KI-Score, der rein automatisch über Absage oder Einladung entscheidet — ohne menschliche Prüfung — ist problematisch. Ein KI-Score, der einem Recruiter Empfehlungen gibt, der Recruiter aber selbst entscheidet, ist in der Regel zulässig.

Die Unterscheidung klingt minimal, ist aber rechtlich entscheidend. Dein Prozess muss dokumentieren, dass ein Mensch die finale Entscheidung trifft.

HireSift ist so aufgebaut: Die KI liefert Rankings und Scores, die Entscheidung liegt beim Recruiter. Das entspricht den Anforderungen.

Transparenz: Was Bewerber wissen müssen

Du bist verpflichtet, Bewerber darüber zu informieren, dass du KI-Tools einsetzt. Das passiert üblicherweise in der Datenschutzerklärung und im Bewerbungsprozess.

Konkret muss die Information enthalten:

  • Welche Daten werden verarbeitet?
  • Zu welchem Zweck setzt du KI ein?
  • Wie lange werden Daten gespeichert?
  • Welche Rechte hat der Bewerber?

In Österreich gilt zusätzlich: Bewerber können Auskunft über die Logik eines KI-Systems verlangen, wenn es sie direkt betrifft. Du musst also erklären können, wie der Score zustande kommt — zumindest auf einer allgemeinen Ebene.

Praxis-Tipp: Füge einen eigenen Abschnitt zu KI-Einsatz in deine Bewerberdatenschutzerklärung ein. Kurz und klar — kein Juristendeutsch.

Besondere Datenkategorien — Finger weg

Art. 9 DSGVO listet besonders sensible Datenkategorien auf, die einer strengeren Schutzregeln unterliegen:

  • Gesundheitsdaten
  • Ethnische Herkunft
  • Religiöse Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Politische Meinungen

Dein KI-Tool darf diese Kategorien nicht verarbeiten — auch nicht implizit. Das klingt offensichtlich, ist aber tückisch: Fotos in Lebensläufen können ethnische Merkmale erkennen lassen, Namen können auf Herkunft hindeuten. Gut konfigurierte KI-Systeme schließen diese Signale aus der Analyse aus.

Praxis-Tipp: Frag deinen KI-Anbieter direkt, welche Felder für die Analyse herangezogen werden und welche explizit ausgeschlossen sind. Lass dir das schriftlich bestätigen.

Betriebsrat und KI-Einführung

Falls du in Österreich einen Betriebsrat hast, brauchst du dessen Zustimmung, bevor du KI-Tools zur Mitarbeiterkontrolle oder -beurteilung einführst. Das gilt auch für Systeme, die Bewerber vor einer möglichen Einstellung bewerten.

§ 96 ArbVG (Arbeitsverfassungsgesetz) schreibt vor, dass der Einsatz von KI-gestützten Überwachungs- oder Bewertungssystemen der Mitbestimmung unterliegt.

Was bedeutet das für dich?

  • Frühzeitig mit dem Betriebsrat sprechen
  • Klären, wie das Tool funktioniert und was es bewertet
  • Eine Betriebsvereinbarung abschließen, bevor der Rollout beginnt

Ohne Betriebsvereinbarung riskierst du, dass der Betriebsrat den Einsatz anficht — auch rückwirkend.

Auftragsverarbeitung: Der richtige Vertrag mit dem Anbieter

Wenn du ein externes KI-Tool nutzt (SaaS, Cloud-Service), verarbeitest du Bewerberdaten nicht selbst, sondern gibst sie an einen Auftragsverarbeiter weiter. Das erfordert zwingend einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Der AVV muss u.a. regeln:

  • Welche Daten werden übermittelt?
  • Zu welchem Zweck werden sie verarbeitet?
  • Wo werden die Daten gespeichert (EU? USA?)?
  • Wie werden sie gelöscht?

Besonders relevant: Viele US-basierte SaaS-Tools speichern Daten auf US-Servern. Nach dem Schrems-II-Urteil ist das problematisch, wenn kein angemessenes Schutzniveau garantiert ist. HireSift verarbeitet und speichert Daten in der EU — damit fällt dieses Problem weg.

Datenlöschung nicht vergessen

Bewerberdaten dürfen nicht unbegrenzt aufbewahrt werden. In Österreich ist nach Ende des Bewerbungsverfahrens eine Löschung innerhalb von 6–7 Monaten üblich — so bleibt Zeit für mögliche Diskriminierungsklagen (§ 29 GlBG), verjährt aber nach Ablauf.

Wenn ein Bewerber aktiv einwilligt, kannst du seine Daten für einen Talentpool länger aufbewahren — aber nur für den vereinbarten Zeitraum und Zweck.

Praxis-Tipp: Richte automatische Löschroutinen ein. Viele HR-Tools können das. Manuell vergisst man es — und das kostet im Ernstfall.

Zusammenfassung: Deine Datenschutz-Checkliste für KI-Screening

✅ Rechtsgrundlage für Datenverarbeitung geklärt (Art. 6 lit. b DSGVO)
✅ KI trifft keine vollautomatischen Entscheidungen — Mensch entscheidet final
✅ Datenschutzerklärung enthält Hinweis auf KI-Einsatz
✅ Keine Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO)
✅ Betriebsrat eingebunden (falls vorhanden)
✅ AVV mit KI-Anbieter abgeschlossen
✅ EU-Datenspeicherung sichergestellt
✅ Löschroutinen für Bewerberdaten eingerichtet

Fazit

KI-gestütztes Recruiting ist in Österreich erlaubt — aber nur mit dem richtigen rechtlichen Rahmen. Die gute Nachricht: Die Anforderungen sind erfüllbar. Du brauchst Transparenz gegenüber Bewerbern, einen Menschen in der finalen Entscheidungsrolle und einen AVV mit deinem Anbieter.

HireSift ist so konzipiert, dass es diese Anforderungen erfüllt: EU-Hosting, transparente Score-Logik, kein vollautomatisches Aussortieren. Wenn du sichergehen willst, dass dein Recruiting datenschutzkonform läuft, teste HireSift kostenlos — ohne Kreditkarte, ohne Vertrag.

Weniger screenen. Mehr einstellen.

HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.

7 Tage kostenlos testen

Weitere Artikel

EU-Datensouveränität im Recruiting: Was du als Arbeitgeber wirklich wissen musst
Recht & Compliance

EU-Datensouveränität im Recruiting: Was du als Arbeitgeber wirklich wissen musst

Bewerberdaten in US-Clouds speichern? Das ist ein echtes Risiko. Wir erklären, was EU-Datensouveränität im Recruiting bedeutet und wie du dich schützt.

22. April 20267 Min