HireSift
ENKostenlos testen
Zurück zum Trust Center

Datenschutz-Folgenabschätzung (DSFA)

Risikoanalyse für das KI-gestützte CV-Screening gemäß Art. 35 DSGVO und EU AI Act (High-Risk-System nach Anhang III 4a).

Als Markdown herunterladen

Datenschutz-Folgenabschätzung (DSFA / DPIA)

Verarbeitung: KI-gestütztes CV-Screening durch die HireSift-Plattform Version: 1.0 Stand: April 2026 Verantwortlicher: S&C Holding GmbH, Halbgasse 1a, 1070 Wien (FN 366123t) Rechtsgrundlage: Art. 35 DSGVO

1. Einleitung und Anwendungsbereich

HireSift ist eine SaaS-Plattform, die Arbeitgebern (im Folgenden "Kunden") ermöglicht, eingehende Bewerbungen mithilfe von Large Language Models (LLMs) automatisiert zu analysieren und gegen individuell konfigurierte Stellenkriterien zu bewerten. Das Ergebnis ist ein Matching-Score und eine strukturierte Zusammenfassung des Lebenslaufs, die dem Recruiter als Entscheidungsunterstützung dient.

Diese Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO wurde aus folgenden Gründen erstellt:

  1. Die Verarbeitung fällt unter die DSK-Liste der verarbeitenden Tätigkeiten, die der Pflicht zur DSFA unterliegen (Punkt 11: "Einsatz von künstlicher Intelligenz zur Verarbeitung von Beschäftigtendaten oder zur Steuerung der Interaktion mit Betroffenen").
  2. Die Verarbeitung fällt unter den EU AI Act (Verordnung 2024/1689) als "High-Risk AI System" gemäß Anhang III Ziffer 4a (Systeme zur Rekrutierung oder Auswahl natürlicher Personen). Der AI Act fordert parallel zur DSGVO eine "Fundamental Rights Impact Assessment" (FRIA), die in wesentlichen Teilen mit dieser DSFA deckungsgleich ist.
  3. Die Verarbeitung betrifft Bewerberdaten als besondere Kategorie schutzbedürftiger Personen (asymmetrisches Machtverhältnis, fehlende Wahlmöglichkeit).

2. Systematische Beschreibung der Verarbeitung

2.1 Art, Umfang, Zweck und Rechtsgrundlagen

Art: Automatisierte Datenextraktion aus Lebenslauf-Dokumenten (PDF, DOCX) und Bewertung gegen vom Arbeitgeber definierte Kriterien mithilfe von LLMs. Die Bewertung erzeugt einen numerischen Score (0–100) und eine textuelle Begründung.

Umfang: Pro Bewerbung werden folgende Daten verarbeitet:

  • Vom Bewerber bereitgestellte Rohdaten: vollständiger Lebenslauf als PDF, Name, E-Mail, Telefonnummer, Adresse, Geburtsdatum (falls im CV angegeben), Ausbildungsverlauf, Berufserfahrung, Qualifikationen, optional Motivationsschreiben
  • Abgeleitete Daten: Senioritätsstufe, Berufserfahrung in Jahren, Branchen, Sprachkenntnisse, Gehaltsvorstellung (falls im CV), Kündigungsfrist (falls im CV), Führerscheinbesitz (falls im CV)
  • Optional inferiert, nur wenn im CV erkennbar: Geschlecht (m/w/d), Nationalität, Wohnort

Zweck: Beschleunigung und Strukturierung der Vorauswahl von Bewerbungen durch den Arbeitgeber. Kein Ersatz für die Entscheidung des Recruiters.

Rechtsgrundlagen:

  • Beim Arbeitgeber (Kunde von HireSift, Verantwortlicher): Art. 88 DSGVO i.V.m. § 26 BDSG bzw. § 11 DSG (Durchführung des Beschäftigungsverhältnisses, Anbahnung), sowie Art. 6 Abs. 1 lit. f (berechtigtes Interesse an effizienter Bewerberauswahl).
  • Bei HireSift (Auftragsverarbeiter): Art. 28 DSGVO, Verarbeitung auf dokumentierte Weisung des Verantwortlichen.

2.2 Datenquellen und -fluss

  1. Eingang: Bewerbungsunterlagen werden dem Kunden entweder per E-Mail an eine dedizierte Inbox-Adresse (*@inbox.hiresift.ai) oder über ein öffentliches Bewerbungsformular (/apply/[slug]) oder durch manuellen Upload durch den Recruiter zugeführt.
  2. PDF-Speicherung: CV-Dokumente werden in Supabase Storage (hiresift-cvs Bucket) in Frankfurt (AWS eu-central-1) abgelegt.
  3. KI-Verarbeitung: Die Dokumente werden an Vertex AI (Region europe-west4, Belgien) übertragen, wo Gemini-Modelle den Inhalt extrahieren und gegen die konfigurierten Kriterien bewerten.
  4. Speicherung des Ergebnisses: Die extrahierten strukturierten Daten (Profile, Scores, Begründungen) werden in der Supabase-Postgres-Datenbank in Frankfurt gespeichert.
  5. Anzeige: Der Recruiter sieht im Dashboard eine Liste der bewerteten Kandidaten sortiert nach Score und kann jeden einzelnen manuell sichten.

Keine Daten fließen zu US-Servern: weder zu OpenAI, Anthropic direkt, oder anderen US-basierten KI-Anbietern. Vertex AI in Belgien verarbeitet Bewerberdaten vollständig innerhalb der EU.

2.3 Betroffene Personen

  • Bewerber:innen, die sich auf Stellen unserer Kunden bewerben. Schutzwürdiges asymmetrisches Machtverhältnis: Bewerber haben praktisch keine Wahl, ob ihre Bewerbung KI-gestützt vorsortiert wird, wenn der Arbeitgeber dies einsetzt.
  • Recruiter-Mitarbeiter, die die HireSift-Plattform bedienen (nicht Gegenstand dieser DSFA).

2.4 Empfänger der Daten

  • Recruiter beim Kunden (primärer Adressat der Analyse)
  • HireSift als Auftragsverarbeiter
  • Unterauftragsverarbeiter (siehe docs/legal/subprocessor-list.md)
  • Keine Weitergabe an Dritte außerhalb dieses Kreises

2.5 Speicherdauer

  • CV-Dokumente und abgeleitete Daten: für die Dauer des Kundenvertrags
  • Nach Vertragsbeendigung: Löschung innerhalb von 30 Tagen aus produktiven Systemen, 90 Tage aus Backups
  • Auf explizite Löschanfrage des Betroffenen oder des verantwortlichen Kunden: sofortige Löschung
  • Siehe separates Löschkonzept (docs/legal/loeschkonzept.md)

3. Notwendigkeit und Verhältnismäßigkeit

3.1 Notwendigkeit

Recruiting-Teams erhalten heute typischerweise 50–500 Bewerbungen pro Ausschreibung, Tendenz steigend. Eine manuelle Vorsortierung kostet ein Vielfaches der Arbeitszeit gegenüber einer KI-gestützten Analyse. Die Zielsetzung — eine effizientere, strukturierte Vorsortierung — kann durch mildere Mittel (manuelles Screening, regelbasierte Filter) nicht in vergleichbarer Qualität erreicht werden, weil regelbasierte Filter komplexe semantische Übereinstimmungen zwischen CV und Stellenbeschreibung nicht erfassen.

3.2 Verhältnismäßigkeit

  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): HireSift extrahiert nur Daten, die explizit im CV stehen. Keine Daten werden aus externen Quellen (Social Media, Internet-Scraping, Hintergrund-Checks) angereichert.
  • Zweckbindung (Art. 5 Abs. 1 lit. b): Die Daten werden ausschließlich zum Zweck der Bewerbungsauswertung für die konkret beworbene Stelle verwendet.
  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Daten werden nur für die Dauer des Kundenvertrags gespeichert und anschließend gelöscht.
  • Genauigkeit (Art. 5 Abs. 1 lit. d): Der Bewerber hat jederzeit das Recht, über den Verantwortlichen (den Arbeitgeber) eine Berichtigung oder Löschung zu verlangen (Art. 16, 17 DSGVO).
  • Richtigkeit der Bewertung: Der Recruiter sieht nicht nur den Score, sondern auch die textuelle Begründung der KI und kann jederzeit abweichend entscheiden. Der Score ist eine Empfehlung, keine Entscheidung.

4. Risikobewertung

Die folgende Risikobewertung orientiert sich am DSK-Kurzpapier Nr. 5 und dem EU-AI-Act-Anforderungsprofil für High-Risk-Systeme.

R1 — Fehlklassifikation durch das KI-Modell

Beschreibung: Das LLM könnte einen tatsächlich qualifizierten Kandidaten unterdurchschnittlich bewerten oder einen unterqualifizierten Kandidaten zu hoch bewerten.

Eintrittswahrscheinlichkeit: mittel Schadenshöhe: mittel bis hoch (Nichteinstellung trotz Qualifikation, reputationsschaden durch fehlerhafte Absage)

Minderungsmaßnahmen:

  • Der KI-Score ist nicht die Einstellungsentscheidung. Ein Recruiter sieht alle Kandidaten, nicht nur die Top-Scores, und kann frei durchklicken.
  • Die textuelle Begründung der KI wird dem Recruiter immer angezeigt, sodass er nachvollziehen kann, warum ein Score vergeben wurde.
  • Der Arbeitgeber kann die Gewichtung der Kriterien selbst konfigurieren und damit die Bewertung steuern.
  • Kontinuierliche Modell-Updates durch Google (Gemini) verbessern die Baseline-Qualität; HireSift beobachtet nachgelagert Model-Updates und testet sie in Staging, bevor sie produktiv werden.

Restrisiko: niedrig.

R2 — Diskriminierung durch Bias im KI-Modell

Beschreibung: Large Language Models sind auf Internet-Texten trainiert und können gesellschaftliche Verzerrungen (gender, age, ethnicity, disability) reproduzieren.

Eintrittswahrscheinlichkeit: mittel Schadenshöhe: hoch (AGG-relevanter Verstoß, rechtliches und reputationelles Risiko)

Minderungsmaßnahmen:

  • Geschlecht, Nationalität, Alter: HireSift extrahiert diese Felder zwar, wenn sie im CV stehen, aber der Prompt an das LLM fordert keine Bewertung auf Basis dieser Felder. Die Bewertung erfolgt entlang der vom Kunden definierten Kriterien (Qualifikation, Berufserfahrung, Skills), nicht entlang demografischer Merkmale.
  • Recruiter-Workflow: Der Recruiter kann demografische Felder im Dashboard optional ausblenden, um sich selbst vor impliziter Vorentscheidung zu schützen (Blind-Recruiting-Modus; Roadmap-Feature).
  • Audit-Möglichkeit für Kunden: Der Arbeitgeber kann im Rahmen des Vendor-Audits Einblick in den System-Prompt und die Bewertungslogik nehmen (siehe Dokumentation im Security Questionnaire).
  • EU AI Act Art. 15 Bias-Testing: HireSift wird vor jeder Modell-Aktualisierung Sample-Tests durchführen, die strukturell gleiche Lebensläufe mit variierten demografischen Merkmalen gegen die gleichen Kriterien bewerten lassen, um systematische Abweichungen zu erkennen.

Restrisiko: mittel. Vollständige Bias-Elimination in LLM-basierten Systemen ist technisch nicht möglich — die Minderungsmaßnahmen adressieren das Hauptrisiko, Restrisiko verbleibt beim Einsatz solcher Systeme generell.

R3 — Art. 22 DSGVO: Automatisierte Einzelentscheidung

Beschreibung: Art. 22 DSGVO verbietet Entscheidungen, die "ausschließlich auf einer automatisierten Verarbeitung" beruhen und rechtliche oder ähnlich gravierende Wirkungen entfalten — konkret im HR-Kontext: automatisierte Ablehnung von Bewerbungen ohne menschliche Prüfung.

Eintrittswahrscheinlichkeit: niedrig Schadenshöhe: hoch (unmittelbarer DSGVO-Verstoß)

Minderungsmaßnahmen:

  • HireSift trifft keine Einstellungs- oder Ablehnungsentscheidungen. Alle Kandidaten bleiben nach der KI-Analyse im Dashboard sichtbar, niemand wird automatisch aussortiert.
  • Die Plattform hat keine automatisierte "Absage senden"-Funktion, die auf einem Score-Schwellwert basiert. Jede Absage muss manuell von einem Menschen ausgelöst werden.
  • Die Datenschutzerklärung und der AVV weisen den Kunden explizit darauf hin, dass er die Entscheidung nicht ausschließlich auf den KI-Score stützen darf.

Restrisiko: niedrig. Das Restrisiko liegt beim Kunden (Arbeitgeber), der HireSift vertragswidrig einsetzen könnte; HireSift mindert dies durch vertragliche Auflagen im AVV.

R4 — Datenabfluss an Drittstaaten

Beschreibung: Unkontrollierter Transfer von Bewerberdaten in Drittstaaten ohne ausreichendes Datenschutzniveau (Schrems II).

Eintrittswahrscheinlichkeit: niedrig Schadenshöhe: hoch

Minderungsmaßnahmen:

  • Bewerberdaten werden ausschließlich in der EU verarbeitet: Speicherung Frankfurt (Supabase, AWS eu-central-1), KI-Analyse Belgien (Vertex AI, europe-west4), Hosting Frankfurt (Vercel fra1).
  • US-basierte Unterauftragsverarbeiter (Clerk für Recruiter-Auth, Resend für transaktionale E-Mails) verarbeiten keine Bewerberdaten.
  • DPF-Zertifizierung + SCCs mit Clerk und Resend als zusätzliche Absicherung.

Restrisiko: sehr niedrig.

R5 — Unrechtmäßiger Zugriff durch Dritte

Beschreibung: Datenleck, Hackerangriff, Insider-Zugriff.

Eintrittswahrscheinlichkeit: niedrig Schadenshöhe: hoch

Minderungsmaßnahmen: siehe TOMs (docs/legal/toms.md).

Restrisiko: niedrig.

5. Ergebnis der Folgenabschätzung

Nach Abwägung der Risiken gegen die umgesetzten Minderungsmaßnahmen ist die Verarbeitung mit mittlerem Restrisiko unter R2 (Bias) als rechtmäßig einzustufen. Die Verarbeitung kann durchgeführt werden.

Notwendige laufende Maßnahmen:

  1. Jährliche Re-Evaluierung dieser DSFA (nächste Prüfung: April 2027)
  2. Ad-hoc-Re-Evaluierung bei Änderung des KI-Modells, des Regionenpfads oder des Verarbeitungszwecks
  3. Einrichtung eines Bias-Monitoring-Prozesses (Quartalsweise Sample-Tests gegen demografisch variierte CV-Varianten)
  4. Einführung einer Blind-Recruiting-Option im Dashboard (Roadmap Q3 2026)
  5. Externer DSB oder qualifizierter Datenschutzbeauftragter, der diese DSFA und deren Umsetzung begleitet

Keine Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO erforderlich, da die identifizierten Restrisiken durch die Minderungsmaßnahmen auf ein akzeptables Niveau reduziert werden können.

Dokumentenhistorie:

Version Datum Änderung Reviewer
1.0 April 2026 Initiale Fassung S&C Holding GmbH