Auf einen Blick: Bewerber-Scoring mit KI bewegt sich 2026 zwischen drei Rechtsbereichen: AGG bei Diskriminierung, DSGVO bei Datenverarbeitung, KI-VO bei Hochrisiko-Einstufung. Nach OLG Hamm 12.05.2026 haftet der Arbeitgeber für KI-Aussagen wettbewerbsrechtlich. KMU dürfen KI zur Pre-Selection und Skill-Match einsetzen, müssen aber die finale Entscheidung dokumentiert menschlich treffen, eine DSFA nach Art. 35 DSGVO durchführen und Bewerber nach Art. 13 DSGVO informieren.
Das Landesarbeitsgericht hat 2025 noch entschieden, dass automatisiertes CV-Screening grundsätzlich zulässig ist, solange ein Mensch die finale Entscheidung trifft. Im Mai 2026 hat das OLG Hamm in einem anderen Verfahren entschieden, dass der Betreiber eines KI-Systems wettbewerbsrechtlich für Halluzinationen haftet. Diese beiden Linien treffen jetzt im Recruiting aufeinander. Ein KMU-Personalleiter, der Personio mit KI-Modul, SAP SuccessFactors oder Workday Recruiter einsetzt, muss sich plötzlich mit Bias-Audits, Audit-Logs und Beweislastfragen beschäftigen.
Wer das jetzt sauber aufsetzt, hat einen ruhigen Schreibtisch. Wer es nicht tut, lernt das spätestens beim ersten AGG-Verfahren oder DSGVO-Bußgeld.
Die drei Rechtsbereiche, die zusammenwirken
Bewerber-Scoring fällt nicht unter ein einziges Gesetz. Es liegt im Schnittfeld von drei Regimen, die nebeneinander gelten.
Das Allgemeine Gleichbehandlungsgesetz verbietet in § 7 AGG die Benachteiligung wegen Geschlecht, ethnischer Herkunft, Religion, Behinderung, Alter oder sexueller Identität. Das gilt auch dann, wenn die Benachteiligung indirekt über ein KI-Modell entsteht. Ein KI-System, das auf historischen Einstellungsdaten trainiert wurde, übernimmt die Verzerrungen dieser Daten. Wenn in der Vergangenheit weniger Frauen für eine bestimmte Rolle eingestellt wurden, lernt das Modell, weibliche Profile niedriger zu scoren. Schadenersatz nach § 15 AGG kann bis zu drei Monatsgehälter betragen, auch wenn dem Arbeitgeber das Bias-Problem nicht bewusst war.
Die Datenschutz-Grundverordnung greift parallel. Art. 22 DSGVO regelt automatisierte Einzelentscheidungen. Wenn eine Bewerbung allein aufgrund einer KI-Bewertung abgelehnt wird, ist das eine automatisierte Entscheidung mit rechtlicher Wirkung. Solche Entscheidungen sind grundsätzlich verboten, außer es liegt eine ausdrückliche Einwilligung vor, eine gesetzliche Grundlage oder eine Vertragserforderlichkeit. Art. 22 Abs. 3 DSGVO verlangt zusätzlich menschliches Eingreifen, das Recht auf Anhörung und eine Anfechtungsmöglichkeit. Art. 88 DSGVO öffnet die Tür für nationale Beschäftigtendatenschutz-Regeln, in Deutschland konkretisiert durch § 26 BDSG.
Die KI-Verordnung kommt 2026 noch nicht voll zum Tragen. Anhang III der KI-VO listet HR-Anwendungen als Hochrisiko-KI. Die ursprüngliche Frist 02.08.2026 wurde durch die Trilog-Einigung vom 07.05.2026 auf 02.12.2027 verschoben. Bis dahin gelten noch keine Anhang-III-Pflichten. Aber Art. 5 KI-VO ist schon in Kraft und verbietet seit dem 02.02.2025 Emotion-Recognition am Arbeitsplatz und soziales Scoring. Wer ein Video-Interview-Tool einsetzt, das Mimik analysiert, bewegt sich in einer rechtlichen Grauzone.
Was du im Recruiting konkret darfst
Drei Praxis-Szenarien zeigen, wo die Grenzen verlaufen.
Bei der Pre-Selection darf KI Bewerbungen filtern. Volltext-Suche nach Schlüsselqualifikationen, Skill-Match mit der Stellenbeschreibung, Sprachen-Filter. Solange diese Filter transparente, sachliche Kriterien anwenden und ein Mensch die endgültige Auswahl trifft, ist das zulässig. Wichtig ist, dass die Kriterien dokumentiert sind und keine versteckte Diskriminierung enthalten. Eine Filterung nach "Berufserfahrung seit 2018" benachteiligt indirekt Bewerber, die Elternzeit oder Pflegezeit hatten.
Beim Ranking darf KI Bewerber sortieren. Aber die Sortier-Logik muss erklärbar und audit-fähig sein. Wenn die HR-Abteilung am Ende des Quartals 200 Bewerbungen sieht, von denen die KI 30 als "Top-Empfehlung" markiert hat, muss jederzeit nachvollziehbar sein, warum diese 30 ausgewählt wurden. Black-Box-Modelle, die keine Begründung liefern, sind ein Problem. Sie sind nicht per se verboten, aber im Streitfall trägt der Arbeitgeber die Beweislast.
Beim Persönlichkeits-Scoring wird es heikel. Tools, die Video-Interviews automatisch auswerten und Mimik, Sprachmelodie oder Wortwahl zu Persönlichkeitsprofilen verdichten, bewegen sich in der DSGVO-rechtlich problematischen Zone. Emotion-Recognition am Arbeitsplatz ist nach Art. 5 KI-VO seit Februar 2025 verboten. Die genaue Abgrenzung zwischen "verbotener Emotion-Erkennung" und "erlaubter Sprachanalyse" ist noch nicht abschließend geklärt. Bis das geklärt ist, ist Zurückhaltung sinnvoll.
Was OLG Hamm mit HR zu tun hat
Das Urteil des OLG Hamm vom 12.05.2026 (Az. 4 UKl 3/25) betrifft formal einen Chatbot-Fall im Online-Handel. Das Gericht hat entschieden, dass der Betreiber eines KI-Chatbots wettbewerbsrechtlich nach §§ 3, 5 UWG für falsche Aussagen seines Systems haftet, auch für Halluzinationen. Die Revision zum BGH ist zugelassen.
Übertragen auf das Recruiting bedeutet das: Wenn ein KI-Tool einen Bewerber falsch profiliert, dem System ein Beruf zugeschrieben wird, den der Bewerber nie hatte, oder die KI eine erfundene Qualifikation behauptet, kann der Arbeitgeber haftbar sein. Nicht primär gegenüber dem Bewerber, sondern wettbewerbsrechtlich gegenüber Mitbewerbern oder Verbraucherschützern. Wer eine Stellenanzeige mit "KI-gestütztem fairem Bewerbungsprozess" bewirbt, das System aber halluziniert systematisch, riskiert eine Abmahnung wegen irreführender Werbung.
Wer das unterschätzt, übersieht die zweite Front. Neben AGG und DSGVO öffnet OLG Hamm eine dritte Angriffsfläche. In der Praxis sehen wir, dass viele HR-Abteilungen bei der Tool-Auswahl primär auf Funktionsumfang und Preis schauen. Die rechtliche Architektur des Anbieters, also Frage 1 nach AVV, Frage 2 nach Bias-Audit-Reports, Frage 3 nach Audit-Log-Funktion, fällt unter den Tisch.
Praxis: Diehl Personaldienste in Augsburg
Ein Beispiel aus der Beratungspraxis, anonymisiert. Diehl Personaldienste, ein mittelständischer Personaldienstleister mit 78 Mitarbeitern in Augsburg, hat im Frühjahr 2026 eine KI-Lösung für Bewerber-Matching evaluiert. Der Anbieter hatte ein attraktives Pricing, einen guten Demo-Termin und Referenzen aus dem Mittelstand.
In der Compliance-Prüfung kamen drei Punkte hoch. Erstens fehlte ein dokumentierter Bias-Audit. Der Anbieter hatte das System auf einer großen Datenmenge trainiert, aber keine Belege, dass das Modell auf Diskriminierung getestet wurde. Zweitens war die Sortier-Logik eine Black Box. Bewerber bekamen Scores von 0 bis 100, aber das Tool gab keine erklärbare Begründung. Drittens fehlte eine Audit-Log-Funktion. Nach einer Bewerbungs-Ablehnung war im System nicht nachvollziehbar, welche Score-Komponenten zur Entscheidung beigetragen hatten.
Die Geschäftsführung hat das Tool nicht eingeführt. Stattdessen wurde Personio mit dem KI-Modul gewählt, weil dort die Sortier-Kriterien transparenter und die Bewerber-Bewertung erklärbar ist. Zusätzlich wurde eine DSFA nach Art. 35 DSGVO erstellt, die Stellenanzeigen wurden um einen KI-Hinweis ergänzt, und in jedem Bewerbungsprozess wird die finale Entscheidung dokumentiert vom Recruiting-Lead getroffen, nicht vom Tool. Zwölf Wochen nach Einführung läuft das System geräuschlos, und im internen Audit hat der Datenschutzbeauftragte keine Beanstandungen.
Das ist nicht die schnellste Lösung. Aber es ist die belastbarste.
DSFA: was konkret reingehört
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist bei KI-Bewerber-Scoring fast immer Pflicht. Sie wird im Streitfall zur Beweislastumkehr-Schutzschild. Wer sie hat, kann zeigen, dass die Risiken bewertet und Schutzmaßnahmen getroffen wurden.
Die DSFA umfasst typischerweise eine Beschreibung der Verarbeitung, eine Bewertung der Notwendigkeit, eine Risiko-Analyse für die Rechte und Freiheiten der Bewerber, und die Maßnahmen zur Risiko-Minderung. Konkret bedeutet das in der Praxis:
| Punkt | Was reingehört |
|---|---|
| Verarbeitungsbeschreibung | Welches Tool, welche Daten (CV, Anschreiben, Score), welche Speicherorte |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder lit. f (berechtigtes Interesse) |
| Notwendigkeit | Warum KI eingesetzt wird (Effizienz, Volumen), ob ohne KI machbar |
| Risiko-Identifikation | AGG-Diskriminierung, Black-Box-Entscheidung, Datenleck |
| Schutzmaßnahmen | Menschliche Letzt-Entscheidung, Audit-Log, Bias-Tests, AVV mit Anbieter |
| Folgenabschätzung | Eintrittswahrscheinlichkeit pro Risiko, Schwere bei Eintritt |
| Konsultation | Datenschutzbeauftragten einbeziehen, ggf. Aufsichtsbehörde |
Die DSFA ist kein einmaliges Dokument. Sie wird gepflegt, wenn sich das Tool ändert, neue Module hinzukommen oder die Datenquellen erweitert werden. In der Praxis sehen wir, dass eine DSFA für Bewerber-Scoring zwischen 8 und 25 Seiten umfasst, je nach Komplexität des Tools.
Information der Bewerber
Nach Art. 13 DSGVO musst du Bewerber transparent über den KI-Einsatz informieren. Das beginnt mit der Stellenanzeige. Ein Satz wie "Wir setzen für die Vor-Auswahl KI-gestützte Tools ein, die endgültige Entscheidung treffen unsere Recruiter" gehört in den Footer der Anzeige oder ins Karriere-Portal.
Die ausführliche Information folgt in der Datenschutzerklärung des Bewerbungsprozesses. Sie umfasst Anbieter, Zwecke, Rechtsgrundlage, Speicherdauer, Empfänger, ob ein Drittlandtransfer stattfindet, und die Rechte der Bewerber. Wer hier knapp formuliert, riskiert Bußgelder. Die BfDI-Praxis Stand Mai 2026 zeigt Bußgelder von 50.000 Euro bei kleineren Mängeln bis 2 Mio Euro bei systematischen DSGVO-Verstößen.
Drei Punkte, die in der Bewerber-Information immer drinstehen sollten. Erstens: welche Daten in das KI-System fließen (CV, Anschreiben, optionale Tests). Zweitens: wie lange diese Daten gespeichert werden (typisch 6 Monate nach Abschluss des Bewerbungsverfahrens, wegen AGG-Verjährungsfrist). Drittens: dass jeder Bewerber das Recht auf manuelle Überprüfung hat und Auskunft, Berichtigung und Löschung verlangen kann.
Audit-Log und Beweissicherung
Das ist der unsichtbare Teil, der im Streitfall den Unterschied macht. Für jede Bewerbung speicherst du drei Datenpunkte. Die KI-Bewertung mit Zeitstempel und Score. Die menschliche Entscheidung mit Zeitstempel und Begründung. Den Abgleich, falls die menschliche Entscheidung von der KI-Empfehlung abweicht.
Die Speicherdauer beträgt mindestens sechs Monate. § 15 Abs. 4 AGG sieht eine Zwei-Monats-Frist für die Geltendmachung von Schadenersatzansprüchen vor, aber die anschließende Klage kann bis zu drei Monate später eingereicht werden, und die DSGVO-rechtliche Aufbewahrungspflicht für die Beweissicherung läuft länger. Sechs Monate sind ein sinnvolles Minimum, ein Jahr ist defensiver.
In der Praxis sehen wir, dass Audit-Logs oft die Achillesferse sind. Die meisten HR-Tools speichern Scores, aber nicht die Begründung. Wer 2026 ein Tool auswählt, fragt explizit nach: Wird die Score-Begründung gespeichert? Kann die menschliche Entscheidung mit Freitext-Notiz erfasst werden? Gibt es einen Export für interne Audits?
Was du jetzt konkret tun solltest
Wenn du bereits KI-gestütztes Recruiting einsetzt, beginne mit einer Bestandsaufnahme. Welche Tools sind im Einsatz? Was machen sie genau? Welche Daten fließen rein? Gibt es eine DSFA, einen AVV, eine Bewerber-Information? Wenn an einer Stelle "nein" steht, ist das der Punkt, an dem du nachziehen musst.
Wenn du gerade ein Tool auswählst, schicke dem Anbieter eine kurze Checkliste mit fünf Fragen. Erstens: AVV nach Art. 28 DSGVO verfügbar? Zweitens: dokumentierter Bias-Audit für deutsche Bewerber-Profile? Drittens: erklärbare Sortier-Logik mit Score-Begründung? Viertens: Audit-Log mit Score, menschlicher Entscheidung und Begründung? Fünftens: EU-Hosting oder DPF-Zertifizierung beim Drittlandtransfer?
Anbieter, die diese fünf Fragen nicht in zwei Wochen schriftlich beantworten, sind nicht reif für den Recruiting-Einsatz. Anbieter, die mit "das machen wir auf Anfrage" antworten, brauchen Nachfragen. Wer eine vollständige Antwort schickt und konkrete Belege beifügt, gehört in die engere Auswahl. Wer das Thema systematisch durchdenken will, findet im Curriculum zum Datenschutz bei KI-Tools die größeren Zusammenhänge zwischen AVV-Verträgen, Drittlandtransfer und KI-spezifischen Pflichten.
Häufige Fragen
Darf eine KI eine Bewerbung allein ablehnen?
Nein, in Deutschland nicht ohne weiteres. Art. 22 DSGVO verbietet automatisierte Einzelentscheidungen mit rechtlicher Wirkung, außer es liegt eine ausdrückliche Einwilligung vor oder eine gesetzliche Grundlage. Eine Bewerbungs-Ablehnung gehört in diese Kategorie. In der Praxis bedeutet das, dass die KI eine Empfehlung gibt, ein Mensch aber die finale Entscheidung trifft und dokumentiert. Audit-Logs müssen diese menschliche Letzt-Entscheidung nachweisen können.
Welche Schadenersatzhöhe droht bei einer AGG-Klage wegen KI-Bias?
Nach § 15 AGG bis zu drei Monatsgehälter, wenn der Bewerber bei diskriminierungsfreier Auswahl nicht eingestellt worden wäre. Wenn der Bewerber bewiesenermaßen eingestellt worden wäre, kann die Höhe darüber hinaus gehen. In der Praxis sehen wir Vergleichsbeträge zwischen 5.000 und 25.000 Euro pro Fall, plus Anwaltskosten und Reputationsschaden. Die Verjährungsfrist für die Geltendmachung beträgt zwei Monate nach Kenntnis der Benachteiligung.
Was unterscheidet erlaubte Sprachanalyse von verbotener Emotion-Recognition?
Die Grenze ist 2026 noch nicht abschließend geklärt. Art. 5 KI-VO verbietet seit Februar 2025 Emotion-Recognition am Arbeitsplatz. Erlaubt sind sachliche Sprachanalysen wie Sprach-Erkennung für Untertitel oder Fachvokabular-Erkennung. Verboten sind Modelle, die aus Stimmlage, Sprechtempo oder Mimik auf Persönlichkeitsmerkmale, Emotionen oder Eignungsprognosen schließen. Bis das BAG oder der EuGH eine klarere Linie zieht, ist Zurückhaltung bei Video-Interview-Auswertungs-Tools sinnvoll.
Reicht es, wenn unser Anbieter DSGVO-konform ist?
Nein, das ist nur die halbe Miete. Der Anbieter braucht eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO, einen dokumentierten Bias-Audit, eine erklärbare Sortier-Logik und Audit-Log-Funktionen. Du als verantwortliche Stelle musst zusätzlich eine DSFA nach Art. 35 DSGVO erstellen, Bewerber nach Art. 13 DSGVO informieren und die menschliche Letzt-Entscheidung dokumentieren. Die Verantwortung lässt sich nicht vollständig auf den Anbieter abwälzen.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
Bereit für den nächsten Schritt? Wenn du KI im Geschäftsalltag systematisch einsetzen willst, statt nur an einzelnen Tools zu basteln, schau dir den Digitalisierungsmanager an. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro.
Zuletzt geprüft am 25. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.