Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
u-line-clamp-2
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
u-line-clamp-3
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
u-line-clamp-4
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Typography Elements
Ordered List
This is some text
This is some text
This is some text
This is some text
This is some text
This is some text
This is some text
This is some text
This is some text
Unordered List
This is some text
This is some text
This is some text
This is some text what happens if the text is long
This is some text
This is some text
This is some text what happens if the text is long
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Malte Weiss zeigt Ihnen live, was KI heute wirklich kann, wo die Grenzen liegen und wie Sie die Kontrolle behalten. Live-Webinar – exklusiv und kostenfrei.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Der Einsatz von KI im Recruiting nimmt rasant zu , gleichzeitig steigen die rechtlichen Anforderungen. Mit der EU-KI-Verordnung und den bestehenden Datenschutzpflichten geraten viele gängige Praktiken unter Druck, insbesondere der Umgang mit Bewerberdaten in generischen KI-Tools wie ChatGPT.
Dieser Artikel zeigt, welche Risiken und Pflichten sich für Unternehmen im DACH-Raum ergeben, wo klare rechtliche Grenzen verlaufen und warum HR-Teams jetzt handeln sollten, um Compliance-Verstöße zu vermeiden und ihre Recruiting-Prozesse zukunftssicher aufzustellen.
KI im Recruiting: Datenschutz und EU KI Verordnung 2026
Künstliche Intelligenz wird im Recruiting längst nicht mehr nur experimentell eingesetzt. Viele HR-Teams nutzen KI-Tools bereits zur Textanalyse, zur Vorqualifizierung von Bewerbungen, zur Erstellung von Stellenanzeigen oder zur Unterstützung bei administrativen Aufgaben. Besonders bei hohem Bewerbungsvolumen kann KI dabei helfen, Prozesse zu beschleunigen und Recruiter:innen zu entlasten.
Gleichzeitig verarbeitet Recruiting besonders sensible personenbezogene Daten. Lebensläufe, Zeugnisse, Anschreiben, Gehaltsvorstellungen oder Interviewnotizen enthalten Informationen, die für Bewerber:innen sehr persönlich und karriererelevant sind. Genau hier setzt die neue EU-KI-Verordnung an: Sie schafft verbindliche Regeln für KI-Systeme, die in sensiblen Bereichen wie Beschäftigung, Personalauswahl und Personalmanagement eingesetzt werden.
Für Unternehmen bedeutet das: KI im Recruiting kann weiterhin sinnvoll und effizient eingesetzt werden aber nur mit klaren Prozessen, dokumentierten Verantwortlichkeiten, Datenschutzkonzepten und menschlicher Kontrolle.
Was ändert sich 2026 durch die EU KI-Verordnung?
Die EU-KI-Verordnung schafft erstmals einen einheitlichen Rechtsrahmen für den Einsatz künstlicher Intelligenz in der Europäischen Union. Ziel ist es, Risiken für Grundrechte, Datenschutz, Sicherheit und Diskriminierungsfreiheit zu minimieren und gleichzeitig Innovation kontrolliert zu ermöglichen.
Für das Recruiting ist besonders relevant, dass bestimmte KI-Systeme im Bereich Beschäftigung und Personalauswahl als Hochrisiko-KI-Systeme eingestuft werden können. Dazu zählen insbesondere Anwendungen, die Bewerbungen analysieren, Kandidat:innen bewerten, Lebensläufe vorfiltern oder Entscheidungen vorbereiten, die Einfluss auf Einstellung, Auswahl oder berufliche Entwicklung haben. Die offizielle Systematik der EU-KI-Verordnung ordnet Hochrisiko-Systeme unter anderem über Artikel 6 und Anhang III ein; dort werden sensible Einsatzbereiche wie Beschäftigung und Personalmanagement ausdrücklich berücksichtigt.
Ab dem 2. August 2026 greifen zentrale Pflichten für viele Hochrisiko-KI-Systeme. Die EU-Kommission beschreibt die Anwendung der Verordnung als schrittweisen Rollout, wobei die vollständige Umsetzung bis 2027 vorgesehen ist. Für HR-Teams ist 2026 deshalb ein besonders wichtiger Zeitpunkt, um bestehende KI-Prozesse zu prüfen und anzupassen.
Dazu gehören unter anderem:
klare Zweckbindung und Dokumentation des KI-Einsatzes
Transparenz gegenüber Bewerber:innen
menschliche Kontrolle über KI-gestützte Bewertungen und Entscheidungen
erhöhte Anforderungen an Datenschutz, Datensicherheit und Nachvollziehbarkeit
Prüfung, ob eingesetzte Systeme als Hochrisiko-KI einzustufen sind
klare Zuständigkeiten zwischen HR, IT, Datenschutz und Geschäftsführung
Für HR-Teams bedeutet das, dass der Einsatz von KI nicht mehr informell oder nebenbei erfolgen kann. Prozesse, Tools und Verantwortlichkeiten müssen nachvollziehbar geregelt und dokumentiert sein.
Bewerberdaten und KI: Wo die grössten Risiken im Recruiting-Alltag liegen
Bewerberdaten gehören zu den sensibelsten personenbezogenen Informationen, die Unternehmen verarbeiten. Lebensläufe, Zeugnisse, Anschreiben oder Interviewnotizen enthalten häufig Daten zu Werdegang, Qualifikationen und teilweise auch zu Gesundheit oder familiären Umständen.
Genau hier entstehen im Zusammenspiel mit KI-Tools erhebliche Risiken. Besonders problematisch wird es, wenn HR-Teams Bewerberunterlagen in externe KI-Anwendungen hochladen, ohne zu prüfen, was mit diesen Daten im Hintergrund passiert.
Ein typisches Beispiel aus der Praxis ist die Nutzung von ChatGPT zur Zusammenfassung oder Bewertung von Lebensläufen. Auch wenn der Zweck nachvollziehbar erscheint, ist der datenschutzrechtliche Rahmen in vielen Fällen nicht erfüllt. Bewerberdaten dürfen nicht ohne Rechtsgrundlage an Dritte weitergegeben oder für unklare Zwecke verarbeitet werden.
Zu den häufigsten Risiken zählen:
Fehlende Kontrolle darüber, wo und wie die Daten verarbeitet werden
Mögliche Nutzung der Inhalte zu Trainingszwecken
Fehlende oder unzureichende Einwilligung der betroffenen Personen
Übermittlung sensibler Daten ausserhalb der EU
Gerade im Recruiting-Alltag entstehen diese Risiken oft nicht aus Absicht, sondern aus Unwissen oder Zeitdruck. Die EU KI-Verordnung und die DSGVO machen jedoch keinen Unterschied zwischen bewussten und unbewussten Verstössen. Wie vollständige Anonymisierung vor der KI-Analyse einen datenschutzkonformen Prozess sicherstellt: KI-Bewerbungsscreening von OnApply.
Pflichten für Unternehmen und HR-Teams: Was jetzt zu tun ist
Mit der EU KI-Verordnung und der weiterhin geltenden DSGVO wächst die Verantwortung für Unternehmen deutlich. Der Einsatz von KI im Recruiting erfordert klare Regeln, definierte Zuständigkeiten und dokumentierte Prozesse.
Bewerberdaten gehören zu den sensibelsten personenbezogenen Informationen, die Unternehmen verarbeiten. Lebensläufe, Zeugnisse, Anschreiben oder Interviewnotizen enthalten häufig Daten zu Werdegang, Qualifikationen, Gehalt, Wohnort und manchmal auch indirekte Hinweise auf Gesundheit, Alter, familiäre Situation, Herkunft oder andere geschützte Merkmale.
Genau hier entstehen im Zusammenspiel mit KI-Tools erhebliche Risiken. Besonders problematisch wird es, wenn HR-Teams Bewerberunterlagen in externe KI-Anwendungen hochladen, ohne vorab zu prüfen, wo die Daten verarbeitet werden, ob ein Auftragsverarbeitungsvertrag besteht und ob die Nutzung mit der DSGVO vereinbar ist.
Ein typisches Beispiel aus der Praxis ist die Nutzung generischer KI-Tools zur Zusammenfassung oder Bewertung von Lebensläufen. Auch wenn der Zweck nachvollziehbar erscheint, ist der datenschutzrechtliche Rahmen in vielen Fällen nicht erfüllt. Bewerberdaten dürfen nicht ohne Rechtsgrundlage an Dritte weitergegeben, für unklare Zwecke verarbeitet oder ausserhalb kontrollierter Systeme analysiert werden.
Zu den häufigsten Risiken zählen:
fehlende Kontrolle darüber, wo und wie Bewerberdaten verarbeitet werden
mögliche Nutzung der Inhalte zu Trainings- oder Optimierungszwecken
fehlende oder unzureichende Information der betroffenen Personen
unklare Rechtsgrundlage für die Verarbeitung
Übermittlung sensibler Daten ausserhalb der EU
fehlende Löschkonzepte und Aufbewahrungsfristen
nicht dokumentierte KI-Bewertungen oder Score-Werte
Gerade im Recruiting-Alltag entstehen diese Risiken oft nicht aus Absicht, sondern aus Unwissen, Zeitdruck oder fehlenden internen Vorgaben. Die DSGVO und die EU-KI-Verordnung machen jedoch keinen Unterschied zwischen bewussten und unbewussten Verstössen.
Typische Fehler und Compliance-Fallen im Recruiting-Alltag
IIn der Praxis entstehen Datenschutzverstösse im Recruiting selten durch bewusstes Fehlverhalten. Häufig sind es gut gemeinte Abkürzungen oder fehlende klare Regeln, die zu Problemen führen.
Ein häufiger Fehler ist die Annahme, dass frei verfügbare KI-Tools automatisch datenschutzkonform genutzt werden dürfen. Tatsächlich kann bereits das Hochladen eines Lebenslaufs in einen externen KI-Dienst eine Weitergabe personenbezogener Daten an einen externen Anbieter darstellen – oft ohne ausreichende Rechtsgrundlage oder ohne geprüften Vertrag zur Auftragsverarbeitung.
Weitere typische Compliance-Fallen sind:
fehlende interne Richtlinien zum Einsatz von KI im Recruiting
keine Abstimmung zwischen HR, IT und Datenschutz
unklare Verantwortlichkeiten für KI-gestützte Prozesse
mangelnde Transparenz gegenüber Bewerber:innen
fehlende Prüfung von Auftragsverarbeitungsverträgen
Nutzung privater Accounts oder frei zugänglicher KI-Tools
fehlende Dokumentation von KI-gestützten Bewertungen
unklare Kriterien bei automatisierten Match-Scores
Die Folgen können erheblich sein: Neben möglichen Bussgeldern drohen Vertrauensverlust bei Bewerber:innen, interne Unsicherheit und Reputationsschäden. Gerade im Wettbewerb um Fachkräfte kann ein intransparenter oder unsicherer Umgang mit Bewerberdaten langfristige Auswirkungen auf das Employer Branding haben.
Deshalb sollten Unternehmen klare Leitlinien formulieren: Welche KI-Tools dürfen genutzt werden? Welche Daten dürfen eingegeben werden? Wer prüft neue Tools? Und wann muss der Datenschutz eingebunden werden?
Welche KI-Tools DSGVO-konform eingesetzt werden können
Nicht alle KI-Tools sind gleich. Der entscheidende Unterschied liegt in der kontrollierten Datenverarbeitung. Seriöse Anbieter setzen auf klar definierte Zwecke, transparente Prozesse und technische Schutzmassnahmen, die den rechtlichen Anforderungen gerecht werden.
Für HR-Teams ist besonders wichtig, dass ein KI-Tool nicht isoliert betrachtet wird. Entscheidend ist der gesamte Prozess: vom Bewerbungseingang über die Analyse bis zur Speicherung, Löschung und Dokumentation. Ein Tool kann nur dann sinnvoll eingesetzt werden, wenn Datenflüsse, Verantwortlichkeiten und Sicherheitsmassnahmen nachvollziehbar geregelt sind.
Bei der Auswahl geeigneter KI-Tools sollten Unternehmen unter anderem auf folgende Kriterien achten:
DSGVO-konforme Datenverarbeitung
Serverstandort und Datenverarbeitung innerhalb der EU oder Deutschlands
klare Informationen zur Nutzung und Speicherung von Daten
keine unkontrollierte Nutzung von Bewerberdaten zu Trainingszwecken
Anonymisierung oder Pseudonymisierung sensibler Informationen
transparente Bewertungskriterien
menschliche Kontrollmöglichkeiten
nachvollziehbare Dokumentation der Ergebnisse
geprüfte technische und organisatorische Massnahmen
Für Unternehmen verschiebt sich der Fokus: weg von punktuellen KI-Experimenten hin zu integrierten, geprüften Lösungen, die Datenschutz und Compliance von Anfang an berücksichtigen.
KI im Recruiting unterliegt ab August 2026 klaren regulatorischen Vorgaben durch die EU KI-Verordnung
Bewerberdaten zählen zu besonders schützenswerten personenbezogenen Daten und dürfen nicht unkontrolliert in KI-Tools verarbeitet werden
Das Hochladen von Bewerberunterlagen in generische KI-Anwendungen wie ChatGPT ist in der Regel datenschutzrechtlich unzulässig
Unternehmen sind verpflichtet, den Einsatz von KI im Recruiting transparent zu machen und zu dokumentieren
Menschliche Kontrolle bleibt bei allen KI-gestützten Entscheidungen im Recruiting zwingend erforderlich
Fehlende interne Regeln und unklare Verantwortlichkeiten sind eines der grössten Compliance-Risiken
Wer jetzt Strukturen schafft, reduziert rechtliche Risiken und stärkt Vertrauen bei Bewerber:innen
Fazit und Handlungsempfehlungen
Der Einsatz von KI im Recruiting bietet grosse Chancen, bringt aber ebenso klare rechtliche Verpflichtungen mit sich. Spätestens mit der EU KI-Verordnung wird deutlich, dass der Umgang mit Bewerberdaten nicht nebenbei geregelt werden kann. Datenschutz, Transparenz und Kontrolle werden zu festen Bestandteilen moderner Recruiting-Prozesse.
Unternehmen sollten jetzt prüfen, wo KI bereits eingesetzt wird und ob dieser Einsatz den rechtlichen Anforderungen entspricht. Dazu gehört auch, interne Regeln zu definieren, Mitarbeitende zu sensibilisieren und technische Lösungen kritisch zu hinterfragen.
OnApply bietet eine Recruiting-Lösung, die KI-Funktionen datenschutzkonform und rechtssicher integriert – mit vollständiger Anonymisierung vor der Analyse, DSGVO-geprüften Prozessen und Server-Infrastruktur in Deutschland. Details zur KI-Bewerberanalyse: KI-Bewerberanalyse – so funktioniert der Match-Score.
Häufige Fragen zu KI im Recruiting und Datenschutz
Dürfen Bewerberunterlagen in ChatGPT hochgeladen werden?
In der Regel nein. Bewerberunterlagen enthalten personenbezogene und teils sensible Daten. Ohne klare Rechtsgrundlage und vertragliche Absicherung ist die Nutzung externer KI Tools problematisch.
Welche Risiken entstehen durch KI im Recruiting?
Neben Datenschutzverstößen drohen Bußgelder, Reputationsschäden und Vertrauensverlust bei Bewerberinnen und Bewerbern.
Was regelt die EU KI Verordnung zusätzlich zur DSGVO
Die EU KI Verordnung ergänzt die DSGVO um spezifische Anforderungen an den Einsatz von KI Systemen, insbesondere bei risikobehafteten Anwendungen wie im Recruiting.
Welche Pflichten haben Unternehmen beim Einsatz von KI im HR Bereich?
Unternehmen müssen den KI Einsatz dokumentieren, Transparenz schaffen, menschliche Kontrolle sicherstellen und Datenschutz sowie Datensicherheit gewährleisten.
Wie können sich HR Teams jetzt vorbereiten?
Durch klare interne Richtlinien, Schulungen für Mitarbeitende und den Einsatz geprüfter Recruiting Tools, die Datenschutz und Compliance berücksichtigen.
DSGVO-konform mit KI recruiten
OnApply wurde nach deutschem Datenschutzrecht entwickelt – erfahren Sie, wie wir KI und DSGVO von Anfang an zusammendenken.
