Jacobsen + Confurius

Menü

KI im Bewerbungsmanagement: Diskriminierungsrisiken und rechtssichere Auswahlprozesse

© AI-generated image

Der Einsatz künstlicher Intelligenz im Recruiting ist in vielen Unternehmen inzwischen fester Bestandteil der Personalgewinnung. Moderne Bewerbermanagementsysteme integrieren KI-Module zur automatisierten Vorauswahl, zur Bewertung von Qualifikationen sowie zur Priorisierung und Empfehlung von Kandidaten. Ziel ist eine effizientere Verarbeitung großer Bewerbermengen und eine strukturierte Entscheidungsunterstützung.

Rechtlich bewegt sich dieser Einsatz jedoch in einem besonders sensiblen Bereich. KI-gestützte Recruiting-Systeme beeinflussen den Zugang zu Beschäftigung unmittelbar und berühren zentrale Grundrechte. Fehlerhafte Modelllogiken, unzureichende Kontrollmechanismen oder intransparente Bewertungskriterien können zu mittelbarer Diskriminierung führen und erhebliche Haftungsrisiken auslösen. Mit Inkrafttreten der EU-KI-Verordnung verschärft sich dieser regulatorische Rahmen zusätzlich.

  1. Systemarchitektur und Funktionsweise moderner Recruiting-KI

Typische Bewerbermanagementsysteme arbeiten mit einer mehrstufigen Architektur. Zunächst werden Bewerberdaten über Karriereportale, E-Mail-Importe oder CV-Parser erfasst und in digitale Bewerberakten überführt. Anschließend erfolgen systemgestützte Strukturierungen durch Ranking-, Matching- und Punktesysteme.

KI-Module ergänzen diese Prozesse regelmäßig durch

  • Automatisierte Analyse von Bewerbungsunterlagen;
  • Generierung von Passungs- und Priorisierungsvorschlägen;
  • Empfehlungskategorien für HR-Mitarbeitende;
  • Unterstützung der Bewerberkommunikation;
  • Optimierung von Stellenanzeigen und Vakanzstrategien.

Im praktischen Einsatz werden diese Ausgaben nicht nur informatorisch bereitgestellt, sondern regelmäßig in die weitere Prüfung integriert. Sie strukturieren die Reihenfolge, Tiefe und Intensität der menschlichen Bewertung und prägen damit den Entscheidungsraum des Recruitings.

Rechtlich ist damit entscheidend: Auch wenn die formale Einstellungsentscheidung durch natürliche Personen erfolgt, beeinflusst das KI-System den Zugang zu Beschäftigung faktisch.

  • Entstehung von Diskriminierungsrisiken

Diskriminierung im KI-gestützten Recruiting entsteht selten bewusst, sondern meist strukturell. Zu den zentralen Risikofaktoren zählen:

  • Verzerrte Trainingsdaten, die historische Auswahlmuster reproduzieren;
  • Indirekte Stellvertretermerkmale (Proxies) für geschützte Eigenschaften;
  • Algorithmische Gewichtungen ohne nachvollziehbare Begründung;
  • Optimierungsziele mit Nebenwirkungen für bestimmte Gruppen;
  • Starre Filter- und Schwellenmechanismen.

Bereits solche mittelbaren Effekte können eine Benachteiligung im Sinne des Allgemeinen Gleichbehandlungsgesetzes (AGG) begründen. In Streitfällen genügt regelmäßig ein Indizienvortrag, um die Darlegungslast auf den Arbeitgeber zu verlagern. Bei komplexen KI-Modellen wird die Rechtfertigung dann besonders anspruchsvoll.

  • Profiling und Art. 22 DSGVO

Die Nutzung von KI im Bewerbungsmanagement unterliegt unter anderem den Vorgaben der Datenschutz-Grundverordnung (DSGVO).

  1. Profiling

Nach Art. 4 Nr. 4 DSGVO liegt Profiling vor, wenn personenbezogene Daten automatisiert verarbeitet werden, um persönliche Aspekte zu bewerten oder vorherzusagen. Dies ist bei Scoring-, Ranking- und Passungssystemen regelmäßig der Fall.

Die KI-Ausgaben beziehen sich typischerweise auf berufliche Eignung, Zuverlässigkeit, Leistungsfähigkeit oder Erfolgsaussichten. Sie gehen über eine bloße Wiedergabe vorhandener Informationen hinaus und stellen eigenständige wertende Ableitungen dar. Damit ist die Schwelle zum Profiling regelmäßig überschritten.

  • Abgrenzung zur automatisierten Entscheidung

Für Art. 22 DSGVO ist nicht entscheidend, ob formal ein Mensch entscheidet. Maßgeblich ist, ob die automatisierte Bewertung faktisch maßgeblich übernommen wird. Werden KI-Empfehlungen regelmäßig ungeprüft umgesetzt, kann eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO vorliegen.

Hinweis: Der EuGH hat klargestellt (Rs. C-634/21, Urteil vom 7. Dezember 2023), dass eine „ausschließlich automatisierte Entscheidung“ auch dann vorliegen kann, wenn formal ein Mensch eingebunden ist, dieser aber die automatisierte Bewertung nicht eigenständig überprüft, sondern faktisch übernimmt. Ein formal eingebundener Mensch genügt daher nicht automatisch zur Vermeidung von Art. 22 DSGVO.

In solchen Konstellationen sind zusätzliche Garantien erforderlich, insbesondere

  • Wirksame menschliche Überprüfung;
  • Möglichkeit zur Stellungnahme;
  • Anfechtbarkeit der Entscheidung.
  • Transparenz und Zweckbindung

Bewerber müssen verständlich darüber informiert werden, dass KI eingesetzt wird, welche Daten verarbeitet werden und welche Bedeutung die Ergebnisse haben. Allgemeine Formulierungen genügen nicht. Zudem ist die Datennutzung strikt auf den konkreten Auswahlzweck zu begrenzen.

  • Einordnung nach der EU-KI-Verordnung

Die EU-KI-Verordnung ist seit dem 1. August 2024 in Kraft; die Anforderungen an Hochrisiko-KI-Systeme nach Art. 6 ff. werden ab dem 2. August 2026 anwendbar. Unternehmen sollten die verbleibende Zeit zur Vorbereitung und Compliance-Implementierung nutzen.

  1. Hochrisiko-Einstufung

KI-Systeme zur Analyse von Bewerberdaten und zur Ableitung von Priorisierungsvorschlägen fallen regelmäßig als Hochrisiko-KI unter Art. 6 Abs. 2 i. V. m. Anhang III Nr. 4 lit. a KI-VO. Dieser erfasst explizit KI-Systeme, die zur Einstellung oder Auswahl natürlicher Personen, insbesondere zur Schaltung gezielter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen sowie zur Bewertung von Kandidaten genutzt werden. Maßgeblich ist, dass sie den Auswahlprozess vorstrukturieren und lenken. Für die Einstufung als Hochrisiko-KI ist unerheblich, dass die finale Entscheidung formal durch Menschen erfolgt. Entscheidend ist die tatsächliche Einflussnahme auf den Zugang zu Beschäftigung.

  • Keine Ausnahme nach Art. 6 Abs. 3 KI-VO

Die in Art. 6 Abs. 3 KI-VO vorgesehenen Ausnahmen greifen in der Regel nicht:

  • Die KI-Systeme beschränken sich nicht auf eng gefasste technische Hilfstätigkeiten.
  • Sie verbessern nicht lediglich abgeschlossene menschliche Tätigkeiten.
  • Sie dienen nicht nur der nachgelagerten Kontrolle.
  • Sie übernehmen keine rein vorbereitenden Neutralfunktionen.

Vielmehr generieren KI-Systeme eigenständige, kontextbezogene Empfehlungen.

  • Rollenverteilung

Im Regelfall ist der Softwarehersteller Anbieter. Das einsetzende Unternehmen ist Betreiber im Sinne von Art. 3 Nr. 4 KI-VO, da es den Einsatzkontext bestimmt, die Organisation steuert und über die Nutzung der Ergebnisse entscheidet. Eine Quasi-Anbieterstellung kommt nur bei wesentlichen Zweck- oder Systemänderungen in Betracht.

  • Betreiberpflichten

Als Betreiber treffen das Unternehmen insbesondere

  • Dokumentationspflichten;
  • Pflicht zum Risikomanagement;
  • Sicherstellung menschlicher Aufsicht;
  • Monitoring im Echtbetrieb;
  • Zusammenarbeit mit Aufsichtsbehörden.

Diese Pflichten bestehen unabhängig von vertraglichen Zusagen des Anbieters.

  • Arbeits- und kollektivrechtliche Dimension

Neben dem Datenschutzrecht und der EU-KI-Verordnung sind arbeitsrechtliche Vorgaben zu beachten.

Für den Einsatz von KI im Bewerbungsverfahren ist primär § 95 BetrVG einschlägig, soweit standardisierte Bewertungslogiken als Auswahlrichtlinien zu qualifizieren sind. § 87 Abs. 1 Nr. 6 BetrVG greift ergänzend, wenn das System zugleich geeignet ist, das Verhalten oder die Leistung der am Recruiting beteiligten HR-Mitarbeitenden zu überwachen – nicht jedoch bereits allein aufgrund der Verarbeitung von Bewerberdaten, da § 87 Abs. 1 Nr. 6 BetrVG den Schutz von Arbeitnehmern, nicht von Bewerbern bezweckt.

Zudem gewinnt die Dokumentation auch im Bewerbungsverfahren an Bedeutung: Je stärker automatisiert Prozesse sind, desto höher ist die Erwartung an nachvollziehbare Entscheidungsgrundlagen.

  • Haftungs- und Reputationsrisiken

In der Praxis haftet primär der Arbeitgeber. Typische Risiken sind:

  • Entschädigungsansprüche nach AGG;
  • Schadensersatz nach Art. 82 DSGVO (zivilrechtlich durch Betroffene geltend zu machen) sowie Bußgelder nach Art. 83 DSGVO (durch Aufsichtsbehörden zu verhängen);
  • Sanktionen nach der KI-VO;
  • Unterlassungsansprüche von Betriebsräten;
  • Vertrauensverlust bei Bewerbern und Öffentlichkeit.

Regressansprüche gegen den jeweiligen Anbieter sind möglich, kompensieren diese Risiken aber nur begrenzt.

  • Schlussbetrachtung

KI im Bewerbungsmanagement ist kein reines Effizienztool, sondern ein hochregulierter Eingriff in den Zugang zu beruflichen Chancen. Systeme, die Bewerbungen bewerten, priorisieren und vorstrukturieren, sind regelmäßig als Hochrisiko-KI einzuordnen und unterliegen strengen datenschutz- und arbeitsrechtlichen Anforderungen. Rechtssicher ist der Einsatz nur dann, wenn technische Gestaltung, organisatorische Prozesse und rechtliche Compliance konsequent zusammengedacht werden. Unternehmen, die KI strategisch einführen, dokumentieren und kontrollieren, können ihre Recruiting-Prozesse modernisieren, ohne erhebliche Haftungs- und Reputationsrisiken einzugehen.

Praxistipp: Rechtssicherer Einsatz von Recruiting-KI

Aus anwaltlicher Sicht sollten Unternehmen den Einsatz von KI im Bewerbungsmanagement strukturiert und nachvollziehbar dokumentiert sowie auditierfähig organisieren:

  1. Dokumentation von Zweck- und Kontextbestimmung: Fixieren Sie schriftlich den Einsatzbereich, die Entscheidungslogik und die Rolle der KI im Prozess.
  2. Technische Absicherung des Human Oversight: Konfigurieren Sie Systeme so, dass automatische Ablehnungen ausgeschlossen sind und aktive Prüfungen erforderlich bleiben.
  3. Durchführung rechtlicher Profiling- und DSFA-Prüfung: Analysieren Sie systematisch, ob Profiling vorliegt, und führen Sie frühzeitig eine Datenschutz-Folgenabschätzung durch.
  4. Prüfung der Anbieter-Compliance: Verlangen Sie transparente Informationen zu Trainingsdaten, Modelländerungen, Bias-Tests und Auditmechanismen.
  5. Entwicklung eines Transparenzkonzepts: Integrieren Sie verständliche Hinweise in Karriereportale, Bestätigungs-E-Mails und Nutzeroberflächen.
  6. Etablierung von Diskriminierungstests: Überprüfen Sie regelmäßig statistisch, ob bestimmte Gruppen systematisch benachteiligt werden.
  7. Einbindung des Betriebsrats (soweit vorhanden): Klären Sie Auswahlrichtlinien und Systemparameter vor Einführung kollektivrechtlich ab – primär auf Grundlage von § 95 BetrVG sowie ggf. § 87 Abs. 1 Nr. 6 BetrVG.
  8. Implementierung eines laufenden Monitorings: Führen Sie regelmäßige Reviews, Protokollierungen und Anpassungen durch.

Kontakt:
Jens Borchardt

Nach oben scrollen