DSGVO KI Bewerber Screening · 16 Min. Lesezeit

DSGVO & KI im Recruiting: Bewerber-Screening rechtskonform | RechtAI

Wie Sie KI-gestützte Bewerberselektion DSGVO-konform einsetzen. Art. 22, automatisierte Entscheidungen, Betriebsrat-Rechte – Leitfaden für HR-Manager.

Redaktion RechtAI · Fachlich geprüft
Juristen & Compliance-Experten, spezialisiert auf DSGVO und EU AI Act

Zuletzt geprüft am: 2026-04-10 | Quellen: dsgvo-gesetz.de, gesetze-im-internet.de, eur-lex.europa.eu

Werbung / Affiliate-Hinweis: Dieser Artikel enthält Affiliate-Links (gekennzeichnet mit „Werbung”). Wenn du über einen dieser Links ein Produkt buchst oder anforderst, erhalten wir eine Provision — für dich entstehen keine zusätzlichen Kosten. Alle Empfehlungen basieren auf unabhängiger redaktioneller Recherche.

TL;DR — Das Wichtigste auf einen Blick

  • Art. 22 DSGVO greift, wenn KI-Systeme Bewerbungen ausschließlich automatisiert bewerten und daraus eine rechtlich oder erheblich wirkende Entscheidung folgt — etwa die Ablehnung ohne Vorstellungsgespräch.
  • Du darfst KI im HR einsetzen — aber nur mit klarer Rechtsgrundlage (Vertrag, Gesetz oder ausdrückliche Einwilligung) und einem inhaltlich prüfenden Menschen als letzter Entscheidungsinstanz.
  • KI-gestütztes Bewerber-Screening gilt nach Anhang III Nr. 4 EU AI Act (Verordnung (EU) 2024/1689) als Hochrisiko-KI-System — mit eigenen Deployer-Pflichten auch für reine Nutzer.
  • Bußgelder für Verstöße gegen Art. 22 DSGVO: bis zu 20 Mio. € oder 4 % des globalen Jahresumsatzes (Art. 83 Abs. 5 DSGVO).
  • Checkliste: Datenschutz-Folgenabschätzung (DSFA), Transparenzpflicht im Bewerbungsportal, AVV mit KI-Anbieter und interne HR-Richtlinie für menschlichen Letzentscheid.

Das Problem: Lisa und ihr KI-Screening-Tool

Lisa, 34, ist HR-Managerin in einem Maschinenbauunternehmen mit 600 Mitarbeitern. Seit dem letzten Quartal setzt ihr Team ein KI-gestütztes Bewerbermanagement-Tool ein: Es scannt Lebensläufe, vergleicht Kandidatenprofile mit den Stellenanforderungen und schlägt vor, welche Bewerberinnen und Bewerber in die engere Auswahl kommen sollen. Der Zeitgewinn ist enorm — doch Lisas Datenschutzbeauftragte stellt eine unbequeme Frage: “Habt ihr eigentlich Art. 22 DSGVO beachtet?”

Diese Frage ist berechtigt. KI-gestütztes Bewerber-Screening liegt exakt in der rechtlichen Grauzone zwischen erlaubter Datenverarbeitung und verbotener rein automatisierter Entscheidung. Wer hier falsch handelt, riskiert nicht nur Bußgelder — sondern auch Reputationsschäden und AGG-Klagen abgelehnter Bewerber.

Dieser Artikel zeigt, was konkret erlaubt ist, welche Pflichten du hast und wie du KI im HR rechtssicher einsetzt.

Was ist Art. 22 DSGVO — und warum betrifft er HR?

Art. 22 Abs. 1 DSGVO gewährt betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Im HR-Kontext ist das direkt relevant: Wenn ein KI-System eine Bewerberin automatisch aussortiert — ohne dass ein Mensch die Entscheidung inhaltlich überprüft — und diese Bewerberin dadurch keine Einladung zum Vorstellungsgespräch erhält, handelt es sich sehr wahrscheinlich um eine Entscheidung mit “erheblicher Wirkung” im Sinne von Art. 22 DSGVO.

Wann greift Art. 22 DSGVO genau?

Drei Voraussetzungen müssen kumulativ erfüllt sein:

  1. Ausschließlich automatisierte Verarbeitung: Kein Mensch ist inhaltlich an der Entscheidung beteiligt — oder die menschliche Beteiligung ist nur formal (Klick auf “Bestätigen” ohne inhaltliche Prüfung).
  2. Entscheidung mit erheblicher Wirkung: Die Entscheidung hat rechtliche oder vergleichbar bedeutsame Folgen für die betroffene Person — Einladung oder Absage ist eindeutig darunter zu fassen.
  3. Profiling eingeschlossen: Auch das automatisierte Erstellen von Persönlichkeitsprofilen (Stärken-Schwächen-Analyse, Matching-Score) fällt darunter, wenn es die Grundlage der Entscheidung bildet.

Praxisbeispiel “greift”: Das KI-Tool erstellt eine Rangliste aller Bewerbungen. HR lädt automatisch die Top-20 ein — ohne dass ein Mitarbeiter die Einzelprofile gesehen hat. → Art. 22 DSGVO verletzt.

Praxisbeispiel “greift nicht”: Das KI-Tool erstellt eine Rangliste mit Begründungen. Eine HR-Kollegin sichtet die Top-30, weicht in 4 Fällen von der KI-Empfehlung ab und trifft eigenständig eine Entscheidung. → Art. 22 DSGVO nicht verletzt, wenn die menschliche Prüfung dokumentiert und real ist.

Die Grenze ist fließend — und Behörden und Gerichte schauen auf die tatsächliche Praxis, nicht auf das Handbuch.

Die drei Ausnahmen: Wann ist KI-Screening erlaubt?

Art. 22 DSGVO ist kein absolutes Verbot. Es gibt drei Ausnahmen, unter denen automatisierte Entscheidungen zulässig sind (Art. 22 Abs. 2 DSGVO):

Ausnahme 1: Vertragserfüllung oder -anbahnung

Die automatisierte Entscheidung ist für die Anbahnung oder Erfüllung eines Vertrags erforderlich. Im Bewerbungskontext ist der angestrebte Arbeitsvertrag das Ziel — aber “erforderlich” ist restriktiv auszulegen. Die Automatisierung muss notwendig sein, nicht nur praktisch oder zeitsparend. Bei Massenbewerbungen (Tausende von Eingaben) ist das eher begründbar als bei 30 Bewerbungen auf eine Führungsposition.

Ausnahme 2: Gesetzliche Ermächtigung

Eine Rechtsvorschrift erlaubt die automatisierte Entscheidung und enthält geeignete Schutzmaßnahmen. In Deutschland existiert derzeit keine HR-spezifische gesetzliche Ermächtigung für automatisierte Bewerberentscheidungen — diese Ausnahme ist für die meisten Unternehmen nicht praxisrelevant.

Ausnahme 3: Ausdrückliche Einwilligung

Der Bewerber willigt ausdrücklich ein (Art. 22 Abs. 2 lit. c DSGVO). Wichtig: “Ausdrücklich” bedeutet, dass voreingestellte Checkboxen, allgemeine Datenschutzerklärungen oder stillschweigende Akzeptanz nicht ausreichen. Die Einwilligung muss spezifisch, informiert und freiwillig sein.

Das Problem im Bewerbungskontext: Ein Bewerber, der die Einwilligung verweigert, riskiert faktisch, benachteiligt zu werden. Das macht die “Freiwilligkeit” zweifelhaft. Wenn du auf Einwilligung setzt, muss es eine echte Alternative geben — also die Möglichkeit, auch ohne KI-Auswertung vollständig berücksichtigt zu werden.

Pflicht-Schutzmaßnahmen bei Ausnahmen 1 und 3

Selbst wenn eine Ausnahme greift, sind Schutzmaßnahmen verpflichtend (Art. 22 Abs. 3 DSGVO):

  • Recht auf menschliche Überprüfung: Der Bewerber kann verlangen, dass ein Mensch die Entscheidung neu bewertet.
  • Recht auf Stellungnahme: Der Bewerber kann seinen Standpunkt darlegen, bevor eine finale Entscheidung getroffen wird.
  • Widerspruchsrecht: Der Bewerber kann die automatisierte Entscheidung anfechten.

Diese Rechte müssen aktiv kommuniziert werden — nicht im Kleingedruckten versteckt.

KI im HR als Hochrisiko-System: EU AI Act Pflichten ab 2026

Neben der DSGVO greift ab August 2026 auch der EU AI Act (Verordnung (EU) 2024/1689) vollständig. KI-Systeme für Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit sind in Anhang III Nr. 4 des EU AI Acts als Hochrisiko-Systeme klassifiziert.

Das betrifft konkret:

  • KI-gestütztes Screening von Bewerbungsunterlagen und Lebensläufen
  • Automatisierte Vorauswahl und Ranglisten von Kandidatinnen und Kandidaten
  • KI-Systeme zur Bewertung von Testergebnissen, Video-Interviews oder Assessment-Center-Daten
  • Systeme für Personalbeförderung, Gehaltsanpassung und Entlassung

Deployer-Pflichten nach Art. 26 EU AI Act

Als Deployer — also als Unternehmen, das ein fertiges HR-KI-Tool eines anderen Anbieters einsetzt — musst du nach Art. 26 EU AI Act folgende Pflichten erfüllen:

  1. Grundrechte-Folgenabschätzung: Prüfe, wie das KI-System Grundrechte der Bewerber — insbesondere Nichtdiskriminierung und Privatsphäre — beeinflussen kann.
  2. Menschliche Aufsicht sicherstellen: Automatisierte Empfehlungen dürfen nicht unkontrolliert wirken; die Möglichkeit zur menschlichen Intervention muss real und dokumentiert sein.
  3. Dokumentation und Protokollierung: Das System muss nachvollziehbare Logs erzeugen — wann welche Entscheidungsgrundlage vorlag und wer die finale Entscheidung traf.
  4. Transparenz gegenüber Betroffenen: Bewerber müssen informiert werden, dass ein KI-Hochrisikosystem in ihrem Bewerbungsverfahren eingesetzt wird.
  5. Anbieter-Dokumentation prüfen und aufbewahren: Als Deployer bist du verpflichtet, die technische Dokumentation des KI-Anbieters zu prüfen — nicht nur blind zu akzeptieren.

Das Wichtigste: Diese Pflichten treffen dich als HR-Abteilung — auch wenn du das Tool nur nutzt, nicht selbst entwickelst. Einen vollständigen Überblick über Deployer-Pflichten findest du in unserem EU AI Act Compliance Leitfaden für den Mittelstand.

BDSG § 26: Beschäftigtendatenschutz für Bewerber

Parallel zur DSGVO gilt das Bundesdatenschutzgesetz (BDSG) § 26, das die Datenverarbeitung im Beschäftigungskontext regelt. Bewerberinnen und Bewerber gelten als zukünftige Beschäftigte und sind damit vom Schutzbereich erfasst.

Nach § 26 Abs. 1 BDSG ist die Verarbeitung von Bewerberdaten nur zulässig, wenn sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. “Erforderlich” bedeutet: Nur Daten, die objektiv entscheidungsrelevant sind, dürfen erhoben und verarbeitet werden. Ein KI-Tool, das Foto-Analysen oder Social-Media-Daten einbezieht, hat hier ein erhebliches Compliance-Problem.

Einwilligung im Bewerbungsverfahren: Die Problemzone

§ 26 Abs. 2 BDSG stellt besondere Anforderungen an Einwilligungen von Beschäftigten — denn das strukturelle Machtgefälle zwischen Arbeitgeber und Arbeitnehmer gefährdet die “Freiwilligkeit”. Im Bewerbungskontext ist das noch kritischer: Ein Bewerber, der die Einwilligung zur KI-Auswertung verweigert, befürchtet zu Recht, nicht berücksichtigt zu werden.

Konsequenz: Wenn dein HR-Tool auf Einwilligung als Rechtsgrundlage setzt, muss es eine echte Alternative geben — also eine vollwertige Berücksichtigung auch ohne KI-Auswertung. Das ist operativ aufwändig, aber rechtlich zwingend.

Schritt-für-Schritt: DSGVO-konforme KI-Nutzung im Bewerbungsprozess

Schritt 1: KI-Tool inventarisieren und klassifizieren

Erstelle für jedes HR-KI-Tool eine Bestandsaufnahme:

  • Welche Bewerberdaten werden verarbeitet (Name, Lebenslauf, Testergebnisse, Video)?
  • Wie funktioniert das Tool (regelbasiert, ML-Modell, Scoring-Algorithmus)?
  • Ist das Tool unter Anhang III Nr. 4 EU AI Act als Hochrisiko einzuordnen?
  • Hat der Anbieter technische Dokumentation und CE-Kennzeichnung nach EU AI Act bereitgestellt?

Schritt 2: Datenschutz-Folgenabschätzung (DSFA) durchführen

Gemäß Art. 35 DSGVO ist eine DSFA verpflichtend, wenn ein System systematisch personenbezogene Daten auswertet und dabei Profiling betreibt — was auf HR-Screening-Tools fast immer zutrifft. Die DSFA dokumentiert:

  • Die Art und den Umfang der Datenverarbeitung
  • Risiken für die Bewerber (Diskriminierung, Transparenzmangel, fehlerhafte Ablehnung)
  • Schutzmaßnahmen zur Risikominderung
  • Verbleibende Restrisiken und deren Akzeptabilität

Schritt 3: Rechtsgrundlage festlegen und dokumentieren

Entscheide, auf welcher Grundlage ihr das KI-Tool einsetzt, und halte das schriftlich fest:

  • § 26 BDSG (Erforderlichkeit für Beschäftigungsentscheidung): Nur für Daten, die objektiv entscheidungsrelevant sind.
  • Einwilligung: Nur wenn echte Freiwilligkeit sichergestellt ist (Alternative ohne KI muss real existieren und kommuniziert werden).
  • Vertrag (Art. 22 Abs. 2 lit. a DSGVO): Nur wenn die Automatisierung wirklich notwendig für die Vertragsanbahnung ist — nicht nur bequem.

Schritt 4: Transparenzpflichten umsetzen

Schon in der Stellenanzeige und im Bewerbungsportal müssen Bewerber umfassend informiert werden (Art. 13 DSGVO). Die Datenschutzerklärung muss explizit enthalten:

  • Dass KI-gestützte Systeme im Bewerbungsverfahren eingesetzt werden
  • Wie die KI funktioniert (vereinfacht, aber verständlich)
  • Welche Bewerberdaten verarbeitet werden und wie lange
  • Welche Rechte die Bewerber haben: Auskunft, Berichtigung, Widerspruch
  • Dass sie bei automatisierten Entscheidungen menschliche Überprüfung verlangen können
  • Kontaktdaten des Datenschutzbeauftragten

Schritt 5: “Human-in-the-Loop” strukturell verankern

Die HR-Mitarbeiterinnen und -Mitarbeiter müssen die KI-Empfehlung inhaltlich prüfen, nicht nur formal bestätigen. Das heißt konkret:

  • Die KI liefert eine Liste mit Begründungen — kein Mensch darf diese ungeprüft übernehmen.
  • Interne Richtlinie: “Kein Bewerber wird ausschließlich aufgrund einer KI-Empfehlung abgelehnt.”
  • HR-Team-Schulung: Mitarbeiter müssen KI-Empfehlungen kritisch hinterfragen und dokumentiert abweichen können.
  • Protokoll: Wer hat wann welche KI-Empfehlung gesehen und welche finale Entscheidung getroffen?

Schritt 6: Verarbeitungsverzeichnis aktualisieren

Jede Datenverarbeitungsaktivität muss im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert sein. Ergänze für dein HR-KI-Tool:

  • Name, Version und Anbieter des KI-Tools
  • Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter nach Art. 28 DSGVO
  • Kategorien der verarbeiteten Bewerberdaten
  • Löschfristen — in der Regel 6 Monate nach Verfahrensabschluss (§ 15 Abs. 4 AGG)
  • Technische und organisatorische Maßnahmen (TOMs) des Anbieters

Schritt 7: Prozesse für Bewerberrechte etablieren

Bereite dich auf Bewerberanfragen vor — Frist für Antworten: 1 Monat (Art. 12 Abs. 3 DSGVO):

  • Auskunftsrecht (Art. 15 DSGVO): Bewerber können fragen, welche Daten erhoben und wie verarbeitet wurden.
  • Recht auf Erklärung: Bei automatisierten Entscheidungen können sie eine Erläuterung der Logik und Bedeutung verlangen.
  • Widerspruch: Sie können verlangen, dass ein Mensch die Entscheidung neu bewertet.

Häufige Fehler im HR-KI-Einsatz

Fehler 1: “Wir nutzen das Tool ja nur zur Unterstützung”

Wenn HR-Mitarbeiter de facto immer der KI-Empfehlung folgen, ist Art. 22 DSGVO verletzt — unabhängig davon, wie es intern kommuniziert wird. Datenschutzbehörden und Gerichte schauen auf die tatsächliche Praxis, nicht auf das Organisationshandbuch.

Fehler 2: KI-Einsatz in der Datenschutzerklärung nicht explizit erwähnt

Viele Unternehmen haben eine allgemeine Datenschutzerklärung, die KI-Screening nicht spezifisch erwähnt. Das reicht nicht aus. Bewerber müssen gezielt über den KI-Einsatz informiert werden — idealerweise prominent im Bewerbungsportal, nicht im Kleingedruckten.

Fehler 3: Kein Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter

Der KI-Anbieter verarbeitet personenbezogene Bewerberdaten in deinem Auftrag — das erfordert zwingend einen AVV nach Art. 28 DSGVO. Ohne AVV liegt eine rechtswidrige Datenübermittlung vor.

Fehler 4: Keine DSFA durchgeführt

KI-gestütztes Bewerber-Screening ist in der Regel DSFA-pflichtig. Fehlt sie, drohen Bußgelder nach Art. 83 Abs. 4 DSGVO (bis zu 10 Mio. € oder 2 % des globalen Jahresumsatzes).

Fehler 5: Bewerberdaten zu lange gespeichert

Bewerberdaten müssen nach Abschluss des Verfahrens gelöscht werden — in der Regel nach 6 Monaten (Verjährungsfrist für AGG-Ansprüche nach § 15 Abs. 4 AGG). Viele KI-Tools speichern Daten standardmäßig länger, um das Modell zu trainieren. Das muss aktiv in den Anbieter-Einstellungen und im AVV ausgeschlossen werden.

Fehler 6: Besondere Datenkategorien werden verarbeitet

Wenn das KI-Tool Fotos analysiert (Gesichtserkennung, Emotionserkennung) oder Social-Media-Daten einbezieht, werden möglicherweise besondere Datenkategorien verarbeitet — Ethnizität, Gesundheit, Religion. Für diese gilt Art. 9 DSGVO mit deutlich strengeren Anforderungen. Automatisierte Entscheidungen auf Basis dieser Daten sind nach Art. 22 Abs. 4 DSGVO grundsätzlich verboten, es sei denn, spezifische Ausnahmen nach Art. 9 Abs. 2 greifen.

Praktisches Beispiel: Lisas Unternehmen vor und nach dem Audit

Ausgangslage: Lisa setzt seit 6 Monaten ein KI-Tool ein, das CVs bewertet und eine Rangliste erstellt. HR lädt die Top-20 ohne weitere Prüfung zum Interview ein. Bewerbungen in der Datenschutzerklärung werden pauschal als “zur Stellenbesetzung verarbeitet” beschrieben.

Rechtliche Bewertung:

  • Art. 22 DSGVO verletzt: rein automatisierte Entscheidung mit erheblicher Wirkung
  • Keine DSFA vorhanden
  • Keine spezifische Aufklärung über KI-Einsatz im Bewerbungsportal
  • Kein AVV mit dem KI-Anbieter
  • Löschfristen nicht konfiguriert

Maßnahmenplan für Lisa:

  1. AVV mit KI-Anbieter innerhalb von 30 Tagen abschließen (oder nachreichen)
  2. DSFA durchführen — Template nutzen oder Datenschutzberatung einschalten
  3. Datenschutzerklärung und Bewerbungsportal aktualisieren: KI-Einsatz explizit, verständlich kommunizieren
  4. Interne HR-Richtlinie: KI-Empfehlung ist Input, nicht Entscheidung — dokumentiert
  5. Schulung des HR-Teams zu Bewerberrechten nach Art. 22 DSGVO
  6. Löschfristen im KI-Tool auf 6 Monate nach Verfahrensabschluss konfigurieren
  7. Verarbeitungsverzeichnis um das KI-Tool-Eintrag ergänzen

Ergebnis nach 6 Wochen: Das Tool wird weiter genutzt — aber als Unterstützung für informierte HR-Entscheidungen, nicht als Entscheidungsmaschine. Rechtssicher, dokumentiert, vertretbar.

Tools, die HR-Teams bei der DSGVO-Compliance unterstützen

Werbung | Die folgenden Tools wurden redaktionell ausgewählt und passen zu den beschriebenen Compliance-Anforderungen.

DataGuard — HR-Datenschutz-Beratung (Werbung)

DataGuard bietet spezialisierte HR-Datenschutzlösungen für den deutschen Mittelstand: DSFA-Vorlagen und -Durchführung, DSGVO-Dokumentation für KI-Tools im HR, AVV-Verwaltung und automatisches Verarbeitungsverzeichnis. DataGuard ist DACH-nativ, kennt BDSG § 26 und AGG, und begleitet die Implementierung mit einem persönlichen Datenschutzberater — keine generische US-Plattform. Für ein Unternehmen wie Lisas ist DataGuard die effizienteste Lösung, um schnell aus der Compliance-Lücke zu kommen.

DataGuard für HR-Datenschutz kennenlernen (Werbung)

Usercentrics — Consent Management für Bewerbungsportale (Werbung)

Wenn du im Bewerbungsportal auf ausdrückliche Einwilligung nach Art. 22 Abs. 2 lit. c DSGVO setzt, brauchst du ein rechtssicheres Consent-Management-System. Usercentrics ermöglicht granulare, dokumentierte Einwilligungsprozesse — mit Protokollierung jedes Consent-Events und einfacher Widerrufsmöglichkeit. Mit Sitz in München ist Usercentrics DACH-rechtlich gepflegt und unterstützt auch Szenarien jenseits von Cookie-Consent.

Usercentrics für Bewerbungsportale testen (Werbung)

Für einen vollständigen Vergleich dieser und weiterer Tools lies unseren Artikel KI-Compliance-Tools im Vergleich 2026: DataGuard, Usercentrics, Vanta & OneTrust.

FAQ: DSGVO und KI im Bewerber-Screening

Gilt Art. 22 DSGVO auch, wenn ein Mensch die KI-Empfehlung “bestätigt”?

Nicht automatisch. Entscheidend ist, ob die menschliche Beteiligung inhaltlich ist — also ob der Mensch die Empfehlung eigenständig prüft und nachweislich abweichen kann und tut. Eine bloße formale Bestätigung ohne inhaltliche Prüfung reicht nicht aus. Datenschutzbehörden prüfen die tatsächliche Praxis.

Darf ich Bewerberdaten in US-Cloud-Diensten verarbeiten?

Nur mit geeigneten Garantien. Entweder der Anbieter verfügt über ein gültiges EU-US-Data-Privacy-Framework-Zertifikat oder es bestehen Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO). Für Hochrisiko-KI-Systeme im HR sollte ein EU-Datenspeicherort klar bevorzugt und vertraglich gesichert werden.

Können Bewerber das KI-Scoring anfechten?

Ja. Bei Entscheidungen, die unter Art. 22 DSGVO fallen, haben Bewerber das Recht auf menschliche Überprüfung, Stellungnahme und Widerspruch (Art. 22 Abs. 3 DSGVO). Diese Rechte müssen aktiv — nicht nur in der Datenschutzerklärung — kommuniziert werden.

Wie lange dürfen Bewerberdaten gespeichert werden?

Als Standardfrist gilt 6 Monate nach Abschluss des Verfahrens — das entspricht der Verjährungsfrist für Entschädigungsansprüche nach dem Allgemeinen Gleichbehandlungsgesetz (§ 15 Abs. 4 AGG). Längere Speicherung erfordert einen separaten Rechtsgrund, zum Beispiel die ausdrückliche Einwilligung zur Aufnahme in einen Talent-Pool.

Gilt der EU AI Act auch für KI-Tools, die wir nur mieten, nicht selbst entwickeln?

Ja. Als Deployer treffen dich eigene Pflichten nach Art. 26 EU AI Act — unabhängig davon, wer das Tool entwickelt hat. Dazu gehören Grundrechte-Folgenabschätzung, menschliche Aufsicht und Dokumentationspflichten. Mehr dazu in unserem EU AI Act Compliance Leitfaden.

Was passiert, wenn wir Art. 22 DSGVO verletzen?

Bußgelder bis zu 20 Mio. € oder 4 % des globalen Jahresumsatzes (Art. 83 Abs. 5 DSGVO). Zusätzlich drohen zivilrechtliche Schadensersatzansprüche abgelehnter Bewerber nach Art. 82 DSGVO und mögliche AGG-Klagen bei diskriminierenden Auswirkungen des Algorithmus.

Weiterführende Artikel

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die rechtliche Lage im Bereich KI und Datenschutz entwickelt sich schnell. Für konkrete Einzelfälle — insbesondere bei der Auswahl des richtigen Rechtsgrundlage oder der Durchführung einer DSFA — wende dich bitte an eine qualifizierte Datenschutzkanzlei oder deinen betrieblichen Datenschutzbeauftragten.

Quellen

Weitere Artikel

AI Datenschutz DSGVO

Künstliche Intelligenz und Datenschutz: Wie KMUs AI rechtssicher einsetzen

DSGVO & KI für Unternehmen: Art. 22 automatisierte Entscheidungen, Datenschutz-Folgenabschätzung für KI-Systeme und praktische Checkliste für KMUs.

EU AI Act IT-Dienstleister

EU AI Act für IT-Dienstleister 2026: Compliance-Leitfaden für Softwareunternehmen

Anbieter oder Betreiber? Konkrete Pflichten für IT-Dienstleister unter dem EU AI Act 2026: GPAI, Hochrisiko-KI, Dokumentation und Deadlines für Softwareunternehmen.

Datenschutzerklärung Website Deutschland

Datenschutzerklärung für Websites schreiben: Pflichtangaben 2026

Datenschutzerklärung für deutsche Websites: Alle Pflichtangaben nach DSGVO, Muster-Formulierungen und häufige Fehler — praxisnah für Selbstständige und KMU.