KI im Recruiting: eine datenschutzrechtliche Abwägung
Das Personalwesen gehört zu den sensibelsten Einsatzgebieten für KI. Lebensläufe und Bewerbungsschreiben enthalten eine Vielzahl personenbezogener Daten – bisweilen auch besondere Datenkategorien nach Art. 9 DSGVO: Hinweise auf Gesundheitszustand, ethnische Herkunft, religiöse Überzeugungen, politische Meinungen, die sich aus früheren Tätigkeiten ableiten lassen. Gleichzeitig wächst der Druck auf Personalabteilungen, bei steigendem Bewerbungsaufkommen effizienter zu werden.
Lokale LLMs bieten einen pragmatischen Ausweg: KI-gestützte Unterstützung bei der Bewerberauswahl, ohne dass Daten die eigene IT-Infrastruktur verlassen. Doch der Schritt erfordert mehr als ein Ollama-Setup – er verlangt ein fundiertes Verständnis der geltenden Rechtslage.
Dieser Leitfaden fasst zusammen, was gemäß unserem Verständnis des DSGVO-Textes erlaubt, was riskant und was verboten ist.
Artikel 22 DSGVO: was er tatsächlich sagt
Artikel 22 DSGVO untersagt ausschließlich vollautomatisierte Entscheidungen, die für die betroffene Person „rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen" – sofern keine der Ausnahmen in Abs. 2 greift. Im Recruiting-Kontext bedeutet das: Lehnt ein Algorithmus eine Bewerbung endgültig ab, ohne dass ein Mensch die Entscheidung überprüft hat, liegt ein Verstoß vor – außer wenn:
- die Entscheidung für die Vertragsanbahnung erforderlich ist und die Organisation hinreichende Schutzmaßnahmen getroffen hat,
- eine mitgliedstaatliche Rechtsvorschrift sie ausdrücklich erlaubt, oder
- die betroffene Person ausdrücklich eingewilligt hat.
Selbst dort, wo eine Ausnahme greift, muss die Organisation Betroffenen das Recht auf menschliche Überprüfung, auf Darlegung des Standpunkts und auf Anfechtung der Entscheidung sicherstellen (Art. 22 Abs. 3 DSGVO).
Die praktische Konsequenz: KI als Hilfsmittel beim ersten Sichten von Bewerbungen – ja. KI als alleiniger Entscheider – nein.
Es lohnt sich außerdem, den EU AI Act im Blick zu behalten: Vollautomatisierte KI-Systeme zur Bewerberauswahl fallen nach unserem Verständnis unter die Hochrisiko-Kategorie (Anhang III Nr. 4). Die entsprechenden Betreiberpflichten wurden durch den Digital Omnibus vom Mai 2026 zwar auf 2027–2028 verschoben, sollten aber frühzeitig in die Systemplanung einbezogen werden.
Besondere Datenkategorien: Art. 9 DSGVO
Wenn ein LLM einen Lebenslauf auswertet und dabei – explizit oder implizit – Schlüsse aus Nationalität, herkunftssuggestiven Namen, erwähnten Erkrankungen oder religiösen Mitgliedschaften zieht, ist Art. 9 DSGVO einschlägig. Das erhöht die Anforderungen erheblich: Die Verarbeitung besonderer Datenkategorien erfordert in der Regel ausdrückliche Einwilligung oder einen anderen engen Erlaubnistatbestand.
Die sicherste Lösung: strukturelle Bereinigung vor der LLM-Eingabe. Fotos, Geburtsdaten und sonstige Art.-9-sensible Angaben werden per Parsing-Pipeline entfernt, bevor das Modell den Text überhaupt sieht.
Warum lokale LLMs die DSGVO-konforme Wahl sind
Wer Bewerbungsunterlagen an eine Cloud-API schickt – sei es via OpenAI, Anthropic oder einen anderen Anbieter – überträgt personenbezogene Daten an einen Dritten. Das erzeugt unmittelbaren Handlungsbedarf:
- Auftragsverarbeitungs-Vereinbarung nach Art. 28 DSGVO mit dem Anbieter
- Prüfung der Drittlandtransfer-Konformität (Kapitel V DSGVO) – besonders wenn Server außerhalb des EWR stehen
- Sicherstellung, dass die Daten nicht für Modelltraining verwendet werden
Mit einem lokalen LLM auf eigenem Server oder einem Mac Studio M3 Ultra entfällt dieser Aufwand vollständig. Die Daten verlassen das eigene Netz nicht. Kein Drittlandtransfer, kein Art.-28-Vertrag mit dem Modellanbieter notwendig. Die DSGVO-Verantwortung verbleibt allein beim Unternehmen – einfacher und rechtlich robuster.
Wie auf X kommentiert wird, ist der Compliance-Aufwand für DSGVO und KI-Verordnung ein „Fixkostenblock, den nur Konzerne problemlos schultern können" – lokale KI-Stacks können diesen Nachteil für KMU strukturell umkehren.
Praxisleitfaden: DSGVO-konforme Bewerberanalyse mit lokalem LLM
Schritt 1: Menschliche Letztentscheidung sicherstellen
Jede KI-Ausgabe bleibt Entscheidungsgrundlage, nicht Entscheidung selbst. Im Workflow muss dokumentiert sein, dass eine Person die KI-Empfehlung gesehen und eigenständig beurteilt hat. Ohne dieses Protokoll greift Art. 22 Abs. 1 DSGVO.
Schritt 2: Datensparsamkeit vor LLM-Eingabe
Bauen Sie eine Vorverarbeitungspipeline, die aus eingehenden PDFs und DOCX-Dateien:
- Fotos extrahiert und verwirft
- Geburtsdatum, Nationalitätsangaben und Religionszugehörigkeit herausfiltert
- Optional: Namen pseudonymisiert (Blind-Screening nach AGG)
Schritt 3: Modellwahl für HR-Aufgaben
Für CV-Analyse auf lokaler Hardware haben sich laut Community-Berichten folgende Modelle bewährt:
- Qwen2.5 7B via Ollama: zuverlässig bei strukturiertem JSON-Output, 20–40 tok/s auf Apple Silicon berichtet
- Llama 3.2 3B: sehr schnell für einfache Klassifizierungen, läuft auf Mac Mini mit 8 GB RAM
- Phi-4 Mini (3,8B): starke Reasoning-Qualität bei normierten Bewerbungsformaten, auch für Structured Output
Schritt 4: Prompt-Design ohne Bias
Der System-Prompt muss explizit untersagen, dass das Modell Schlussfolgerungen zu AGG-geschützten Merkmalen zieht:
Bewerte ausschließlich fachliche Qualifikationen, Berufserfahrung und
beschriebene Fähigkeiten. Ziehe keinerlei Schlüsse zu Alter, Geschlecht,
ethnischer Herkunft, Religion oder anderen personengebundenen Merkmalen.Schritt 5: Betriebsrat einbeziehen (§ 87 Abs. 1 Nr. 6 BetrVG)
In Unternehmen mit Betriebsrat unterliegt jede technische Einrichtung, die das Verhalten oder die Leistung von Beschäftigten erfassen kann, der Mitbestimmung. Das gilt gemäß unserem Verständnis auch für KI-gestützte Screening-Tools. Empfehlung: Betriebsvereinbarung abschließen, bevor das System produktiv geht.
Schritt 6: Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
KI-gestützte Bewerberauswahl mit Scoring-Funktion dürfte nach unserem Verständnis in der Regel eine DSFA erfordern. Die Aufsichtsbehörden – unter anderem BayLDA und die Datenschutzkonferenz (DSK) – haben entsprechende Positivlisten veröffentlicht, die automatisiertes Profiling im Beschäftigungskontext ausdrücklich nennen.
Was erlaubt ist – und was nicht
| Anwendungsfall | Status | Hinweis |
|---|---|---|
| Skills aus Lebenslauf extrahieren | ✅ Erlaubt | Strukturierung, kein Profiling |
| Bewerber-Ranking als Entscheidungshilfe | ⚠️ Erlaubt mit Mensch in the loop | Schritt 1 muss dokumentiert sein |
| Automatische Absage ohne menschliche Prüfung | ❌ Verboten | Verstößt gegen Art. 22 Abs. 1 DSGVO |
| Interviewfragen auf Basis Stellenprofil generieren | ✅ Erlaubt | Kein Personenbezug nötig |
| Jobprofile und Anforderungshefte erstellen | ✅ Erlaubt | Kein Personenbezug |
| Besondere Datenkategorien (Art. 9) analysieren | ❌ Verboten | Ohne ausdrückliche Einwilligung unzulässig |
Förderung in Deutschland: BAFA und KfW
Die Einführung DSGVO-konformer HR-KI-Lösungen kann im Rahmen der BAFA-Förderung für Unternehmensberatung (Programm „Förderung unternehmerischen Know-hows") bezuschusst werden. Lokale Infrastruktur lässt sich außerdem über KfW-Digitalisierungskredite mitfinanzieren. Beide Programme setzen auf datenschutzkonforme Digitalisierung – ein weiteres Argument für lokale statt cloudbasierter Infrastruktur.
Freshlab begleitet mittelständische Unternehmen beim Einstieg in lokale KI-Lösungen – von der technischen Infrastruktur bis zur DSFA. Mehr dazu auf unserer Übersicht zu lokaler KI, zur Datensouveränität und im kAIra-Toolkit.
Nächste Schritte
KI im Personalwesen ist rechtlich machbar – aber nur mit klarem Prozessdesign, Datensparsamkeit und menschlicher Letztverantwortung. Lokale LLMs nehmen dabei die drängendsten Datenschutzrisiken weg: Keine personenbezogenen Daten verlassen das Unternehmensnetz. Die Cloud-Abhängigkeit entfällt vollständig.
Wenn Sie prüfen möchten, wie ein DSGVO-konformes HR-KI-Setup für Ihr Unternehmen aussehen kann, sprechen Sie uns an – wir begleiten Sie von der DSFA über die lokale Infrastruktur bis zum Go-live.