ChatGPT im Recruiting 2026: Was darfst Du wirklich nach DSGVO über Bewerber abfragen?
Antwort vorab: ChatGPT als Recherche-Tool über Bewerber zu nutzen, ist datenschutzrechtlich ein Minenfeld. Generische öffentliche Informationen abzurufen („Welche Cloud-Zertifikate gibt es für AWS-Architekten?") ist OK. Den Bewerber selbst zu googeln-lassen („Was findest Du über Max Mustermann, geboren 1985, wohnhaft in Hamburg?") ist mehrfach problematisch: DSGVO-Verarbeitung ohne Rechtsgrundlage, fehlende Informationspflicht nach Art. 14, mögliche Übermittlung an OpenAI-Server in den USA, und ab August 2026 Hochrisiko-KI nach Anhang III EU AI Act.
Situation: ChatGPT, Claude und Gemini sind in HR-Abteilungen längst angekommen — informell, oft ohne IT-Governance. Complication: Die DSGVO-Konformität der KI-Nutzung im Recruiting ist in den meisten Unternehmen ungeklärt. Erste Bußgelder gegen Arbeitgeber wegen ChatGPT-Nutzung in HR sind 2025 ergangen. Resolution: Dieser Artikel klärt, welche KI-Nutzung im Recruiting rechtskonform ist, welche nicht, und welche organisatorischen Leitplanken HR jetzt setzen muss.
Drei Anwendungsfälle — drei Bewertungen
Fall 1: Generische Fachfragen — meist OK
Anfrage: „Welche Zertifikate gelten als gleichwertig zum AWS Solutions Architect Professional?"
Bewertung: Keine personenbezogenen Daten betroffen. DSGVO greift nicht. Ergebnis kann zur Lebenslauf-Bewertung herangezogen werden. Voraussetzung: keine Nennung von Bewerber-Daten in der Anfrage.
Fall 2: Bewerber-Recherche — fast immer problematisch
Anfrage: „Recherchiere alles, was Du über die Person Max Mustermann, geboren 1985, wohnhaft in Hamburg, findest."
Bewertung: Mehrere Probleme parallel:
Rechtsgrundlage fehlt. Selbst wenn § 26 BDSG die HR-Datenverarbeitung erlaubt, deckt das nicht ab, dass die Bewerber-Daten an OpenAI-Server (vermutlich US-East) übermittelt werden. Das ist ein Drittstaaten-Transfer ohne dokumentierte Rechtsgrundlage.
Informationspflicht verletzt. Art. 14 DSGVO verlangt, dass der Bewerber über die Drittquelle-Recherche und die genutzten KI-Tools informiert wird. ChatGPT-Nutzung muss in der Bewerber-Datenschutzerklärung erwähnt sein — bei den meisten ist sie es nicht.
Halluzination und Diskriminierungsrisiko. ChatGPT halluziniert. Wenn HR „gefundene Informationen" nutzt, ohne sie zu verifizieren, basiert die Einstellungsentscheidung auf möglicherweise falschen Tatsachen. Wenn die Entscheidung nachweisbar diskriminierend wirkt, greift das AGG plus DSGVO Art. 22 (automatisierte Entscheidung).
Fall 3: KI-gestütztes Sortieren von Bewerbungen — Hochrisiko nach AI Act
Anfrage: „Welche dieser 50 Lebensläufe sind die Top-10 für die Senior-Engineer-Stelle?"
Bewertung: Ab 2. August 2026 ist das ein „Hochrisiko-KI-System" nach Anhang III EU AI Act (Punkt 4: „Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit"). Verpflichtungen: Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Transparenz, Audit-Trail. Konsumer-ChatGPT erfüllt das nicht.
Die Erlaubnis-Matrix für HR
✅ Erlaubt ohne Bedenken: Generische Fachfragen, Stellenanzeigen-Optimierung, Übersetzung von Bewerber-Korrespondenz (mit Anonymisierung), Erstellung von Interview-Fragen-Sets, Coaching von Hiring-Managern.
⚠️ Bedingt erlaubt: Bewertung anonymisierter Lebensläufe als „Vorfilterung". Voraussetzung: keine PII (Name, Adresse, Geburtsdatum) im Prompt, Mensch entscheidet final, Bewerber wird informiert. Ab August 2026: zusätzlich AI-Act-Konformität für Hochrisiko-Systeme.
⛔ Tabu: Bewerber-Recherche mit personenbezogenen Daten, automatisierte Ablehnung ohne menschliche Beteiligung (Art. 22 DSGVO), Nutzung sensibler Daten (Religion, Herkunft, Gesundheit — Art. 9 DSGVO).
Was HR jetzt strukturell tun sollte
1. KI-Policy schreiben. Klare Definition: was ist erlaubt, was nicht. Welche Tools sind zulässig (Enterprise-Versionen mit DPA), welche nicht (Consumer-Versionen).
2. Bewerber-Datenschutzerklärung aktualisieren. Hinweis auf KI-Tool-Nutzung muss enthalten sein, mit Tool-Name und Kategorie der Verarbeitung.
3. Schulung der HR-Mitarbeiter. Ein einmaliges Onboarding reicht nicht. Quartalsweise Refresher mit dokumentierten Tests.
4. Audit-Trail aufbauen. Spätestens ab August 2026 muss bei Hochrisiko-Nutzung jede KI-Interaktion dokumentiert sein — wer hat wann was abgefragt, mit welchem Output.
5. Enterprise-Lizenz statt Consumer-ChatGPT. OpenAI Enterprise, Azure OpenAI mit EU-Datenresidenz, Anthropic Claude Enterprise — alle bieten DPAs und keine Trainings-Nutzung der Daten. Consumer-Versionen sind im HR-Kontext kaum DSGVO-konform betreibbar.
Verwandte Artikel
Nabil El Berr
Diesen Artikel gelesen? Sprich 30 Min mit unserem Head of Sales.
Die hier beschriebenen Prüfungen automatisiert Indicium: DSGVO-konform, EU/Schweizer Hosting, audit-fester Trail, Reports in 8–30 Minuten. Drei Insight-Essential-Reports kannst Du ohne Kreditkarte testen.
Mabon Hein, Head of Sales · 30 Min · Keine Sales-Pitch
