Bewerber-Screening mit KI im Mittelstand: Rechtssicher und effizient

Wer im Mittelstand für Personalgewinnung verantwortlich ist, kennt das Problem: Auf eine Stellenausschreibung für eine Fachkraft gehen 80 bis 150 Bewerbungen ein. Die manuelle Sichtung kostet pro Bewerbung 10 bis 15 Minuten, selbst wenn der Lebenslauf nach 30 Sekunden klar zeigt, dass die Qualifikation nicht passt. Gleichzeitig darf kein Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) oder die DSGVO entstehen, sonst drohen Schadensersatzforderungen oder Bußgelder. KI-gestütztes Bewerber-Screening verspricht Entlastung, wirft aber sofort Rechtsfragen auf: Welche Daten darf ein System verarbeiten? Wer haftet bei einer Fehlentscheidung? Und wie dokumentiere ich den Prozess prüfsicher?

Dieser Artikel zeigt, wie Sie im Mittelstand ein rechtssicheres, KI-gestütztes Screening aufbauen, welche technischen Komponenten Sie brauchen und wo die rechtlichen Grenzen liegen.

Was bedeutet KI-gestütztes Bewerber-Screening?

Bewerber-Screening bezeichnet die erste Prüfung eingehender Bewerbungen auf formale Anforderungen und Mindestqualifikationen. KI-gestützt heißt: Ein System liest strukturierte und unstrukturierte Daten aus Lebenslauf und Anschreiben aus, vergleicht sie mit den Anforderungen der Stellenausschreibung und ordnet jede Bewerbung in Kategorien ein, etwa “erfüllt alle Anforderungen”, “erfüllt Mindestanforderungen” oder “nicht qualifiziert”. Die Entscheidung über Einladung oder Absage trifft weiterhin ein Mensch, das System liefert lediglich eine Vorauswahl und Begründung.

Technisch besteht ein solches System meist aus einer OCR-Komponente (Optical Character Recognition) für gescannte PDF-Dokumente, einem Sprachmodell zur Extraktion von Qualifikationen, Berufserfahrung und Ausbildung sowie einer Regellogik, die diese Daten mit den Stellenanforderungen abgleicht. In der EU muss das System zusätzlich ein Audit-Log führen, das jede automatisierte Entscheidung nachvollziehbar macht.

Rechtliche Rahmenbedingungen: AGG und DSGVO

Das AGG verbietet Benachteiligungen wegen Geschlecht, Alter, ethnischer Herkunft, Religion, Behinderung oder sexueller Identität. Ein KI-System darf diese Merkmale weder direkt abfragen noch indirekt aus anderen Daten ableiten. Konkret bedeutet das: Das Geburtsdatum darf zwar verarbeitet werden, um Berufserfahrung zeitlich einzuordnen, aber nicht, um Bewerber über 50 Jahren automatisch schlechter zu bewerten. Ebenso unzulässig ist die automatische Ableitung des Geschlechts aus dem Vornamen oder die Bewertung von Lücken im Lebenslauf, die mit Elternzeit korrelieren könnten.

Die DSGVO verlangt für Bewerberdaten eine Rechtsgrundlage. In der Regel ist das Artikel 6 Absatz 1 lit. b DSGVO (Vertragsanbahnung) oder bei öffentlichen Arbeitgebern § 26 BDSG. Entscheidend ist: Bewerber müssen vor der Verarbeitung über den Einsatz von KI informiert werden, etwa in der Datenschutzerklärung auf der Karriereseite oder im Bewerbungsformular. Die Information muss angeben, welche Datenarten das System verarbeitet, nach welchen Kriterien es bewertet und dass die finale Entscheidung durch einen Menschen erfolgt.

Zusätzlich gilt seit 2024 der EU AI Act: Systeme zur Bewerberbewertung werden als Hochrisiko-KI klassifiziert und müssen dokumentierte Risikobewertungen, Qualitätssicherung und menschliche Aufsicht gewährleisten. Für Unternehmen mit weniger als 250 Mitarbeitern gibt es Erleichterungen, aber die Dokumentationspflicht bleibt.

Schritt 1: Anforderungsprofil strukturiert definieren

Bevor Sie ein KI-System einsetzen, müssen Sie die Stellenanforderungen in maschinenlesbare Kriterien übersetzen. Statt “fundierte Erfahrung im Projektmanagement” definieren Sie: “mindestens drei Jahre Berufserfahrung in Projektleitung, Zertifizierung (z. B. Prince2, PMI) wünschenswert, nicht zwingend”. Jedes Kriterium erhält eine Gewichtung (Muss-Kriterium, Soll-Kriterium, Nice-to-have) und eine klare Begründung, warum es für die Stelle relevant ist. Diese Struktur dient später als Nachweis, dass die automatisierte Bewertung objektiv und sachlich begründet ist.

In der Praxis empfiehlt sich eine Tabelle mit folgenden Spalten: Kriterium, Datenquelle (z. B. Lebenslauf Abschnitt “Berufserfahrung”), Prüflogik (z. B. “Summe der Jahre in relevanten Positionen größer gleich 3”), Gewichtung, AGG-Relevanz (Ja/Nein). Diese Tabelle wird Teil der technischen Dokumentation und der Datenschutz-Folgenabschätzung.

Schritt 2: System aufbauen und Datenfluss sichern

Ein typischer Aufbau sieht so aus: Bewerbungen gehen per E-Mail oder über ein Webformular ein und werden in einem Bewerbermanagementsystem (z. B. Personio, Recruitee, selbst gehostet) gespeichert. Von dort triggert ein Workflow in n8n oder Make die OCR-Verarbeitung und die Extraktion strukturierter Daten durch ein Sprachmodell. Das Modell liefert JSON-Daten zurück (Name, E-Mail, Liste der Arbeitgeber mit Zeiträumen, Liste der Abschlüsse, Sprachkenntnisse etc.). Diese Daten werden gegen die definierten Kriterien geprüft, und das System generiert eine Bewertung plus textliche Begründung.

Datenschutzrechtlich kritisch ist die Wahl des Sprachmodells: OpenAI, Anthropic und Google verarbeiten Daten außerhalb der EU, was zusätzliche Auflagen nach Artikel 46 DSGVO erfordert (Standardvertragsklauseln, Transfer-Impact-Assessment). Rechtssicherer ist ein selbst gehostetes Modell (z. B. Llama 3.1 70B auf EU-Server) oder ein EU-Anbieter mit Rechenzentrum in Deutschland. Die Verarbeitungsvereinbarung (AVV) muss den Einsatz von KI explizit abdecken.

Jeder Verarbeitungsschritt wird im Audit-Log protokolliert: Zeitstempel, welche Daten extrahiert wurden, welche Kriterien geprüft wurden, welche Bewertung das System vorgeschlagen hat und welcher Mitarbeiter die finale Entscheidung getroffen hat. Dieses Log muss mindestens sechs Monate aufbewahrt werden, um im Fall einer AGG-Beschwerde die Objektivität des Prozesses nachweisen zu können.

Schritt 3: Menschliche Prüfung und Eskalationslogik

Das System darf niemals automatisch Absagen versenden. Stattdessen legt es Bewerbungen in Kategorien ab: “Sofort einladen” (alle Muss-Kriterien erfüllt, viele Soll-Kriterien), “Manuelle Prüfung” (Grenzfälle, unklare Angaben) und “Wahrscheinlich nicht qualifiziert” (zentrale Anforderungen fehlen). Ein Personaler prüft jede Kategorie und trifft die finale Entscheidung. Diese Prüfung wird ebenfalls im Audit-Log dokumentiert, inklusive Freitext-Begründung.

Wichtig: Das System muss Fälle eskalieren, in denen es sich unsicher ist, etwa bei mehrdeutigen Berufsbezeichnungen oder fehlenden Zeitangaben. Eine Bewerbung aus dem Ausland mit unbekanntem Abschluss sollte automatisch in die manuelle Prüfung wandern, nicht pauschal abgelehnt werden.

Für Bewerbungen von Menschen mit Schwerbehinderung (GdB 50 und höher) gilt eine besondere Pflicht zur Einladung zum Vorstellungsgespräch, sofern sie die fachliche Eignung nicht offensichtlich verfehlen. Das KI-System muss erkennen, wenn im Anschreiben oder Lebenslauf ein Schwerbehindertenausweis erwähnt wird, und diese Bewerbung separat markieren, damit die gesetzliche Pflicht erfüllt wird.

Realistische Ergebnisse nach drei Monaten

In einem Pilotprojekt bei einem mittelständischen Industriezulieferer (120 Mitarbeiter, Standort Süddeutschland) haben wir ein solches System aufgebaut. Vor dem Einsatz benötigte die Personalabteilung (1,5 Vollzeitstellen) durchschnittlich 12 Minuten pro Bewerbung für die Erstsichtung. Bei 90 Bewerbungen pro Monat entsprach das 18 Stunden reiner Sichtungsaufwand.

Nach drei Monaten Betrieb mit KI-gestütztem Screening sank die Zeit auf durchschnittlich 3 Minuten pro Bewerbung, weil das System bereits Qualifikationen extrahiert und mit den Anforderungen abgeglichen hatte. Die Personalabteilung prüfte nur noch die vorgeschlagene Kategorisierung und die Begründung. Insgesamt sparte das Unternehmen 13,5 Stunden pro Monat, entsprechend etwa 2.000 Euro bei einem Stundensatz von 45 Euro (inklusive Lohnnebenkosten). Die Fehlerquote (falsch kategorisierte Bewerbungen) lag bei 4 Prozent und wurde in der manuellen Prüfung korrigiert.

Wichtig: Die Qualität der Extraktion hängt stark von der Qualität der Bewerbungsunterlagen ab. PDF-Lebensläufe mit klarer Struktur liefern bessere Ergebnisse als handschriftlich gescannte Dokumente oder kreativ gestaltete Layouts. In Fällen mit schlechter OCR-Qualität muss das System automatisch auf manuelle Prüfung umschalten.

Was nicht funktioniert und wo Risiken liegen

Ein häufiger Fehler ist, das System ohne AGG-Prüfung produktiv zu nehmen. Selbst wenn Sie explizit keine geschützten Merkmale abfragen, kann ein Sprachmodell aus Vornamen, Bildungsweg oder Ortsnamen indirekt auf Geschlecht, Herkunft oder Religion schließen. Das Modell muss daher vor dem Einsatz auf Bias getestet werden: Legen Sie Testbewerbungen mit identischen Qualifikationen, aber unterschiedlichen Namen (z. B. “Müller” vs. “Yilmaz”) vor und prüfen Sie, ob die Bewertung gleich ausfällt. Weicht sie ab, liegt ein AGG-Risiko vor.

Ein zweites Risiko ist fehlende Transparenz: Wenn ein Bewerber fragt, warum er abgelehnt wurde, müssen Sie eine sachliche Begründung liefern können. “Das System hat Sie ausgesiebt” ist keine zulässige Antwort. Das Audit-Log muss daher so detailliert sein, dass Sie nachvollziehen können, welche konkreten Kriterien nicht erfüllt waren.

Drittens: Ein KI-System ersetzt keine klare Stellenbeschreibung. Wenn die Anforderungen schwammig sind (“teamfähig, belastbar, hands-on”), kann auch die beste KI keine objektive Bewertung liefern. Investieren Sie Zeit in die Strukturierung der Anforderungen, bevor Sie automatisieren.

Viertens: Die Datenschutzerklärung auf der Karriereseite muss vor dem ersten Einsatz aktualisiert werden. Fehlt die Information über KI-Einsatz, liegt ein DSGVO-Verstoß vor, der im Fall einer Beschwerde teuer werden kann.

Fazit und nächster Schritt

KI-gestütztes Bewerber-Screening kann die Personalabteilung im Mittelstand spürbar entlasten, wenn es rechtssicher aufgebaut wird. Die Investition in strukturierte Anforderungsprofile, EU-Hosting, Audit-Logs und menschliche Aufsicht lohnt sich ab etwa 50 Bewerbungen pro Monat. Unterhalb dieser Schwelle bleibt die manuelle Sichtung oft wirtschaftlicher.

Entscheidend sind drei Punkte: Erstens, klare Kriterien definieren und dokumentieren. Zweitens, Datenflüsse auf AGG- und DSGVO-Konformität prüfen. Drittens, niemals vollautomatisch entscheiden, sondern immer einen Menschen einbinden.

Wenn Sie prüfen möchten, ob und wie ein rechtssicheres Screening-System in Ihrem Unternehmen funktioniert, sprechen Sie uns an.

Sprechen Sie mit uns

Sie möchten das in Ihrem Betrieb umsetzen? Wir bauen die passende Maschine mit Ihnen.

Telefon: 040 468 967 680
E-Mail: info@whitefox-automations.com
Oder über unser Kontaktformular.