Algorithmische Diskriminierung im Recruiting — Rechtslage 2026
TL;DR
- § 22 AGG-Beweislastumkehr: Bewerber:in muss nur Indizien für Diskriminierung vortragen — der Arbeitgeber trägt anschließend den Vollbeweis der Nicht-Diskriminierung. Algorithmen-Outputs sind als Indiz anerkannt.
- Anhang III Pkt. 4 EU AI Act (KI-VO 2024/1689): KI-Systeme zur Personalbeschaffung, Auswahl und Bewertung gelten ab 02.08.2026 als Hochrisiko-KI; ab dann gelten die vollen Hochrisiko-Pflichten (Vorschlag Digital Omnibus 19.11.2025: Verschiebung auf 02.12.2027 — Trilog läuft, nicht beschlossen).
- Art. 26 EU AI Act Betreiber-Pflichten: Logging (Art. 26 Abs. 6 i.V.m. Art. 12), menschliche Aufsicht (Art. 26 Abs. 2 i.V.m. Art. 14), Information der Betroffenen (Art. 26 Abs. 11), FRIA bei Hochrisiko-Anwendungen in Beschäftigung (Art. 27).
- EuGH C-203/22 (27.02.2025, Dun & Bradstreet): Betroffene haben Anspruch auf Auskunft über die Logik automatisierter Entscheidungen — keine pauschale „Geschäftsgeheimnis"-Verweigerung.
- AGG-Schadensersatz typisch 1–3 Brutto-Monatsgehälter pro Kläger:in nach § 15 AGG; Höhe abhängig vom Einzelfall, bei systematischer KI-Diskriminierung kann sich die Klägerzahl multiplizieren.
1. Was ist algorithmische Diskriminierung?
Algorithmische Diskriminierung im Recruiting entsteht, wenn KI- oder regelbasierte Auswahlsysteme Bewerber:innen mittelbar oder unmittelbar wegen eines in § 1 AGG genannten Merkmals (Alter, Geschlecht, ethnische Herkunft, Religion/Weltanschauung, Behinderung, sexuelle Identität) systematisch benachteiligen. Typische Quellen:
- Trainingsdaten-Bias: Modelle, die auf historischen Einstellungs-Entscheidungen trainiert sind, reproduzieren historische Ungleichheiten.
- Proxy-Variablen: Postleitzahl, Vereinsmitgliedschaft, Lückenlosigkeit der Erwerbsbiografie können stark mit geschützten Merkmalen korrelieren.
- Feature-Engineering: „Cultural Fit"-Scores, „Adaptability"-Indikatoren, „Digital Native"-Filter wirken oft als Altersfilter.
- Schwellenwerte und Cut-offs: Pre-Screening, das ohne menschlichen Review aussortiert, multipliziert die Diskriminierungswirkung.
Der Arbeitgeber haftet als Betreiber (deployer) im Sinne des EU AI Act, unabhängig davon, ob er das Modell selbst trainiert oder von einem Anbieter (provider) bezieht.
2. § 22 AGG-Beweislastumkehr trifft Algorithmen
§ 22 AGG: „Wenn im Streitfall die eine Partei Indizien beweist, die eine Benachteiligung wegen eines in § 1 genannten Grundes vermuten lassen, trägt die andere Partei die Beweislast dafür, dass kein Verstoß gegen die Bestimmungen zum Schutz vor Benachteiligung vorgelegen hat."
Für algorithmische Entscheidungen folgt daraus eine doppelte Konsequenz:
- Indizien-Schwelle ist niedrig: Statistische Auffälligkeiten in Auswahl-Quoten, dokumentierte Bias-Befunde, oder die Tatsache einer rein algorithmischen Ablehnung ohne menschlichen Review können bereits als Indiz gelten.
- Vollbeweis ist hoch: Der Arbeitgeber muss positiv darlegen, dass die Entscheidung diskriminierungsfrei war. Wer die Logik des Algorithmus nicht prüfen kann, kann diesen Nachweis nicht führen.
Daraus ergibt sich der Compliance-Imperativ: Wer KI im Recruiting einsetzt, muss sie auditierbar halten — Logs, Bias-Tests, Auswahl-Dokumentation pro Bewerber:in, dokumentierte menschliche Aufsicht.
3. EU AI Act: HR-Recruiting als Hochrisiko-KI (Anhang III Pkt. 4)
Anhang III Pkt. 4 der KI-Verordnung (EU) 2024/1689 listet als Hochrisiko-Bereich:
„Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit: a) KI-Systeme, die zur Einstellung oder Auswahl natürlicher Personen genutzt werden sollen, insbesondere zur Schaltung gezielter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen und zur Bewertung von Bewerbern; b) KI-Systeme, die für Entscheidungen über die Bedingungen von Arbeitsverhältnissen, Beförderung, Beendigung, sowie zur Aufgabenzuweisung anhand individuellen Verhaltens oder persönlicher Merkmale oder zur Beobachtung und Bewertung der Leistung und des Verhaltens dienen sollen."
Die Hochrisiko-Anwendung wird ab 02.08.2026 unmittelbar geltend (Art. 113 lit. b KI-VO). Der Vorschlag des Digital Omnibus vom 19.11.2025 sieht eine Verschiebung von Anhang III auf 02.12.2027 vor — Status 02.05.2026: Trilog läuft, nicht beschlossen. Bis zu einer formellen Annahme bleibt 02.08.2026 die rechtsverbindliche Frist.
Für Betreiber (Arbeitgeber) gelten ab Hochrisiko-Anwendung u. a.:
- Art. 26 Abs. 1: Betrieb gemäß Anbieter-Anweisungen und einschlägiger technischer Anweisungen.
- Art. 26 Abs. 2 + Art. 14: Sicherstellung wirksamer menschlicher Aufsicht durch geschulte Personen.
- Art. 26 Abs. 5 + Art. 13: Überwachung des Betriebs anhand der Betriebsanleitung.
- Art. 26 Abs. 6 + Art. 12: Aufbewahrung der automatisch erzeugten Logs für mindestens 6 Monate.
- Art. 26 Abs. 11: Information der betroffenen Beschäftigten und ihrer Vertretung vor Inbetriebnahme.
- Art. 27: FRIA (Fundamental Rights Impact Assessment) für Anhang-III-Anwendungen, soweit das KI-System grundrechtsrelevant ist.
4. EuGH C-203/22 (Dun & Bradstreet, 27.02.2025) — Auskunftsanspruch über Algorithmus-Logik
Der EuGH hat am 27.02.2025 in der Rechtssache C-203/22 (Dun & Bradstreet Austria) die Reichweite des Auskunftsanspruchs nach Art. 15 Abs. 1 lit. h DSGVO konkretisiert: Bei automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO haben Betroffene Anspruch auf „aussagekräftige Informationen über die involvierte Logik" — und zwar so, dass die Entscheidung nachvollzogen und überprüft werden kann. Eine pauschale Berufung auf Geschäftsgeheimnisse genügt nicht; bei Konflikt sind die Informationen einer zuständigen Behörde oder dem Gericht offenzulegen, die zwischen Geheimhaltungs- und Auskunftsinteressen abwägt.
Konsequenz für Recruiting: Wer KI-gestützte Vorauswahl betreibt, muss in der Lage sein, einer abgelehnten Bewerber:in (auf Anfrage) die zentrale Logik der Entscheidung zu erklären. Vendor-Verträge ohne Audit-/Auskunftsrechte sind ein Compliance-Risiko.
5. Realitätscheck Schadenshöhen
§ 15 AGG sieht zwei Anspruchsgrundlagen vor:
- § 15 Abs. 1 AGG: Ersatz des materiellen Schadens (entgangener Lohn, Bewerbungskosten) — keine Höhenbegrenzung.
- § 15 Abs. 2 AGG: Entschädigung für immateriellen Schaden — bei Nicht-Einstellung gedeckelt auf 3 Brutto-Monatsgehälter der Stelle, sofern der/die Bewerber:in auch bei diskriminierungsfreier Auswahl nicht eingestellt worden wäre.
In der BAG-Praxis bewegt sich die Entschädigung typischerweise bei 1–3 Brutto-Monatsgehältern pro Kläger:in. Höhere Beträge sind im Einzelfall denkbar, müssen aber konkret begründet werden (Schwere der Pflichtverletzung, fehlende Compliance-Maßnahmen, Wiederholung).
Der Multiplikationseffekt bei systematischer algorithmischer Diskriminierung ist relevant: Wenn ein Algorithmus über Monate hinweg eine ganze Bewerber:innen-Kohorte diskriminiert, können sich aus einem einzigen Modell mehrere parallele Verfahren ergeben. Auch außergerichtliche Vergleiche (Vorbereitung Verband, Gewerkschaft, Aufsicht) sind in dieser Konstellation wahrscheinlicher.
Hinzu kommen, je nach Sachverhalt: DSGVO-Schadensersatz nach Art. 82 DSGVO, Bußgeldrisiko EU AI Act Art. 99 (für Betreiber-Verstöße bis 15 Mio. EUR oder 3 % weltweiter Jahresumsatz, ab 02.08.2026), Bußgeldrisiko DSGVO Art. 83 — sowie Reputations- und Folgekosten.
6. BAG-Trend: BAG 8 AZR 300/24 (23.10.2025, Daimler Truck)
BAG 8 AZR 300/24 ist ein Equal-Pay-Urteil und kein Algorithmen-Urteil — es zeigt aber einen Rechtsprechungstrend, der für die algorithmische Diskriminierung hochrelevant ist: Das BAG hat klargestellt, dass bereits ein Paarvergleich mit einem einzelnen, höchstbezahlten männlichen Kollegen genügt, um die Diskriminierungs-Vermutung nach § 22 AGG / § 7 EntgTranspG auszulösen. Ein Median-Vergleich ist nicht erforderlich.
Die Übertragbarkeit auf algorithmische Diskriminierung ist als Trend zu erwarten, nicht als 1:1-Beleg-Zitat: Wenn schon ein einzelner Vergleichsfall als Indiz genügt, dürfte ein dokumentierter Bias-Befund eines Auswahl-Algorithmus erst recht als Indiz im Sinne von § 22 AGG genügen. Die Indiz-Schwelle wird durch die jüngere BAG-Linie tendenziell gesenkt — was den Compliance-Druck auf Arbeitgeber erhöht, präventiv zu auditieren und zu dokumentieren.
7. Was Sie tun müssen — Compliance-Pfad
| Schritt | Inhalt | Frist / Trigger |
|---|---|---|
| KI-Inventar HR | Vollständige Liste aller KI-/Algorithmus-Komponenten im Recruiting-Stack (Stellenanzeigen-Targeting, ATS-Filter, Pre-Screening, Video-Analyse, Skill-Matching). | Sofort |
| Risiko-Klassifizierung | Pro System Anhang-III-Prüfung (Pkt. 4 Beschäftigung); Hochrisiko vs. nicht-Hochrisiko. | Sofort |
| Bias-Audit | Statistische Auswertung der bisherigen Algorithmus-Entscheidungen nach geschützten Merkmalen; dokumentierte Mitigation. | Vor Produktiveinsatz; jährlich wiederkehrend |
| Menschliche Aufsicht | Jede algorithmische Vorentscheidung muss durch geschulte Person reviewbar sein, vor finaler Ablehnung. | Sofort (AGG); Pflicht ab 02.08.2026 (Art. 14, 26 KI-VO) |
| Logging | Auswahl-Logs > 6 Monate, dokumentiert pro Bewerber:in. | Sofort empfohlen; Pflicht ab 02.08.2026 (Art. 12, 26 KI-VO) |
| Transparenz / Auskunft | Bewerber:innen-Information über KI-Einsatz, Logik-Auskunft auf Anfrage (Art. 22, 15 DSGVO; EuGH C-203/22). | Sofort |
| FRIA | Fundamental Rights Impact Assessment nach Art. 27 KI-VO. | Vor Hochrisiko-Inbetriebnahme |
| Vendor-Vertrag | Audit-Rechte, Logik-Auskunft, Bias-Test-Pflichten, Haftungsregelung mit dem Anbieter. | Bei Vertragsabschluss / Verlängerung |
| Schulung | HR-Personal in algorithmischer Diskriminierungs-Erkennung und in Art. 4 KI-VO (KI-Kompetenz, seit 02.02.2025 in Kraft). | Laufend |
Quellen
- Allgemeines Gleichbehandlungsgesetz (AGG), §§ 1, 3, 7, 15, 22
- Verordnung (EU) 2024/1689 (KI-Verordnung), Anhang III Pkt. 4, Art. 9–15, 26, 27, 50, 99, 113
- EuGH, Urteil vom 27.02.2025, Rs. C-203/22 (Dun & Bradstreet Austria) — Auskunftsanspruch zur Logik automatisierter Entscheidungen nach Art. 15 Abs. 1 lit. h DSGVO
- BAG, Urteil vom 23.10.2025 — 8 AZR 300/24 (Paarvergleich Equal Pay, Daimler Truck) als Beispiel für gesenkte Indiz-Schwelle
- EU-Kommission, Digital Omnibus auf AI, Vorschlag vom 19.11.2025 (Trilog laufend, Stand 02.05.2026 nicht beschlossen)
- Bundesdatenschutzgesetz (BDSG), § 26 (Beschäftigtendatenschutz)