DSFA für HR-Recruiting mit KI: 7-Schritt-Vorlage
TL;DR
- DSFA-Pflicht bei KI-Recruiting nach Art. 35 DSGVO (hohes Risiko + automatisierte Entscheidung)
- 7-Schritte-Methodik: Beschreibung, Notwendigkeit, Risiko, Maßnahmen, Restrisiko, Konsultation, Re-Eval
- Pflicht-Schnittstellen: § 22 AGG (Beweislastumkehr) + Art. 26 KI-VO (Betreiber)
- FRIA zusätzlich bei Hochrisiko-KI (Anhang III, 4) ab 02.08.2026
- Bußgeld: bis 20 Mio. EUR / 4 % Umsatz (Art. 83 DSGVO)
Hauptartikel: Hauptartikel: DSFA Art. 35 DSGVO (Glossar) — der vollständige Pillar-Artikel zum Thema.
1. Beschreibung der Verarbeitung
KI-Tool, Modell-Typ (GPAI / nicht), Eingangs-Daten (Lebenslauf-Felder), Output (Score, Ranking), Verwendungs-Zweck (Vorauswahl, Endauswahl).
2. Notwendigkeit + Verhältnismäßigkeit
Alternative ohne KI prüfen. Datenminimierung: nur relevante Felder. Zweckbindung: nur für definierten Use Case.
3. Risiko-Identifikation
Bewerber-Risiken: Diskriminierung (§ 22 AGG-Beweislastumkehr), Profilbildung (Art. 22), undurchsichtige Auto-Entscheidungen, Falsche Klassifizierung.
4. Bias-Test
Statistische Tests pro AGG-Merkmal (Alter, Geschlecht, Ethnie). 5%-Schwelle als BAG-Indiz. Dokumentation Pflicht.
5. Schutzmaßnahmen
Anonymisierte Erst-Auswahl, menschliche Endentscheidung (Art. 22 Abs. 3), Transparenz im Bewerbungsprozess, Widerspruchs-Recht.
6. Konsultation Aufsichtsbehörde
Bei verbleibendem hohem Risiko: Art. 36-Konsultation BfDI/Landes-DSB. 8-Wochen-Bearbeitung.
7. Re-Evaluation
Quartalsweise Bias-Re-Test. Bei wesentlichen Änderungen am Modell: neue DSFA.
Häufig gestellte Fragen
Ist eine DSFA für jedes KI-Recruiting-Tool Pflicht?
Ja, in praktisch jedem Fall. Art. 35 Abs. 3 lit. a DSGVO greift bei systematischer Bewertung mit erheblicher Wirkung — KI-Recruiting fällt darunter. Zusätzlich steht KI-Recruiting auf der BfDI-Black-Liste 2024. Auch Tools, die nur 'vorfiltern' und nicht endgültig entscheiden, lösen die DSFA-Pflicht aus. Erst bei reinen Hilfs-Funktionen (z.B. Rechtschreibprüfung in Lebensläufen) kann man die DSFA umgehen. Im Zweifel: DSFA durchführen — der Aufwand (8-15 PT) ist deutlich geringer als das Bußgeld bei Lücke.
Wer führt die DSFA durch — Verantwortlicher oder externer DSB?
Der Verantwortliche ist nach Art. 35 Abs. 1 zuständig. In der Praxis: HR-Leiter + interner oder externer DSB führen sie gemeinsam durch. Externe Beratung empfohlen bei: erstem KI-Tool, mehr als 50 MA betroffen, sondersensiblen Daten (Art. 9). Kostenpunkt: anwaltlich begleitete DSFA 5-15k EUR, mit DSB-Service 2-5k EUR, eigenständig mit Compliance-Kit-Vorlage ~5-10 PT Eigenleistung. Wichtig: ergebnisoffen führen, nicht 'Risiko wegdokumentieren'.
Was passiert, wenn die DSFA hohes Restrisiko ergibt?
Dann greift Art. 36 DSGVO Konsultationspflicht: BfDI/Landes-DSB muss vor Verarbeitungsbeginn konsultiert werden. Frist: 8 Wochen (verlängerbar auf 14). Vorzulegen: DSFA-Bericht, Beschreibung der geplanten Verarbeitung, Schutzmaßnahmen, Begründung. AB kann Auflagen erteilen oder die Verarbeitung untersagen. Praxis: bei nachvollziehbarer Doku + technischen Schutzmaßnahmen (Bias-Test, menschliche Endentscheidung, Anonymisierung) wird meist mit Auflagen freigegeben. Verfahrensdauer in DE: 12-20 Wochen.
Wie oft muss die DSFA aktualisiert werden?
Bei wesentlichen Änderungen — definiert sind: Modell-Update durch Anbieter (z.B. Re-Training), neue Datenkategorien (z.B. Video-Analyse zusätzlich zu Lebensläufen), Erweiterung des Verwendungszwecks (z.B. zusätzlich Performance-Bewertung statt nur Recruiting), Skalierung (>50% mehr Bewerber-Volumen). Empfehlung: jährliche Re-Evaluation mindestens. Plus: nach jeder BAG-Entscheidung zur algorithmischen Diskriminierung; die Indiz-Schwelle wird durch die jüngere BAG-Linie tendenziell gesenkt.
Welche konkreten Schutzmaßnahmen reduzieren das Risiko in der DSFA?
Top-7 nach BAG/CNIL/EDSA-Praxis: 1) Anonymisierte Erst-Auswahl (Foto, Name, DOB ausblenden), 2) Bias-Test pro AGG-Merkmal mit Stichprobe ≥500 Bewerber, 3) Menschliche Endentscheidung mit dokumentierter Score-Plausibilisierung (kein Rubber-Stamp), 4) Transparenz im Bewerbungs-Prozess (Hinweis auf KI-Nutzung), 5) Widerspruchs-Recht für Bewerber, 6) Logging aller KI-Entscheidungen (Art. 12 EU AI Act, ab 2027), 7) Quartalsweise Re-Evaluation des Bias. Diese 7 reduzieren das Restrisiko meist auf 'mittel' und vermeiden Konsultationspflicht.
Quellen
- Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
- Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
- Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
- EDPB Jahresbericht 2023 (Executive Summary, deutsch) (Stand: 08.2024)