Während sich kalifornische Gerichte noch mit der bisher größten Sammelklage im Recruiting beschäftigen (Mobley vs. Workday), in der es um mutmaßliche Diskriminierung durch KI-gestützte Vorauswahl geht –, platzt bereits die nächste Bombe. Auch diesmal richtet sich die Klage direkt gegen einen Anbieter von KI-Recruiting-Technologie. In diesem Fall ist es Eightfold AI.
Der Vorwurf ist dabei in mancher Hinsicht noch bedeutender. Es geht bei der Klage gegen Eightfold nämlich nicht primär um Diskriminierung, sondern um fehlende Aufklärung, Intransparenz und die heimliche algorithmische Bewertung von Bewerbern. Und genau deshalb ist dieser Fall nicht nur für die USA relevant, sondern wirft auch für deutsche Arbeitgeber Fragen auf, die sie mit Blick auf die DSGVO und den EU AI Act nicht mehr ignorieren können.
Eine Klagewelle gegen KI im Recruiting
Die Klage gegen Eightfold ist kein Einzelfall. In den USA häufen sich seit 2024 die Verfahren, die sich gegen den Einsatz automatisierter Entscheidungssysteme im Recruiting richten. Der bekannteste Fall ist Mobley vs. Workday. Dort geht es um den Vorwurf, dass KI-gestützte Vorauswahl systematisch zu Altersdiskriminierung geführt habe. Das zuständige Gericht ließ die Sammelklage zu und stellte klar, dass Softwareanbieter als Erfüllungsgehilfen der Arbeitgeber betrachtet werden können.
Weitere Verfahren und Beschwerden – unter anderem gegen KI-gestützte Video-Interview-Systeme – zeigen, dass Gerichte und Aufsichtsbehörden den Einsatz von KI im Recruiting-Kontext zunehmend kritisch prüfen. Die Eightfold-Klage unterscheidet sich jedoch in einem zentralen Punkt: Sie setzt nicht bei Diskriminierung an, sondern bei Transparenz und Aufklärung. Damit ist der rechtliche Ansatz deutlich niedriger angesetzt – und zugleich gefährlicher für Anbieter und Anwender.
Worum es bei der Eightfold-Klage geht
Am 20. Januar 2026 wurde in Kalifornien eine Sammelklage gegen Eightfold AI eingereicht. Eightfold betreibt eine sogenannte “Talent Intelligence Platform”“, die Bewerbungen automatisiert analysiert, bewertet und rankt. In der Klageschrift werden Kunden wie Microsoft, PayPal, Starbucks, Morgan Stanley, BNY und Chevron genannt. In Deutschland setzen neben Bayer u. a. auch Unternehmen wie Vodafone und die Telekom auf die Software.
Das Geschäftsversprechen von Eightfold ist schnell erklärt: Aus großen Bewerbermengen sollen mithilfe von KI die “besten” Kandidaten herausgefiltert werden. Technisch geschieht das über einen “Match Score”, der Bewerber von 0 bis 5 bewertet und in Ranglisten einordnet.
Der Score basiert auf:
Skill-Übereinstimmung zwischen Stellenanforderung und Bewerberprofil
Titel-Progression und Senioritäts-Fit
Vergleich mit “idealen Kandidaten” und dem Hiring Manager
Trainingsdaten aus “tens of millions of historical candidate-position pairs”
Abgesehen davon, dass die KI eine erste Einschätzung über die Eignung vornimmt, sehen Recruiter dann diese Rangliste und konzentrieren sich typischerweise nur auf hoch bewertete Kandidaten. Niedrig bewertete Bewerber werden aussortiert, bevor ein Mensch ihre Unterlagen je gesehen hat.
Das zentrale Problem ist dabei nicht die Bewertung an sich, sondern dass diese für Bewerber unsichtbar erfolgt. In der Regel erfahren sie weder, dass ihre Bewerbung algorithmisch gerankt wird, noch welche Bedeutung dieser Score hat oder ob Bewerbungen mit niedriger Bewertung überhaupt noch von einem Menschen gesehen werden. Dies belegt auch eine kurze Stichprobe bei Bayer, Telekom und Vodafone, die ebenfalls auf Eightfolds Software setzen (siehe unten im Text).
Genau diese Unsichtbarkeit steht im Zentrum der Klage.
Daten, Profiling und algorithmische Zuschreibungen
Laut Klageschrift beschränkt sich Eightfold nicht auf die von Bewerbern selbst angegebenen Daten. Vielmehr gleicht das System Profile mit umfangreichen internen Vergleichsdaten – z. B. Daten aus früheren Bewerbungen bei anderen Eightfold-Kunden – und sogar Social-Media-Profilen ab. Eightfold selbst spricht von über 1,5 Milliarden Datenpunkten und Profilen von mehr als einer Milliarde Menschen. Aus diesen Daten werden Rückschlüsse gezogen, die die Bewerber selbst nie aktiv angegeben haben. Dazu gehören Persönlichkeitszuschreibungen wie “teamorientiert” oder “introvertiert”, Bewertungen der Qualität von Ausbildung oder Arbeitgebern sowie Prognosen zu künftigen Stellenprofilen oder Karriereverläufen und Präferenzen, Eigenschaften, Veranlagungen, Verhalten, Einstellungen, Intelligenz, Fähigkeiten und Begabungen.
Eightfold weist den Vorwurf zurück, Social-Media-Daten zu scrapen. Ein Sprecher des Unternehmens erklärte, man nutze keine frei zugänglichen sozialen Netzwerke wie LinkedIn, GitHub oder Stack Overflow zur Datensammlung und halte sich strikt an geltendes Datenschutz- und Arbeitsrecht.
Eightfold widerspricht eigenen Aussagen
Die Klageschrift stellt diese Darstellung jedoch infrage. Dort verweisen die Kläger ausdrücklich auf Eightfolds eigene Marketingunterlagen, Whitepaper und Patentanmeldungen. Darin beschreibt das Unternehmen selbst, dass Profile aus einer Vielzahl interner und externer Datenpunkte angereichert werden, um tiefe Einblicke über Fähigkeiten, Potenziale und Passung von Kandidaten zu generieren.
Was Klageschrift und Patentschrift über Eightfold offenlegen
Besonders brisant ist die Zusammenschau von Klageschrift und Patentschrift. Diese Dokumente zeichnen ein deutlich umfassenderes Bild der Funktionsweise von Eightfold, als dies viele Karriereseiten oder Datenschutzerklärungen von Kundenunternehmen ansatzweise nahelegen.
Beschrieben wird ein “Evaluation Tool”, das Daten aus drei Quellen zusammenführt: vom Bewerber, vom Arbeitgeber und aus öffentlich verfügbaren Online-Quellen. Diese Informationen werden durch ein proprietäres Large Language Model verarbeitet, das laut Eightfold mit mehr als 1,5 Milliarden Datenpunkten trainiert wurde.
Die Plattform erstellt daraus Profile und sogenannte “Consumer Reports”, in denen Bewerber mit einem Match Score von 0 bis 5 nach ihrer angeblichen Eignung gerankt werden. Bewerber erhalten weder Einblick in die verwendeten Drittdaten noch eine Möglichkeit zur Korrektur. Niedrig bewertete Kandidaten werden häufig aussortiert, ohne dass ihre Bewerbung von einem Menschen geprüft wird, so die Klageschrift.
Eightfold vermarktet diese Datenbasis offensiv: Die Rede ist von 1,6 Milliarden modellierten beruflichen Entwicklungsverläufen, aus denen das System ableitet, wie sich Bewerber voraussichtlich entwickeln und für welche Rollen sie geeignet erscheinen, sowie von 1,6 Millionen Skills. In der Patentschrift wird zudem die Nutzung öffentlich verfügbarer Inhalte, Vergleichsdaten anderer Beschäftigter sowie von Eightfold selbst erzeugter Prognosen zu Persönlichkeit und Karriereverläufen beschrieben.
Hinzu kommt, dass Eightfold Bewerberdaten speichert und für andere Bewertungszwecke wiederverwendet. Neben direkten Angaben verarbeitet das Unternehmen sogenannte Inferenzdaten.
Diese Inferenzdaten sind keine vom Bewerber gemachten Angaben, sondern algorithmisch erzeugte Zuschreibungen. Sie entstehen, wenn ein System aus vorhandenen Datenmustern Annahmen über Persönlichkeit, Leistungsfähigkeit oder Karrierepotenzial ableitet. Gerade weil Bewerber diese Daten weder selbst eingegeben haben noch überprüfen können, sind sie datenschutzrechtlich besonders sensibel.
Aus rechtlicher Sicht ist gar nicht entscheidend, wie die Daten erhoben werden, sondern dass personenbezogene Informationen zusammengeführt, bewertet und in einem Score verdichtet werden. Und dies, ohne dass Bewerber je darüber informiert werden.
Eightfold als dystopischer KI-getriebener Marktplatz
Die Prozessvertreter der Klägerseite sprechen deshalb von einer bewussten Verschleierung. Jenny Yang, Partnerin bei Outten & Golden, Anwältin der Kläger und ehemalige Vorsitzende der US-Gleichstellungsbehörde EEOC, formulierte es so:
“Qualified workers across the country are being denied job opportunities based on automated assessments they have never seen and cannot correct.”
Es gehe nicht um technische Details, sondern darum, dass Bewerber mit algorithmischen Urteilen konfrontiert würden, die ihnen vollständig verborgen blieben.
David Seligman, Klägeranwalt und Geschäftsführer der gemeinnützigen Organisation Towards Justice, geht sogar noch weiter. Er bezeichnet den Markt für KI-gestütztes Recruiting als “dystopian AI-driven marketplace“, in dem Entscheidungen über existenzielle Lebensbereiche von Systemen getroffen werden, deren Funktionsweise weder transparent noch angreifbar ist. Er kommentiert weiter:
“Just because this company is using some fancy-sounding AI technology and is backed by venture capital doesn’t put it above the law. This isn’t the wild west.”
Warum ein Gesetz aus den 1970ern heute relevanter denn je ist
Die Klage stützt sich auf den Fair Credit Reporting Act (FCRA) von 1970, der als Reaktion auf intransparente Dossiers über Menschen entstand, die von Dritten erstellt und an Arbeitgeber verkauft wurden, ohne dass die Betroffenen davon wussten oder Kontrolle darüber hatten.
Der FCRA verpflichtet sogenannte Consumer Reporting Agencies unter anderem dazu, Betroffene vorab eindeutig zu informieren, ihre Zustimmung einzuholen, Einsicht in die erstellten Reports zu ermöglichen und Korrekturen zuzulassen. Die Kläger argumentieren, dass Eightfold funktional genau das tut, was der FCRA regulieren wollte: Informationen über Bewerber zu sammeln, zu bewerten und diese Bewertungen an Arbeitgeber weiterzugeben, allerdings mit moderner Technik statt Karteikarten.
Oder, wie es in der Klageschrift heißt:
“There is no AI exemption to these laws.”
Was wird Eightfold konkret vorgeworfen?
In der Klage wird Eightfold unter anderem vorgeworfen,
Bewerber nicht eindeutig darüber zu informieren, dass ein bewertender Report erstellt wird,
keine wirksame Zustimmung einzuholen,
keine Einsicht in Bewertungsprofile vor einer negativen Entscheidung zu ermöglichen,
keine Korrekturmöglichkeiten anzubieten,
Bewerber nicht über ihre Rechte aufzuklären.
Zudem soll Eightfold von Arbeitgebern keine verbindlichen Zertifizierungen verlangt haben, die die Einhaltung der gesetzlichen Pflichten bescheinigen.
Bemerkenswert ist dabei, dass die Kläger nicht nachweisen müssen, dass der Algorithmus diskriminiert. Es reicht, dass Bewerber nicht wissen, dass bzw. wie sie bewertet werden. Dies macht die Tragweite dieser Klage noch einmal deutlich brisanter.
Feststellungsurteil, gerichtliche Unterlassungsverfügung und erheblicher Schadensersatz
Die Klage gegen Eightfold zielt nicht nur auf Schadensersatz in Millionenhöhe ab. Vielmehr wird ein Feststellungsurteil beantragt, das Eightfolds Praktiken als rechtswidrig einstuft, sowie eine gerichtliche Unterlassungsverfügung gegen diese Praktiken.
Warum das Geschäftsmodell KI-Recruiting auf dem Spiel steht
Genau darin liegt die eigentliche Brisanz des Falls. Ein solches Urteil würde Eightfold nicht nur zu Schadenersatzzahlungen verpflichten, sondern das Unternehmen auch dazu zwingen, zentrale Elemente seines Geschäftsmodells grundlegend zu verändern. Wenn Eightfold als Consumer Reporting Agency im Sinne des FCRA eingestuft wird, müsste jeder Bewerber vorab informiert werden. Er müsste aktiv zustimmen, Einsicht in sein Bewertungsprofil erhalten und die Möglichkeit haben, Fehler zu korrigieren, bevor eine Entscheidung getroffen wird.
Der Effizienzvorteil, den KI-gestütztes Screening heute verspricht, wäre damit erheblich geringer. Eine unsichtbare Vorauswahl, wie sie aktuell noch von Eightfold (und den die Software nutzenden Unternehmen) praktiziert wird, wäre dann nicht mehr zulässig. Dasselbe gilt für andere Anbieter, die ähnlich arbeiten. Die Klage richtet sich zwar formal gegen Eightfold, zielt aber de facto auf eine ganze Klasse von Anbietern solcher KI-Recruiting-Systeme ab.
Hinzu kommt die Dimension der Sammelklage selbst. Die Kläger gehen davon aus, dass jede einzelne Gruppe vergleichbar betroffener Bewerber – etwa nach Zeitraum oder Einsatzkontext – mindestens 100 Personen umfasst. Angesichts von Eightfolds eigener Aussage, man screene “Millionen” von Kandidaten, dürfte die tatsächliche Zahl der Betroffenen deutlich höher liegen. Entsprechend hoch wären nicht nur mögliche Schadensersatzsummen, sondern auch der regulatorische und organisatorische Anpassungsdruck.
Reputationsschaden und Präzedenzwirkung für die gesamte Branche
Die Klage trifft Eightfold zu einem denkbar ungünstigen Zeitpunkt. KI-Recruiting steht ohnehin unter verschärfter Beobachtung: durch Mobley vs. Workday, durch neue Regulierungen wie New York City Local Law 144 und nicht zuletzt durch den EU AI Act.
Ein gerichtliches Feststellungsurteil zugunsten der Kläger hätte daher eine Signalwirkung, die weit über den Einzelfall hinausgeht. Die rechtliche Argumentation der Kläger ist keineswegs neu: Bereits im Oktober 2024 stellte das Consumer Financial Protection Bureau (CFPB) klar, dass der FCRA auch auf algorithmische Bewertungssysteme im Recruiting anwendbar ist. Ein Erfolg vor Gericht würde diese Interpretation erstmals verbindlich bestätigen.
Präzedenzfall für eine ganze Branche
Für die Branche wäre das ein Präzedenzfall. Anbieter könnten sich dann nicht mehr damit herausreden, dass ihre Systeme lediglich “unterstützen” oder “empfehlen”. Die rechtliche Einordnung würde sich an der faktischen Wirkung orientieren. Wer bewertet, rankt und selektiert, unterliegt den entsprechenden Offenlegungs- und Kontrollpflichten.
Was das Schweigen der Betroffenen verrät
Reuters kontaktierte am Tag nach der Klageeinreichung Microsoft und PayPal: Microsoft lehnte einen Kommentar ab, PayPal reagierte nicht. Andere große Eightfold-Kunden wie Salesforce oder Bayer haben bisher keine öffentlichen Stellungnahmen abgegeben.
Aus Sicht der Rechtsabteilungen mag dieses Verhalten nachvollziehbar sein. Niemand will sich in einem laufenden Verfahren positionieren. Doch gerade dieses Schweigen offenbart ein tieferliegendes Problem:
Offenbar verfügen viele Unternehmen über keine belastbare, kommunizierbare Erklärung dafür, wie ihre KI-gestützte Vorauswahl funktioniert – und warum Bewerber darüber nicht aktiv informiert werden.
Für Bewerber bedeutet dieses Schweigen, dass die Unternehmen, bei denen sie sich bewerben, nicht erklären können oder wollen, was mit ihren Bewerbungen geschieht.
Auch Eightfold selbst hat bislang keine formelle Antwort beim Gericht eingereicht. Branchenbeobachter werten dies als Hinweis darauf, dass die rechtliche Strategie noch kalibriert wird. Sanchit Vir Gogia, Chief Analyst bei Greyhound Research, bezeichnet den Fall als Wendepunkt:
“It tells us that AI isn’t just being scrutinized for what it does, but for how it does it and whether people even know it’s happening to them.”
Die eigentliche Frage lautet daher: Wenn Unternehmen nicht einmal auf Presseanfragen reagieren können – wie wollen sie dann gegenüber Aufsichtsbehörden, Gerichten oder Bewerbern erklären, warum sie einem System vertrauen, dessen Funktionsweise sie selbst nicht transparent machen?
So unsichtbar ist Eightfold für Bewerber: Ein Praxischeck bei Bayer, Telekom und Vodafone
Auch in Europa lohnt sich ein genauer Blick auf die Praxis der Unternehmen, die Eightfold einsetzen. Eine exemplarische Analyse der Karriereseiten, Stellenportale, Datenschutzerklärungen und Nutzeroberflächen von Bayer, Vodafone und der Deutschen Telekom zeigt ein bemerkenswert konsistentes Muster: Informationen zum KI-Einsatz sind entweder unvollständig, prozessfern oder widersprüchlich zur tatsächlichen Funktionsweise der Technologie. Mit unmittelbarer Relevanz für die bereits heute geltenden Pflichten aus der DSGVO. Ich habe diese Unternehmen ausgewählt, weil sie mir bei den Recherchen für mein Fachbuch “Karriere-Websites mit Wow!-Effekt” durch die Nutzung von Eightfold aufgefallen sind.
Bayer: Namentliche Nennung ohne inhaltliche Aufklärung
Bayer erwähnt Eightfold immerhin namentlich. In der versteckten allgemeinen Datenschutzerklärung ist von einem “profiling algorithm” und einem “match score” die Rede. Diese Hinweise sind jedoch gut im Kleingedruckten der unübersichtlichen Datenschutzerklärung versteckt und bleiben ohne jede inhaltliche Einordnung. Bewerber erfahren nicht, dass ihre Bewerbung auf einer Skala bewertet wird, dass diese Bewertung darüber entscheidet, ob ihr Profil überhaupt sichtbar wird, und Bewerbungen mit niedrigen Scores möglicherweise nie einem Recruiter vorgelegt werden.
Aus DSGVO-Sicht ist das m. E. problematisch. Ich bin zwar kein Rechtsexperte, aber Art. 13 DSGVO verlangt ausdrücklich, dass Betroffene bereits zum Zeitpunkt der Datenerhebung verständlich darüber informiert werden, dass Profiling stattfindet und welche Auswirkungen dies hat. Diese Anforderung wird hier nicht erfüllt. Die pauschale Versicherung, man wähle Dienstleister “sorgfältig aus und überwache sie regelmäßig”, wirkt vor dem Hintergrund der Eightfold-Klage fast schon zynisch.
Vodafone: Transparenz, die der technischen Realität widerspricht
Vodafone wirkt auf den ersten Blick transparenter. In der Datenschutzerklärung der Vodafone Stiftung Deutschland (und nur dort) wird Eightfold als Tool beschrieben, das Bewerbungsunterlagen nach Schlagworten durchsucht und einen Matching-Anteil ausgibt. Es wird betont, dass Recruitern alle Bewerbungen angezeigt und keine automatisierten Entscheidungen getroffen würden. Diese Darstellung vermittelt den Eindruck eines unterstützenden, unverbindlichen Assistenzsystems.
Gerade hier liegt jedoch das Problem. Die entsprechenden Informationen sind im Karriereportal nicht prominent verlinkt und nur nach vielem Suchen über mehrere Zwischenschritte auffindbar. Vor allem aber stehen sie in einem deutlichen Spannungsverhältnis zu dem, was Klageschrift und Patentschrift über Eightfold offenlegen. Dort ist nicht von einfachem Keyword-Matching die Rede, sondern von einem globalen Scoring- und Ranking-System, das externe Online-Daten, interne Vergleichsdaten und algorithmisch erzeugte Inferenzprofile zusammenführt (siehe oben).
Auch aus DSGVO-Perspektive ist diese Diskrepanz hochrelevant. Werden, wie in der Patentschrift beschrieben, zusätzliche Datenquellen genutzt und Inferenzdaten über Persönlichkeit oder Karrierepotenzial erzeugt, greifen die Prinzipien der Zweckbindung und Datenminimierung (Art. 5 DSGVO). Eine Datenschutzerklärung, die diesen Umfang nicht abbildet, ist nach meiner Einschätzung unvollständig.
Deutsche Telekom: formale Detailtiefe, aber prozessfern und widersprüchlich
Bei der Deutschen Telekom zeigt sich ein anderes, nicht minder problematisches Muster. Es existieren mindestens zwei einschlägige Datenschutzdokumente mit unterschiedlicher Flughöhe und Detailtiefe. Während die allgemeine Datenschutzerklärung der Karriereseite eher abstrakt bleibt, beschreibt die explizite Candidate-Privacy-Seite das “Eightfold Matching Model” vergleichsweise detailliert, inklusive Match-Score-Skala von 0 bis 5 und dem Hinweis, dass keine autonome Einstellungsentscheidung erfolgt.
Diese formale Transparenz ändert jedoch wenig an der praktischen Wirkung.
Erstens ist die Information für Bewerber leicht übersehbar, weil sie nicht dort platziert ist, wo die Entscheidungssituation entsteht – etwa beim Hochladen des Lebenslaufs für eine Matching-basierte Jobsuche. Hinweise wie “Personalisierte Stellenempfehlungen erhalten” und “Nutzen Sie KI, um zu sehen, wie Sie zusammenpassen, und erhalten Sie Hilfe auf Ihrem Karriereweg” dürften kaum ausreichen.
Zweitens bleibt trotz der Detailtiefe offen, welche konkreten Konsequenzen ein niedriger Score hat und ob Bewerbungen dadurch faktisch seltener oder gar nicht mehr von Menschen gesehen werden.
Drittens besteht auch hier ein Spannungsverhältnis zur Patentschrift, da externe Datenquellen (mit Ausnahme von “Profildaten von Unternehmensnetzwerken wie LinkedIn“), Inferenzdaten und die Wiederverwendung von Bewerberprofilen nicht klar benannt werden.
Damit dürfte auch diese vergleichsweise ausführliche Information zentrale Anforderungen der DSGVO nur unzureichend erfüllen. Transparenz bedeutet nicht Textmenge, sondern Verständlichkeit, Kontextnähe, Vollständigkeit – und Ehrlichkeit.
Betriebliche Mitbestimmung bei der Telekom und das Bewusstsein für die Blackbox KI
Bemerkenswert ist, dass die Deutsche Telekom den Einsatz von Eightfold im Rahmen einer Pilot-Konzernbetriebsvereinbarung adressiert. Das Blackbox-Problem wird dabei offen benannt:
“Wir müssen aushalten, mit einer Blackbox zu arbeiten“,
so der Vorsitzende des IT-Ausschusses des Konzernbetriebsrats. Die Konsequenz sind klare Leitplanken: Das Unternehmen verbietet z. B. Emotionsanalysen und schließt Diskriminierungsmerkmale beim Matching aus. Zudem trifft der Mensch die verbindliche Letztentscheidung.
Diese Offenheit unterscheidet die Telekom positiv von anderen Anwendern. Sie ändert jedoch nichts daran, dass interne Governance die externen Transparenzpflichten gegenüber Bewerbern nicht ersetzen kann. Selbst der Betriebsrat sieht Grenzen: Hohe Effizienzerwartungen könnten dazu führen, “dass Menschen ungeprüft Empfehlungen und Vorschläge der KI übernehmen” – wodurch die formale Letztentscheidung faktisch ausgehöhlt würde.
Welche Auswirkungen hat die Eightfold-Klage auf deutsche Arbeitgeber?
Die Praxisanalysen von Bayer, Vodafone und der Deutschen Telekom zeigen ein gemeinsames Muster: Bewerber gewinnen den Eindruck, es handele sich um ein harmloses Service-Feature. In den Nutzeroberflächen ist von passgenauen Stellen, Matching und KI-gestützter Orientierung die Rede. Was nicht erklärt wird, ist, dass im Hintergrund ein System arbeitet, das Bewerbungen unter Einbeziehung zusätzlicher, dem Bewerber unbekannter Daten bewertet, priorisiert und in Ranglisten einordnet.
Die naheliegende Vermutung, dass Eightfold für europäische Kunden bestimmte, in der Klage angeführte Funktionen einschränken könnte, lässt sich nicht zweifelsfrei belegen. Zumindest dokumentiert Eightfold keine regionalen Unterschiede bei den Features. Die angestrebte DSGVO-Compliance scheint maximal durch Konfiguration erreicht zu werden, beispielsweise durch regionales Hosting, Verschlüsselung und Vertragsklauseln, aber nicht durch die Abschaltung einzelner Funktionen. Ein Beleg dafür ist die o. g. Datenschutzdokumentation der Deutschen Telekom. Demnach werden auch die “öffentlichen Informationen aus beruflichen Netzwerken wie LinkedIn” verarbeitet.
Die entscheidende Erkenntnis aus Klage und Audit
Die britische Datenschutzbehörde ICO hat im Jahr 2024 KI-Recruiting-Tools auditiert und 296 Empfehlungen ausgesprochen. Die Ergebnisse des “AI tools in recruitment”-Audits: Die Tools sammeln “weitaus mehr persönliche Informationen als notwendig” und bauen “große Datenbanken potenzieller Kandidaten ohne deren Wissen” auf. Zwar nannte die ICO keine konkreten Namen, doch die Beschreibungen treffen ziemlich genau auf die Architektur von Eightfold zu.
Die zentrale Gemeinsamkeit zwischen Eightfold-Klage und ICO-Audit liegt nicht in einzelnen technischen Details, sondern in der strukturellen Bewertungspraxis: Bewerber werden systematisch profiliert, verglichen und vorselektiert, ohne dass ihnen dieser Umstand im Entscheidungsmoment klar gemacht wird. Genau dieses Auseinanderfallen von faktischer Wirkung und kommunizierter Funktion ist der rechtliche Kern des Problems.
Für Arbeitgeber bedeutet das:
Selbst wenn kein diskriminierendes Ergebnis nachweisbar ist, kann bereits die intransparente algorithmische Vorauswahl einen eigenständigen Rechtsverstoß darstellen.
Warum das für deutsche Arbeitgeber DSGVO-relevant ist
Genau hier setzt die DSGVO bereits heute an. Sie knüpft ihre Anforderungen nicht an den Nachweis von Diskriminierung oder Fehlentscheidungen, sondern an die Existenz von Profiling, Ranking und faktisch wirksamer Vorauswahl. Maßgeblich ist nicht, wie Systeme bezeichnet oder vermarktet werden, sondern welche Verarbeitungsvorgänge tatsächlich stattfinden und welche Auswirkungen sie auf Bewerber haben. Transparenz, Zweckbindung und der Schutz vor automatisierten Bewertungen sind keine freiwilligen Compliance-Maßnahmen, sondern rechtliche Mindestanforderungen.
Auch Klagen gegen Arbeitgeber sind möglich
Auch wenn Microsoft, PayPal oder Bayer in der Eightfold-Klage nicht als Beklagte benannt sind, bedeutet das keineswegs Entwarnung. Der Fair Credit Reporting Act kennt nicht nur Pflichten für die Anbieter von Consumer Reports, sondern auch für deren Nutzer. Sollte Eightfold von Gerichten als Consumer Reporting Agency eingestuft werden, wären auch separate Klagen gegen Arbeitgeber in den USA denkbar.
Überträgt man diesen Fall auf europäische Verhältnisse, wird klar: Die Verantwortung der Arbeitgeber ergibt sich hier bereits heute aus der DSGVO. Informationspflichten, Zweckbindung und der Schutz vor faktisch automatisierten Entscheidungen können nicht an Dienstleister delegiert werden.
Jeder Arbeitgeber bleibt selbst verantwortlich.
Dass sich viele Unternehmen offenbar blind auf die Aussagen ihrer Anbieter verlassen, ist rechtlich riskant – und erfahrungsgemäß selten eine gute Idee.
Das verlangt die DSGVO im Recruiting-Kontext schon heute
Werfen wir also einen Blick auf die Anforderungen der DSGVO und darauf, wie sie bei den exemplarisch ausgewählten Unternehmen berücksichtigt werden.
Art. 13 DSGVO verlangt, dass Bewerber zum Zeitpunkt der Datenerhebung klar und kontextnah darüber informiert werden, dass Profiling stattfindet, welche Logik dabei angewendet wird und welche Bedeutung diese Verarbeitung für sie hat. Hinweise, die ausschließlich in umfangreichen Datenschutzerklärungen verborgen sind oder abstrakt von “Matching” sprechen, erfüllen diese Anforderungen regelmäßig nicht.
Art. 5 DSGVO fordert Zweckbindung und Datenminimierung. Wenn – wie Klageschrift und Patentschrift nahelegen – Daten aus externen Quellen, Vergleichsdaten anderer Beschäftigter sowie algorithmisch erzeugte Inferenzdaten über Persönlichkeit oder Karrierepotenzial in die Bewertung einfließen, muss dieser Umfang transparent gemacht und rechtlich legitimiert werden.
Art. 22 DSGVO ist besonders sensibel: Selbst wenn die finale Einstellungsentscheidung formell von einem Menschen getroffen wird, kann bereits eine algorithmische Vorauswahl, die faktisch darüber entscheidet, welche Bewerbungen überhaupt gesehen werden, eine vergleichbar erhebliche Wirkung entfalten. In solchen Fällen sind zusätzliche Garantien erforderlich – klare Informationen, menschliche Überprüfungsmöglichkeiten und effektive Widerspruchsrechte. Genau diese Elemente fehlen in den beschriebenen Prozessen weitgehend.
EU AI Act verschärft die Anforderungen
Der EU AI Act verschärft diese Anforderungen ab August 2026. Er stuft KI-Systeme zur Bewertung, Vorauswahl oder Ablehnung von Bewerbern als Hochrisiko-Systeme ein und verpflichtet Arbeitgeber zu Risikobewertungen, Dokumentation, Bias-Tests, menschlicher Aufsicht und transparenter Kommunikation. Wer sich auf den Standpunkt stellt, die eigene Praxis erst mit Inkrafttreten des AI Acts zu überprüfen, verkennt die aktuelle Rechtslage.
Zentral ist die Transparenzpflicht. Bewerber müssen vorab klar und verständlich darüber informiert werden, dass KI eingesetzt wird, wie das System grundsätzlich funktioniert und welchen Einfluss es auf den Auswahlprozess hat. Ein Hinweis im Kleingedruckten einer Datenschutzerklärung oder allgemeine Formulierungen wie “personalisierte Empfehlungen” oder “AI-powered matching” genügen diesen Anforderungen nicht.
Der EU AI Act verlangt keine Offenlegung des Quellcodes. Er verlangt jedoch, dass betroffene Personen nachvollziehen können, dass ihre Bewerbung algorithmisch bewertet wird und dass diese Bewertung reale Auswirkungen auf ihre Chancen hat. Die beschriebenen und von mir exemplarisch dargestellten Fälle werden dieser Anforderung nicht gerecht.
Für deutsche Arbeitgeber lautet die entscheidende Frage daher nicht, ob sie KI im Recruiting einsetzen dürfen. Sie lautet, ob sie Bewerbern offen, verständlich und ehrlich erklären können, was diese KI tut – und ob sie bereit wären, diese Erklärung nicht im Kleingedruckten, sondern unmittelbar sichtbar im Bewerbungsprozess selbst zu platzieren.
Mini-Audit: Fünf Fragen, die sich Arbeitgeber jetzt stellen sollten
Ein einfacher Realitätscheck beginnt mit fünf Fragen:
Wissen Bewerber bereits im Bewerbungsprozess, z. B. bei der Stellensuche, dass ihre Unterlagen durch ein KI-System bewertet oder gerankt werden? Oder erfahren sie das, wenn überhaupt, nur im Kleingedruckten einer Datenschutzerklärung, wie es bei Bayer, Telekom und Vodafone der Fall ist?
Können Sie selbst erklären, wie ein Score oder Ranking zustande kommt und welche Rolle er im Auswahlprozess spielt? Oder verlassen Sie sich auf Marketingbegriffe wie “AI-powered recommendations”?
Ist sichergestellt, dass jede Bewerbung tatsächlich von einem Menschen gesehen wird – oder nur die mit einer hohen algorithmischen Bewertung?
Haben Bewerber eine reale Möglichkeit, Einsicht in ihre Bewertung zu erhalten oder fehlerhafte Annahmen zu korrigieren, bevor eine Entscheidung getroffen wird?
Wissen Sie, welche Datenquellen Ihr Softwareanbieter konkret nutzt, welche Profile daraus entstehen und welche rechtlichen Zusicherungen Sie vertraglich tatsächlich haben?
Wer nur eine dieser Fragen nicht klar beantworten kann, sollte sehr genau prüfen, welchem System er im Recruiting vertraut.
Arbeitgeber müssen endlich Verantwortung für KI-Systeme übernehmen
Die Sammelklage gegen Eightfold macht deutlich, dass sich der Fokus bei der Beobachtung von KI im Recruiting verändert. Anders als bei Workday geht es nicht mehr nur um die reine Diskriminierungsfrage, sondern grundsätzlich um Transparenz, Aufklärung und einen fairen, transparenten Umgang mit Bewerbungen.
Die DSGVO/GDPR und der EU AI Act machen aus dieser Transparenz eine rechtliche Pflicht. Unternehmen, die heute noch davon ausgehen, dass Hinweise im Datenschutzhinweis ausreichen, werden sich bald erklären müssen – gegenüber Aufsichtsbehörden, Gerichten und nicht zuletzt gegenüber Bewerbern.
Die entscheidende Frage ist nicht mehr, ob KI im Recruiting eingesetzt wird. Sondern ob Arbeitgeber bereit sind, Verantwortung für die Systeme zu übernehmen, denen sie diese Entscheidungen anvertrauen.
Moin! Ich bin Henner Knabenreich. Als Recruiting-Aktivist und Arbeitgebermarkenauftrittsoptimierer helfe ich Unternehmen, mit einer wertschätzenden und menschenzentrierten Ansprache passende Mitarbeiter zu finden. Mein Fokus: Karriereseiten, Stellenanzeigen und eine Bewerbungsarchitektur, die aus Interessenten Bewerber macht. Mein Wissen teile ich auch als Speaker, Personalmarketing-Coach, Berater und als Fachbuchautor der weltweit ersten Bücher über Karriereseiten und Google for Jobs. Ich hinterfrage den Status quo, lege gern den Finger in die Wunde und sage, was ich denke – und nicht, was alle hören wollen. Sie möchten mich für einen erfrischenden Vortrag buchen, eine wirklich funktionierende Karriereseite aufbauen, suchen einen Sparringspartner für Employer Branding oder wollen mit bewerberzentrierten Stellenanzeigen punkten? Dann kontaktieren Sie mich gern per E-Mail oder LinkedIn – ich freue mich auf Sie!
