DSGVO und Assessment-Tools: Was HR wirklich wissen muss

Irgendwo auf der Website fast jedes Assessment-Anbieters steht es: „DSGVO-konform.“ Oft mit einem kleinen Schild-Icon daneben. Beruhigend, oder?

Leider bedeutet dieses Label ungefähr so viel wie “enhtält Zutaten“ auf einer Lebensmittelpackung. Technisch korrekt. Inhaltlich nahezu nichtssagend.

Dieser Artikel erklärt, was Sie als HR-Verantwortliche tatsächlich wissen und prüfen müssen – ohne Juristendeutsch, aber auch ohne falsche Beruhigung.

Inhaltsangabe

• DSGVO und Assessment-Tools: Was HR wirklich wissen muss
• Inhaltsangabe
• Sie sind der Verantwortliche. Nicht der Anbieter.
• Rechtsgrundlage: Einwilligung klingt fair. Ist es aber oft nicht.
• Der AVV: Das Dokument, das niemand lesen will
• US-Server: Wenn die Daten den Atlantik überqueren
• Automatisierte Entscheidungen: Das Recht, das Bewerber kaum kennen
• EU AI Act: Die neue Dimension
• Was „DSGVO-konform“ auf einer Anbieterwebsite wirklich bedeutet

Reading Time: 6 Min.

„Wer die DSGVO-Frage an den Anbieter delegiert, hat sie nicht gelöst – er hat nur die Verantwortung für das Ergebnis behalten.“

Sie sind der Verantwortliche. Nicht der Anbieter.

Das ist der Punkt, der die meisten überrascht – und der am stärksten unterschätzt wird.

Die DSGVO unterscheidet zwischen dem Verantwortlichen (wer entscheidet, warum und wie Daten verarbeitet werden) und dem Auftragsverarbeiter (wer die Verarbeitung technisch umsetzt). Als Arbeitgeber, der Kandidaten durch ein Assessment-Tool schickt, entscheiden Sie: welche Personen bewertet werden, zu welchem Zweck, mit welchem Tool. Das macht Sie zum Verantwortlichen – mit allen Pflichten, die dazugehören.

Der Anbieter führt nur in Ihrem Auftrag aus. Wenn also etwas schiefläuft – Datenpanne, fehlende Rechtsgrundlage, unzulässige Datenübermittlung – liegt die Verantwortung bei Ihnen.

Eine wichtige Grauzone: Manche Anbieter nutzen Kandidatendaten auch für eigene Zwecke – etwa um Normgruppen aufzubauen oder ihre Modelle zu trainieren. In diesem Fall wären sie kein reiner Auftragsverarbeiter mehr, sondern möglicherweise gemeinsam Verantwortlicher nach Art. 26 DSGVO. Das ist juristisch eine andere Liga. Prüfen Sie die Datenschutzerklärung des Anbieters genau – oder lassen Sie es im Zweifel einen Anwalt tun.

Rechtsgrundlage: Einwilligung klingt fair. Ist es aber oft nicht.

Viele Unternehmen lösen die Frage der Rechtsgrundlage mit einer Checkbox: „Ich stimme der Verarbeitung meiner Daten zu.“ Intuitiv macht das Sinn – der Kandidat gibt seine Zustimmung, alles sauber.

Das Problem: Im Bewerbungskontext ist eine Einwilligung nach Art. 7 DSGVO nur dann wirksam, wenn sie freiwillig erteilt wird. Und ein Bewerber, der weiß dass seine Ablehnung die Bewerbung beendet, stimmt nicht wirklich freiwillig zu. Die Aufsichtsbehörden sehen das ähnlich.

Die üblicheren und robusteren Grundlagen im Einstellungskontext sind Vertragsanbahnung (Art. 6 Abs. 1 lit. b – die Verarbeitung ist für die Entscheidung über den Vertragsschluss notwendig) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f – mit entsprechender Interessenabwägung). Welche Grundlage passt, hängt vom konkreten Assessment und seiner Rolle im Prozess ab. Wichtig ist: Sie müssen sich für eine entscheiden und diese dokumentieren.

Der AVV: Das Dokument, das niemand lesen will

Ein Datenverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Pflicht, sobald ein Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet. Ohne AVV dürfen Sie die Plattform datenschutzrechtlich nicht einsetzen. Punkt.

Die meisten Anbieter haben Standardverträge – häufig als PDF zum Download oder direkt in den Nutzungsbedingungen. Das reicht formal. Aber ein Blick lohnt sich: Ein valider AVV muss mindestens enthalten:

• Genauen Verarbeitungsgegenstand und -zweck
• Weisungsbindung des Anbieters
• Regelungen zu Subunternehmern (Unterauftragsverarbeiter)
• Löschpflichten nach Vertragsende
• Unterstützungspflichten bei Betroffenenrechten

Fehlen diese Punkte oder sind sie schwammig formuliert – Warnsignal.

US-Server: Wenn die Daten den Atlantik überqueren

Viele Assessment-Plattformen laufen auf US-amerikanischer Cloud-Infrastruktur – AWS, Azure oder Google Cloud in US-Rechenzentren. Das ist kein Ausschlusskriterium, stellt aber Anforderungen.

Seit dem Schrems-II-Urteil (2020) sind Datentransfers in die USA ohne geeignete Garantien unzulässig. Gültige Lösungen sind EU-Standardvertragsklauseln (SCCs) kombiniert mit einem Transfer Impact Assessment, oder ein Anbieter mit gültigem EU-US Data Privacy Framework-Zertifikat (verfügbar seit 2023).

Fragen Sie konkret: Wo liegen die Server? Gibt es SCCs? Ist der Anbieter DPF-zertifiziert? Ein seriöser Anbieter beantwortet das ohne Zögern.

Automatisierte Entscheidungen: Das Recht, das Bewerber kaum kennen

Art. 22 DSGVO gibt Personen das Recht, nicht ausschließlich auf Basis automatisierter Verarbeitung einer Entscheidung unterworfen zu werden, die sie rechtlich oder ähnlich erheblich beeinträchtigt. Eine Einstellungsentscheidung fällt klar darunter.

Was das für die Praxis bedeutet: Wenn ein KI-gestütztes Tool einen Bewerber automatisch aussortiert – ohne dass ein Mensch die Entscheidung überprüft – ist das problematisch. Bewerber haben zudem das Recht auf Erklärung: Warum wurde diese Entscheidung getroffen?

Ein Assessment-Tool, das Empfehlungen gibt und Ergebnisse liefert, die ein Mensch bewertet, ist kein Problem. Die rote Linie liegt bei vollautomatisierten Ablehnungen ohne menschliche Überprüfung.

EU AI Act: Die neue Dimension

Seit 2024 gilt in der EU der AI Act – und er hat direkte Konsequenzen für Assessment-Tools, die auf KI basieren.

KI-Systeme, die für Einstellungsentscheidungen eingesetzt werden, sind im AI Act explizit als Hochrisiko-Anwendungen eingestuft (Anhang III, Punkt 4a). Das bedeutet für Anbieter: technische Dokumentation, menschliche Aufsicht, Transparenz gegenüber Betroffenen, Registrierung in einer EU-Datenbank und – ab August 2026 – eine Konformitätsbewertung.

Für Sie als HR-Verantwortliche bedeutet es konkret: Fragen Sie Ihren Anbieter, ob sein Tool unter den AI Act fällt und wie er die Hochrisiko-Anforderungen erfüllt. Ein Anbieter, der diese Frage nicht beantworten kann oder will, ist kein guter Partner.

Wichtig: Der AI Act gilt nicht für alle Assessment-Tools. Ein einfacher Persönlichkeitsfragebogen ohne algorithmische Entscheidungslogik fällt wahrscheinlich nicht darunter. Die Grenze liegt bei Systemen, die Kandidaten aktiv bewerten, ranken oder filtern – auf KI-Basis.

Was „DSGVO-konform“ auf einer Anbieterwebsite wirklich bedeutet

Zurück zum Schild-Icon vom Anfang. Was bedeutet es tatsächlich?

Meistens: dass der Anbieter eine Datenschutzerklärung hat, einen AVV anbietet und Daten nicht völlig ungesichert verschickt. Das ist die Mindestvoraussetzung – nicht die Erfüllung aller Anforderungen.

Was Sie stattdessen fragen sollten:

• Wo werden Daten gespeichert, und liegt ein vollständiger AVV vor?
• Welche Rechtsgrundlage empfiehlt der Anbieter für den Einsatz im Bewerbungskontext?
• Gibt es Drittlandtransfers – und wie sind sie abgesichert?
• Wie unterstützt der Anbieter bei Betroffenenrechten (Auskunft, Löschung)?
• Fällt das Tool unter den EU AI Act – und wenn ja, wie wird Compliance sichergestellt?

Die PEATS Guides dokumentieren für jeden bewerteten Anbieter, ob ein AVV verfügbar ist, wo Daten gespeichert werden und ob Bias-Tests vorliegen. Das ersetzt keine Rechtsberatung – aber es gibt Ihnen eine informierte Grundlage, bevor Sie ein Tool einsetzen.

Hinweis: Dieser Artikel informiert allgemein über datenschutzrechtliche Aspekte im Assessment-Kontext. Er ersetzt keine individuelle Rechtsberatung.