BDSG §26 und KI-Bewerberdaten: Beschäftigtendatenschutz operativ

Aktualisiert April 2026 · KI-Recruiting · Autor Matteo Mirabelli

Hinweis: Dieser Beitrag dient ausschließlich der Information und ersetzt keine Rechtsberatung. Für die datenschutzrechtliche Bewertung KI-gestützter Bewerbermanagement-Systeme empfehlen wir die Einbindung der oder des betrieblichen Datenschutzbeauftragten sowie ggf. die Konsultation der zuständigen Landesdatenschutzbehörde.

§26 Bundesdatenschutzgesetz ist die zentrale deutsche Spezialnorm für die Verarbeitung von Beschäftigtendaten. Sie geht über die DSGVO Art. 88 hinaus, indem sie für jede einzelne Datenverarbeitung im Beschäftigungskontext eine ausdrückliche Erforderlichkeitsprüfung verankert und die Einwilligung im Arbeitsverhältnis nur unter engen Voraussetzungen zulässt. Im KI-Recruiting hat §26 BDSG operative Konsequenzen, die die Mehrzahl der am Markt verfügbaren US-SaaS-Anbieter strukturell verfehlt: Sie verarbeiten Datenpunkte, deren Erforderlichkeit nicht nachweisbar ist, und stützen die Verarbeitung auf Einwilligungen, die im Bewerbungsverfahren regelmäßig nicht freiwillig sind.

Dieser Beitrag richtet sich an Datenschutzbeauftragte, Personalleitungen, HR-IT-Verantwortliche und Geschäftsführungen, die KI-Bewerbermanagement BDSG-konform aufstellen wollen. Er erklärt den Wortlaut von §26 BDSG, die Auslegungspraxis der deutschen Aufsichtsbehörden, die operative Erforderlichkeitsprüfung pro Datenkategorie, die Anforderungen an Einwilligungen und die Schnittstellen zur DSGVO, zum AGG und zum AI Act.

Der Wortlaut von §26 BDSG und seine Struktur

§26 Abs. 1 BDSG legt fest: "Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist."

§26 Abs. 8 BDSG definiert "Beschäftigte" weit: erfasst sind ausdrücklich auch "Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist". Damit ist §26 BDSG die Anker-Norm für jede Verarbeitung von Bewerberdaten im deutschen Markt.

§26 Abs. 2 BDSG regelt die Einwilligung im Beschäftigungskontext: Sie ist nur dann freiwillig, "wenn ein für die beschäftigte Person rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen". Die Einwilligung muss zudem schriftlich oder elektronisch dokumentiert sein, und der Arbeitgeber muss die beschäftigte Person über den Zweck der Verarbeitung und das jederzeitige Widerrufsrecht informieren.

§26 Abs. 3 BDSG erlaubt die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) im Beschäftigungskontext nur unter engen Voraussetzungen — etwa zur Ausübung sich aus dem Arbeitsrecht ergebender Rechte und Pflichten — und verlangt zusätzliche Schutzmaßnahmen.

Die Erforderlichkeitsprüfung: das operative Herzstück

Der entscheidende Begriff in §26 Abs. 1 BDSG ist "erforderlich". Die deutsche Aufsichtspraxis legt diesen Begriff streng aus: Erforderlich ist eine Verarbeitung nur dann, wenn der Zweck nicht mit milderen Mitteln erreichbar ist und die Verarbeitung in einem angemessenen Verhältnis zum Zweck steht. Bloße Nützlichkeit oder Effizienz genügen nicht.

Für KI-Recruiting bedeutet das eine datenpunkt-basierte Erforderlichkeitsprüfung. Jede einzelne Eingabe-Datenkategorie, die das Modell verarbeitet, muss eine dokumentierte Erforderlichkeitsbegründung tragen. Die folgende Tabelle bildet die typische Praxis-Bewertung ab:

Datenkategorie Erforderlich nach §26 BDSG? Hinweise
Name, Kontaktdaten Ja Erforderlich für die Bewerber-Kommunikation.
Lebenslauf-Inhalte (Ausbildung, Berufserfahrung) Ja Erforderlich für die Eignungsprognose.
Anschreiben-Text Ja, mit Vorbehalt Erforderlich; KI-Auswertung des Schreibstils dagegen regelmäßig nicht erforderlich.
Lichtbild Nein Strukturell entbehrlich; AGG-Risiko.
Geburtsdatum Begrenzt Nur soweit Mindestalter rechtlich zwingend ist.
Geschlecht Nein AGG-Risiko; nicht für Eignungsprognose erforderlich.
Familienstand Nein AGG-Risiko.
Religionszugehörigkeit Nein, außer Tendenzbetrieb Art. 9 DSGVO; §26 Abs. 3.
Schwerbehinderten-Status Nein, außer auf freiwillige Mitteilung §26 Abs. 3 mit Schutzmaßnahmen.
Wohnort-Postleitzahl als Score-Eingabe Nein AGG-Proxy-Risiko, nicht erforderlich.
Social-Media-Aktivität Nein Strukturell nicht erforderlich, kein freiwilliger Konsens möglich.
Schreibstil-Analyse Nein Persönlichkeitsmerkmal; AGG- und §26-Risiko.
Tonfall-Analyse in Videointerviews Nein Persönlichkeitsmerkmal; AGG-Risiko (Behinderung).

Die Liste illustriert ein Kernergebnis: viele am Markt angebotene KI-Recruiting-Funktionen sind in Deutschland unter §26 BDSG nicht zulässig. Die Erforderlichkeitsprüfung ist nicht primär eine Compliance-Übung, sondern eine inhaltliche Konfigurations-Entscheidung, die das Tooling prägt.

Einwilligung — und warum sie selten trägt

Im Bewerbungsverfahren ist die Einwilligung der bewerbenden Person als Rechtsgrundlage strukturell schwach. Die Aufsichtspraxis der LfDI Baden-Württemberg, BayLDA, BlnBDI und HmbBfDI ist hier konsistent: Eine Einwilligung im Bewerbungsverfahren ist nur dann freiwillig im Sinne des §26 Abs. 2 BDSG, wenn die bewerbende Person erkennbar ohne Nachteil ablehnen kann. Da die Verweigerung der Einwilligung in der Praxis das Bewerbungsverfahren nicht weniger erfolgsversprechend machen darf, scheitern die meisten in Anbieter-Templates vorgesehenen Einwilligungs-Konstruktionen.

Wo Einwilligung tatsächlich trägt, ist sie eng eingegrenzt:

  • Freiwillige Mitteilung der Schwerbehinderung mit dem Ziel, die Schwerbehinderten-spezifischen Verfahrensrechte zu aktivieren.
  • Aufnahme in einen Talent-Pool nach erfolgloser Bewerbung mit eindeutiger Vorteils-Konstellation für die bewerbende Person.
  • Teilnahme an freiwilligen Diversity-Erfassungen mit klarem Hinweis, dass die Antwort die Bewerbungsentscheidung nicht beeinflusst.

In allen anderen Fällen muss die Verarbeitung auf §26 Abs. 1 BDSG (Erforderlichkeit) gestützt werden — und das verlangt die strenge Datenpunkt-Inventur.

Auftragsverarbeitung und TOMs

KI-Recruiting-Systeme arbeiten praktisch immer in einer Auftragsverarbeitungs-Konstellation: Der Arbeitgeber bleibt Verantwortlicher, der Anbieter ist Auftragsverarbeiter nach Art. 28 DSGVO. Drei Vertrags- und TOM-Anforderungen sind in der deutschen Aufsichtspraxis besonders relevant:

Auftragsverarbeitungsvertrag (AVV)

Der AVV nach Art. 28 DSGVO muss um BDSG-§26-spezifische Klauseln ergänzt werden:

  • Auflistung der zugelassenen Datenkategorien mit Erforderlichkeitsbezug.
  • Verbot der Verwendung von Bewerberdaten für andere Zwecke (insbesondere Modell-Training für andere Kunden des Anbieters).
  • Konkrete Aufbewahrungsfristen.
  • Audit-Rechte des Verantwortlichen sowie der zuständigen Aufsichtsbehörden.
  • Verfahren bei Datenpanne, AGG-Beschwerde und Aufsichts-Anfrage.

Technische und organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt TOMs, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Für KI-Recruiting in Deutschland 2026 gehören dazu mindestens:

  • Datenresidenz EU/DE mit nachweisbarer Hosting-Konfiguration.
  • Verschlüsselung in Transport und in Ruhe (TLS 1.3, AES-256 oder Äquivalent).
  • Rollenbasierte Zugriffskontrolle mit Trennung Recruiter/HR-Admin/IT-Admin.
  • Audit-Logging aller Datenzugriffe und algorithmischen Bewertungen.
  • Pseudonymisierung der Trainings- und Test-Daten, wo modellseitig möglich.
  • Dokumentierte Lösch- und Anonymisierungs-Routinen.
  • Cybersecurity-Standards nach BSI-Grundschutz oder ISO 27001.

Datenresidenz und Drittstaaten-Transfers

Die Aufsichtsbehörden bewerten Drittstaaten-Transfers — insbesondere in die USA — nach dem Schrems-II-Urteil weiterhin streng. Auch das EU-US Data Privacy Framework reicht in der Bewertung mehrerer Landesdatenschutzbehörden nicht aus, um Bewerberdaten ohne zusätzliche Schutzmaßnahmen in die USA zu übertragen, wenn sie sensitive Profilinformationen enthalten. Die saubere Lösung für deutsche Personalabteilungen 2026 ist die Beschränkung auf EU/DE-gehostete Anbieter.

DPIA / DSFA und das konsolidierte Audit-Dokument

Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung, sobald die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Die deutschen Aufsichtsbehörden haben in ihren Muss-Listen algorithmische Bewerberbewertung explizit aufgenommen — die DPIA ist im KI-Recruiting Pflicht, nicht Option.

Die effiziente Implementierung integriert vier Pflichtdokumente in einen einzigen konsolidierten Audit-Bericht:

  • DPIA nach Art. 35 DSGVO.
  • BDSG-§26-Erforderlichkeits-Dokumentation pro Datenkategorie.
  • AGG-Bias-Audit nach §3 Abs. 2 AGG.
  • AI-Act-Daten-Governance-Bericht nach Art. 10 AI Act.

Dieser konsolidierte Bericht reduziert die Compliance-Last erheblich und schafft eine kohärente Verteidigungsbasis im Fall einer Aufsichts-Anfrage oder einer arbeitsgerichtlichen Klage.

Auskunfts-, Berichtigungs- und Löschungsrechte

Bewerbende haben nach Art. 15 DSGVO ein Auskunftsrecht über die zu ihrer Person gespeicherten Daten und über die Verarbeitungslogik bei automatisierten Einzelentscheidungen. Art. 22 DSGVO ergänzt dies um das Recht auf menschliches Eingreifen, Darlegung des eigenen Standpunkts und Anfechtung der Entscheidung.

Operativ bedeutet das eine UI-Schicht in der Recruiting-Plattform, in der Bewerbende:

  • ihre gespeicherten Daten einsehen können,
  • die Score-Begründung in verständlicher Sprache erhalten,
  • eine erklärte menschliche Überprüfung der Entscheidung anfordern können,
  • die Löschung ihrer Daten beantragen können.

Anbieter, die diese Funktionalitäten nicht standardmäßig bereitstellen, sind in Deutschland 2026 nicht einsetzbar — die §26 BDSG-Konformität fällt im ersten Audit auf.

Aufbewahrungsfristen

Die Aufsichtspraxis empfiehlt für Bewerbungsunterlagen abgelehnter Bewerbender eine Aufbewahrungsfrist von vier bis sechs Monaten nach Abschluss des Verfahrens — ausreichend, um eine etwaige AGG-Klage (Frist nach §15 Abs. 4 AGG: zwei Monate) nebst Korrespondenz abzuwickeln, ohne darüber hinaus Daten vorzuhalten. Längere Aufbewahrungsfristen sind nur mit ausdrücklicher Einwilligung der bewerbenden Person zulässig (typische Konstellation: Talent-Pool-Aufnahme).

Schnittstelle zum AI Act und zur Mitbestimmung

Die §26 BDSG-Architektur greift mit der AI-Act-Pflichtenkette aus Annex III Punkt 4 und Art. 26 sowie mit der Mitbestimmung nach §87 BetrVG ineinander. Drei integrative Punkte:

  • Die §26 BDSG-Datenpunkt-Inventur fließt direkt in die AI-Act-Datengovernanz-Dokumentation nach Art. 10 ein.
  • Die DPIA mit BDSG-Erweiterung erfüllt zugleich die AI-Act-Risikomanagement-Anforderungen aus Art. 9.
  • Die Betriebsvereinbarung nach §87 BetrVG kann auf der §26 BDSG-Datenpunkt-Inventur aufbauen — der Betriebsrat erkennt dort regelmäßig die Argumentationsbasis für seine eigenen Verhandlungspositionen wieder.

Wer diese drei Schichten getrennt angeht, baut Doppelarbeit. Wer sie integriert, schafft eine konsistente Compliance-Architektur.

Knowlee-Positionierung als BDSG §26-by-design-Plattform

Knowlee implementiert Beschäftigtendatenschutz als Designprinzip, nicht als Compliance-Schicht. Die Plattform liefert:

  • BDSG-§26-Datenpunkt-Inventur mit dokumentierter Erforderlichkeitsbegründung pro Eingabe-Kategorie.
  • Konfiguration des Modells mit explizitem Verzicht auf Datenpunkte, deren Erforderlichkeit nicht nachweisbar ist (Lichtbild, Schreibstil-Analyse, Tonfall-Analyse, Wohnort-Postleitzahl als Score-Eingabe).
  • AVV-Mustervertrag mit BDSG-Annex und Audit-Rechten.
  • TOMs nach Art. 32 DSGVO mit Datenresidenz EU/DE.
  • DPIA-Vorlage mit BDSG-, AGG- und AI-Act-Modulen, integriert in einen konsolidierten Audit-Bericht.
  • Auskunfts-, Erklärungs- und Löschungs-UI für Bewerbende nach Art. 15, 22 DSGVO.
  • Aufbewahrungs-Engine mit Datenkategorien-spezifischen Fristen und automatischer Löschung.

Die Architektur ist auf den deutschen Mittelstand zugeschnitten und integriert sich als KI-Layer über bestehenden Bewerbermanagement-Systemen — Personio, SAP SuccessFactors, Softgarden — ohne Datenmigrations-Großeingriff. Datenschutzbeauftragte erhalten ein Audit-fertiges System, das den Erforderlichkeits-Diskurs aktiv unterstützt, statt ihn auszuweichen.

Schlussfolgerung

§26 BDSG ist nicht der DSGVO-Anhang, sondern die deutsche Spezialnorm, die KI-Recruiting in Deutschland inhaltlich prägt. Die Erforderlichkeitsprüfung pro Datenkategorie ist die operative Achse, an der sich Anbieter messen lassen müssen. Personalabteilungen, die jetzt eine §26-konforme Architektur aufbauen — mit AVV, TOMs, DPIA, Auskunfts-UI und Aufbewahrungs-Engine — gewinnen ein Recruiting-System, das Aufsichts-Anfragen, AGG-Klagen und Mitbestimmungs-Verhandlungen besteht. Knowlee unterstützt diesen Aufbau mit einer Plattform, die §26 BDSG nicht adaptiert, sondern als Kern-Designprinzip implementiert.

Quellen und Referenzen

  • Bundesdatenschutzgesetz (BDSG), §26 Abs. 1, 2, 3, 8.
  • DSGVO, Art. 5, Art. 6, Art. 9, Art. 15, Art. 22, Art. 28, Art. 30, Art. 32, Art. 35, Art. 88.
  • AGG, §§1, 3, 6, 7, 15, 22.
  • Verordnung (EU) 2024/1689 (AI Act), Art. 9, Art. 10, Art. 26, Annex III Punkt 4.
  • Betriebsverfassungsgesetz (BetrVG), §87 Abs. 1 Nr. 6.
  • Auslegungshinweise der LfDI Baden-Württemberg, BayLDA, BlnBDI, HmbBfDI zu Beschäftigtendatenverarbeitung.
  • BfDI-Stellungnahmen zur Verarbeitung von Bewerberdaten.
  • Gehrmann/Däubler, Kommentar zu §26 BDSG.
  • BSI-Grundschutz und ISO/IEC 27001:2022.
  • ISO/IEC 42001:2023.
  • Bitkom-Praxishilfen zum Beschäftigtendatenschutz.

Verwandte Beiträge