← Zurück zur Startseite

KI in Bewerbungen

DSGVO-konforme Bewerbungs-KI: worauf du achten musst

Welche Bewerbungs-KI-Tools DSGVO-konform sind und welche nicht. Mit konkretem Datenschutz-Check für ChatGPT, Claude, Gemini und deutsche Tools.

Veröffentlicht am

Kurz erklärt: DSGVO-konforme Bewerbungs-KI bedeutet: EU-Hosting oder Standardvertragsklauseln, Zweckbindung (Daten nur für Bewerbung, kein Training), Speicherbegrenzung (kurze Aufbewahrung), Transparenz über Subprozessoren. Die meisten US-KI-Tools (ChatGPT, Claude, Gemini) sind grenzwertig — du musst Trainings-Opt-out aktiv setzen. Spezialisierte EU-Tools wie Bewerbung.express sind DSGVO-Plus.

DSGVO-konforme Bewerbungs-KI: warum das wichtig ist

Wer einen Lebenslauf in eine KI-Chat eingibt, gibt sensible personenbezogene Daten preis: Vor- und Nachname, Adresse, E-Mail, Telefon, Geburtsdatum, kompletter Werdegang, manchmal sogar Familienstand und Gesundheitsinformationen. Diese Daten landen oft auf Servern in den USA, werden für Trainings-Zwecke ausgewertet oder bleiben dauerhaft gespeichert.

Aus DSGVO-Sicht ist das mindestens grenzwertig. In manchen Fällen rechtlich problematisch. Das gilt vor allem für Bewerber in sensitiven Branchen, mit besonderen Vorerkrankungen oder als Vorbild für die geforderte „Privacy-by-Design"-Bewerbung.

In diesem Artikel klären wir, was DSGVO-konform bei KI-Bewerbungstools wirklich heißt, welche Tools die Anforderungen erfüllen und welche du besser mit Bedacht einsetzt.

Die fünf DSGVO-Anforderungen für KI-Tools

Bei der Bewertung eines KI-Tools für Bewerbungen prüfst du fünf Punkte:

1. Rechtsgrundlage der Verarbeitung

Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt. Bei Bewerbungs-Tools ist das typisch:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — du gibst Daten ein, das Tool generiert dafür ein Ergebnis. Das ist die Rechtsgrundlage für die eigentliche Verarbeitung.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — manche Tools nutzen das für Trainings-Zwecke. Hier hast du ein Widerspruchsrecht.

Was du prüfen solltest: Ist der Verarbeitungs-Zweck klar definiert? Werden Daten nur für das Tool selbst oder auch für Training genutzt?

2. Zweckbindung

Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Bei Bewerbungs-Tools heißt das:

  • Daten für deinen Bewerbungs-Workflow: OK
  • Daten zum Trainieren des Modells: nur mit Einwilligung
  • Daten zur Werbung oder Drittweitergabe: nur mit Einwilligung

Was du prüfen solltest: Steht in der Datenschutzerklärung, dass deine Daten zum Training genutzt werden? Falls ja: gibt es ein Opt-out?

3. Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie nötig. Für Bewerbungs-Tools heißt das ideal:

  • Sehr kurz (Sekunden bis Minuten) — Tool generiert Ergebnis, löscht Daten sofort
  • Bis 24 Stunden — temporäre Speicherung für Re-Download
  • 30 Tage und mehr — bedenklich für sensible Daten

Was du prüfen solltest: Wie lange werden deine Daten gespeichert? Ist das in der Datenschutzerklärung dokumentiert?

4. Drittland-Transfer

Wenn deine Daten in die USA oder andere Drittländer übermittelt werden, brauchst du eine Absicherung:

  • EU-U.S. Data Privacy Framework (DPF): US-Unternehmen, die nach DPF zertifiziert sind, erfüllen DSGVO-Anforderungen für US-Transfers
  • Standardvertragsklauseln (SCC): Vertragliche Absicherung des Datenschutzes auch ohne DPF
  • Binding Corporate Rules: Konzern-interne Regelungen

Was du prüfen solltest: Ist das Tool in den USA gehostet? Falls ja, ist DPF oder SCC dokumentiert?

5. Transparenz über Subprozessoren

Das Tool nutzt selbst Cloud-Anbieter (AWS, Google Cloud, Azure), die wiederum Subprozessoren sind. Diese müssen offengelegt werden.

Was du prüfen solltest: Gibt es eine Auflistung der eingesetzten Subprozessoren in der Datenschutzerklärung?

Die wichtigsten Tools im DSGVO-Check

ChatGPT (OpenAI)

| Kriterium | Status | |---|---| | Rechtsgrundlage | Vertrag + Training (Default) | | Zweckbindung | Schwach — Training ist Default | | Speicherbegrenzung | Konversations-Verlauf bleibt monatelang | | Drittland-Transfer | USA + DPF zertifiziert | | Subprozessoren | Microsoft Azure (OpenAI partner) |

Was du tun musst: Trainings-Opt-out aktiv setzen. Settings → Data Controls → „Chat history & training" deaktivieren. Dann werden Konversationen nicht zum Training genutzt UND nicht gespeichert.

Was schwierig bleibt: Anonyme Eingabe deiner Daten ist die einzige zuverlässige Schutz-Methode. Niemals den vollständigen Lebenslauf eingeben, sondern Aufgaben anonym formulieren.

Claude (Anthropic)

| Kriterium | Status | |---|---| | Rechtsgrundlage | Vertrag, kein Standard-Training | | Zweckbindung | Stark bei API-Nutzung | | Speicherbegrenzung | Web: bis Account-Löschung. API: 30 Tage Default. | | Drittland-Transfer | USA + DPF zertifiziert | | Subprozessoren | Amazon Web Services |

Vorteile: Anthropic verzichtet bei API-Nutzung auf Trainings-Verwendung. Web-Version ist Opt-in für Training.

Schwächen: Daten gehen weiterhin in die USA. Speicherdauer länger als bei spezialisierten Tools.

Gemini (Google)

| Kriterium | Status | |---|---| | Rechtsgrundlage | Vertrag + komplexe Google-Account-Konfiguration | | Zweckbindung | Schwach bei privatem Account, stärker bei Workspace | | Speicherbegrenzung | Lange (Google-typische Speicherung) | | Drittland-Transfer | USA + DPF zertifiziert | | Subprozessoren | Google Cloud (selbst) |

Was du tun musst: Bei Workspace-Konto Trainings-Daten deaktivieren. Bei privatem Konto sind die Einstellungen verstreut und schwer zu finden.

Schwächen: Google-typische tiefe Verflechtung mit anderen Diensten. Werbung-relevant.

Bewerbung.express

| Kriterium | Status | |---|---| | Rechtsgrundlage | Vertragserfüllung — exklusiv | | Zweckbindung | Maximal — nur für Bewerbung, kein Training | | Speicherbegrenzung | Sekunden bis Generierung fertig, danach Auto-Löschung | | Drittland-Transfer | EU-Hosting, Drittländer nur mit DPF + SCC dokumentiert | | Subprozessoren | Transparent dokumentiert (Vercel EU, Anthropic für Generierung, Stripe für Zahlung, Resend für E-Mail) |

Vorteile: Privacy-by-Design. Daten werden nicht für Training genutzt, sofort gelöscht. EU-Datenschutz-Standard. Made in Germany.

Schwächen: Pay-per-Use (kostet 9,99 € pro Bewerbung), nicht für kostenlose Brainstorming-Workflows.

Andere KI-Bewerbungstools

Es gibt diverse weitere Tools (Resume.io, JobScan, CV Maker, etc.). Bei diesen gilt: vor Nutzung Datenschutzerklärung prüfen. Die meisten sind US-Anbieter mit Standard-Klauseln, oft ohne aktiven Trainings-Opt-out und mit längeren Speicherzeiten.

Mehr zum Vergleich findest du im Bewerbungs-KI-Tools-Vergleich.

Wann ist DSGVO-Konformität besonders wichtig?

Nicht jeder hat die gleichen Datenschutz-Anforderungen. In manchen Situationen ist DSGVO-Konformität aber Pflicht oder dringend empfohlen:

Pflicht oder dringend empfohlen

  • Du arbeitest in einer regulierten Branche (Bank, Versicherung, Pharma, Behörde) und bist datenschutz-sensibilisiert
  • Du bewirbst dich auf eine HR- oder Compliance-Stelle — KI-Nutzung ist hier Reality-Check für deine eigenen Standards
  • Du hast besondere Daten im Lebenslauf — Schwerbehinderten-Status, Vorerkrankungen, sensible berufliche Stationen
  • Du bewirbst dich öffentlich exponiert (Politik, Anwaltschaft, Medien) — Datenschutz-Reputation zählt

Empfohlen, aber weniger kritisch

  • Standard-Bewerbung im Mittelstand — moderate Anforderungen
  • Internationale Bewerbung — andere Datenschutz-Standards
  • Junior-Stelle ohne sensible Daten — Risiko geringer

Weniger relevant

  • Anonyme Brainstorming-Anfragen (z.B. „Wie formuliere ich diesen Satz besser?")
  • Reine Stellenanzeigen-Analyse ohne eigene Daten

Die Praxis: wie du sicher mit KI-Tools bewirbst

Regel 1: Anonyme Eingabe wo möglich

Statt:

„Max Mustermann, geboren am 15.03.1992 in Berlin, hat von 2020 bis heute bei TechCorp gearbeitet..."

Lieber:

„Eine Person mit 5 Jahren Frontend-Entwicklung in einem Tech-Unternehmen sucht eine neue Stelle als Senior Frontend Entwickler. Bitte schlag drei Einleitungs-Varianten vor."

Die KI bekommt genug Kontext für gute Arbeit, ohne dass alle persönlichen Daten gespeichert werden.

Regel 2: Trainings-Opt-out aktiv setzen

Bei ChatGPT: Settings → Data Controls → „Chat history & training" deaktivieren.

Bei Claude: Account-Settings → Privacy → Opt-out wo möglich.

Bei Gemini: Komplex, je nach Konto-Typ. Workspace-Konten haben mehr Kontroll-Optionen.

Regel 3: Konversation regelmäßig löschen

Auch wenn Trainings-Opt-out gesetzt ist, kann eine längere Konversation persönliche Daten enthalten. Lösche Bewerbungs-spezifische Chats nach der Bewerbung.

Regel 4: Sensible Daten lokal halten

Adresse, Telefonnummer, Geburtsdatum, Familienstand: muss nicht in einen KI-Chat. Diese Daten gehören in den finalen Lebenslauf, nicht in deine Brainstorming-Konversation.

Regel 5: Bei sensiblen Bewerbungen spezialisierte Tools nutzen

Wenn dein Lebenslauf besondere Schutz-Bedürfnisse hat (Schwerbehinderten-Status, sensitive frühere Stationen, etc.), ist ein EU-spezialisiertes Tool wie Bewerbung.express deutlich sicherer als generelle Chat-Tools.

Was deutsche Datenschutzbeauftragte sagen

Die deutschen Aufsichtsbehörden (LfDI, BfDI) haben sich in den letzten zwei Jahren mehrfach zu KI-Tools geäußert. Kernpunkte:

  1. ChatGPT in der Standardeinstellung ist DSGVO-fragwürdig. Nutzer-Daten als Trainings-Material zu verwenden ist nicht klar rechtmäßig.

  2. Trainings-Opt-out ist wirksam. Wer aktiv Opt-out setzt, hat eine deutlich bessere DSGVO-Position.

  3. EU-spezifische Tools sind bevorzugt. Aufsichtsbehörden empfehlen, wo möglich, EU-Anbieter zu nutzen.

  4. Geschäftliche KI-Nutzung braucht Auftragsverarbeitungsvertrag. Wenn du als HR-Verantwortliche KI für Bewerber-Verarbeitung nutzt, brauchst du einen AVV mit dem Anbieter.

Die letzte Aufsichts-Position ist nicht direkt relevant für private Bewerber, aber zeigt: Der Datenschutz-Rahmen für KI-Tools wird zunehmend strenger.

DSGVO bei Bewerbungs-Tools für HR

Wenn du diesen Artikel als HR-Verantwortliche/r liest und überlegst, ein KI-Tool für Bewerber-Verarbeitung in deinem Unternehmen einzusetzen:

  • AVV ist Pflicht mit dem Tool-Anbieter
  • Datenschutz-Folgenabschätzung durchführen
  • Betroffenen-Information über KI-Nutzung
  • Diskriminierungs-Schutz durch klare Kriterien
  • Mensch trifft Letzt-Entscheidung — KI darf nicht autonom aussortieren

Bei spezialisierten EU-Tools wie Bewerbung.express ist der AVV-Abschluss meist unkompliziert. Bei US-Tools (ChatGPT for Business, Claude API) auch möglich, aber komplexer.

Praktischer Workflow: DSGVO-konform bewerben

Konkretes Vorgehen für eine datenschutz-bewusste Bewerbung:

Schritt 1: Recherche (kein KI-Tool nötig)

  • Stellenanzeige lesen
  • Unternehmen recherchieren (Google, LinkedIn)
  • Keine persönlichen Daten preisgeben

Schritt 2: Brainstorming mit ChatGPT (anonym)

  • Trainings-Opt-out aktiv gesetzt
  • Eingabe: anonyme Aufgaben („Eine Person mit 5 Jahren Erfahrung...")
  • Output: Ideen, Formulierungs-Varianten

Schritt 3: Anschreiben-Entwurf selbst schreiben

  • Mit konkreten Beispielen aus deinem echten Lebenslauf
  • In Word oder einem Texteditor lokal
  • Niemals den Lebenslauf in ChatGPT eingeben

Schritt 4: Finalisierung mit DSGVO-konformem Tool

  • Bewerbung.express oder ähnliches EU-spezifisches Tool
  • Vollständige Daten geben OK, weil DSGVO-konform
  • PDF-Output direkt einsatzbereit

Schritt 5: Versand

  • Direkt an den Arbeitgeber
  • Keine zusätzlichen Drittanbieter zwischen dir und dem Empfänger

Dieser Workflow kombiniert die Stärken verschiedener Tools, ohne sensitive Daten unnötig herumzureichen.

Verwandte Themen

Wenn dich KI-Tools generell interessieren, lies den Pillar KI in Bewerbungen. Konkrete Prompts für anonyme ChatGPT-Nutzung findest du in unserem Prompt-Artikel. Für die Frage „erkennt der Personaler KI" hilft der Erkennungs-Artikel. Tool-Vergleich gibt es im Vergleichs-Artikel.

Häufige Fragen

Ist ChatGPT generell DSGVO-konform?

Mit aktivem Trainings-Opt-out und EU-U.S. DPF: weitgehend konform für nicht-sensible Daten. Im Standardmodus mit aktiver Trainings-Nutzung: grenzwertig.

Was passiert mit meinen Daten bei ChatGPT?

Default: werden gespeichert und potenziell zum Training genutzt. Mit Opt-out: werden nach 30 Tagen gelöscht und nicht zum Training verwendet.

Brauche ich einen AVV mit OpenAI?

Als privater Bewerber: nein. Als Arbeitgeber, der KI für Bewerber-Daten einsetzt: ja, Pflicht.

Sind EU-Tools immer DSGVO-konformer als US-Tools?

In der Regel ja. EU-Tools unterliegen direkt der DSGVO, ohne Drittland-Transfer. Bei US-Tools brauchst du immer eine zusätzliche Absicherung (DPF, SCC).

Ist es illegal, ChatGPT für Bewerbungen zu nutzen?

Nicht illegal. Aber bei sensiblen Daten und ohne Opt-out kannst du als Bewerber selbst DSGVO-Probleme bekommen (z.B. wenn deine eingegebenen Daten Dritte mit-betreffen).

Welches Tool ist am sichersten?

Aktuell EU-spezialisierte Tools wie Bewerbung.express. EU-Hosting, sofortige Löschung, keine Trainings-Nutzung, transparente Subprozessoren — alles im Default-Setup.