KI im Personalwesen: Die Klagen gegen Workday und wann Schadensersatzansprüche drohen

Immer mehr Unternehmen setzen im Recruiting auf KI-Systeme wie Workday. Diese versprechen Effizienz, Objektivität und bessere Bewerberentscheidungen. Doch aktuelle Gerichtsurteile zeigen: Wer sich blind auf automatisierte Entscheidungen verlässt, riskiert Diskriminierungsvorwürfe, Datenschutzverstöße – und erhebliche Haftung. Zwei zentrale Verfahren gegen Workday machen deutlich, dass sich Personalabteilungen dringend mit der rechtlichen Seite von KI-Systemen befassen müssen.

KI im Personalwesen – ein Risikofaktor?

Der Einsatz von Künstlicher Intelligenz im Personalwesen nimmt rasant zu. Insbesondere bei der Bewerberauswahl setzen viele Unternehmen inzwischen auf spezialisierte Softwarelösungen wie Workday oder SAP SuccessFactors, die KI-gestützte Funktionen integrieren. Ziel ist es, Auswahlprozesse zu automatisieren, Zeit und Kosten zu sparen – und nicht zuletzt Entscheidungen auf eine vermeintlich objektive Basis zu stellen.

In der Praxis übernehmen diese Systeme vielfältige Aufgaben: Sie analysieren Lebensläufe automatisiert, führen Online-Eignungstests durch oder bewerten Bewerberprofile anhand von Matching-Algorithmen. Dabei werden Fähigkeiten, Berufserfahrung, Qualifikationen oder bestimmte Schlüsselbegriffe aus dem Lebenslauf mit vordefinierten Anforderungen abgeglichen.

Was auf den ersten Blick effizient wirkt, birgt jedoch erhebliche Risiken. Denn viele dieser Verfahren sind technisch komplex und intransparent – die Entscheidungsfindung bleibt oft eine „Black Box“. Die Algorithmen stützen sich auf Trainingsdaten, deren Qualität und Aussagekraft für den konkreten Bewerbungsfall kaum überprüfbar ist. Fehlerhafte Daten oder einseitige Muster können sich dabei direkt auf die Bewertung von Kandidaten auswirken.

Hinzu kommt ein strukturelles Problem: Häufig fehlt eine echte menschliche Kontrolle. Entscheidungen werden entweder vollautomatisch getroffen oder nur noch pro forma durch Personalverantwortliche bestätigt. Die nach Art. 14 KI-VO vorausgesetzte „Human Oversight“ – also das bewusste Eingreifen und Hinterfragen algorithmischer Ergebnisse – bleibt in vielen Fällen aus. Gerade im sensiblen Bereich der Personalauswahl kann das gravierende rechtliche Folgen haben.

Die Klagen gegen Workday

Die Risiken des KI-Einsatzes im Personalwesen zeigen sich besonders deutlich an zwei prominenten Gerichtsverfahren – eines aus den USA, das andere aus Deutschland. Beide Fälle haben gemeinsam: Im Zentrum steht das Unternehmen Workday, dessen Software weltweit von Personalabteilungen eingesetzt wird.

In den USA sorgte der Fall Mobley v. Workday für Schlagzeilen. Der Kläger, ein afroamerikanischer IT-Experte über 40 mit psychischer Erkrankung, hatte sich über einen Zeitraum von mehreren Jahren auf mehr als 100 Stellen beworben – stets über Workday-basierte Recruiting-Plattformen, stets erfolglos. Die Ablehnungen erfolgten automatisiert, ohne erkennbare Einzelfallprüfung. Mobley sah sich dadurch systematisch diskriminiert – aufgrund seines Alters, seiner ethnischen Herkunft und seiner Behinderung.

Ein kalifornisches Bundesgericht entschied im Mai 2025, dass die Klage als Sammelklage wegen Altersdiskriminierung zulässig ist. Das Urteil könnte weitreichende Folgen haben, da es Millionen Bewerber über 40 betrifft, die sich ebenfalls benachteiligt fühlen könnten. Besonders brisant: Die Klage richtet sich nicht gegen einzelne Arbeitgeber, sondern gegen Workday selbst. Im Verfahren wird diskutiert, ob der Softwareanbieter als „verantwortlicher Agent“ im Sinne des US-Arbeitsrechts haftet – also als Mitverursacher der Diskriminierung, da seine Systeme die Auswahlentscheidungen maßgeblich automatisiert haben.Zwar entfalten die FAQs keine unmittelbare Rechtswirkung, sie geben aber einen Interpretationsrahmen vor, den Aufsichtsbehörden und Gerichte bei der Auslegung des Artikel 4 heranziehen dürften. Es handelt sich dabei um sogenanntes „Soft Law“, also um eine Orientierungshilfe für die Rechtsauslegung und rechtskonforme Umsetzung.

Im Folgenden werden die wichtigsten FAQ-Inhalte zum Verständnis der Anforderungen an die KI-Kompetenz aufgeführt.

BAG-Urteil: Datenschutzverstoß durch Workday-Testsystem

Auch in Deutschland geriet Workday ins Visier der Justiz. In einem Verfahren vor dem Bundesarbeitsgericht (BAG) ging es um die Frage, ob ein Arbeitgeber berechtigt war, die Daten seines Arbeitnehmers in einer Workday-Testumgebung zu verwenden. Das Gericht kam zu einem klaren Ergebnis: Die Datenverarbeitung entbehrte jeglicher Rechtsgrundlage – also ein fundamentaler Verstoß gegen die Datenschutz-Grundverordnung (DSGVO).

Die Richter betonten, dass selbst eine Betriebsvereinbarung zur Einführung des Systems keine ausreichende Rechtsgrundlage für die konkrete Verarbeitung sensibler Bewerberdaten in einem Testsystem darstellt. Die Folge: Der betroffenen Person wurde Schadensersatz nach Art. 82 DSGVO zugesprochen. Zugleich stellte das Gericht klar, dass auch Testumgebungen den vollen Anforderungen des Datenschutzrechts unterliegen.

(Quelle: https://www.bundesarbeitsgericht.de/presse/schadenersatz-nach-datenschutz-grundverordnung-dsgvo-betriebsvereinbarung-workday/)

Was Unternehmen daraus lernen müssen

Beide Gerichtsprozesse machen deutlich: Wer KI im Recruiting nutzt, steht in der Verantwortung – und zwar auf mehreren Ebenen. Es reicht nicht aus, sich auf die Funktionalität einer Software zu verlassen. HR-Abteilungen müssen die Systeme verstehen, kontrollieren und aktiv gestalten.

Zudem dürfen KI-Tools wie Workday nicht als Ausrede für Intransparenz oder Zuständigkeitsdiffusion dienen. Denn klar ist: Nicht nur Arbeitgeber, auch KI-Anbieter selbst können haftbar gemacht werden, wenn ihre Systeme diskriminieren oder datenschutzwidrig eingesetzt werden. Unternehmen müssen daher sicherstellen, dass sie sowohl technisch als auch rechtlich Herr ihrer eigenen Recruiting-Prozesse bleiben.

Die Urteile aus den USA und Deutschland zeigen beispielhaft, welche rechtlichen Fallstricke mit dem Einsatz von KI im Personalwesen verbunden sind. Doch in welchen konkreten Fällen droht tatsächlich Schadensersatz – und worauf müssen Unternehmen achten, um Haftungsrisiken zu vermeiden?

Wann Schadensersatzansprüche drohen

DDer Einsatz von KI-Systemen im Recruiting ist nicht nur technisch, sondern auch rechtlich anspruchsvoll. Die rechtlichen Risiken reichen von Datenschutzverstößen über Diskriminierung bis hin zu Schadensersatzklagen. Unternehmen, die sich auf automatisierte Systeme wie Workday verlassen, ohne deren Funktionsweise und Auswirkungen kritisch zu prüfen, setzen sich erheblichen Haftungsrisiken aus.

Diskriminierung im Auswahlprozess

In Deutschland schützt das Allgemeine Gleichbehandlungsgesetz (AGG) vor Diskriminierung aufgrund von Merkmalen wie Alter, Geschlecht, ethnischer Herkunft oder Behinderung – auch im Bewerbungsverfahren. Werden Bewerber durch automatisierte Verfahren benachteiligt, können sie eine Entschädigung nach § 15 AGG geltend machen.

Besonders relevant ist dabei die Beweislastumkehr: Es genügt bereits der begründete Verdacht einer Diskriminierung – dann muss das Unternehmen nachweisen, dass keine Benachteiligung vorlag. Wenn Entscheidungen durch KI getroffen oder beeinflusst werden, wird dieser Nachweis schnell zur Herausforderung.

Datenschutz und Profiling

Zudem greifen auch datenschutzrechtliche Schutzmechanismen: Art. 21 Abs. 1 DSGVO räumt betroffenen Personen ein Widerspruchsrecht gegen Verarbeitungen ein, die auf automatisierten Bewertungen beruhen und sie in besonderer Weise betreffen. Noch weiter geht Art. 22 Abs. 1 DSGVO, der grundsätzlich verbietet, eine Entscheidung ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – zu stützen, wenn diese rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt. Gerade bei algorithmischen Ablehnungen im Bewerbungsverfahren ist diese Voraussetzung regelmäßig erfüllt. Erwägungsgrund 71 der DSGVO nennt hierzu beispielhaft „Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen“.Das bedeutet: Unternehmen dürfen Entscheidungen über die Einstellung oder Ablehnung nicht vollständig automatisiert treffen, es sei denn, es liegt eine ausdrückliche Einwilligung oder eine gesetzliche Grundlage vor – was in der Praxis selten der Fall ist.

Datenschutzrechtliche Haftung

Auch das Datenschutzrecht sieht weitreichende Haftung vor. Die DSGVO verpflichtet Arbeitgeber, Bewerberdaten nur auf klarer Rechtsgrundlage zu verarbeiten (Art. 6 DSGVO), transparent zu informieren (Art. 13 DSGVO) und die Grundsätze der Datenminimierung, Zweckbindung und Integrität einzuhalten (Art. 5 DSGVO).

Kommen KI-Systeme zum Einsatz, die Bewerber automatisiert bewerten oder ablehnen, liegt regelmäßig eine automatisierte Entscheidung mit erheblicher Wirkung vor. In solchen Fällen ist zusätzlich eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich – ein Instrument, das viele Unternehmen bislang vernachlässigen.

Verstöße gegen diese Vorgaben können nach Art. 82 DSGVO zu Schadensersatzansprüchen führen – nicht nur bei Datenpannen, sondern auch bei intransparenter Verarbeitung oder unrechtmäßiger Automatisierung.

Verantwortlichkeit trotz externer Systeme

Ein weit verbreiteter Irrtum in der Praxis: Wer eine externe HR-Software nutzt, glaubt, die Verantwortung auf den Anbieter verlagern zu können. Doch rechtlich gilt das Gegenteil: Unternehmen bleiben in der Verantwortung – auch dann, wenn sie Standardlösungen wie Workday verwenden. Sie müssen sich aktiv darum kümmern, wie die Systeme funktionieren, welche Daten verarbeitet werden und ob die eingesetzten Algorithmen diskriminierungsfrei arbeiten. Andernfalls drohen nicht nur Bußgelder, sondern auch individuelle Haftungsansprüche betroffener Bewerber – sei es aus dem AGG oder der DSGVO.

Der Einsatz von KI im Personalwesen verspricht Effizienz – doch er bringt auch erhebliche rechtliche Risiken mit sich. Die Urteile gegen Workday zeigen deutlich: Wer Auswahlprozesse automatisiert, darf Verantwortung nicht an Algorithmen delegieren. Denn ob Diskriminierung oder Datenschutzverstoß – die Haftung bleibt beim Unternehmen.

Damit es gar nicht erst so weit kommt, sollten HR-Verantwortliche und Datenschutzbeauftragte frühzeitig tätig werden.

Praxistipps für den rechtssicheren KI-Einsatz im Recruiting:

• Systeme prüfen, nicht blind einsetzen: Nur KI-Tools nutzen, deren Funktionsweise nachvollziehbar ist – inklusive Dokumentation der Entscheidungslogik.

• Diskriminierung ausschließen: Bewerbungsprozesse regelmäßig auf unzulässige Filterkriterien oder Verzerrungen („Bias“) überprüfen.

• Datenschutz-Folgenabschätzung durchführen: Bei jeder automatisierten Bewertung mit wesentlicher Wirkung auf Bewerber ist die DSFA nach Art. 35 DSGVO erforderlich.

• Keine Tests mit Echtdaten ohne Rechtsgrundlage: Auch in der Testumgebung gelten die vollen Datenschutzanforderungen – inklusive Einwilligung oder spezifischer Rechtsgrundlage.
• Transparenzpflichten erfüllen: Bewerberinnen müssen klar und verständlich darüber informiert werden, ob und wie KI zum Einsatz kommt (Art. 13 DSGVO).
• Vertragliche Absicherung bei externen Tools: Anbieter wie Workday durch Auftragsverarbeitungsverträge oder technische Audits zur Mitverantwortung verpflichten.