← Zurück zum Blog

KI-Lebenslauf erstellen: Was die DSGVO 2026 erlaubt — und was nicht

Welche KI-Tools für Lebensläufe DSGVO-konform sind, welche es nicht sind, und was das EU-AI-Gesetz ab August 2026 zusätzlich verlangt.

von Farhad Mammadov 4 Min. Lesezeit
KI-Lebenslauf erstellen: Was die DSGVO 2026 erlaubt — und was nicht

Wenn du einen Lebenslauf in ein KI-Tool hochlädst, übergibst du in der Regel deinen vollständigen Namen, Adresse, Geburtsdatum, Berufsverlauf bei namentlich genannten Arbeitgebern, manchmal Familienstand und Foto. Das ist mehr personenbezogene Daten an einem Ort, als die meisten Menschen jemals einer einzelnen Website anvertrauen.

Die Frage "Ist das überhaupt DSGVO-konform?" wird selten gestellt — und noch seltener ehrlich beantwortet.

Was die DSGVO konkret verlangt

Drei Anforderungen sind für Lebenslauf-Tools besonders relevant.

Rechtsgrundlage und Zweckbindung (Art. 6). Das Tool muss eine Rechtsgrundlage haben, deine Daten zu verarbeiten. Bei Bezahltools ist das meist die Vertragserfüllung. Was nicht erlaubt ist: Deine Daten zusätzlich für Werbung, Modelltraining oder Profiling zu verwenden, ohne dass du dem ausdrücklich zustimmst.

Datenübermittlung in Drittländer (Art. 44-49). Wenn das Tool Server in den USA hat — oder den US-Cloud-Anbieter eines anderen Tools nutzt — fließen deine Daten unter den US CLOUD Act. Das ist seit dem Schrems-II-Urteil ein rechtliches Problem. Standardvertragsklauseln (SCCs) helfen formal, lösen den Konflikt aber nicht vollständig.

Recht auf Löschung (Art. 17). Du hast das Recht, dass deine Daten gelöscht werden — und zwar überall, wo das Tool sie gespeichert hat. Inklusive Backups, Trainingsdaten und bei Sub-Auftragsverarbeitern. Ein Tool, das dir keine direkte Lösch-Funktion bietet, hat ein Problem.

Wo die meisten Tools scheitern

Wir haben uns 15 KI-Lebenslauf-Tools angesehen, die im DACH-Markt aktiv sind. Das Muster:

US-Anbieter mit DSGVO-Marketing. Viele Tools schreiben "GDPR-compliant" auf die Landingpage, hosten aber komplett in den USA und nutzen OpenAI ohne Zero-Retention-Vertrag. Im Kleingedruckten findet sich dann der Hinweis, dass "Standardvertragsklauseln zur Anwendung kommen" — was nach Schrems II nicht ausreicht, aber legal ist.

EU-Anbieter mit US-Subprozessoren. Etwas besser: Anbieter mit Sitz in der EU, die aber für die eigentliche KI-Verarbeitung OpenAI oder Anthropic nutzen — und in den meisten Fällen ohne speziellen Zero-Retention-Vertrag. Deine Daten landen dann doch auf US-Servern, nur mit einem Zwischenstopp.

Tools ohne Modellkarte. Das EU-AI-Gesetz wird ab August 2026 verlangen, dass KI-Systeme dokumentieren, was sie tun: welches Modell, welche Trainingsdaten, welche bekannten Schwächen. Heute veröffentlicht kein großer Lebenslauf-Tool diese Dokumentation öffentlich.

Was ein DSGVO-konformes Tool aussehen sollte

Konkrete Kriterien, die du in den Datenschutzhinweisen prüfen kannst:

  • Server in der EU, idealerweise mit Standort benannt
  • KI-Anbieter mit explizitem Zero-Retention-Vertrag (deine Daten werden nicht für Training oder Logging gespeichert)
  • Direkte Lösch-Funktion in den Account-Einstellungen, nicht "schreib eine E-Mail an den Support"
  • Veröffentlichte Liste aller Sub-Auftragsverarbeiter
  • Datenschutz-Folgenabschätzung (DPIA) öffentlich oder auf Anfrage einsehbar

Wenn auch nur einer dieser Punkte fehlt, frag explizit nach. Eine seriöse Antwort kommt innerhalb von 48 Stunden.

Das EU-AI-Gesetz kommt im August

Ab dem 2. August 2026 tritt das EU-AI-Gesetz in vollem Umfang in Kraft. Für Lebenslauf-Tools wichtig: Artikel 13 und 14.

Artikel 13 verlangt Transparenz: Du musst wissen können, wie das System funktioniert, welche Schwächen es hat, und wann KI involviert ist. Artikel 14 verlangt menschliche Aufsicht: Du musst jeden KI-generierten Vorschlag aktiv prüfen und übernehmen, bearbeiten oder ablehnen — bevor er Teil deiner Bewerbung wird.

In der Praxis heißt das: Tools, die einfach einen fertigen Lebenslauf ausgeben und dich nichts mehr fragen, sind ab August nicht mehr konform. Tools, die jeden Vorschlag einzeln durchgehen lassen und deine Entscheidung dokumentieren, schon.

Was wir machen

Bei RefactorCV laufen alle Server in Falkenstein, Deutschland. Die KI-Verarbeitung läuft über Anthropic Claude unter einem Zero-Retention-Vertrag — deine Daten werden weder geloggt noch für Training verwendet. Jeder KI-Vorschlag wird in einem Audit-Log mit SHA-256-Hashes festgehalten, das du selbst einsehen kannst. Und der Export ist gesperrt, bis du jeden Vorschlag aktiv angenommen, bearbeitet, markiert oder abgelehnt hast.

Das ist nicht der einfachste Weg. Es ist der einzige, der unter Artikel 14 ab August funktioniert.

Was du heute tun kannst

Wenn du bereits ein KI-Tool nutzt: Schau in die Datenschutzhinweise. Server in den USA? Frag nach, was nach Schrems II passiert. Keine Lösch-Funktion? Frag explizit. Keine Modellkarte? Frag.

Die meisten Tools werden nicht antworten, oder mit ausweichenden Standardformulierungen. Das ist die Antwort.