Stellen Sie sich vor, Sie bewerben sich über 100 Mal – und werden jedes Mal abgelehnt, ohne dass je ein Mensch Ihre Unterlagen angesehen hat. Genau dieses Szenario steht im Zentrum des sogenannten Workday-Falls. In den USA verklagt ein Bewerber den HR-Softwareanbieter Workday wegen diskriminierender Wirkungen eines KI-gestützten Bewerbungsfilters. Der Fall sorgt international für Aufsehen und gilt als Weckruf: Wer Algorithmen im Personalwesen entscheiden lässt, könnte bald selbst vor Gericht stehen. Unternehmen und HR-Verantwortliche sollten den Fall ernst nehmen, denn er zeigt exemplarisch die rechtlichen Risiken von KI im Recruiting. In Deutschland beschäftigen ähnliche Fragen bereits die Gerichte – etwa wenn es um den Datenschutz bei cloudbasierten HR-Systemen geht.
Dieser Beitrag beleuchtet den Workday-Fall, erklärt den technischen Hintergrund des KI-Systems und ordnet die Sachverhalte juristisch ein – von Antidiskriminierungsrecht in den USA und Deutschland über den Datenschutz (DSGVO) bis hin zur EU-KI-Verordnung. Abschließend wird erörtert, welche Folgen sich daraus für Unternehmen in Deutschland und Europa ergeben und wie sich künftige KI-Regulierung und Compliance-Pflichten entwickeln könnten.
Das ist der Fall
Das sind die Vorwürfe & Beteiligten
Im Workday-Fall klagt Derek Mobley, ein über 40 Jahre alter afroamerikanischer IT-Fachmann, gegen Workday Inc., einen führenden US-Anbieter von HR-Software. Mobley behauptet, dass Workdays KI-gestütztes Bewerbungssystem ihn systematisch wegen seines Alters – und möglicherweise weiterer Merkmale wie Rasse und Behinderung – benachteiligt hat. Über einen Zeitraum von mehreren Jahren habe er sich über 100 Mal bei verschiedenen Unternehmen beworben, die Workday nutzen, und jedes Mal eine Absage erhalten. Viele Ablehnungen erfolgten auffallend schnell, teils mitten in der Nacht, nur wenige Minuten oder Stunden nach Versand der Bewerbung. So erhielt Mobley z.B. um 1:50 Uhr nachts – lediglich 55 Minuten nach Bewerbung um 12:55 Uhr – eine automatische Absage. Kein menschlicher Recruiter war so spät aktiv; die Entscheidung stammte offensichtlich von der KI. Mobley steht mit seinem Vorwurf nicht allein: weitere Kläger im Alter von über 40 Jahren mit ähnlichen Erfahrungen schlossen sich an.
Der Klageverlauf
Der Rechtsstreit begann im Februar 2023 mit Mobleys Einzelfallklage. Zunächst blieb diese weitgehend unbeachtet, zumal das Gericht Teile der Klage im Januar 2024 abwies. Doch Mobley reichte im Februar 2024 eine überarbeitete Klage ein und änderte die Strategie: Workday solle nicht mehr nur als neutraler Softwarelieferant, sondern als “Agent” der Arbeitgeber betrachtet werden. Die Kläger argumentierten, Workday übernehme de facto die Auswahlentscheidung für die Unternehmen und sei daher wie ein Personalvermittler für etwaige Diskriminierungen verantwortlich. Zusätzlich traten vier weitere Betroffene der Klage bei.
Im Mai 2025 dann die Neuigkeiten: Richterin Rita Lin vom U.S. District Court in Kalifornien genehmigte die Durchführung der Klage als Sammelklage (Class Action). Unter dem Age Discrimination in Employment Act (ADEA) – dem US-Bundesgesetz zum Schutz vor Altersdiskriminierung ab 40 Jahren – wurde ein landesweiter „Collective Action“-Status verliehen. Damit können alle Bewerber*innen über 40, die seit September 2020 über Workdays System abgelehnt wurden, Teil der Klage werden. Workday selbst schätzte, dass potenziell „hunderte Millionen“ Personen betroffen sein könnten. Die Sammelklage weitet also den Blick vom Einzelfall auf ein mögliches systemisches Problem.
Was ist besonders an dem Fall?
Das Gericht ließ die Klage insbesondere auf Grundlage der Disparate Impact-Doktrin zu. Dieser aus dem US-Antidiskriminierungsrecht bekannte Ansatz ermöglicht Klagen wegen faktischer Diskriminierung, selbst wenn keine Absicht nachgewiesen wird. Entscheidend ist der nachweisbare ungleiche Effekt eines Auswahlverfahrens auf geschützte Gruppen.
Genau das steht hier im Raum: Die zentrale Frage lautet, ob Workdays KI-System eine unverhältnismäßige Benachteiligung von Bewerber*innen über 40 Jahren bewirkt. Die Kläger stützen sich dabei vor allem auf Indizien wie die massenhaften automatischen Absagen außerhalb üblicher Arbeitszeiten und den Vergleich ihrer Qualifikationen mit den abgelehnten Stellen (teilweise waren Kläger objektiv geeignet, in einem Fall lehnte die KI sogar jemanden für einen Job ab, den er als externer Auftragnehmer bereits ausführte).
Workday bestritt jede Diskriminierungsabsicht und versuchte zunächst, das Verfahren mit dem Argument abzuweisen, es sei nicht der Arbeitgeber und treffe daher selbst keine Einstellungsentscheidungen.
Dieser Einwand verfing nicht: Das Gericht erkannte Workday aufgrund der algorithmischen Vorauswahl als in den Einstellungsprozess eingebunden und somit als potentiell mitverantwortlich an. Mit der sogenannten Agent-Theorie stellte es klar, dass ein KI-Anbieter haften kann, wenn er für Arbeitgeber diskriminierende Filterentscheidungen trifft – auch wenn er formal „nur“ Software liefert. Außerdem qualifizierte das Gericht Workdays Algorithmus als “unified policy”, also als ein einheitliches, alle Bewerber gleichermaßen betreffendes System. Die diskriminierende Wirkung liege im System selbst, unabhängig davon, wie einzelne Arbeitgeber das Tool nutzen oder wie stark sie auf dessen Empfehlung vertrauen. Damit sind Ausreden vom Tisch, Workday könne nicht für die Handlungen seiner Kunden verantwortlich gemacht werden – der gemeinsame algorithmische Kern ist entscheidend.
Hochgradige Relevanz für KI-Anbieter
Der Workday-Fall gilt schon jetzt als einer der bedeutendsten gerichtlichen Tests für KI im Arbeitsleben. Es ist das erste Mal, dass ein großer KI-HR-Anbieter wegen angeblicher Diskriminierung flächendeckend zur Rechenschaft gezogen wird. Die jüngste Gerichtsentscheidung vom Mai 2025, die der Sammelklage grünes Licht gab, wird als Warnsignal verstanden: Sowohl Unternehmen als auch KI-Anbieter können für algorithmische Auswahlverfahren haftbar gemacht werden, wenn geschützte Gruppen dadurch benachteiligt werden – selbst ohne Diskriminierungsabsicht. Workday gerät durch den Fall stark unter Druck. Im Zuge des Verfahrens kam ans Licht, dass das Unternehmen seine Systeme nie systematisch auf Diskriminierung getestet hat. Auf eine gerichtliche Aufforderung, Daten zur Prüfung von Bias und demografischen Disparitäten vorzulegen, antwortete Workday: „No such data exists“ – solche Daten existierten nicht. Anders ausgedrückt: Obwohl Workday nach eigenen Angaben pro Jahr über 266 Millionen Bewerbungen verarbeitet und rund 1,1 Milliarden Absagen versendet, wurde offenbar zu keinem Zeitpunkt geprüft, ob die Algorithmen bestimmte Gruppen systematisch benachteiligen. Dieser Umstand unterstreicht die Tragweite des Falls und wirft die Frage auf, ob beim Einsatz von KI im Personalwesen ausreichend Sorgfalt herrscht.
Parallel zum US-Verfahren zeigt sich auch in Deutschland ein größeres Risiko-Bewusstsein. In einem aktuellen Fall vor dem Bundesarbeitsgericht (BAG) – im Medienjargon ebenfalls als „Workday-Fall“ bezeichnet – ging es zwar nicht um Diskriminierung, aber um Datenschutzverstöße bei der Einführung desselben HR-Systems. Das BAG entschied im Mai 2025, dass ein Arbeitnehmer Schadensersatz wegen DSGVO-Verstößen verlangen kann, weil sein Arbeitgeber im Rahmen eines Workday-Testlaufs unbefugt Personaldaten in die USA übertrug. Später dazu mehr, doch schon hier wird deutlich: KI-Systeme wie Workday können in verschiedener Hinsicht juristische Fallstricke bergen.
Hintergründe des Workday-Systems
Workday ist kein Nischenprodukt, sondern ein Branchenriese im Bereich Human Capital Management (HCM). Im US-Arbeitsmarkt spielt Workday quasi Gatekeeper: Schätzungen zufolge lief im Mai 2023 rund 22 % aller Stellenausschreibungen in den USA über Workday, und etwa 2,2 Millionen von 9,8 Millionen offenen Stellen wurden durch Workday-Software gemanagt. Hochgerechnet bedeutete dies für 2023 über 36 Millionen Stellenausschreibungen mit 266 Millionen gescreenten Bewerbungen und 24 Millionen versendeten Jobangeboten. Wenn Workdays KI einen Bewerber aussortiert, könnten also rein rechnerisch mehr als ein Fünftel aller Jobs auf dem US-Markt für diese Person unerreichbar sein. Auch in Europa und Deutschland setzen immer mehr Unternehmen auf Workday oder ähnliche Systeme. Angesichts dieser Marktdominanz wird ein Bias (systematische Voreingenommenheit) in Workdays Algorithmen schnell zu einem gesellschaftlichen Problem, das Millionen von Bewerbern betreffen kann.
Wie funktioniert das Workday-Recruiting-Tool?
Das System ist modular und hochautomatisiert. Typischerweise durchlaufen Bewerberinnen und Bewerber mehrere digitale Screening-Stufen, die Workday in seiner Recruiting-Software integriert hat:
- Online-Bewerbungsplattform: Zunächst leitet eine Stellenanzeige (z.B. auf LinkedIn) den Kandidaten auf das Workday-Portal des Unternehmens. Dort werden Lebenslauf und Angaben eingegeben. Die Software filtert und strukturiert diese Daten für die weiteren Schritte.
- Assessments (Pymetrics & Co.): Viele Workday-Installationen nutzen spielbasierte Eignungstests des Partners Pymetrics oder ähnliche Tools. Dabei handelt es sich um neurowissenschaftliche Online-Spiele oder Fragebögen, die Persönlichkeitsmerkmale und kognitive Fähigkeiten der Bewerber ermitteln sollen. Solche Tests sind in der Branche verbreitet, stehen aber im Verdacht, indirekt benachteiligend zu wirken (die Klage behauptet, gerade diese Assessments seien Teil des Problems).
- Algorithmische Vorauswahl: Darauf aufbauend kommt KI-gestütztes Ranking und Filtering zum Einsatz. Workdays Algorithmus analysiert die Bewerberprofile und Testergebnisse im Vergleich zu historischen Daten und vordefinierten Kriterien. Er entscheidet automatisiert, wer im Prozess weiterkommt und wer nicht. Ungeeignet erscheinende Kandidaten werden – wie im Fall Mobley – oft vollautomatisch per E-Mail abgesagt, ohne dass ein Recruiter eingreifen muss.
- Predictive Analytics: Das System nutzt prädiktive Analysen und Machine-Learning-Modelle, die aus vergangenen Einstellungsentscheidungen „gelernt“ haben. Vereinfacht gesagt: Aus historischen Erfolgsprofilen errechnet die KI eine Wahrscheinlichkeit, mit der ein Bewerber zum Unternehmen passt oder im Job performen würde, und trifft darauf basierend Empfehlung oder Entscheidung.
- Integration in HR-Workflow: Workday lässt sich von Personalern auch so konfigurieren, dass ab einer bestimmten Score-Schwelle automatisch abgelehnt oder akzeptiert wird. Alternativ kann es Listen mit Rangfolgen erstellen, die dann von Recruitern geprüft werden. Allerdings deutet der zeitliche Ablauf im Workday-Fall darauf hin, dass zumindest in vielen Fällen keinerlei manuelle Kontrolle mehr stattfand.
Bias-Risiken und Ursachen
Das Kernproblem solcher KI-Systeme: Sie übernehmen historische Verzerrungen und Vorurteile aus den Daten. Workdays KI lernt aus großen Datenmengen früherer Bewerbungen und Einstellungen. Waren in der Vergangenheit z.B. überwiegend jüngere Kandidaten erfolgreich, „verinnerlicht“ die KI die Regel „jung = gut, älter = schlecht“. Unbeabsichtigt entsteht so eine Altersbias. Ähnlich kann es bei anderen Merkmalen wie Geschlecht oder Herkunft ablaufen, selbst wenn diese Merkmale nicht explizit abgefragt werden – oft genügen indirekte Indikatoren (Stichwort: mittelbare Diskriminierung).
Ein bekanntes Beispiel ist Amazons Recruiting-KI, die 2018 Schlagzeilen machte, weil sie Frauen systematisch benachteiligte; der Algorithmus hatte aus männlich dominierten Einstellungsdaten gelernt. Auch Videointerview-Plattformen wie HireVue gerieten in Kritik, weil Mimik- und Stimmungsanalysen zu Nachteilen für ethnische Minderheiten und Menschen mit Behinderung führten. Eine Studie der University of Washington (2023) belegte ebenfalls große Verzerrungen: KI-Systeme bevorzugten Bewerbungen mit weiß klingenden Namen in 85 % der Fälle gegenüber schwarz klingenden (nur 9 %) und stuften männliche Namen deutlich häufiger positiv ein als weibliche. Diese Beispiele zeigen, dass KI im Recruiting ohne gegensteuernde Maßnahmen leicht diskriminierende Muster verstärkt, anstatt neutral zu entscheiden.
Im Workday-Fall scheint genau das passiert zu sein. Bias-behaftete Trainingsdaten führten mutmaßlich dazu, dass Workdays „unsichtbarer Personalchef“ millionenfach ältere Bewerber aussortierte. Verstärkt wurde das Risiko durch fehlende Transparenz und Kontrolle: Workday hat – wie erwähnt – offenbar keine internen Audits auf Diskriminierung durchgeführt. Zudem gab es zumindest in Mobleys Fällen keinen menschlichen Entscheidungsträger mehr, der die automatischen Absagen hätte hinterfragen können. Die vollständige Automatisierung im frühen Auswahlprozess, kombiniert mit intransparenten Machine-Learning-Modellen, schuf somit einen Nährboden für unbeabsichtigte, aber massenhafte Benachteiligungen geschützter Gruppen.
Sie brauchen rechtliche Unterstützung? Kontaktieren Sie uns für eine kostenlose Erstberatung oder rufen Sie uns an.
Rechtliche Einordnung
Diskriminierungsrechtliche Aspekte
US-Recht (EEO-Laws):
In den USA sind Diskriminierungen im Bewerbungsverfahren durch verschiedene Equal Employment Opportunity-Gesetze verboten. Der Workday-Fall stützt sich – als Sammelklage aller Betroffenen ab 40 Jahren – insbesondere auf das Age Discrimination in Employment Act (ADEA) von 1967. Dieses Bundesgesetz untersagt Arbeitgebern, Bewerber*innen über 40 aufgrund ihres Alters zu benachteiligen. Anders als etwa Title VII CRA (Civil Rights Act 1964), das u.a. Rasse, Geschlecht und Religion schützt, erfordert das ADEA allerdings im Zivilverfahren keine vorherige Beschwerde bei der EEOC (Gleichstellungsbehörde), was die direkte Klageerhebung erleichterte. In Mobleys ursprünglicher Klage wurden neben Alter auch Rasse (African American) und Behinderung (Angststörung/Depression) als Diskriminierungsgründe genannt. Diese fallen unter Title VII (Rasse) bzw. den Americans with Disabilities Act (ADA). Für die Sammelklage konzentrierte man sich jedoch auf den Altersaspekt, da hier die Vergleichsgruppe klar definierbar und die Faktenlage (100 % Ablehnung bei Ü40) besonders eindrücklich war.
Interessant am Workday-Fall ist zudem die Anwendung der Agent-Theorie im Diskriminierungsrecht: Das Gericht akzeptierte, dass Workday als externer Dienstleister wie ein Erfüllungsgehilfe der Arbeitgeber agierte. Indem die Unternehmen Workdays Algorithmus das Aussortieren von Bewerbungen überließen, wurde Workday zum Teil des Entscheidungsprozesses – und damit direkt in die Verantwortung genommen.
Deutsches Recht (AGG):
Wie wäre ein solcher Fall nach deutschem Recht zu beurteilen? Diskriminierungen im Einstellungsverfahren sind hier durch das AGG verboten. Geschützte Merkmale sind u.a. Rasse/ethnische Herkunft, Geschlecht, Religion/Weltanschauung, Behinderung, Alter sowie sexuelle Identität (§ 1 AGG). Eine Benachteiligung aus einem dieser Gründe ist unzulässig, es sei denn im Ausnahmefall gerechtfertigt (etwa “berufsbezogene Anforderung” bei bestimmten Jobs, § 8 AGG).
Das AGG unterscheidet ebenfalls zwischen unmittelbarer Diskriminierung (§ 3 Abs. 1 AGG) – wenn jemand wegen eines geschützten Merkmals benachteiligt wird – und mittelbarer Diskriminierung (§ 3 Abs. 2 AGG) – wenn scheinbar neutrale Kriterien besondere Nachteile für geschützte Gruppen bewirken. KI-Systeme können theoretisch beide Formen auslösen:
- Unmittelbar, falls der Algorithmus z.B. Bewerber über 50 automatisch aussortiert (also direkt das Alter als Kriterium nutzt).
- Mittelbar, wenn er etwa an unverfänglichen Daten anknüpft, die aber stark mit dem Alter korrelieren (z.B. Abschlussjahr, Programmiererfahrung in veralteten Sprachen o.ä.).
In der Praxis ist die Abgrenzung schwer, weil KI-Entscheidungen oft intransparent sind. Bewerber erfahren nur das Ergebnis („Absage“), nicht aber, welche Faktoren die Maschine berücksichtigt hat. Somit ist unklar, ob die Benachteiligung „wegen“ eines Merkmals (direkt) oder aufgrund eines anderen Kriteriums (indirekt) erfolgte. Diese Unschärfe hat Auswirkungen auf die Rechtfertigung (direkte Diskriminierung ist im Arbeitsleben so gut wie nie rechtfertigbar; indirekte unter Umständen schon, falls das Kriterium objektiv gerechtfertigt und angemessen ist, § 3 Abs. 2, Halbs. 2 AGG). Sie erschwert aber vor allem die Beweisführung.
Nach § 22 AGG greift eine Beweiserleichterung zugunsten des Bewerbers, wenn dieser Indizien für eine Benachteiligung vorbringt. Gelingt ihm das, muss der Arbeitgeber beweisen, dass kein Verstoß vorlag. Bei einem KI-Auswahlverfahren könnte ein Indiz z.B. eine auffällige statistische Häufung abgelehnter Angehöriger einer bestimmten Gruppe sein (etwa überdurchschnittlich viele Absagen für Über-55-Jährige oder für Personen mit ausländisch klingendem Namen). Ist ein solches Muster erkennbar, kippt die Beweislast zum Arbeitgeber. Dieser müsste dann darlegen, dass sein Algorithmus keine verbotene Differenzierung nach dem Merkmal vornimmt. Die Intransparenz der Algorithmen führt hier zu einer Beweisnot auf beiden Seiten.
Dennoch gilt grundsätzlich: Haftung und Verantwortlichkeit liegen beim Arbeitgeber. Auch wenn die Software von einem externen Anbieter stammt, muss das einstellende Unternehmen dafür sorgen, dass das Tool AGG-konform ist. § 12 Abs. 1 AGG verpflichtet Arbeitgeber, geeignete Maßnahmen zum Schutz vor Benachteiligungen zu treffen. Delegiert der Arbeitgeber Auswahltätigkeiten an Dritte – sei es ein menschlicher Personalvermittler oder eine KI – muss er sich vergewissern, dass diese keine Diskriminierungen verursachen. Ein Algorithmus ist letztlich nur ein „Erfüllungsgehilfe“. Verletzt er das AGG, haftet der Arbeitgeber gegenüber der abgelehnten Person (z.B. auf Entschädigung nach § 15 AGG).
Datenschutzrechtliche Implikation (DSGVO. Art. 22)
Unabhängig von Gleichbehandlungsfragen unterliegt der Einsatz von KI im Personalbereich strengen datenschutzrechtlichen Anforderungen. Im Bewerbungsverfahren werden umfangreiche personenbezogene Daten verarbeitet (von CV-Daten bis hin zu Testergebnissen), sodass die EU-Datenschutz-Grundverordnung (DSGVO) einschlägig ist. Zwei Aspekte stehen beim Workday-Szenario besonders im Fokus: (1) die automatisierte Einzelentscheidung nach Art. 22 DSGVO und (2) der Datentransfer in Drittländer (hier: USA).
Automatisierte Entscheidungen im Einzelfall (Art. 22 DSGVO):
Nach Art. 22 Abs. 1 DSGVO hat jede betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlich erheblicher Weise beeinträchtigt. Eine vollautomatische Bewerbungsauswahl ohne menschliche Kontrolle fällt eindeutig darunter, weil eine Ablehnung die berufliche Zukunft spürbar beeinflusst.
Art. 22 Abs. 2 DSGVO kennt lediglich drei eng begrenzte Ausnahmen – Erforderlichkeit für den Vertragsabschluss, gesetzliche Vorschrift oder ausdrückliche Einwilligung der betroffenen Person – die im Recruiting praktisch nie greifen. Bereits Art. 22 Abs. 3 DSGVO verlangt in Ausnahmefällen eine Möglichkeit zur menschlichen Nachprüfung; KI-Systeme müssen also als Assistenz, nicht als alleinige Entscheider fungieren.
Im konkreten Workday-Fall deuten die frühmorgendlichen, vollautomatischen Absagen darauf hin, dass kein abschließender menschlicher Eingriff stattfand, was einen Verstoß gegen Art. 22 Abs. 1 DSGVO darstellt. Betroffene können sich bei der Datenschutzaufsichtsbehörde beschweren, die den Einsatz solcher Filter untersagen und Bußgelder verhängen kann; zudem besteht ein Schadensersatzanspruch nach Art. 82 DSGVO für materielle und immaterielle Schäden wie den Kontrollverlust über die Entscheidung .
Datentransfer und Datenschutz-Compliance:
Im BAG-Urteil 8 AZR 209/21 vom 8. Mai 2025 erkannte das Bundesarbeitsgericht immateriellen Schadensersatz nach Art. 82 DSGVO in Höhe von 200 € an, weil im Rahmen eines Workday-Testlaufs mehr personenbezogene Daten als durch die Betriebsvereinbarung gedeckt in die USA transferiert wurden. Dieser „Kontrollverlust“ über die eigenen Daten begründet den Ersatzanspruch und verdeutlicht die Pflicht zu Datensparsamkeit und klaren Rechtsgrundlagen bei Cloud-HR-Lösungen in Drittländern. Zudem hebt das Urteil die Bedeutung der frühzeitigen Einbindung des Betriebsrats (§ 26 BDSG, §§ 87 ff. BetrVG) hervor, bevor ein cloudbasiertes System wie Workday eingeführt wird.
KI-spezifische Bewertung ( EU-KI-Verordnung)
Der EU AI Act trat am 2. August 2024 in Kraft und schafft einen ersten einheitlichen, risikobasierten Rechtsrahmen für KI in Europa. Systeme zur Vorauswahl oder Bewertung von Bewerbungen zählen zu den „Hochrisiko-KI“ (Annex III) und unterliegen daher strengen Pflichten für Anbieter und Betreiber:
Anbieter müssen ein umfassendes Risikomanagement etablieren, die Datenqualität sicherstellen und Bias-Tests durchführen, technische Dokumentation und Human-in-the-Loop-Mechanismen vorsehen sowie ein CE-Konformitätsbewertungsverfahren durchlaufen. Betreiber dürfen das System nur gemäß Herstellervorgaben betreiben, müssen Input-Daten kontrollieren, den Betrieb laufend überwachen, menschliche Aufsicht garantieren, Logs führen und ernste Vorfälle melden.
Erste Verbote schädlicher KI-Praktiken gelten seit Februar 2025, die meisten Anforderungen an Hochrisiko-KI werden ab August 2026 verbindlich. Bei Verstößen drohen Bußgelder von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (Prohibitionsverstöße) und bis zu 15 Mio. € oder 3 % für Missachtungen der Anbieter- bzw. Anwenderpflichten – jeweils je nachdem, welcher Betrag höher ist.
Folgen für Unternehmen in Deutschland & Europa
Was bedeutet das konkret für deutsche Unternehmen, die KI im Recruiting einsetzen?
Sorgfalt bei Tool-Auswahl und Vertrag
Führen Sie eine gründliche Due Diligence bei KI-Anbietern durch: Prüfen Sie Bias-Tests, Audit-Berichte und Zertifizierungen. Verlangen Sie vertraglich Zusagen zur Nicht-Diskriminierung und regeln Sie Haftungsfragen (Gewährleistungen, Freistellungen), ohne dabei Ihre eigene Entscheidungsverantwortung auszulagern.Keine vollautomatischen Entscheidungen
Verzichten Sie auf endgültige Ablehnungen ohne menschliche Kontrolle. Etablieren Sie einen Human-in-the-Loop, schulen Sie Recruiter darin, KI-Empfehlungen gezielt zu hinterfragen, und legen Sie fest, welche Fälle immer manuell geprüft werden.Monitoring und Bias-Tests
Erheben Sie fortlaufend aggregierte Statistiken (z. B. Alter, Geschlecht, Herkunft) und führen Sie regelmäßige Impact Assessments durch. Bei Auffälligkeiten (etwa überproportionale Absagen Älterer) müssen Sie sofort korrigierend eingreifen oder externe Gutachter hinzuziehen.Transparenz und Einbindung
Informieren Sie Bewerber frühzeitig über den Einsatz von KI-Tools (Art. 13 DSGVO) und erläutern Sie grob die Bewertungs-kriterien. Binden Sie den Betriebsrat durch eine Betriebsvereinbarung ein, um klare Spielregeln zum KI-Einsatz zu schaffen.KI-Compliance und Governance
Richten Sie ein Governance-Framework ein: Bilden Sie interdisziplinäre Teams (HR, IT, Recht, Datenschutz, Diversity), benennen Sie Verantwortliche für Algorithmus-Überwachung und dokumentieren Sie Entscheidungen und Protokolle systematisch.Risikoabwägung und Notfallpläne
Bewerten Sie Nutzen versus rechtliche Risiken: Gegebenenfalls reicht eine halbautomatische Lösung (Empfehlung statt Entscheidung). Legen Sie Krisenpläne fest (Kommunikation, Umstellung auf manuelle Prüfung, Information von Bewerbern und Behörden), um im Ernstfall schnell und kontrolliert zu reagieren.
Insgesamt zeigt der Workday-Fall sehr deutlich: Unternehmen tragen beim KI-Einsatz im Personalwesen eine große Verantwortung. Sie dürfen sich nicht blind auf Versprechen der Anbieter verlassen, sondern müssen selbst proaktiv für Fairness, Transparenz und Rechtskonformität sorgen. Andernfalls drohen – neben moralischen Fragen – handfeste Haftungsrisiken: In Deutschland etwa Entschädigungszahlungen nach AGG, Schadensersatz nach DSGVO oder auch arbeitsgerichtliche Auseinandersetzungen um abgelehnte Bewerber. In Zukunft könnten zudem Bußgelder nach der KI-VO hinzukommen. Wer diese Punkte jedoch beherzigt und “sein Haus in Ordnung bringt”, kann von KI-Systemen profitieren, ohne unvertretbare Risiken einzugehen.
Ausblick
Der Workday-Fall markiert eine Zäsur und dürfte zum Präzedenzfall für den Umgang mit KI im Bewerbungsprozess werden. Unabhängig vom konkreten Ausgang des US-Verfahrens – ob Workday letztlich schuldig gesprochen wird oder nicht – hat der Fall schon jetzt wichtige Entwicklungen angestoßen. Zum einen zeigt er, dass Gerichte bereit sind, neue rechtliche Wege zu gehen, um algorithmische Diskriminierung zu adressieren. Zum anderen beschleunigt er die gesellschaftliche und regulatorische Debatte: In den USA motiviert der Fall staatliche Akteure und zivilgesellschaftliche Organisationen, genauer hinzuschauen. So hat etwa die ACLU bereits eine weitere Klage gegen einen anderen Recruiting-Dienst eingereicht, um Diskriminierung durch KI aufzudecken. Und auch wenn die Bundespolitik in den USA aktuell disparate-impact-Verfahren zu bremsen versucht, werden private Klagen und einzelstaatliche Initiativen die Lücke füllen.
In Europa trifft der Workday-Fall auf fruchtbaren Boden, da mit der KI-Verordnung ein umfassendes Regime geschaffen wurde, das genau solche Probleme an der Wurzel packen will. Die EU positioniert sich hier als Vorreiter: Künftige KI-Systeme sollen “by design” keine diskriminierenden Auswüchse haben, weil bereits Entwicklung und Einsatz streng reguliert werden. Es ist zu erwarten, dass Compliance mit KI-Standards schnell zu einem Wettbewerbsfaktor wird – ähnlich wie Datensicherheit nach Einführung der DSGVO. Unternehmen, die frühzeitig interne Kontrollmechanismen für KI implementieren, werden im Vorteil sein, wenn die Regulierung vollständig greift. Umgekehrt könnten Anbieter, die das Thema ignorieren, vom Markt verschwinden oder – wie es im Workday-Blog drastisch hieß – am eigenen Erfolg scheitern: Sollte sich bewahrheiten, dass hunderte Millionen Bewerber betroffen sind, könnte das das Ende von Workday bedeuten. Auch wenn diese Zahl wohl überspitzt ist, der Reputationsschaden für Workday ist real und wird andere Techfirmen abschrecken, ähnliche Fehler zu begehen.
Für die Compliance-Pflichten in Unternehmen bedeutet der Fall einen Ausblick auf kommende Anforderungen. Wir stehen an der Schwelle, wo es nicht mehr nur um Datenschutz-Compliance geht, sondern um eine ganzheitliche KI-Compliance: das Einhalten von Diskriminierungsverboten, Transparenzgeboten und technischen Sicherheitsstandards im Umgang mit Algorithmen. Firmen werden vermehrt interne Audits durchführen (müssen), externe Prüfzertifikate für KI-Produkte verlangen und ggf. spezialisierte Fachleute (z.B. Algorithm Auditors) hinzuziehen. Auch die Gesetzgeber und Gerichte in Deutschland werden sich verstärkt mit Fragen der Beweislast, der Employer Liability bei KI-Entscheidungen und der Anpassung bestehender Gesetze beschäftigen. Eine AGG-Reform könnte Klarstellungen bringen, etwa ausdrückliche Verbote bestimmter automatisierter Praktiken oder neue Auskunftsrechte für abgelehnte Bewerber.
Schließlich hat der Workday-Fall auch eine erzieherische Wirkung: Er rückt ins Bewusstsein, dass KI nicht neutral oder unfehlbar ist, sondern von menschlichen Daten und Entscheidungen geprägt wird – und somit auch menschlichen Fehlbarkeiten unterliegt. Für die Personalpraxis bedeutet das einen Paradigmenwechsel: Technische Innovation muss mit ethischer Verantwortung einhergehen. Unternehmen, die KI einsetzen, werden in Zukunft sehr genau abwägen müssen, wie sie den Spagat zwischen Effizienz und Fairness schaffen. Der Workday-Fall dient dabei als Mahnmal und als Lehrstück zugleich – er zeigt Schwachstellen auf, liefert aber auch wertvolle Erkenntnisse, um KI fair und rechtskonform zu gestalten. Für interessierte Nicht-Juristen und Juristen gleichermaßen gilt: Dies ist erst der Anfang einer Entwicklung, die das Arbeitsrecht und den Datenschutz in den kommenden Jahren nachhaltig prägen wird. Die Fähigkeit, KI-Regelwerke zu verstehen und umzusetzen, wird zur Schlüsselkompetenz, damit das Recruiting der Zukunft innovativ, aber auch gerecht und legal abläuft.
Anastasia Nomerowskaja
Co-Autor
Anastasia Nomerowskaja ist wissenschaftliche Mitarbeiterin und Social Media Managerin der JURIBO Anwaltskanzlei mit einem Bachelorabschluss in Deutschem und Europäischen Wirtschaftsrecht.
Kristian Borkert
Co-Autor
Kristian Borkert ist Gründer der JURIBO Anwaltskanzlei und hat sich insbesondere auf den Bereich IT, Wirtschaftsrecht und Datenschutz spezialisiert.
