Recruiting und Talent Acquisition
CV-Screening Tech-Profile mit Skill-Match und GitHub-Profil-Auswertung
Strukturiertes anonymisiertes CV-Screening für Tech-Profile (Software Engineer, DevOps, Data Engineer, ML Engineer) mit Skill-Match-Algorithmus, GitHub-Profil-Auswertung und Pflicht-menschlicher Letztentscheidung. anymize entfernt Bewerber-Name, Foto, Geburtsdatum, Adresse, Nationalität und GitHub-Username, bevor der CV an die KI geht — EU-AI-Act-Hochrisiko-konform.
Schwierigkeit: Spezialist · Datenklasse: Beschäftigtendaten · Letztes Review:
Zur Orientierung gedacht. Die personalrechtliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
Tech-Recruiting hat das höchste CV-Volumen (50–200 Bewerbungen pro Vakanz in Engpass-Stellen) und gleichzeitig das höchste algorithmische Risiko: Skill-Match-Modelle reproduzieren historischen Bias (Workday-Mobley-Sammelklage in USA als Mahnung). Dieser UC vertieft das Master-CV-Screening für den Tech-Kontext mit Stack-Vokabular, Open-Source-Beiträgen und Senioritäts-Indikatoren.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Tech-Recruiter, IT-Sourcer, HRBP Engineering, Hiring Manager Engineering (Tech Lead, Engineering Manager, VP Engineering).
- Seniorität
- Fortgeschritten — Compliance-Verständnis (EU AI Act, DSGVO Art. 22) und Stack-Vokabular Pflicht.
- Unternehmensgröße
- Tech-Startup, Scale-up, Mittelstand-IT, Konzern-IT.
- Spezifische Kontexte
- Engineering-Rollen (Frontend, Backend, Fullstack, DevOps, SRE, Platform, Data, ML, Security). Massen-Screening bei viralen Vakanzen.
Die Situation in der Personalabteilung
So bringen Sie Tempo und Sorgfalt zusammen
Tech-CVs haben Eigenheiten: (1) Skill-Stack-Tiefe vs. Breite — ein CV mit „React, Vue, Angular, Svelte” deutet eher auf Generalisten als auf tiefen Spezialisten. Generische LLMs erkennen das oft nicht; Skill-Match-Modelle (Eightfold AI, SAP Joule) sind präziser, aber als Hochrisiko-KI nach EU AI Act Annex III Nr. 4 reguliert. (2) GitHub-/OSS-Beiträge als Skill-Proof — birgt mittelbare Diskriminierung (AGG § 3 Abs. 2), weil Frauen und Karenz-Rückkehrer*innen statistisch weniger OSS-Beiträge haben. (3) Stack-Synonym-Mapping — KI muss semantisch matchen, ohne Junior-Profile mit alten Stack-Bezeichnungen auszufiltern (Alters-Bias). (4) DSGVO Art. 22: Reine KI-Entscheidung verboten — Pflicht-menschliche Letztprüfung. CVs enthalten Klasse-A-Daten (Name, Foto, Geburtsdatum, Nationalität, Adresse, GitHub-Link).
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro CV
5–15 Min
LinkedIn Future of Recruiting 2025: ~20 % Zeit-Entlastung. McKinsey HR-Monitor 2025: 19 % Kernprozesse GenAI.
Volumen-Hebel
500–2.000 EUR/Vakanz
Bei 100 CVs pro Vakanz × HR-Vollkosten ~50–80 EUR/h.
Risiko-Hebel
120 k EUR
BAG 8 AZR 74/25 als Anker; algorithmische Diskriminierung im Tech-Screening kann Sammelklage-Volumen erreichen (Workday-Mobley-Parallele in USA).
Erkennungsrate
>95 %
Name, Foto, DOB, Adresse, Nationalität, GitHub-Username dreifach geprüft. Foto entfernt.
So gehen Sie vor
Der Workflow Schritt für Schritt
CV-Import aus ATS (Personio, Greenhouse, SuccessFactors) + Job-Profil mit Skill-Tags (Must-haves, Nice-to-haves).
Mensch + System
Datenbasis
Datenklassifikation: Bewerber-Name, Foto, Geburtsdatum, Adresse, Nationalität, Familienstand, GitHub-Username = Klasse A. Stack-Skills, Erfahrungs-Jahre = Klasse C.
Mensch
§ 26 BDSG · DSK-OH KI
Pseudonymisierung mit anymize: [[Bew-Name-…]], [[Foto entfernt]], [[DOB-…]], [[Adresse-…]], [[Nat-…]], [[GitHub-User-…]]. Foto entfernen — kein Personen-Bild im LLM.
anymize
DSGVO · AGG · Art. 22
Spot-Check: Restidentifikatoren (z.B. seltene Stack-Kombination + ungewöhnliche Firmen-Historie).
Mensch
NER-Restrisiko
KI-Skill-Match: Job-Profil-Skills vs. CV-Skills → strukturierter Match-Score mit Begründung pro Skill. Keine Gesamt-Rangliste, sondern Skill-für-Skill-Match.
Frontier-KI
EU AI Act Annex III · DSGVO Art. 22
KI-Output strukturiert: Must-have-Erfüllung (Y/N pro Skill), Nice-to-have-Erfüllung, OSS-Beiträge (sofern GitHub-Link vorhanden), Senioritäts-Indikatoren, Unsicherheiten/Lücken.
Frontier-KI
Transparenz
Pflicht-menschliche Letztentscheidung: Recruiter prüft Skill-Match; entscheidet Interview-Einladung. KI-Empfehlung ≠ Entscheidung.
Mensch
DSGVO Art. 22 · EU AI Act Art. 26
Re-Identifikation im HR-System (Bewerber-Name re-bind). Logging: KI-Empfehlung + menschliche Entscheidung + Begründung in ATS.
anymize + Sie
Re-Bind · EU AI Act Art. 26 Logs 6 Monate
Feedback an Bewerber innerhalb der gesetzlichen Fristen; bei Ablehnung AGG-konforme Begründung (keine algorithmische Ablehnung ohne menschliche Prüfung).
Mensch
AGG · § 26 BDSG
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Erkennt Bewerber-Name, Foto, Geburtsdatum, Adresse, Nationalität, Familienstand, GitHub-Username mit über 95 % Erkennungsrate.
- Foto wird entfernt — kein Personen-Bild im LLM (AGG-Bias-Schutz).
- Bidirektionale Anonymisierung mit Re-Identifikation im HR-System.
- Daten in deutschen Rechenzentruzen (Hetzner). AVV nach Art. 28 DSGVO.
Was Sie als Tech-Recruiter tun
- Job-Profil mit max. 5–7 Must-have-Skills definieren.
- Pflicht-menschliche Letztentscheidung treffen (DSGVO Art. 22).
- Skill-für-Skill-Match validieren; OSS-Bias vermeiden (keine Mütter/Karenz-Rückkehrer*innen ausfiltern).
- EU AI Act Art. 26 Logs (6 Monate) aktivieren; bei produktivem Hochrisiko-KI-Tool FRIA + DPIA durchführen.
Daten-Input
Pseudonymisierter CV-Text; Job-Profil mit Skill-Liste (Must-haves max. 5–7, Nice-to-haves).
Output-Kontrolle
Skill-für-Skill-Match-Tabelle (Job-Profil-Skill | CV-Beleg-Skill | Match Y/Teilweise/N | Begründung 1 Satz), Senioritäts-Indikatoren-Liste, Unsicherheiten mit „Aus CV nicht ableitbar:” Präfix, Disclaimer „KI-Empfehlung — finale Entscheidung trifft Recruiter (DSGVO Art. 22)”.
Freigabeprozess
Recruiter prüft Skill-Match; Pflicht-menschliche Letztentscheidung; Logging in ATS (EU AI Act Art. 26 Logs 6 Monate).
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. CV in anymize einfügen — Anonymisierung läuft automatisch (Name, Foto, DOB, Adresse, Nationalität, GitHub-User werden zu Platzhaltern; Foto entfernt).
2. Prompt + Job-Profil anhängen, Thinking-Modus aktivieren.
3. KI-Output mit Skill-für-Skill-Match prüfen — keine Gesamt-Rangliste.
4. Pflicht-menschliche Letztentscheidung im ATS dokumentieren; Logging EU AI Act Art. 26 (6 Monate); bei Hochrisiko-Tool FRIA + DPIA.
# Context (C)
Rechtsstand: <heutiges Datum>. Du unterstützt das CV-Screening für eine
deutsche Tech-Rolle (Software Engineer, DevOps, Data Engineer, ML Engineer).
Der CV-Text ist pseudonymisiert: Bewerber-Name, Geburtsdatum, Adresse, Foto,
Nationalität entfernt oder durch [[Kategorie-Hash]]-Platzhalter ersetzt.
Stack-Skills sind Klartext.
# Role (R)
Du agierst als Tech-Recruiter mit Stack-Vokabular und Hochrisiko-KI-
Bewusstsein (EU AI Act Annex III Nr. 4; DSGVO Art. 22). Du kennst
BAG 8 AZR 74/25 und AGG mittelbare Diskriminierung.
# Action (A)
1. Skill-für-Skill-Match: Job-Profil-Skill | CV-Beleg-Skill |
Match (Y/Teilweise/N) | Begründung (1 Satz).
2. Erfahrungs-Indikatoren neutral fassen: Jahre in Tätigkeit nur, wenn
Job-Profil das explizit verlangt — sonst weglassen (Alters-Bias).
3. OSS-Beiträge als Skill-Proof, aber NICHT als Negativ-Indikator bei
fehlenden Beiträgen (Mütter/Karenz-Rückkehrer*innen schützen).
4. Stack-Synonym-Mapping: „Node.js”="Backend JavaScript" — semantisch matchen.
5. Senioritäts-Indikatoren aus konkreten Verantwortlichkeiten ableiten
(Architektur-Entscheidungen, Mentoring, Tech-Lead-Rolle), nicht aus
Berufsjahren.
6. Unsicherheiten explizit: „Aus CV nicht ableitbar:” Präfix.
7. Keine Gesamt-Rangliste und keine Einstellungs-Empfehlung — beides
obliegt dem Menschen.
# Format (F)
- Tabelle Skill-Match
- Senioritäts-Indikatoren-Liste
- Unsicherheiten-Liste mit „Aus CV nicht ableitbar:” Präfix
- Disclaimer: „KI-Empfehlung — finale Entscheidung trifft Recruiter
(DSGVO Art. 22)”
# Target Audience (T)
Recruiter, der eine Interview-Entscheidung treffen muss. Erwartung:
Strukturierter Match-Output ohne Bias-Risiken.So sieht der Input aus
Pseudonymisierter Eingabetext
Job-Profil: Senior Backend Engineer
Must-haves: Java/Kotlin, Spring Boot, Kubernetes, AWS oder GCP, Postgres, Kafka
Nice-to-haves: Redis, Datadog, TDD-Praxis
CV-Input (pseudonymisiert):
Bewerber*in [[Bew-a3f9]] | Foto entfernt | DOB [[DOB-b2e7]] | [[Adresse-c4d1]]
Stationen:
2019–2024 Backend Engineer bei [[Firma-d4f3]]
- Kotlin + Spring Boot Microservices
- Kubernetes auf AWS EKS
- Postgres + Kafka Event Sourcing
- CI/CD: GitHub Actions + ArgoCD
- Tech-Lead-Rolle für 4-köpfiges Team
2016–2019 Software Developer bei [[Firma-e8a2]]
- Java + Spring; Oracle DB
- Erste Kubernetes-Touches
Ausbildung: B.Sc. Informatik [[Uni-f5b3]] 2016
GitHub-Profil: [[GitHub-User-…]] (52 Stars, 8 OSS-Beiträge zu Spring-Ökosystem)So liefert anymize zurück
Der KI-Entwurf
## Skill-Match-Tabelle
| Job-Profil-Skill | CV-Beleg | Match | Begründung |
|---|---|---|---|
| Java/Kotlin | Kotlin + Spring Boot Microservices 2019–2024 | Y | Mehrjährige produktive Anwendung |
| Spring Boot | Microservices in Spring Boot | Y | Belegt |
| Kubernetes | Kubernetes auf AWS EKS | Y | Produktive Anwendung |
| AWS oder GCP | AWS EKS | Y | AWS belegt |
| Postgres | Postgres + Kafka Event Sourcing | Y | Belegt |
| Kafka | Kafka Event Sourcing | Y | Belegt |
| Redis (Nice-to-have) | Aus CV nicht ableitbar | N | Kein Beleg |
| Datadog (Nice-to-have) | Aus CV nicht ableitbar | N | Kein Beleg |
| TDD-Praxis (Nice-to-have) | Aus CV nicht ableitbar | N | Kein Beleg |
## Senioritäts-Indikatoren (aus Verantwortlichkeiten)
- Tech-Lead-Rolle für 4-köpfiges Team
- OSS-Beiträge zum Spring-Ökosystem (8 PRs)
- Architektur-Entscheidung: Event-Sourcing-Pattern eingeführt
## Unsicherheiten
- Aus CV nicht ableitbar: Redis-, Datadog-, TDD-Praxis.
- Aus CV nicht ableitbar: Tatsächlicher Beitrag des Bewerbers zum
Event-Sourcing-Pattern (Team-Beitrag vs. Eigenleistung).
## Disclaimer
KI-Empfehlung. Finale Interview-Entscheidung trifft Recruiter
(DSGVO Art. 22; EU AI Act Art. 26). KI darf keine Ablehnung allein
begründen.Was das HR-Recht verlangt
Pflichten — und wie anymize sie abdeckt
EU AI Act Annex III Nr. 4 (SRC-0231)
CV-Screening = Hochrisiko-KI. Pflicht-Aufsicht, Logs 6 Monate (Art. 26), Information der Bewerber (Art. 50). Bei produktivem Hochrisiko-Tool: FRIA (Art. 27) + DPIA (Art. 35 DSGVO).
DSGVO Art. 22 (SRC-0240)
Reine KI-Entscheidung verboten — menschliche Letztentscheidung Pflicht. KI-Output ist Empfehlung, nicht Ablehnung. ATS-Logging der menschlichen Entscheidung + Begründung Pflicht.
DSGVO Art. 28 (SRC-0242)
AVV bei jedem Hochrisiko-KI-Anbieter (Eightfold, SAP Joule, Workday Illuminate, Frontier-LLM).
AGG § 1, 3, 7 (SRC-0217)
Mittelbare Diskriminierung durch OSS-Bias, Stack-Alters-Bias. OSS-Beiträge dürfen nicht als Negativ-Indikator herhalten (Mütter/Karenz-Rückkehrer*innen-Schutz).
BAG 8 AZR 74/25 (SRC-0256)
120 k EUR Anker für algorithmische Diskriminierung. Workday Mobley-Sammelklage (USA) als Mahnung für DE-Deployer.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
CV-Daten sind besonders sensibel: Name, Foto, Geburtsdatum, Adresse, Nationalität, GitHub-Username. anymize entfernt sie vor dem KI-Aufruf; Foto wird komplett entfernt (kein Personen-Bild im LLM). Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) + § 26 BDSG. Bei produktivem Hochrisiko-Tool zusätzlich Art. 35 DSGVO (DPIA) + EU AI Act Art. 27 (FRIA) bei öffentlichen Auftraggebern. Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO.
Was anymize konkret leistet
- Erkennt Bewerber-Name, Foto, Geburtsdatum, Adresse, Nationalität, Familienstand und GitHub-Username mit über 95 % Genauigkeit.
- Foto wird komplett entfernt — kein Personen-Bild im LLM-Kontext (AGG-Bias-Schutz).
- Bidirektionale Anonymisierung mit Re-Identifikation im HR-System nach KI-Antwort.
- Daten in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO.
- Alternative Compliance-Ansätze: Eightfold AI (Hochrisiko-KI mit eigener FRIA), SAP SuccessFactors Joule (Tier-1-Hosting), Workday Illuminate (Mobley-Klage-Kontext beachten), Personio AI (EU-Hosting Frankfurt), Greenhouse (ATS-fokus).
Sicherheitscheck vor der Veröffentlichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Pseudonymisierungs-Spot-Check; Foto entfernt?
- Job-Profil mit max. 5–7 Must-have-Skills definiert?
- EU AI Act Art. 26 Logs aktiviert (6 Monate)?
Nach der KI-Antwort
- Skill-für-Skill-Match (keine Gesamt-Rangliste)?
- OSS-Bias-Check (keine Mütter/Karenz-Diskriminierung)?
- Stack-Synonym-Mapping geprüft?
- Senioritäts-Indikatoren aus Verantwortlichkeiten, nicht Berufsjahren?
- Unsicherheiten dokumentiert mit „Aus CV nicht ableitbar:” Präfix?
Vor Interview-Entscheidung
- Menschliche Letztentscheidung im ATS dokumentiert (DSGVO Art. 22)?
- FRIA + DPIA durchgeführt (bei produktivem Hochrisiko-KI-Tool)?
- AGG-konforme Begründung bei Ablehnung?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI liefert Gesamt-Rangliste statt Skill-für-Skill-Match — Prompt zwingt zu strukturiertem Match.
- →KI nutzt OSS-Beiträge als Negativ-Indikator (Karenz-Rückkehrer*innen ausgefiltert) — AGG-§-3-Abs-2-Risiko.
- →Senioritäts-Indikatoren aus Berufsjahren („8+ Jahre Erfahrung”) — Alters-Bias; Prompt zwingt zu Ableitung aus Verantwortlichkeiten.
- →Vollautomatische Ablehnung ohne menschliche Letztentscheidung — DSGVO Art. 22 Verstoß.
- →EU AI Act Art. 26 Logs nicht aktiviert — Compliance-Mangel; bei AGG-Klage kein Beweis-Schutz.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen — EU AI Act und DSGVO
- CV-Screening Hochrisiko-KI
- Deployer-Pflichten + Logs 6 Monate
- Keine vollautomatische Entscheidung
- AVV-Pflicht bei Hochrisiko-KI-Anbieter
Primärnormen — Antidiskriminierung und Datenschutz
- Beschäftigtendatenverarbeitung
- Mittelbare Diskriminierung
- 120 k EUR algorithmische Altersdiskriminierung
- CV-Daten pseudonymisieren vor LLM-Transfer
Studien und Mahnung
- ~20 % Zeit-Entlastung
- KI-Effekte HR
- AGG-Mahnung für DE-Deployer
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Ersatz für die HR-Letztverantwortung
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die personalrechtliche Würdigung im Einzelfall noch eine arbeits- oder mitbestimmungsrechtliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt arbeitsrechtlich zu bewerten ist, welche Entscheidungen in Ihrem konkreten Fall richtig sind — das bleibt selbstverständlich bei Ihnen und Ihrer HR-Letztverantwortung.
KI-Outputs müssen vor jeder Verwendung HR-fachlich geprüft werden. Insbesondere personenbezogene Entscheidungen (Einstellung, Beförderung, Kündigung) dürfen nicht allein auf KI-Empfehlungen gestützt werden (DSGVO Art. 22, EU AI Act Art. 26). anymize gewährleistet die Vertraulichkeit der Beschäftigtendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit und die rechtliche Verantwortung liegen in Ihrer Hand.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.