Eightfold AI, die Recruiting-Plattform von Microsoft, Morgan Stanley, Starbucks und PayPal, steht vor Gericht. Eine Sammelklage vom 20. Januar 2026 wirft dem Unternehmen vor, im Verborgenen KI-generierte Dossiers über Bewerber zu erstellen. Die Plattform sammelt Daten aus über 1,5 Milliarden Profilen, bewertet Kandidaten auf einer Skala von 0 bis 5 und gibt diese Bewertungen an Arbeitgeber weiter. Bewerber erfahren nichts davon, stimmen nie zu und können Fehler nicht korrigieren.

Der juristische Kern: Wenn ein KI-System externe Daten über eine Person sammelt und das daraus entstehende Profil an Arbeitgeber für Personalentscheidungen verkauft, handelt es sich um eine Verbraucherauskunftei nach dem Fair Credit Reporting Act (FCRA). Und Verbraucherauskunfteien haben Pflichten, die Eightfold vollständig ignoriert haben soll.

Das ist kein Diskriminierungsfall. Es ist ein Verfahrensfehler-Fall, und genau das macht ihn für die gesamte Branche so gefährlich.

Weiterlesen: KI im Recruiting: Was ist nach dem EU AI Act erlaubt?

Was Eightfold angeblich getan hat

Die Klageschrift der Klägerinnen Erin Kistler und Sruti Bhaumik beschreibt ein System, das hinter den Kulissen deutlich mehr tut, als die meisten Bewerber ahnen.

Die versteckte Profilmaschine

Eightfolds Plattform sammelt Daten von LinkedIn, GitHub, Stack Overflow und weiteren öffentlich zugänglichen Quellen. Diese Daten werden zusammen mit den Informationen, die Bewerber über das Jobportal eines Arbeitgebers einreichen, in ein proprietäres Large Language Model eingespeist. Das System generiert dann einen “Erfolgswahrscheinlichkeits-Score” auf einer 0-bis-5-Skala für jeden Kandidaten pro Stelle.

Arbeitgeber sehen diese Scores. Bewerber nie. Klägerin Kistler formulierte es so: “Ich habe mich auf Hunderte Stellen beworben, aber es fühlt sich an, als würde eine unsichtbare Kraft mich aufhalten.”

Warum der FCRA hier greift

Der FCRA stammt aus dem Jahr 1970 und wurde für eine einfachere Welt aus Kreditauskünften und Hintergrundüberprüfungen geschaffen. Aber seine Definition einer Verbraucherauskunft ist breit gefasst: jede “Mitteilung einer Verbraucherauskunftei”, die Informationen über “persönliche Eigenschaften oder Lebensweise” einer Person enthält und für Beschäftigungszwecke verwendet wird.

Diese Definition setzt keinen Kredit-Score voraus. Sie umfasst jede Zusammenstellung von Drittanbieterdaten für Personalentscheidungen. Die Klägerinnen argumentieren, dass Eightfolds KI-Profile genau darunter fallen.

Stimmt ein Gericht zu, hat Eightfold mehrere FCRA-Anforderungen verletzt:

  • Offenlegung: Arbeitgeber müssen Bewerber schriftlich und in einem eigenständigen Dokument informieren, dass eine Verbraucherauskunft verwendet wird.
  • Einwilligung: Bewerber müssen schriftlich zustimmen, bevor die Auskunft eingeholt wird.
  • Zugang: Bewerber müssen die Auskunft einsehen und Ungenauigkeiten anfechten können.
  • Vor-Ablehnungshinweis: Vor einer Ablehnung auf Basis der Auskunft muss der Arbeitgeber sie dem Bewerber zur Verfügung stellen.
  • Nach-Ablehnungshinweis: Nach einer endgültigen Ablehnung muss der Bewerber erneut benachrichtigt werden.

Eightfolds System hat nach den Vorwürfen keinen einzigen dieser Schritte eingehalten.

Warum diese Klage anders ist als Bias-Fälle

Die meisten KI-Recruiting-Klagen, wie der laufende Workday-Altersdiskriminierungsfall, versuchen nachzuweisen, dass ein Algorithmus diskriminierende Ergebnisse produziert. Das ist schwierig: Man braucht statistische Belege, Sachverständigengutachten und eine Kausalitätstheorie.

Der Eightfold-FCRA-Fall umgeht all das. Die Klägerinnen müssen nur drei Dinge beweisen:

  1. Eightfold hat Informationen aus Drittquellen über Personen zusammengestellt.
  2. Eightfold hat diese Profile an Arbeitgeber für Personalentscheidungen weitergegeben.
  3. Eightfold hat die FCRA-Verfahren nicht eingehalten.

Wenn diese Fakten stimmen, liegt der Verstoß automatisch vor. Keine Bias-Analyse nötig, kein Disparate-Impact-Test, keine Diskriminierungsabsicht. Nur ein Verfahrensfehler, der gesetzliche Schadensersatzansprüche von 100 bis 1.000 Dollar pro Kläger auslöst, plus mögliche Strafschadensersatzansprüche.

Jenny R. Yang, ehemalige Vorsitzende der U.S. Equal Employment Opportunity Commission und heute Partnerin bei Outten & Golden, formulierte es klar: “Qualifizierte Arbeitnehmer im ganzen Land werden auf Basis automatisierter Bewertungen abgelehnt, die sie nie gesehen haben und nicht anfechten können.”

Wer betroffen ist: Nicht nur Eightfold

Die Klage richtet sich gegen Eightfold, aber die juristische Argumentation gilt für jede KI-Recruiting-Plattform, die Bewerberprofile mit externen Daten anreichert. Wenn ein Anbieter LinkedIn-Profile scrapet, GitHub-Aktivitäten abgleicht oder Social-Media-Signale für Kandidaten-Scores aggregiert, greift dasselbe FCRA-Argument.

Arbeitgeber haften mit

Der Teil, der Personalabteilungen beunruhigen sollte: Nach dem FCRA teilen Arbeitgeber die Haftung. Wenn ein Arbeitgeber eine Verbraucherauskunft ohne ordnungsgemäße Offenlegung nutzt, haftet er mit, unabhängig davon, was der Anbieter zur Compliance gesagt hat.

Fisher Phillips empfiehlt fünf Sofortmaßnahmen:

  1. KI-Anbieter-Datenquellen prüfen. Welche externen Daten verarbeitet die Plattform über das hinaus, was Bewerber selbst einreichen?
  2. Verträge auf FCRA-Zertifizierungen kontrollieren. “Nur weil ein Anbieter sagt, der FCRA gelte nicht, heißt das nicht, dass das stimmt.”
  3. Bestehende Background-Check-Compliance nicht auf KI-Tools übertragen. Die FCRA-Prozesse für Strafregisterauszüge decken möglicherweise nicht die KI-Screening-Plattform ab.
  4. Alles dokumentieren. Bundes- und Landesbehörden beobachten den Markt, und Klägeranwälte suchen nach Präzedenzfällen.
  5. Reputationsrisiken bewerten. 77% der Bewerber befürchten bereits, dass ihre Bewerbungen ausgefiltert werden, bevor ein Mensch sie sieht.
Weiterlesen: KI-Recruiting-Tools: Automatisierung im Hiring

Die regulatorische Zange: FCRA, EU AI Act und DSGVO

Die Eightfold-Klage entsteht nicht im Vakuum. Für Unternehmen im DACH-Raum ist die Situation noch komplexer, weil gleich drei Regulierungsebenen zusammenwirken.

EU AI Act: KI-Recruiting als Hochrisiko-System

Der EU AI Act stuft alle KI-Hiring-Systeme als Hochrisiko ein (Anhang III, Abschnitt 4). Ab dem 2. August 2026 müssen alle Systeme, die Bewerbungen filtern, Kandidaten bewerten oder Bewerber einschätzen, strenge Anforderungen erfüllen: Risikobewertungen, Entscheidungsprotokollierung, menschliche Aufsicht und Bewerberbenachrichtigung. Bei Verstößen drohen Strafen bis zu 15 Millionen Euro oder 3% des weltweiten Umsatzes.

Anders als der FCRA, der sich auf Verbraucherauskünfte aus Drittquellen konzentriert, erfasst der EU AI Act alle KI-gestützten Personalentscheidungen, egal ob die Daten gescrapt oder vom Bewerber selbst eingereicht werden.

DSGVO: Automatisierte Einzelentscheidungen

Artikel 22 DSGVO gibt Bewerbern grundsätzlich das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet. Ein KI-System, das Bewerber automatisch ausfiltert, fällt unter diese Regelung, es sei denn, es gibt eine ausdrückliche Einwilligung oder eine Rechtsgrundlage.

Eightfolds Geschäftsmodell, externe Daten ohne Wissen des Bewerbers zu sammeln und für Auswahlentscheidungen zu verwenden, wäre in der EU schon nach geltendem DSGVO-Recht problematisch. Die Kombination mit den neuen Hochrisiko-Anforderungen des EU AI Act macht es noch kritischer.

Was DACH-Unternehmen jetzt tun sollten

Auch wenn die Eightfold-Klage in den USA läuft, sind die Lehren direkt auf den DACH-Markt übertragbar:

  • Datenanreicherung durch Recruiting-Tools prüfen. Sammelt das Tool Daten aus LinkedIn, Xing oder anderen externen Quellen ohne explizite Bewerbereinwilligung?
  • DSGVO-Konformität der KI-Screening-Tools sicherstellen. Informationspflichten nach Art. 13/14 DSGVO und Betroffenenrechte nach Art. 15-22 DSGVO müssen eingehalten werden.
  • Betriebsrat einbinden. In Deutschland unterliegt die Einführung von KI-Screening-Tools der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Ohne Betriebsvereinbarung drohen Unterlassungsansprüche.
  • EU AI Act Compliance vorbereiten. Die Frist läuft am 2. August 2026 ab. Wer KI im Recruiting einsetzt, braucht bis dahin dokumentierte Risikobewertungen und Aufsichtsprozesse.
Weiterlesen: EU AI Act 2026: Was Unternehmen bis August umsetzen müssen

Was Eightfold sagt

Eightfold weist die Vorwürfe zurück. Das Unternehmen erklärte: “Eightfold ’lauert’ nicht und scrapet keine persönlichen Webverläufe”, um Dossiers zu erstellen. Die Plattform arbeite ausschließlich mit Daten, die Bewerber selbst einreichen oder die Arbeitgeber direkt bereitstellen.

Das Unternehmen bestreitet auch Bias-Vorwürfe und betont, identifizierende Informationen zu maskieren und potenzielle Verzerrungen zu kennzeichnen. Eightfold positioniert sich als Skills-basierte Recruiting-Plattform, die Potenzial statt Keywords bewertet.

Allerdings zitiert die Klageschrift Eightfolds eigene Marketingmaterialien, die von der Analyse “über 1,5 Milliarden globaler Datenpunkte” aus öffentlich zugänglichen Quellen sprechen. Diese Spannung zwischen Marketingaussagen und Rechtsverteidigung dürfte im Verfahren eine zentrale Rolle spielen.

Wie es weitergeht

Das Verfahren steht am Anfang. Die Klägerinnen fordern Zertifizierung als Sammelklage, eine richterliche Feststellung der Rechtswidrigkeit, eine einstweilige Verfügung gegen Eightfolds KI-Tool bis zur FCRA-Konformität, sowie Schadensersatz und Strafschadensersatz.

Sollte das Verfahren in höhere Instanzen gelangen und Gerichte entscheiden, dass KI-gestützte Kandidatenanreicherungssysteme Verbraucherauskunfteien sind, hat das weitreichende Folgen:

  • Jeder KI-Recruiting-Anbieter, der externe Daten nutzt, braucht FCRA-konforme Offenlegungen, schriftliche Einwilligungen und Widerspruchsmechanismen.
  • Arbeitgeber müssen prüfen, ob ihr KI-Recruiting-Stack FCRA-Pflichten auslöst, die sie derzeit ignorieren.
  • Bewerber erhalten das Recht, die KI-generierten Profile einzusehen und anzufechten, die sie möglicherweise still aus dem Bewerbungsprozess filtern.

Arbeitsrechtsprofessorin Pauline Kim warnte, dass selbst vollständige FCRA-Compliance “nur begrenzte Transparenz bieten würde, wahrscheinlich nicht genug, um die Fairness dieser Systeme sicherzustellen.” Die Klage mag Verfahrenskonformität erzwingen, aber die tiefere Frage, ob intransparentes KI-Recruiting gut für irgendwen ist, bleibt offen.

Die praktische Empfehlung ist klar: Wenn Ihr Unternehmen ein KI-Recruiting-Tool einsetzt, klären Sie jetzt, welche Daten es sammelt, woher diese Daten stammen und ob Ihre aktuellen Compliance-Prozesse dem gewachsen sind. Die Kosten eines Audits sind gering im Vergleich zu den Kosten, der nächste Präzedenzfall zu werden.

Häufig gestellte Fragen

Worum geht es in der Eightfold-AI-Klage?

Eine Sammelklage vom Januar 2026 wirft Eightfold AI vor, versteckte Verbraucherauskünfte über Bewerber zu erstellen, indem Daten von LinkedIn, GitHub und anderen Quellen gescrapt werden, um Kandidaten auf einer 0-bis-5-Skala zu bewerten. Dies geschehe ohne Offenlegung, Einwilligung oder Widerspruchsrecht und verstoße gegen den Fair Credit Reporting Act (FCRA).

Gilt der FCRA für KI-Hiring-Tools?

Der FCRA definiert eine Verbraucherauskunft als jede Mitteilung mit Informationen über persönliche Eigenschaften, die für Beschäftigungszwecke verwendet wird. Wenn ein KI-Hiring-Tool Drittanbieterdaten über Kandidaten zusammenstellt und Arbeitgebern für Personalentscheidungen bereitstellt, qualifiziert es sich wahrscheinlich als Verbraucherauskunftei unter dem FCRA.

Haften Arbeitgeber, wenn ihr KI-Recruiting-Anbieter den FCRA verletzt?

Ja. Nach dem FCRA müssen Arbeitgeber, die Verbraucherauskünfte für Personalentscheidungen nutzen, eigenständige schriftliche Offenlegungen bereitstellen, schriftliche Einwilligungen einholen und Vor-Ablehnungs- sowie Nach-Ablehnungsverfahren einhalten. Arbeitgeber haften mit, selbst wenn der Anbieter behauptete, der FCRA gelte nicht.

Was bedeutet die Eightfold-Klage für den DACH-Markt?

Obwohl die Klage in den USA läuft, sind DACH-Unternehmen durch DSGVO und EU AI Act ähnlichen Risiken ausgesetzt. Die DSGVO verbietet automatisierte Einzelentscheidungen ohne Rechtsgrundlage, der EU AI Act stuft KI-Recruiting als Hochrisiko ein. Externe Datenanreicherung ohne Bewerbereinwilligung ist in der EU bereits nach geltendem Recht problematisch.

Was sollten Unternehmen jetzt tun?

Prüfen Sie die Datenquellen Ihres KI-Recruiting-Anbieters. Stellen Sie DSGVO-Konformität sicher (Informationspflichten, Betroffenenrechte). Binden Sie den Betriebsrat ein. Bereiten Sie die EU AI Act Compliance bis August 2026 vor. Dokumentieren Sie alle Compliance-Maßnahmen und lassen Sie sich rechtlich beraten.

Source