Pre-Hire-Due-Diligence Agent

Die Einstellung ist unterschrieben, der Kandidat fängt an - und sechs Monate später stellt sich heraus, dass der angegebene Hochschulabschluss nie existiert hat. Das Arbeitszeugnis vom vorherigen Arbeitgeber war manipuliert. Die behauptete BaFin-Zuverlässigkeit lässt sich nicht belegen.

Das ist keine Extremsituation. Branchenübergreifende Erhebungen zeigen, dass rund ein Drittel aller Bewerbungen Falschangaben enthalten. Eine Umfrage von Resume Builder aus Januar 2025 beziffert es präziser: 44 Prozent der Befragten gaben zu, im Bewerbungsprozess gelogen zu haben - 24 Prozent davon direkt im Lebenslauf. Seit generative KI Zeugnisse, Referenzschreiben und Zertifikate in Minuten erzeugt, steigt die Rate weiter. Die Verifikationslücke zwischen dem, was Kandidaten behaupten, und dem, was Arbeitgeber prüfen, wird größer, nicht kleiner.

Die echten Kosten einer fehlenden Prüfung

Dieser Agent folgt dem Decision Layer-Prinzip: jede Entscheidung ist entweder regelbasiert, KI-assistiert oder explizit einem Menschen zugeordnet.

Was passiert, wenn ein Unternehmen mit 2.000 Mitarbeitenden jährlich 150 Stellen besetzt und bei jeder fünften Einstellung eine relevante Angabe ungeprüft bleibt?

Die arbeitsrechtliche Seite ist eindeutig. Gefälschte Zeugnisse sind Urkundenfälschung nach Paragraph 267 StGB - Freiheitsstrafe bis zu fünf Jahren. Arbeitgeber können fristlos kündigen nach Paragraph 626 BGB, auch Jahre nach der Einstellung. Aber die Kündigung ist das kleinere Problem. Bis zur Entdeckung hat das Unternehmen Gehalt gezahlt, eingearbeitet, Projekte zugewiesen, Kundenbeziehungen aufgebaut - und steht dann vor einem Bruch in der Organisation, der weit über die Personalakte hinausgeht.

In regulierten Branchen multipliziert sich das Risiko. Ein Finanzdienstleister, der einen Mitarbeitenden ohne nachgewiesene BaFin-Zuverlässigkeit in eine erlaubnispflichtige Position setzt, riskiert nicht nur arbeitsrechtliche Konsequenzen, sondern aufsichtsrechtliche. Ein Pharmaunternehmen, das eine GMP-relevante Stelle mit jemandem besetzt, dessen Qualifikationsnachweise nicht verifiziert wurden, gefährdet seine Herstellungserlaubnis.

Warum Prüfungen trotzdem scheitern

Das Paradoxe: Die meisten Unternehmen haben Prüfprozesse. Sie funktionieren nur nicht zuverlässig.

Der typische Due-Diligence-Ablauf sieht so aus: Der Recruiter erhält die Zusage der Fachabteilung. Dann beginnt eine Kette von Einzelschritten - Referenzanfrage per E-Mail, Zertifikat an die Fachabteilung zur Prüfung, Führungszeugnis beim Kandidaten anfordern, Sanktionslistenabgleich durch Compliance. Jeder Schritt wartet auf den vorherigen. Jeder Schritt liegt bei einer anderen Person. Kein Schritt hat eine definierte Frist.

TYPISCHER ABLAUF (sequentiell, 14-22 Tage)

Zusage  -->  Referenz 1  -->  Referenz 2  -->  Zeugnisprüfung
                                                    |
                                               Compliance-Check
                                                    |
                                               Führungszeugnis
                                                    |
                                               Freigabe

Die Folge: Pre-Hire-Checks dauern zwei bis drei Wochen. In dieser Zeit springen Kandidaten ab - besonders die guten, die Alternativen haben. Recruiter kürzen ab, überspringen Schritte, dokumentieren unvollständig. Und in regulierten Bereichen fehlt am Ende der Nachweis, dass überhaupt geprüft wurde.

Parallel laufende Prüfschritte verkürzen die Due Diligence von drei Wochen auf sieben Tage

Die Lösung ist nicht mehr Personal und nicht mehr Disziplin. Die Lösung ist eine andere Prozessarchitektur.

Der Pre-Hire-Due-Diligence-Agent zerlegt den Prüfprozess in voneinander unabhängige Entscheidungsschritte. Jeder Schritt hat einen definierten Entscheider - Regelwerk, KI oder Mensch - und eine dokumentierte Begründung.

Der erste Schritt ist regelbasiert: Welche Prüfungen sind für diese konkrete Position erforderlich? Ein Sachbearbeiter in der Buchhaltung braucht kein Führungszeugnis, aber eine Zertifikatsprüfung. Ein Compliance-Officer bei einer Bank braucht BaFin-Zuverlässigkeit, Sanktionslistenabgleich und erweiterte Referenzprüfung. Dieses Regelwerk wird einmal definiert, mit dem Betriebsrat abgestimmt und dann automatisch angewandt.

Dann laufen die Prüfungen parallel statt sequentiell:

ARCHITEKTUR (parallel, 3-7 Tage)

Zusage  -->  [Regelwerk] Prüfkatalog ermitteln
                |
                +--> [KI] Zertifikate gegen Register validieren
                |
                +--> [Mensch] Referenzgespräch 1 führen
                |
                +--> [Mensch] Referenzgespräch 2 führen
                |
                +--> [Regelwerk] Sanktionslisten prüfen
                |
                +--> [Kandidat] Führungszeugnis einreichen
                |
                v
             [KI] Ergebnisse zusammenführen + Risikobewertung
                |
                v
             [Mensch] Freigabe oder Eskalation

Zertifikatsvalidierung passiert automatisch - gegen Hochschulregister, Kammerdatenbanken, Ausstellerverzeichnisse. Kein Recruiter, der PDFs visuell vergleicht. Keine E-Mail an die Personalabteilung des Ausstellers mit zwei Wochen Wartezeit. Der Agent prüft, dokumentiert das Ergebnis und eskaliert nur bei Unstimmigkeiten.

Referenzgespräche bleiben beim Menschen. Ein Algorithmus kann keine Zwischentöne hören, keine Zögern bewerten, keine Folgefragen stellen, die über den Fragenkatalog hinausgehen. Aber der Agent erstellt den standardisierten Fragenkatalog, terminiert die Gespräche, dokumentiert die Ergebnisse strukturiert und stellt sicher, dass kein Gespräch vergessen wird.

DSGVO als Architektur-Anforderung, nicht als Hürde

Pre-Employment-Screening in Deutschland bewegt sich in einem der restriktivsten datenschutzrechtlichen Rahmen weltweit. Paragraph 26 BDSG erlaubt die Verarbeitung personenbezogener Daten nur, soweit sie für die Begründung des Beschäftigungsverhältnisses erforderlich ist. Jede Prüfung braucht eine Rechtsgrundlage oder eine explizite, freiwillige Einwilligung - und Freiwilligkeit ist im Bewerbungskontext juristisch umstritten, weil der Kandidat faktisch keine echte Wahlmöglichkeit hat.

Das bedeutet: Jede einzelne Prüfung muss dokumentieren, auf welcher Rechtsgrundlage sie erfolgt, was genau geprüft wird und was nicht. Ein monolithischer Background Check, der alles auf einmal abfragt, ist datenschutzrechtlich angreifbar. Ein Prozess, der jede Prüfung einzeln begründet und einzeln dokumentiert, ist es nicht.

Genau das leistet die Zerlegung in Einzelentscheidungen. Die Zertifikatsprüfung hat eine andere Rechtsgrundlage als der Sanktionslistenabgleich. Die Referenzeinholung erfordert eine andere Form der Einwilligung als die Prüfung öffentlich zugänglicher Register. Wenn jeder Schritt seine eigene Legitimationsgrundlage trägt, wird Datenschutz kein Prozessblocker, sondern Bestandteil der Architektur.

Hochrisiko-System - und trotzdem produktiv

Der EU AI Act klassifiziert Systeme zur Evaluierung von Kandidaten als Hochrisiko - Annex III, Punkt 4a. Die Pflichtenkaskade ist umfassend: Risikomanagementsystem, technische Dokumentation, Transparenz gegenüber Betroffenen, menschliche Aufsicht.

Aber der Pre-Hire-Due-Diligence-Agent macht keine Einstellungsentscheidungen. Er validiert Fakten und dokumentiert Ergebnisse. Die Entscheidung, ob ein negatives Prüfergebnis zur Ablehnung führt, liegt beim Menschen. Bei regulatorischen Ausschlusskriterien - fehlende BaFin-Zuverlässigkeit, Eintrag auf einer Sanktionsliste - kennzeichnet der Agent das Ergebnis eindeutig, aber er lehnt nicht ab. Er liefert die dokumentierte Grundlage, auf der Menschen entscheiden.

Das unterscheidet Due Diligence architektonisch vom Candidate Screening. Screening bewertet und gewichtet - dort ist die Bias-Frage zentral. Due Diligence verifiziert - dort ist die Vollständigkeits- und Dokumentationsfrage zentral. Beides Hochrisiko, aber mit unterschiedlichen Governance-Anforderungen.

Was die Infrastruktur beiträgt

Das Validierungs-Framework, das hier für Zertifikate aufgebaut wird, ist kein Einmalprodukt. Der Certification-Tracking-Agent nutzt dieselbe Prüflogik für laufende Lizenzen und Zertifizierungen im Beschäftigungsverhältnis. Der Audit-Compliance-Agent verwendet den gleichen Abgleichmechanismus für Sanktionslisten und Registerprüfungen.

Noch wichtiger: Die Einwilligungs-Management-Engine, die hier für DSGVO-konforme Kandidatenprüfung entsteht, wird zur Grundlage für jeden Agent, der personenbezogene Daten Dritter verarbeitet. Einmal sauber gebaut, dokumentiert und vom Betriebsrat freigegeben - dann nachgenutzt.

Der Decision Log, der jeden Prüfschritt mit Zeitstempel, Rechtsgrundlage und Ergebnis festhält, macht die gesamte Due Diligence revisionssicher. Nicht als Compliance-Theater, sondern als Infrastruktur, die im Ernstfall - bei einer arbeitsrechtlichen Auseinandersetzung, einer Aufsichtsprüfung, einem Betriebsrats-Review - belastbare Antworten liefert.