Betriebsvereinbarungen: Alte IT-Verträge werden 2026 zum Haftungsrisiko

Ein Urteil des Bundesarbeitsgerichts zwingt Unternehmen zum sofortigen Handeln: Veraltete IT-Betriebsvereinbarungen bieten keinen Schutz mehr vor Datenschutzklagen. Ab 2026 drohen massenhafte Schadensersatzforderungen von Mitarbeitern.

BAG-Urteil stellt Praxis der Mitbestimmung auf den Kopf

Die Zeit des Abwartens ist vorbei. Das hat das Bundesarbeitsgericht (BAG) mit seinem Grundsatzurteil vom 8. Mai 2025 klargestellt. Im Kernfall ging es um die Einführung der HR-Software Workday bei einer deutschen Tochter eines US-Konzerns. Der Arbeitgeber hatte sensible Mitarbeiterdaten – inklusive Steuer-IDs und Geburtsdaten – in die USA übermittelt und sich dabei auf eine Betriebsvereinbarung als Rechtsgrundlage berufen.

Das Gericht urteilte eindeutig: Eine Betriebsvereinbarung allein kann keinen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) „heilen“. Wenn die Datenverarbeitung nicht strikt den Prinzipien der Zweckbindung und Datenminimierung (Art. 5 DSGVO) folgt oder eine gültige Rechtsgrundlage nach Art. 6 oder Art. 9 DSGVO fehlt, sind die entsprechenden Klauseln der Vereinbarung unwirksam.

Besonders brisant: Das BAG sprach dem klagenden Betriebsratsmitglied 200 Euro Schadensersatz für den bloßen „Kontrollverlust“ über seine Daten zu. Dieser Präzedenzfall bedeutet, dass theoretisch jeder einzelne betroffene Mitarbeiter Schadensersatz fordern kann – ein massives kumulatives Finanzrisiko für größere Belegschaften.

Viele Betriebsvereinbarungen nennen nur pauschal „Datenübermittlungen“ – ohne einzelne Felder und Empfänger präzise zu benennen. Ein kostenloser Muster‑Ratgeber für Betriebsvereinbarungen zeigt Personalleitungen und Betriebsräten, wie Sie rechtskonforme Formulierungen und verbindliche Datenfeld‑Listen einbauen, technische Anhänge erstellen und Haftungsrisiken minimieren. Inklusive Verhandlungs‑Checkliste für Neuvereinbarungen. Jetzt kostenlose Muster‑Betriebsvereinbarung herunterladen

Die stille Revisionspflicht: Warum jetzt gehandelt werden muss

Rechtsexperten warnen in ihren Jahresend-Analysen vor einer stillschweigenden Revisionspflicht für zahllose bestehende Betriebsvereinbarungen. Die Annahme, eine unterzeichnete Vereinbarung biete einen „sicheren Hafen“ für IT-Datenverarbeitungen, sei obsolet.

„Unternehmen müssen ihre Altvereinbarungen für Systeme wie Microsoft 365, Workday oder Salesforce als potenziell nicht konform behandeln, bis das Gegenteil bewiesen ist“, heißt es in einer arbeitsrechtlichen Analyse vom 30. Dezember.

Das Kernproblem: Viele ältere Vereinbarungen enthalten pauschale „Erlaubnisklauseln“, die den spezifischen Transparenz- und Erforderlichkeitsanforderungen von BAG und Europäischem Gerichtshof (EuGH) nicht genügen. Erlaubt eine Betriebsvereinbarung Datenübermittlungen, die für das Arbeitsverhältnis nicht strikt notwendig sind, kann sich der Arbeitgeber nicht mehr hinter die Zustimmung des Betriebsrats verstecken.

Drei Prüfpunkte für die Compliance-Notfallüberprüfung

Mit Beginn des neuen Jahres sollten Datenschutzbeauftragte und Personalverantwortliche drei Schlüsselbereiche priorisieren:

1. Datenübermittlungsklauseln: Jede Vereinbarung zu Software mit Cloud-Komponenten (besonders bei US-Servern) muss unter die Lupe. Listet die Betriebsvereinbarung explizit jedes übermittelte Datenfeld auf? Übersteigt der tatsächliche Datenfluss die Liste – wie im Workday-Urteil – ist die Haftung automatisch gegeben.

2. Erforderlichkeit versus Bequemlichkeit: Das BAG bestätigte, dass Datenverarbeitung für das Arbeitsverhältnis „erforderlich“ sein muss. Die Verarbeitung nur für „globale Reporting-Konsistenz“ oder „administrative Bequemlichkeit“ wird durch eine Standardvereinbarung wahrscheinlich nicht mehr gedeckt.

3. Vorbereitung auf Schadensersatzklagen: Da der „Kontrollverlust“ nun als entschädigungsfähiger Schaden ohne weiteren Nachweis anerkannt ist, steigt das Risiko für sammelklageähnliche Verfahren.

Berichten zufolge instruieren große Gewerkschaften bereits ihre Betriebsräte, Neuverhandlungen von IT-Vereinbarungen im ersten Quartal 2026 zu fordern, um nicht selbst in DSGVO-Verstöße verwickelt zu sein.

Ende der pragmatischen IT-Einführung in Deutschland

Diese Entwicklung markiert den Höhepunkt einer rechtlichen Auseinandersetzung, die 2022 mit einer Vorlage an den EuGH begann und mit einem EuGH-Urteil im Dezember 2024 weiterging. Die deutschen Gerichte haben die europäischen Vorgaben nun vollständig umgesetzt und beenden damit den oft „pragmatischen“ Ansatz bei IT-Einführungen in der deutschen Arbeitswelt.

Für 2026 zeichnet sich ein konfliktreicheres Umfeld für die IT-Mitbestimmung ab. Arbeitgeber müssen damit rechnen, dass Betriebsräte pauschale IT-Rahmenvereinbarungen verweigern und stattdessen detaillierte technische Anhänge fordern, die Datenflüsse exakt beschreiben.

Die Botschaft der letzten Tage des Jahres 2025 ist eindeutig: Die Revisionspflicht ist keine theoretische Rechtsfigur, sondern eine unmittelbare betriebliche Notwendigkeit. Sie zu ignorieren, könnte Standard-Softwareeinführungen im kommenden Jahr zu teuren Haftungsfallen machen.

PS: Wenn Sie jetzt schnell handeln müssen, enthält dieses Gratis‑E‑Book fertige Muster‑Vereinbarungen, Checklisten für Datenübermittlungen und Formulierungsvorlagen, mit denen Sie IT‑Betriebsvereinbarungen binnen Tagen rechtssicher prüfen und neu verhandeln können. So reduzieren Sie das Risiko massenhafter Schadensersatzforderungen. Muster‑Betriebsvereinbarung & Checklisten gratis sichern