Betriebsvereinbarungen verlieren ihren Datenschutz-Schutz

Deutsche Unternehmen starten mit verschärften Regeln für Mitarbeiterdaten ins neue Jahr. Nach wegweisenden Gerichtsurteilen müssen Betriebsvereinbarungen nun dem strengen EU-Datenschutzrecht standhalten – eine Zäsur für Personalabteilungen und Betriebsräte.

Die Zeiten, in denen eine Betriebsvereinbarung als flexibles Instrument für Datenverarbeitung galt, sind vorbei. Das machten der Europäische Gerichtshof (EuGH) und das Bundesarbeitsgericht (BAG) 2025 in Grundsatzentscheidungen deutlich. Seit Jahresbeginn 2026 herrscht Klarheit: Jede Vereinbarung zwischen Arbeitgeber und Betriebsrat muss den harten Notwendigkeits- und Verhältnismäßigkeitsprüfungen der Datenschutz-Grundverordnung (DSGVO) standhalten.

Unternehmen müssen Betriebsvereinbarungen und insbesondere der Einsatz von KI‑Systemen datenschutzrechtlich neu abgesichert werden — Fehler können zu Schadensersatzklagen und hohen Bußgeldern führen. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt verständlich Risikoklassen, Kennzeichnungspflichten und notwendige Dokumentationsschritte für HR‑Projekte. Praxisnahe Checklisten und Muster­vorlagen helfen Datenschutzbeauftragten und Personalverantwortlichen, KI‑gestützte Prozesse rechtssicher zu gestalten. Kostenlosen KI‑Umsetzungsleitfaden herunterladen

„Der regulatorische Rabatt ist gestrichen“, kommentieren Rechtsexperten die Entwicklung. Artikel 88 der DSGVO, der spezifischere Regeln im Arbeitskontext erlaubt, senke keineswegs die Schutzstandards. Ob für eine neue HR-Software wie Workday oder ein KI-gestütztes Analyse-Tool – jede einzelne Regelung muss jetzt eigenständig DSGVO-konform sein. Die bloße Zustimmung des Betriebsrats reicht als Legitimation nicht mehr aus.

Volle gerichtliche Kontrolle eingeführt

Ein entscheidender Wandel betrifft die richterliche Prüfung. Arbeitsgerichte können Betriebsvereinbarungen nun vollumfänglich auf ihre DSGVO-Konformität überprüfen. Die früher geachtete „Verhandlungsspielraum“ der Sozialpartner zählt im Datenschutz nicht mehr.

„Das Argument, eine Maßnahme sei notwendig, weil der Betriebsrat zugestimmt hat, zieht vor Gericht nicht“, warnt ein Arbeitsrechtler. Die Konsequenz für Unternehmen: Wird eine Vereinbarung für ungültig erklärt, ist die darauf basierende Datenverarbeitung rechtswidrig. Das eröffnet den Weg zu Schadensersatzklagen nach Artikel 82 DSGVO. Juristen raten daher, Betriebsratsverhandlungen mit derselben Datenschutz-Strenge zu führen wie Verträge mit externen Dienstleistern.

Folgen für KI und IT-Projekte

Die praktischen Auswirkungen sind bereits spürbar. Bei der Einführung von Künstlicher Intelligenz und Cloud-basierten HR-Systemen prallen operative Effizienz und Datenschutz nun härter aufeinander.

Der als „Workday“-Fall bekannt gewordene Rechtsstreit dient als Warnung. Dabei ging es um die Übermittlung umfangreicher Mitarbeiterdaten – inklusive privater Kontaktdaten und Steuer-IDs – an Server einer Muttergesellschaft. Künftig reicht der bloße Nutzen einer zentralen Datenbank nicht aus, wenn die übermittelten Informationen nicht strikt für das Arbeitsverhältnis erforderlich sind.

Mit dem beginnenden Wirken des EU-KI-Gesetzes 2026 wird diese Schnittstelle noch brisanter. Betriebsräte werden bei algorithmischer Personalführung detaillierte Auskünfte zu Daten-Eingaben und -Ergebnissen verlangen – gestärkt durch das Wissen, dass ihre Unterschrift nicht vor DSGVO-Verstößen schützt.

Ausblick: Renegotiations-Welle erwartet

Experten rechnen 2026 mit einer Welle von Neuverhandlungen. „Altvereinbarungen“, die vor der jüngsten Rechtsprechung entstanden, sind rechtlich angreifbar. Unternehmensjuristen sollten umgehend alle kollektiven Regelungen prüfen, besonders bei Datenübermittlungen in Drittstaaten oder automatisierten Entscheidungen.

Die anstehenden Betriebsratswahlen im Frühjahr 2026 dürften den Datenschutz zum zentralen Wahlkampfthema machen. In einem Rechtsumfeld, das maximale Privatsphäre der Beschäftigten betont, werden Betriebsräte in Verhandlungen selbstbewusster auftreten. Für Arbeitgeber bleibt eine klare Botschaft: DSGVO-Compliance ist nicht verhandelbar – und die Unterschrift des Betriebsrats ist kein Freifahrtschein mehr.

PS: Die EU‑KI‑Verordnung bringt konkrete Fristen, Klassifizierungen und Dokumentationspflichten für KI‑Systeme in der Personalverwaltung — viele Übergangsfristen laufen bald ab. Dieser kostenlose Umsetzungsleitfaden zeigt praxisnah, welche Nachweise Betriebsräte und Arbeitgeber jetzt brauchen, wie Sie KI‑Systeme richtig klassifizieren und welche Sofortmaßnahmen Sie umsetzen sollten, um Bußgelder und Rechtsstreitigkeiten zu vermeiden. Jetzt kostenlosen AI‑Act‑Leitfaden sichern