Datenschutz bei Kündigungen: Neue Regeln für deutsche Unternehmen

Die europäischen Regulierungsrahmen durchlaufen im Frühjahr 2026 einen grundlegenden Wandel – und der Datenschutz am Arbeitsplatz steht im Zentrum. Die Offenlegung von Kündigungsgründen, oft das Ergebnis komplexer interner Untersuchungen, erfordert eine heikle Balance zwischen dem Auskunftsrecht des Arbeitnehmers und dem Schutzbedürfnis des Unternehmens.

Aktuelle Gerichtsurteile und die bevorstehende Vollanwendung des EU AI Act im August 2026 haben die Grenzen dessen präzisiert, welche Informationen im Kündigungsprozess preisgegeben werden müssen und wie diese Daten zu schützen sind. Von der Pflicht zur verschlüsselten Kommunikation bis zu den Grenzen der Auskunftsrechte nach der DSGVO: Arbeitgeber navigieren durch ein zunehmend streitanfälliges Umfeld, in dem technische Fehler oder übermäßige Offenlegung zu erheblichen Geldbußen und Haftungsrisiken führen können.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. Compliance-Leitfaden zum EU AI Act kostenlos herunterladen

Die Grenzen der Akteneinsicht: Compliance-Berichte und Art. 15 DSGVO

Ein wegweisendes Urteil des Landesarbeitsgerichts (LAG) München vom 12. Juni 2025 hat die Spielregeln für interne Untersuchungen neu definiert. Das Gericht entschied, dass Arbeitnehmer zwar nach Art. 15 Abs. 3 DSGVO Anspruch auf eine Kopie ihrer personenbezogenen Daten haben – dies aber nicht bedeutet, dass sie einen vollständigen Compliance-Bericht erhalten dürfen.

Arbeitgeber müssen lediglich die konkreten personenbezogenen Daten aus solchen Dokumenten herausgeben. Diese Unterscheidung ist für Unternehmen von enormer Bedeutung: Sie schützt interne Prozesse, die Identität von Whistleblowern und rechtliche Strategien.

Das Recht auf Einsicht in die Personalakte bleibt zudem auf die endgültigen Fassungen von Dokumenten beschränkt – nicht auf vorläufige Entwürfe oder interne Beratungsnotizen. Für Unternehmen mit mehr als 50 Beschäftigten ist die Einrichtung interner Meldestellen nach dem Hinweisgeberschutzgesetz ohnehin Pflicht, was die Datenverarbeitung beim Übergang von einer Untersuchung zur Kündigung zusätzlich verkompliziert.

Kommunikationssicherheit: Wenn E-Mails in die falschen Hände geraten

Auch die technische Art und Weise, wie Kündigungsgründe übermittelt werden, steht zunehmend im Fokus der Aufsichtsbehörden. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stellte in seinem Tätigkeitsbericht 2025 klar: Die Transportverschlüsselung von E-Mails ist eine grundlegende Anforderung nach Art. 32 DSGVO.

Bei risikobehafteten Daten – etwa den konkreten Kündigungsgründen, die sensible Verhaltens- oder Gesundheitsinformationen enthalten können – ist oft eine Inhaltsverschlüsselung erforderlich, um dem Standard „angemessener technischer und organisatorischer Maßnahmen“ zu genügen.

Das BayLDA betonte: Eine pauschale Einwilligung des Arbeitnehmers zum Empfang unverschlüsselter E-Mails reicht nicht aus, um die Verantwortung des Arbeitgebers für die sichere Übermittlung aufzuheben. Besonders kritisch für Personalabteilungen: die Klassifikation einer „falsch adressierten E-Mail“. Enthält eine Nachricht Kündigungsgründe und erreicht den falschen Empfänger, handelt es sich um eine meldepflichtige Datenschutzverletzung.

Die finanziellen Konsequenzen solcher Verstöße verdeutlicht ein Urteil des Oberlandesgerichts (OLG) Celle vom 18. Dezember 2025. Das Gericht erhöhte ein DSGVO-Bußgeld von 700.000 auf 900.000 Euro in einem Fall von Videoüberwachung – und stellte klar, dass der weltweite Jahresumsatz eines Unternehmens der entscheidende Faktor für die Strafzumessung ist. Dieses Prinzip gilt für alle schwerwiegenden Datenschutzverstöße, auch im Arbeitsrecht. Die Höchststrafe: bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro.

Künstliche Intelligenz: Wenn Algorithmen kündigen

Der Einsatz algorithmischer Werkzeuge in Personalprozessen hat die rechtlichen Transparenzanforderungen massiv erweitert. Der EU AI Act, der am 2. August 2026 in vollem Umfang gilt, führt strenge Regeln für Hochrisiko-KI-Systeme ein – darunter fallen viele Tools für Recruiting und Kündigungen.

Nach Art. 22 DSGVO sind vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf Einzelpersonen – etwa eine rein algorithmisch getroffene Kündigung – grundsätzlich verboten, es sei denn, bestimmte Ausnahmen greifen. Sowohl die DSGVO als auch der neue AI Act schreiben eine wirksame menschliche Aufsicht vor. Der Europäische Datenschutzbeauftragte definiert diese als aktive Beteiligung, bei der ein Mensch die tatsächliche Befugnis hat, eine maschinell getroffene Entscheidung zu korrigieren oder aufzuheben.

Sind Kündigungsgründe mit automatisierten Bewertungen verknüpft, verlangen Art. 13 und 14 DSGVO vom Arbeitgeber „aussagekräftige Informationen“ über die zugrundeliegende Logik. Dies spiegelt die jüngsten Anforderungen des Europäischen Gerichtshofs (EuGH) zur Kreditwürdigkeitsprüfung wider: Die Logik hinter einer negativen Bewertung muss erklärbar sein. Für Arbeitgeber bedeutet das: Jede KI-gestützte Leistungsbeurteilung, die zu einer Kündigung führt, muss transparent und nachvollziehbar sein – sonst riskiert das Unternehmen, die Kündigung vor Gericht nicht rechtfertigen zu können.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. Gratis Umsetzungsleitfaden zum EU AI Act anfordern

Reformstau: Das „Digital Omnibus“-Paket und NIS-2

Die regulatorische Landschaft bewegt sich auf eine stärkere Integration zu. Das „Digital Omnibus“-Reformpaket, vorgeschlagen am 19. November 2025, zielt darauf ab, die DSGVO mit dem Data Act und dem AI Act zu harmonisieren. Eine der vorgeschlagenen Änderungen: die Verlängerung der Meldefrist für Datenschutzverletzungen von 72 auf 96 Stunden. Das könnte Personal- und Rechtsabteilungen mehr Zeit verschaffen, um die Auswirkungen eines Verstoßes mit sensiblen Mitarbeiterdaten zu bewerten.

Parallel dazu belastet die Umsetzung der NIS-2-Richtlinie, die in Deutschland seit dem 6. Dezember 2025 in Kraft ist, rund 30.000 Unternehmen. NIS-2 behandelt IT-Sicherheit als unternehmerische Kernpflicht. Bei schwerwiegender Fahrlässigkeit im Bereich der Datensicherheit – einschließlich der Sicherheit von Personalakten mit Kündigungsunterlagen – können Geschäftsführer persönlich haftbar gemacht werden. Diese „Innenhaftung“ stellt sicher, dass Datenschutz nicht länger nur Aufgabe des Datenschutzbeauftragten ist, sondern zur Chefsache wird.

Analyse: Beweislast und das „Recht auf Vergessenwerden“

Branchenbeobachter stellen fest, dass die Komplexität des Beschäftigungsdatenschutzes zu einem sprunghaften Anstieg der Aktivitäten von Aufsichtsbehörden geführt hat. In Österreich verzeichnete die Datenschutzbehörde (DSB) für 2024 rund 5.300 Beschwerden – eine Verdoppelung innerhalb von zwei Jahren. Dieser Trend wird unter anderem durch KI-generierte Vorlagen befeuert, mit denen Arbeitnehmer in Rechtsstreitigkeiten detaillierte DSGVO-Auskunftsersuchen stellen.

Ein zentraler Streitpunkt im Jahr 2026 bleibt das „Recht auf Vergessenwerden“ versus die Pflicht des Arbeitgebers zur Aufbewahrung von Unterlagen für die rechtliche Verteidigung. Während Betroffene zunehmend Werkzeuge nutzen, um die Löschung ihrer Daten zu verlangen – in Kalifornien etwa nutzten over 280.000 Menschen im Frühjahr 2026 entsprechende Tools – müssen Arbeitgeber sorgfältig abwägen, welche Kündigungsunterlagen für laufende Verfahren erforderlich sind und welche gelöscht werden müssen, um nicht gegen die DSGVO zu verstoßen.

Der Europäische Datenschutzausschuss (EDSA) hat versucht, diese Prozesse zu vereinfachen: Am 14. April 2026 startete er eine öffentliche Konsultation für eine harmonisierte Vorlage für Datenschutz-Folgenabschätzungen (DPIA). Ziel ist ein einheitlicher Standard in allen EU-Mitgliedstaaten, der die Compliance für multinationale Unternehmen bei der Abwicklung von Mitarbeiteraustritten über verschiedene Rechtsordnungen hinweg vereinfachen würde.

Ausblick: Was auf Unternehmen zukommt

Mit der Deadline des 2. August 2026 für den AI Act rückt die Zeit für umfassende Audits der Personalsoftware immer näher. Wer die neuen Regeln für Hochrisiko-KI nicht einhält, riskiert Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes bei den schwerwiegendsten Verstößen.

Hinzu kommt der Cyber Resilience Act (CRA), der ab dem 11. September 2026 neue Meldepflichten für Hersteller digitaler Produkte einführt. Für Unternehmen bedeutet das: Die Software, mit der sie Mitarbeiterdaten und Kündigungsprozesse verwalten, muss während ihres gesamten Lebenszyklus höheren Sicherheitsstandards genügen.

Der aktuelle Trend zeigt: Die „erzieherische Phase“ des Datenschutzrechts ist vorbei. Eine Ära der rigorosen Durchsetzung hat begonnen. Für Personalabteilungen heißt das: Weg von informeller Kommunikation, hin zu streng dokumentierten, verschlüsselten und menschlich überprüften Prozessen beim sensiblen Abschluss eines Arbeitsverhältnisses. Ein Urteil des Europäischen Gerichtshofs vom 19. März 2026 bringt zwar eine gewisse Entlastung: Schadensersatzansprüche nach der DSGVO setzen nun den Nachweis eines tatsächlichen Schadens voraus. Doch die verfahrensrechtlichen Anforderungen an den Schutz von Mitarbeiterdaten bleiben so hoch wie nie zuvor.

de | boerse | 69252867 |