Betriebsrat und Datenschutz: Gerichte ziehen die Schrauben an

Das Landesarbeitsgericht (LAG) Köln hat nun klargestellt: Auch bestehende Betriebsvereinbarungen heben grundlegende Datenschutzprinzipien nicht auf.

In einem richtungsweisenden Urteil vom 20. April 2026 wies das Gericht den Antrag eines Gesamtbetriebsrats auf dauerhaften, uneingeschränkten elektronischen Zugriff auf die Arbeitszeitdaten aller Beschäftigten ab. Der Betriebsrat habe keine spezifische Zuständigkeit für eine derart umfassende Überwachungsmöglichkeit, so die Richter. Zudem verstoße ein solches Vorhaben gegen geltende Datenschutzbestimmungen.

Viele Betriebsräte scheitern bei Betriebsvereinbarungen, weil sie rechtliche Details zur Datennutzung unterschätzen. Dieser kostenlose Leitfaden zeigt, wie Sie Vereinbarungen rechtssicher aufsetzen und erfolgreich durchsetzen. Kostenlose Muster-Betriebsvereinbarung herunterladen

Das Urteil reiht sich ein in eine Serie von Entscheidungen, die die traditionell weitreichenden Informationsrechte von Arbeitnehmervertretern zunehmend an der Datenschutz-Grundverordnung (DSGVO) messen.

Grenzen der Dauerüberwachung

Das Kölner Urteil klärt einen zentralen Streitpunkt der digitalen Arbeitswelt: Wie weit dürfen Betriebsräte bei der Echtzeit-Überwachung von Mitarbeitern gehen? Zwar haben Arbeitnehmervertreter ein legitimes Informationsrecht, um die Einhaltung von Tarifverträgen und Arbeitsgesetzen zu prüfen. Doch ein „dauerhaftes elektronisches Zugriffsrecht“ stelle einen übermäßigen Eingriff dar, befand das Gericht.

Selbst wenn eine Betriebsvereinbarung existiert, erteile diese keinen Freibrief für die Datenverarbeitung, solange die Notwendigkeit des Zugriffs nicht klar definiert und begrenzt ist. Diese Entwicklung folgt auf mehrere Urteile, die den Handlungsspielraum von Betriebsräten bei sensiblen Daten eingeschränkt haben. Bereits am 10. April 2026 hatte die Rechtsprechung die Grenzen für Vergütungsanpassungen von Betriebsratsmitgliedern verschärft.

Das „Workday“-Urteil und der Vorrang der DSGVO

Die aktuelle Rechtslage steht maßgeblich unter dem Einfluss des bahnbrechenden „Workday“-Urteils des Europäischen Gerichtshofs (EuGH) vom 19. Dezember 2024. Darin stellten die Luxemburger Richter klar: Betriebsvereinbarungen sind nicht von den Kernanforderungen der DSGVO ausgenommen.

Rechtsexperten, die die Auswirkungen des EuGH-Urteils in den Jahren 2025 und 2026 beobachtet haben, stellen fest: Jede kollektive Vereinbarung zur Verarbeitung von Mitarbeiterdaten muss nun einen höheren Maßstab an „Notwendigkeit“ und „Verhältnismäßigkeit“ erfüllen. Der EuGH betonte, dass Artikel 88 DSGVO, der spezifischere Regelungen im Beschäftigungskontext erlaubt, nicht dazu genutzt werden darf, das Schutzniveau zu senken.

Die Folge: Viele Unternehmen und Betriebsräte haben das vergangene Jahr damit verbracht, bestehende Vereinbarungen zu überprüfen. Der EuGH wies ausdrücklich die Idee zurück, dass Betriebsräte und Arbeitgeber einen breiten „Ermessensspielraum“ hätten, der einer umfassenden gerichtlichen Überprüfung entzogen sei. Stattdessen muss jeder durch eine Betriebsvereinbarung autorisierte Datenverarbeitungsvorgang einer detaillierten Prüfung durch Aufsichtsbehörden oder Arbeitsgerichte standhalten.

Persönliche Haftung und Amtsverlust

Die Risiken für einzelne Betriebsratsmitglieder sind ebenfalls gestiegen. Ein Fall aus dem Jahr 2025 dient als abschreckendes Beispiel: Das LAG Frankfurt am Main entschied am 10. März 2025, dass ein Betriebsratsvorsitzender sein Amt verlieren kann, wenn er eine komplette Gehaltsliste an seine private E-Mail-Adresse weiterleitet.

Das Gericht wertete diesen „Workaround“ – selbst wenn er der Bequemlichkeit des Homeoffice diente – als grobe Pflichtverletzung. Da der Betriebsrat mit sensiblen personenbezogenen Daten umgeht, müssen seine Mitglieder strikt die sichere IT-Infrastruktur des Arbeitgebers nutzen. Die Übertragung unverschlüsselter Gehaltsdaten in eine private Umgebung verstoße gegen die Grundsätze der Transparenz und Datenminimierung, was zum sofortigen Amtsverlust führte.

Dieser Fall verdeutlicht die doppelte Verantwortung nach § 79a Betriebsverfassungsgesetz (BetrVG). Während der Arbeitgeber rechtlich als „Verantwortlicher“ für die Datenverarbeitung des Betriebsrats gilt, ist das Gremium selbst zur Einhaltung aller Datenschutzvorschriften verpflichtet. Diese Konstruktion schafft eine paradoxe Situation: Der Arbeitgeber haftet für Bußgelder, während das einzelne Betriebsratsmitglied den Verlust seines Mandats oder sogar arbeitsrechtliche Sanktionen riskiert.

Organisatorische Trennung und der Datenschutzbeauftragter

Ein weiterer Pfeiler der Compliance im Jahr 2026 ist die strikte Trennung zwischen Betriebsrat und Datenschutzbeauftragtem (DSB). Das Bundesarbeitsgericht (BAG) hatte bereits am 6. Juni 2023 entschieden, dass die Ämter des Betriebsratsvorsitzenden und des DSB grundsätzlich unvereinbar sind.

Die Begründung: Die Aufgaben eines DSB – die Überwachung der Rechtmäßigkeit der Datenverarbeitung – stehen im Konflikt mit den Pflichten eines Betriebsratsvorsitzenden, der oft auf die Verarbeitung von Daten zur Ausübung von Mitbestimmungsrechten drängt. Diese Unvereinbarkeit hat dazu geführt, dass selbst einfache Betriebsratsmitglieder in der Regel davon absehen, als DSB zu fungieren, um Interessenkonflikte zu vermeiden.

In den letzten Monaten hat sich der Fokus auf die „Verschwiegenheitspflicht“ nach § 79a BetrVG verlagert. DSB sind nun gesetzlich verpflichtet, über Informationen zu schweigen, die die internen Entscheidungsprozesse des Betriebsrats offenlegen könnten. Dies stellt sicher, dass die Unabhängigkeit der demokratischen Funktion des Betriebsrats gewahrt bleibt, während der Arbeitgeber der „Verantwortliche“ bleibt.

Analyse: Spannungsfeld zwischen Mitbestimmung und Privatsphäre

Die aktuelle Rechtslage spiegelt ein anhaltendes Spannungsfeld zwischen dem Kontrollauftrag des Betriebsrats und dem Recht des Einzelnen auf informationelle Selbstbestimmung wider. Die Einführung des § 79a BetrVG im Jahr 2021 sollte Klarheit schaffen, doch die Urteile des Jahres 2026 zeigen: Die praktische Anwendung bleibt komplex.

Beobachter stellen fest, dass das Modell „Arbeitgeber als Verantwortlicher“ eine paradoxe Situation schafft: Der Arbeitgeber ist für die rechtliche Compliance eines Gremiums verantwortlich, das gerade dazu da ist, unabhängig von seinen Weisungen zu sein. Um dieses Risiko zu mindern, haben viele Unternehmen sogenannte „Datenschutzvereinbarungen“ zwischen Geschäftsführung und Betriebsrat eingeführt. Diese internen Protokolle, deren Verbreitung Ende 2025 zunahm, definieren technische und organisatorische Maßnahmen wie Zugriffsprotokolle und Löschkonzepte.

Der rechtssichere Umgang mit dem Betriebsverfassungsgesetz ist das Fundament jeder Gremienarbeit. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre Mitbestimmungsrechte nach § 87 BetrVG – von der Arbeitszeit bis zur Lohngestaltung – gezielt und gesetzeskonform durchsetzen. Gratis E-Book zum Betriebsverfassungsgesetz sichern

Ausblick: Künstliche Intelligenz als nächste Herausforderung

Mit dem weiteren Vordringen von Künstlicher Intelligenz (KI) in der Arbeitswelt zeichnet sich die nächste große Herausforderung für den Betriebsrats-Datenschutz ab. Die Datenschutzkonferenz (DSK) hat im Juni 2025 aktualisierte Leitlinien zu KI-Systemen veröffentlicht, die seither als Maßstab für Betriebsräte bei Verhandlungen über algorithmisches Management und automatisierte Überwachung dienen.

Künftige Rechtsstreitigkeiten werden sich voraussichtlich um „Machine Unlearning“ und das Recht der Beschäftigten drehen, ihre Daten aus KI-Trainingsdatensätzen entfernen zu lassen. Betriebsräte stehen vor der schwierigen Aufgabe, diese komplexen Systeme zu überwachen, ohne genau jene Datenschutzprinzipien zu verletzen, die die Gerichte zuletzt so deutlich bekräftigt haben. Die Botschaft der Justiz ist jedenfalls klar: Digitale Bequemlichkeit und institutionelle Rechte müssen stets dem grundlegenden Recht des einzelnen Mitarbeiters auf Kontrolle seiner personenbezogenen Daten weichen.

de | wirtschaft | 69266062 |