Ampel-Aus bremst Beschäftigtendatenschutz aus

Das Ende der Ampel-Koalition hat unmittelbare Folgen für den Datenschutz am Arbeitsplatz. Bundesbeauftragte Louisa Specht-Riemenschneider warnt: Das geplante Beschäftigtendatengesetz liegt auf Eis – doch die EU-Vorgaben bleiben verbindlich.

Während in Berlin das politische Chaos herrscht, tickt in Brüssel die Uhr. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) machte gestern deutlich: Unternehmen können nicht länger auf klare nationale Regeln warten. Stattdessen müssen sie ihre Mitarbeitenden jetzt auf Basis der DSGVO und der anstehenden KI-Verordnung schulen.

Kann man Datenschutz-Compliance überhaupt planen, wenn die Politik im Stillstand verharrt? Die Antwort lautet: Man muss – notfalls ohne den Gesetzgeber.

Am 2. Februar 2025 greift die KI-Kompetenzpflicht der EU-KI-Verordnung — sind Ihre Mitarbeitenden bereit? Viele Unternehmen unterschätzen die Anforderungen an Risikoklassifizierung, Kennzeichnung und Dokumentation und laufen Gefahr, Prüfungen oder Sanktionen nicht standzuhalten. Der kostenlose Umsetzungsleitfaden zur KI-Verordnung erklärt praxisnah, welche Schritte Datenschutzbeauftragte, HR und IT jetzt sofort umsetzen sollten, inklusive Checklisten für Schulungsinhalte und Vorlagen zur Dokumentation. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Beschäftigtendatengesetz: Vom Hoffnungsträger zum Phantom

Über ein Jahr lang bereiteten sich Compliance-Verantwortliche auf das Beschäftigtendatengesetz vor. Der Entwurf sollte endlich Klarheit schaffen: Wie dürfen Arbeitgeber ihre Beschäftigten überwachen? Welche KI-Systeme sind am Arbeitsplatz zulässig? Wie sind Bewerberdaten zu behandeln?

Doch mit dem Ampel-Aus ist dieses Vorhaben faktisch gescheitert. Specht-Riemenschneider stellte klar, dass Unternehmen sich nicht mehr auf künftige Regelungen verlassen sollten. Die neue Realität: Zurück zur DSGVO-Grundlage und zur aktuellen Arbeitsrechtsprechung.

„Wir bewegen uns in einer Grauzone”, fasst die BfDI die Lage zusammen. Für Datenschutzbeauftragte bedeutet das konkret: Schulungen müssen sich auf etablierte Rechtsprechung stützen statt auf Gesetzentwürfe, die womöglich nie Realität werden.

Das dürfte besonders für mittelständische Unternehmen zur Herausforderung werden, die bereits Budget und Ressourcen für die Umsetzung des Beschäftigtendatengesetzes eingeplant hatten.

KI-Kompetenz bis Februar 2025: Die Zeit wird knapp

Während nationale Gesetzgebung stillsteht, preschen die EU-Vorgaben vor. Am 2. Februar 2025 greift die KI-Kompetenzpflicht aus Artikel 4 der KI-Verordnung. Weniger als drei Monate bleiben deutschen Unternehmen noch, um ihre Belegschaften „KI-literat” zu machen.

Das betrifft längst nicht nur IT-Abteilungen. Jeder Mitarbeitende muss künftig verstehen, was ein KI-System im Sinne der EU-Definition ist und welche Praktiken verboten sind. Konkret geht es um:

Emotionserkennung in der Personalabteilung? Tabu. Unkontrollierte biometrische Kategorisierung? Verboten. Kundendaten in ChatGPT eingeben? DSGVO-Verstoß.

Gerade der letzte Punkt wird durch das Fehlen des Beschäftigtendatengesetzes brisant. Ohne klare nationale Regelungen sind interne Unternehmensrichtlinien der einzige Schutzwall. Datenschutzexperten betonen: Wer personenbezogene Daten in öffentliche KI-Modelle wie ChatGPT oder Copilot einspeist, verstößt gegen geltendes Recht – Gesetz hin oder her.

Transatlantische Unsicherheit verschärft sich

Als wäre die Lage nicht komplex genug, kommt nun auch noch der „Trump-Faktor” ins Spiel. Nach dem Wahlausgang in den USA mehren sich die Zweifel an der Stabilität des EU-US Data Privacy Framework.

Specht-Riemenschneider deutete bereits an, dass eine neue US-Regierung das aktuelle Angemessenheitsbeschluss-Konstrukt ins Wanken bringen könnte. Für Unternehmen bedeutet das: Ein Schulungsthema, das viele bereits ad acta gelegt hatten, ist plötzlich wieder hochaktuell.

Mitarbeitende, die US-Cloud-Dienste wie Slack, Salesforce oder Microsoft 365 nutzen, müssen erneut für die Fragilität dieser Rechtsgrundlagen sensibilisiert werden. Die Devise lautet jetzt:

Datensparsamkeit: So wenige personenbezogene Daten wie möglich auf US-Servern speichern. Verschlüsselung: Nicht mehr optional, sondern zwingend erforderlich – besonders angesichts möglicherweise verschärfter US-Überwachungspraktiken.

Kein Wunder also, dass Compliance-Verantwortliche das Thema internationale Datentransfers wieder ganz oben auf ihre Schulungsagenda setzen.

Smart Meter: Technische Daten sind personenbezogen

Zeitgleich veröffentlichte die BfDI gestern ein Positionspapier zu intelligenten Stromzählern. Auch wenn das Papier primär Energie- und Wohnungswirtschaft betrifft, zeigt es einen wichtigen Trend: Die Granularität der Datenerfassung nimmt zu – und damit die Anforderungen an den Datenschutz.

Facility-Manager, Wohnungsbaugesellschaften und Energieversorger müssen ihre Mitarbeitenden nun schulen: Detaillierte Verbrauchsdaten (etwa in 15-Minuten-Intervallen) sind personenbezogene Daten. Ihre Verarbeitung und Weitergabe erfordern klare Rechtsgrundlagen.

Die Botschaft ist eindeutig: „Technische Daten” sind keineswegs neutral oder anonym. Mitarbeitende müssen lernen, diese Daten als das zu behandeln, was sie sind – hochsensible Informationen über individuelle Verhaltensweisen.

Die Compliance-Lücke klafft

Branchenbeobachter sprechen bereits von einer „Compliance Gap”. Unternehmen, die ihre Schulungsprogramme in Erwartung des Beschäftigtendatengesetzes zurückgestellt hatten, hinken nun bei der KI-Kompetenz hinterher.

„Das Warten ist vorbei”, erklärt ein Compliance-Stratege aus München. „Wir raten unseren Mandanten, ihre 2025er-Schulungsmodule sofort zu starten – mit Schwerpunkt auf KI-Kompetenz und DSGVO-Grundlagen, statt auf ein deutsches Gesetz zu warten, das vielleicht nie kommt.”

Die Realität ist ernüchternd: Während andere EU-Staaten bereits konkrete Umsetzungshilfen für die KI-Verordnung erarbeiten, diskutiert Deutschland noch über Koalitionsoptionen.

Wendigkeit statt Warteschleife

Der Europäische Datenschutzausschuss wird in den kommenden Wochen weitere Leitlinien zum Zusammenspiel von KI-Verordnung und DSGVO veröffentlichen. Die BfDI signalisierte trotz des politischen Stillstands in Berlin: Ihr Amt wird bestehende Standards konsequent durchsetzen – besonders bei Mitarbeiterüberwachung und KI-Transparenz.

Für Datenschutzbeauftragte ergibt sich aus den Entwicklungen dieser Woche eine klare Erkenntnis: Agilität ist die neue Compliance. Schulungsprogramme können nicht länger statische Jahresveranstaltungen sein. Sie müssen in Echtzeit auf die sich wandelnde Regulierungslandschaft reagieren.

Die politische Unsicherheit in Berlin mag Gesetzgebungsprojekte lahmlegen – die Pflicht zur rechtssicheren Datenverarbeitung bleibt davon unberührt. Unternehmen, die jetzt nicht handeln, riskieren nicht nur Bußgelder, sondern auch den Anschluss an europäische Standards.

Das Ampel-Aus hat eine paradoxe Situation geschaffen: Während nationale Klarheit fehlt, werden EU-Vorgaben umso drängender. Wer darauf wartet, dass Berlin die Richtung vorgibt, könnte lange warten – zu lange.

PS: Die EU-KI-Verordnung verlangt jetzt klare Risikoklassen, Nachweisdokumente und nachweisbare Schulungen — Fehler können teuer werden. Der kostenlose Leitfaden zur KI-Verordnung erklärt praxisorientiert, wie Sie KI-Systeme korrekt klassifizieren, welche Dokumente Prüfer erwarten und welche Schulungsinhalte Pflicht werden. Ideal für Datenschutzbeauftragte, Entwickler und Compliance-Teams, die Rechtsrisiken schnell minimieren wollen. Kostenlosen Leitfaden zur KI-Verordnung sichern