Betriebsvereinbarungen 2026: Der Kampf gegen „Schatten-KI“ beginnt

Deutsche Unternehmen müssen ihre Internet-Regeln bis Februar grundlegend überarbeiten – sonst drohen hohe Strafen durch die neue EU-KI-Verordnung.

Während die Betriebe in das neue Jahr starten, steht die Regulierung der privaten Internetnutzung am Arbeitsplatz vor der größten Veränderung seit zehn Jahren. Die nächste Stufe der EU-KI-Verordnung tritt im Februar 2026 in Kraft. Gleichzeitig zwingen etablierte Datenschutzvorgaben (DSGVO) und neue Gerichtsurteile Arbeitgeber und Betriebsräte dazu, veraltete Betriebsvereinbarungen dringend anzupassen. Die Zeit des stillschweigenden Duldens ist vorbei.

2026: Mehr als nur „privates Surfen“

Die Debatte hat sich gewandelt. Es geht nicht mehr nur um die Frage, ob private Internetnutzung erlaubt oder verboten ist. Heute steht die Einhaltung komplexer Vorschriften im Vordergrund – mit Fokus auf „Schatten-KI“ und verschärfter Haftung.

Rechtsexperten warnen: Die informelle Duldung privater Nutzung (betriebliche Übung) wird immer riskanter. Spätestens mit der nächsten Implementierungsphase der EU-KI-Verordnung im Februar 2026 haben Unternehmen ohne explizite Regeln für generative KI-Tools im Firmennetz eine gefährliche Compliance-Lücke. Die Ära der „Laissez-faire“-Internetpolitik ist endgültig vorbei.

Passend zum Thema EU-KI-Verordnung: Viele Unternehmen unterschätzen die praktischen Umsetzungspflichten und die nahenden Fristen (Februar/August 2026). Unser kostenloser Umsetzungsleitfaden erklärt verständlich Risikoklassen, Dokumentationspflichten, Transparenzanforderungen und erste Schritte für Arbeitgeber, Betriebsräte und Datenschutzbeauftragte – inklusive konkreter Checklisten für Betriebsvereinbarungen. So vermeiden Sie Compliance-Lücken und bereiten Mitbestimmungsverfahren fundiert vor. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Die Haftungsfalle: Vom Anbieter- zum Datenschutz-Risiko

Jahrelang fürchteten Arbeitgeber die „Provider-Falle“: Durften Mitarbeiter privat surfen, konnte der Arbeitgeber rechtlich als Telekommunikationsanbieter gelten – mit strengen Geheimhaltungspflichten. Diese Sichtweise hat sich gedreht.

Das bedeutet für 2026:
* Geringeres Geheimnis-Risiko: Arbeitgeber laufen weniger Gefahr, sich nach § 206 StGB strafbar zu machen, wenn sie ihre eigenen Systeme überwachen – sofern eine DSGVO-konforme Rechtsgrundlage besteht.
* Datenschutz steht im Fokus: Im Zentrum stehen nun die strengen Transparenz- und Rechtsgrundlagen-Anforderungen von Artikel 88 DSGVO. Betriebsvereinbarungen müssen diese erfüllen, nicht nur Schweigepflichten ausschließen.

Die „Schatten-KI“-Herausforderung: Countdown bis Februar

Das dringendste Thema für Betriebsräte ist die Integration von KI-Nutzung in die Internetrichtlinien. Die EU-KI-Verordnung nähert sich ihrer nächsten kritischen Deadline.

Im Februar 2026 wird die EU-Kommission detaillierte Leitlinien zur Umsetzung von Artikel 6 veröffentlichen, der die Marktüberwachung hochriskanter KI-Systeme betrifft. Das hat direkte Auswirkungen:

• Unregulierte Nutzung: Mitarbeiter, die über private Accounts Tools wie ChatGPT nutzen („Schatten-KI“), könnten das Unternehmen unbeabsichtigt Datenlecks oder Urheberrechtsverletzungen aussetzen.
• Mitbestimmungspflicht: Die Einführung oder Regulierung solcher Tools unterliegt der Mitbestimmung nach § 87 BetrVG. Eine moderne Betriebsvereinbarung muss klar definieren, ob „private Internetnutzung“ auch cloudbasierte KI-Dienste umfasst.
• Sechs-Monats-Frist: Da die Regeln für Hochrisiko-KI-Systeme am 2. August 2026 vollständig gelten, haben Unternehmen ein halbes Jahr Zeit, ihre Nutzungsmuster zu prüfen und „KI-taugliche“ Governance-Strukturen zu schaffen.

EuGH-Urteil C-65/23: Der Maßstab der strengen Prüfung

Verhandlungen über neue Betriebsvereinbarungen werden 2026 stark vom EuGH-Urteil C-65/23 (Dezember 2024) beeinflusst. Das Urteil machte klar: Eine Betriebsvereinbarung ist kein Freibrief für die Datenverarbeitung.

Es etablierte zwei Grundsätze:
1. Keine automatische Legitimität: Eine Vereinbarung allein legalisiert keine Datenverarbeitung, wenn sie gegen DSGVO-Prinzipien wie Verhältnismäßigkeit spricht.
2. Volle gerichtliche Überprüfung: Betriebsvereinbarungen unterliegen einer vollständigen Überprüfung auf DSGVO-Konformität.

Für 2026 heißt das: Klauseln, die „stichprobenartige Kontrollen“ oder „umfassende Überwachung“ des privaten Datenverkehrs erlauben, sind höchst anfällig für Klagen – es sei denn, sie sind eng definiert und strikt notwendig.

Vom „sauberen Schreibtisch“ zur „sauberen Cloud“

Die Herausforderungen haben sich grundlegend gewandelt. „Vor zehn Jahren ging es darum, ob Mitarbeiter in der Arbeitszeit bei Amazon shoppen“, sagt ein Rechtsanalyst einer Berliner Kanzlei. „2026 geht es darum, dass ein Mitarbeiter proprietären Code über einen privaten Browser-Tab an ein öffentliches KI-Modell sendet.“

Dieser Wandel erfordert einen Strategiewechsel: weg von oft wirkungslosen Blockaden, hin zu Governance und Schulung. Moderne Betriebsvereinbarungen 2026 verbieten nicht einfach Facebook. Sie trennen Datenströme.

Progressivere Vereinbarungen beinhalten oft:
* Split-Tunneling-Richtlinien: Eine klare Trennung von professionellem (überwachtem/gesichertem) und privatem (unüberwachtem, aber auf sichere Domains beschränktem) Datenverkehr.
* KI-Whitelists: Explizite Listen genehmigter KI-Tools bei gleichzeitigem Verbot privater Accounts für Arbeitsaufgaben.

Ausblick: Der Countdown zum 2. August läuft

Für den Rest des Jahres 2026 sollten sich Unternehmen auf die Deadline am 2. August vorbereiten. Dann gelten die vollen Pflichten der KI-Verordnung für Hochrisiko-Systeme. Betriebsräte werden voraussichtlich „KI-Folgenabschätzungen“ als Teil jeder Verhandlung fordern.

Zudem könnte das Bundesarbeitsgericht (BAG) mit der stabilisierten TDDDG-Interpretation die „Arbeitgeber-als-Anbieter“-Doktrin endgültig klären. Bis dahin bleibt der „Goldstandard“ für 2026 eine schriftliche Betriebsvereinbarung. Sie muss den Arbeitgeber klar vom Anbieterstatus ausschließen und gleichzeitig einen DSGVO-konformen Rahmen für eine begrenzte, widerrufliche Privatnutzung schaffen.

Übrigens: Die Fristen der EU-KI-Verordnung rücken näher – vermeiden Sie Bußgelder und ungeklärte Haftungsfragen. Der Gratis-Download fasst kompakt, welche Governance-, Kennzeichnungs- und Dokumentationspflichten für Unternehmen gelten und enthält Vorlagen für Datenschutz-Folgenabschätzungen sowie Verhandlungspunkte für Betriebsräte. Ideal, um Betriebsvereinbarungen KI-tauglich zu gestalten und rechtssicher umzusetzen. KI-Leitfaden jetzt gratis herunterladen