Digital Omnibus: EU-Vorstoß gefährdet Arbeitnehmerdatenschutz

Die EU-Kommission will die Datenschutzgrundverordnung entschlacken – doch ausgerechnet deutsche Betriebsräte könnten die Leidtragenden sein. Der am Mittwoch vorgestellte “Digital Omnibus” kollidiert frontal mit der strengen Rechtsprechung des Bundesarbeitsgerichts. Was bedeutet das für Beschäftigte?

Am 19. November präsentierte Brüssel ein Paket, das die DSGVO und das KI-Gesetz vereinfachen soll. Klingt zunächst nach weniger Bürokratie. Doch Experten schlagen Alarm: Die geplanten Lockerungen könnten Mitarbeiterrechte aushöhlen, die deutsche Gerichte erst dieses Jahr hart erkämpft haben.

Der Kern des Vorschlags: Personendaten für KI-Training sollen künftig als “berechtigtes Interesse” nach Artikel 6 Absatz 1 lit. f DSGVO gelten. Was technisch klingt, hat explosive Wirkung. Arbeitgeber bräuchten dann weder Zustimmung noch strikte Notwendigkeitsnachweise, um sensible Beschäftigtendaten in Algorithmen zu füttern.

Die EU-KI-Verordnung stellt neue Pflichten an Kennzeichnung, Risikoklassifizierung und Dokumentation von KI-Systemen — besonders brisant für Unternehmen, die KI mit Beschäftigtendaten betreiben. Wer die Anforderungen nicht erfüllt, riskiert Bußgelder und rechtliche Folgen. Unser kostenloser Umsetzungsleitfaden erklärt Schritt für Schritt, welche Pflichten gelten, welche Fristen zu beachten sind und liefert praktische Checklisten für HR-Tools. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Mehr noch – auch die Definition “sensibler Daten” nach Artikel 9 DSGVO soll aufgeweicht werden. KI-Betreiber könnten flexibler mit Gesundheitsdaten, Gewerkschaftszugehörigkeit oder ethnischer Herkunft umgehen. Branchenverbände jubeln bereits über den “Kompetenzschub für Europa”. Datenschützer sprechen hingegen von einem “trojanischen Pferd”, das Grundrechte unter dem Vorwand des Bürokratieabbaus schleift.

Das Workday-Urteil: Maßstab der Strenge

Doch in Deutschland gelten andere Regeln – zumindest noch. Am 8. Mai dieses Jahres setzte das Bundesarbeitsgericht mit dem sogenannten “Workday-Urteil” (Az. 8 AZR 209/21) neue Maßstäbe. Das Gericht verurteilte einen Arbeitgeber zu 200 Euro Schmerzensgeld, weil dieser Steuernummern und Privatadressen zum Test einer US-Software an die Konzernmutter übermittelt hatte.

Die entscheidende Botschaft: Betriebsvereinbarungen sind kein Blankoscheck. Selbst wenn der Betriebsrat zustimmt, muss jede Datenverarbeitung einzeln auf Erforderlichkeit und Verhältnismäßigkeit geprüft werden. Ein “Kontrollverlust” über eigene Daten reicht für Schadenersatz – auch ohne nachweisbare Folgeschäden.

Diese Rechtsprechung beendete schlagartig die Praxis vieler Konzerne, Mitarbeiterdaten per Vereinbarung pauschal in Cloud-Dienste oder Drittstaaten zu transferieren.

Betriebsräte im Zangengriff

Was passiert nun, wenn Brüssel das “berechtigte Interesse” ausweitet? Arbeitgeber könnten argumentieren: Datenspeicherung für KI-gestützte HR-Tools ist standardmäßig rechtmäßig – Betriebsvereinbarung überflüssig. Das würde die Mitbestimmungsrechte frontal angreifen.

“Der Digital Omnibus könnte die einseitige Handlungsmacht des Arbeitgebers massiv erweitern”, warnen Juristen. Wenn KI-Training zum anerkannten Interesse wird, haben Betriebsräte kaum noch Hebel, datenhungrige Analysetools zu blockieren. Die vom BAG erkämpfte Prüfpflicht für jeden einzelnen Datenpunkt? Möglicherweise Geschichte.

Erschwerend kommt hinzu: Auch Wahlvorstände und Betriebsräte selbst unterliegen denselben DSGVO-Standards wie Arbeitgeber. Ein erst am 11. November kommentiertes Urteil unterstrich erneut die strikte Datenminimierungspflicht – selbst für Arbeitnehmervertreter.

Heißer Winter für Compliance-Abteilungen

Der Digital Omnibus ist derzeit nur ein Vorschlag und muss noch Parlament und Rat passieren. Doch die Verunsicherung ist immens. Die EU will das Paket schnell durchwinken, um den KI-Sektor anzukurbeln. Massiver Widerstand der Datenschutzkonferenz (DSK) ist bereits absehbar.

Drei Entwicklungen entscheiden über die Zukunft:

Legislative Hürden: Brüssel drängt auf Tempo, doch Bürgerrechtsorganisationen laufen Sturm. Die Abstimmungen könnten sich bis Frühjahr 2026 hinziehen – mit offenem Ausgang.

Richterliche Gegenwehr: Deutsche Gerichte werden bis zu einer expliziten EU-Rechtsänderung weiter nach Workday-Standard urteilen. Das BAG hat bereits signalisiert, dass es Schadenersatz bei DSGVO-Verstößen ernst nimmt.

Unternehmensstrategie: Firmen, die jetzt IT-Betriebsvereinbarungen verhandeln, sollten vorsichtig bleiben. Sich auf das geplante “berechtigte Interesse” zu berufen, bevor es Gesetz ist, wäre riskant. Das Risiko: Schadenersatzklagen und Image-Schäden.

Bis Brüssel liefert, gilt in deutschen Arbeitsgerichten eiserne Härte. Betriebsräte müssen wachsam bleiben – damit “Deregulierung” nicht zur Hintertür für Datensammler wird. Die Frage lautet nicht ob, sondern wie stark der Schutzwall bröckelt.

PS: Die Debatte um den Digital Omnibus zeigt, wie schnell Regeln für KI und Datenschutz verändert werden können. Bleiben Sie vorbereitet: Unser Gratis-Leitfaden zur EU-KI-Verordnung bietet kompakte Praxistipps für Betriebsräte und Compliance-Teams, Checklisten zur Dokumentation und Hinweise zu Übergangsfristen — ideal, wenn KI-Systeme mit Mitarbeiterdaten arbeiten. Jetzt KI-Leitfaden sichern