NIS-2 in Kraft: Betriebsräte zwischen Cybersicherheit und Datenschutz

Die Verabschiedung des NIS-2-Umsetzungsgesetzes stürzt Deutschlands Betriebsräte in ein Dilemma. Während Unternehmen ihre IT-Sicherheit massiv aufrüsten müssen, droht der Überwachung der Belegschaft – ein Konflikt, der sich nicht mehr aussitzen lässt.

Während die meisten Deutschen das vergangene Wochenende genossen, wurde in den Konzernzentralen und Betriebsratsbüros der Republik eine neue Realität sichtbar. Mit der Zustimmung des Bundesrats am 21. November zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) hat sich das Spielfeld für IT-Sicherheit fundamental verschoben. Anfang 2026 tritt das Gesetz in Kraft – und damit beginnt für rund 30.000 deutsche Unternehmen ein Wettlauf gegen die Zeit.

Die Dimension ist beispiellos: Statt bisher 4.500 fallen künftig nahezu 30.000 Organisationen unter strenge Cybersicherheitspflichten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dehnt seine Aufsicht auf Branchen aus, die bislang kaum im Fokus standen – Müllentsorgung, Lebensmittelproduktion, klassisches verarbeitendes Gewerbe. Ausgerechnet dort, wo Betriebsräte traditionell stark verankert sind, fehlt oft jede IT-Sicherheitsexpertise.

Wenn Schutz zur Überwachung wird

Die Krux liegt im technischen Detail. Um NIS-2 zu erfüllen, müssen Firmen Überwachungssysteme installieren, die permanent das Nutzerverhalten analysieren – sogenannte Endpoint Detection and Response (EDR) Systeme. Sie sollen Anomalien erkennen, bevor Hacker zuschlagen können. Klingt vernünftig, ist aber rechtlich hochbrisant.

Passend zum Thema Mitbestimmung und technischer Überwachung – viele Betriebsräte sind unsicher, wann IT-Sicherheitslösungen die Mitbestimmungsrechte nach § 87 BetrVG auslösen. Ein kostenloser Leitfaden erklärt praxisnah, welche technischen Maßnahmen Mitbestimmungspflichten auslösen, wie Sie Betriebsvereinbarungen gestalten und welche Argumente in Verhandlungen helfen. Ideal für Betriebsräte, die Rechtssicherheit und Datenschutz für ihre Kolleginnen und Kollegen durchsetzen wollen. Jetzt kostenlosen Leitfaden zu § 87 BetrVG herunterladen

Denn solche Tools erfüllen automatisch den Tatbestand von § 87 Abs. 1 Nr. 6 BetrVG: Sie ermöglichen technisch die Leistungsüberwachung von Mitarbeitern. Das Bundesarbeitsgericht stellte bereits im Juli 2024 klar (Az. 1 ABR 16/23): Allein die Möglichkeit der Überwachung löst das Mitbestimmungsrecht aus – selbst wenn der Arbeitgeber beteuert, die Daten niemals dafür nutzen zu wollen.

„Betriebsräte stecken in der Zwickmühle”, fasst ein Arbeitsrechtler die Lage zusammen. „Blockieren sie die Sicherheitstools, riskieren sie Bußgelder für den Betrieb. Winken sie sie durch, öffnen sie der algorithmischen Kontrolle Tür und Tor.”

Gewerkschaften fordern Qualifikationsoffensive

Die Reaktion der Arbeitnehmervertretungen ließ nicht lange auf sich warten. ver.di und IG Metall mahnen: Digitale Transformation darf nicht an der Mitbestimmung vorbeiführen. In ihrer Ende November aktualisierten Kampagne „Besser mit Betriebsrat” argumentieren sie, dass IT-Sicherheit nur mit, nicht gegen die Belegschaft funktioniere.

Die Strategie der Gewerkschaften ist klar umrissen: Sie drängen auf sogenannte IT-Rahmenvereinbarungen, die Security-Monitoring explizit von Leistungskontrolle entkoppeln. Gleichzeitig nutzen findige Betriebsräte das Momentum, um umfassende Schulungsprogramme zu „digitaler Alphabetisierung” durchzusetzen – als Bedingung für ihre Zustimmung zu NIS-2-Maßnahmen.

„Ohne qualifizierte Arbeitnehmervertreter wird das Gesetz zum Einfallstor für Totalüberwachung”, warnt ver.di in ihrem aktuellen Newsletter. Die Forderung: Erst Weiterbildung, dann Implementation.

Industrie warnt vor Kostenlawine

Während Gewerkschaften um Datenschutz ringen, schlägt die Wirtschaft andere Töne an. Der Digitalverband Bitkom begrüßte zwar die Rechtssicherheit durch das neue Gesetz, warnt aber vor den Kosten der sogenannten „Kritischen Komponenten”-Regelung.

Konkret: Das Bundesinnenministerium kann künftig den Einsatz von IT-Bauteilen „nicht vertrauenswürdiger” Hersteller untersagen. Für Betriebsräte in multinationalen Konzernen bedeutet das: Sie sollen möglicherweise der Demontage funktionierender Hardware zustimmen – mit allen Auswirkungen auf Abläufe, Arbeitszeiten und Bonuszahlungen.

„Cyberkriminalität kostet die deutsche Wirtschaft über 200 Milliarden Euro jährlich”, betonte Bitkom-Präsident Dr. Ralf Wintergerst bereits Anfang November. „NIS-2 war überfällig, aber die praktische Umsetzung bei kritischen Komponenten bleibt ein massives Investitionshemmnis.”

Der Sprint bis zum Stichtag

Seit heute läuft für Unternehmen faktisch ein Countdown. Das Gesetz führt ein dreistufiges Meldesystem für Sicherheitsvorfälle ein – Frühwarnung binnen 24 Stunden inklusive. Wer patzt, riskiert empfindliche Sanktionen.

Für Betriebsräte kristallisiert sich eine klare Dezember-Agenda heraus:

1. Bestandsaufnahme: Alle laufenden IT-Sicherheitsprojekte auf NIS-2-Konformität prüfen
2. Vereinbarungen nachschärfen: Bestehende Betriebsvereinbarungen um „Security Operations Center”-Aktivitäten erweitern
3. Schulungsrecht nutzen: Nach § 37 Abs. 6 BetrVG Seminare zu NIS-2 und KI-gestützter Überwachung einfordern

Die Schonfrist schmilzt. Wenn 2026 anbricht, wird sich zeigen, ob deutsche Betriebsräte den Spagat schaffen: Das Unternehmen vor Hackern schützen – und die Belegschaft vor dem Unternehmen.

PS: Sie möchten Ihre Mitbestimmungsrechte praktisch durchsetzen? Das kostenlose E-Book erklärt § 87 BetrVG verständlich, liefert Musterformulierungen für Betriebsvereinbarungen und Checklisten zur Vorbereitung von Verhandlungen mit der Geschäftsführung. Perfekt für Betriebsräte, die Technik-Pflichten und Datenschutz in Einklang bringen wollen. Jetzt E-Book herunterladen und Betriebsrat stärken