Arbeitsrecht 2026: Betriebsräte müssen KI-Regeln neu verhandeln

Ein Jahrzehnt nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) steht das deutsche Arbeitsrecht vor einem fundamentalen Wandel. Die Integration von Betriebsverfassungsgesetz (BetrVG), DSGVO und der neuen KI-Verordnung zwingt Unternehmen zum Handeln. Fachforen Ende Mai 2026, unter anderem mit dem Rechtsexperten Dr. Robert Selk, machen deutlich: Betriebsvereinbarungen müssen dringend an Cloud-Computing, Videoüberwachung und den Siegeszug Künstlicher Intelligenz angepasst werden.

Viele Betriebsräte scheitern bei Betriebsvereinbarungen, weil sie rechtliche Fallstricke bei der Gestaltung moderner Regelungen übersehen. Dieser kostenlose Leitfaden liefert praxiserprobte Muster und Checklisten, um Vereinbarungen rechtssicher aufzusetzen und erfolgreich durchsetzen. Kostenlose Muster-Betriebsvereinbarung jetzt herunterladen

Grenzen der Mitbestimmung

Die jüngste Rechtsprechung hat die Macht des Betriebsrats beim Datenschutz klar eingeschränkt. Das Hessische Landesarbeitsgericht (LAG) entschied im Dezember 2024: Ein erzwingbares Mitbestimmungsrecht nach Paragraf 87 BetrVG zur Durchsetzung gesetzlicher Datenschutzvorgaben gibt es nicht. Die zwingenden Datenschutzregeln blockieren hier den Mitbestimmungsmechanismus. Zwar behält der Betriebsrat seine Überwachungs- und Informationsrechte – erzwingen kann er ein bestimmtes Datenschutzniveau über die Einigungsstelle jedoch nicht.

Anders sieht es bei technischen Überwachungssystemen aus. Das Mitbestimmungsrecht nach Paragraf 87 Absatz 1 Nummer 6 BetrVG bleibt robust – unabhängig davon, ob ein System DSGVO-konform ist. Zudem erlauben Öffnungsklauseln in DSGVO und Bundesdatenschutzgesetz (BDSG) weiterhin freiwillige Betriebsvereinbarungen zu maßgeschneiderten Datenschutzstandards.

Auch die Frage, wo überhaupt ein Betriebsrat gewählt werden kann, hat das Bundesarbeitsgericht (BAG) im Januar 2026 präzisiert. Bei plattformbasierten Lieferdiensten in sogenannten „Remote-Städten“ – Auslieferungsgebieten ohne lokale Leitung oder Infrastruktur – sind Betriebsratswahlen unzulässig. Weder KI noch plattformgesteuerte Anweisungen können eine Mindestpräsenz institutionalisierter lokaler Führung ersetzen. Das Urteil erklärte mehrere 2023 durchgeführte Wahlen in solchen Gebieten für ungültig.

Technische Maßnahmen im Zeitalter der KI-Agenten

Der zehnte Geburtstag der DSGVO wirkt als Katalysator. Unternehmen überprüfen ihre technischen und organisatorischen Maßnahmen (TOM) – und stellen fest: Die zwischen 2018 und 2022 dokumentierten Standards sind für autonome KI-Agenten völlig unzureichend. Branchendaten zeigen: 63 Prozent der Organisationen können Zweckbindungsanforderungen für KI-Agenten nicht durchsetzen. 60 Prozent fehlt die technische Fähigkeit, einen fehlgeleiteten Agenten zu stoppen. 55 Prozent können KI-Systeme nicht ausreichend von Unternehmensnetzwerken isolieren.

Sicherheitsexperten empfehlen den Umstieg auf ausgefeiltere Governance-Modelle. Unverzichtbar sind Authentifizierung gegen menschliche Nutzer über Protokolle wie OAuth 2.0 und attributbasierte Zugriffskontrollen (ABAC). Manipulationssichere Prüfpfade auf Datenebene sollen Rechenschaftspflicht gewährleisten. Derzeit verfügen nur 43 Prozent der befragten Unternehmen über eine zentrale KI-Governance – eine alarmierende Lücke zwischen technologischer Nutzung und regulatorischer Kontrolle.

Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei der Dokumentation und Risikobewertung ihrer Systeme. Dieser kostenlose Umsetzungsleitfaden zum AI Act hilft Ihnen, alle Fristen und Pflichten rechtzeitig zu erfüllen. Gratis KI-Verordnung E-Book sichern

Überwachung und Transparenz: Gerichte ziehen Grenzen

Die Gerichte definieren weiterhin die Grenzen von Mitarbeiter- und Verbraucherüberwachung. In der Fitnessbranche gehen die Datenschutzbehörden hart gegen Rund-um-die-Uhr-Videoüberwachung vor. Bereits im März 2022 hatte der Bayerische Verwaltungsgerichtshof (VGH Ansbach) der Privatsphäre Vorrang vor Diebstahlschutz gegeben. Im August 2024 wurde ein Betreiber mit über 20.000 Euro Bußgeld belegt. Empfohlen werden Hybridmodelle mit zeitlicher Begrenzung, separater Einwilligung und maximal 72-stündiger Speicherung – es sei denn, ein konkreter Vorfall liegt vor.

Transparenzpflichten verschärfte das Oberlandesgericht (OLG) Zweibrücken im März 2026. Eine Arbeitgeberbewertungsplattform muss Nutzerdaten offenlegen, wenn ein Bewerter falsche Tatsachenbehauptungen aufstellt – etwa den Vorwurf von Mindestlohnverstößen. Das Gericht unterschied klar zwischen subjektiven Meinungen und beweisbaren Tatsachenbehauptungen.

Zum sogenannten „Kopplungsverbot“ beim Datenerwerb entschied das Landgericht Nürnberg im Juli 2025: Die Einwilligung eines Verbrauchers zur Weitergabe von Daten an Auskunfteien bei Vertragsabschluss kann freiwillig sein – selbst wenn sie an den Vertrag gekoppelt ist –, sofern das Unternehmen kein Monopol hat. Immaterielle Schadensersatzansprüche nach DSGVO erfordern zudem einen konkreten Schadensnachweis, nicht bloß ein Unwohlsein.

KI in deutschen Unternehmen: Experimentierfreude ja, Integration nein

Eine Studie von Civey und der Hochschule der Medien Stuttgart, veröffentlicht im Mai 2026, zeigt die Kluft zwischen Experiment und Kernintegration. Befragt wurden 500 IT-Manager großer Unternehmen. Ergebnis: 76 Prozent testen KI-Agenten aktiv, aber nur 19 Prozent haben sie in Kernprozesse integriert. Haupthindernisse sind komplexe IT-Infrastrukturen, fehlende Spezialkenntnisse und die Schwierigkeit, neue Tools mit Altsystemen zu verbinden.

Immerhin 75 Prozent der Großunternehmen haben eine schriftliche KI-Strategie – aber nur etwa ein Drittel davon mit messbaren Zielen. Trotz langsamer Integration bleiben IT-Entscheider optimistisch: 79 Prozent erwarten keine Arbeitsplatzverluste durch KI. Stattdessen rückt Sicherheit in den Fokus. Workshops im Sommer und Herbst 2026 konzentrieren sich auf KI-gestützte Schwachstellenanalyse und Bedrohungserkennung zur Stärkung der „Blue Teams“ in Unternehmens-Sicherheitszentren (SOC).

Ausblick: Strengere Regeln ab 2027

Die Umsetzung der NIS-2-Richtlinie und des BSI-Gesetzes wird „wichtige“ und „besonders wichtige“ Einrichtungen zu verschärften Meldepflichten zwingen. Sicherheitsvorfälle sind dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unverzüglich zu melden. Bei DSGVO-Verstößen gilt das 72-Stunden-Fenster.

Rechtlich bleibt die Lage in Bewegung. Beim Europäischen Gerichtshof (EuGH) sind Verfahren zur Gültigkeit von Betriebsvereinbarungen als Rechtsgrundlage für Datenverarbeitung anhängig. Unternehmen sollten ihre technischen Maßnahmen dringend aktualisieren und auf freiwillige statt erzwungene Zusammenarbeit zwischen Management und Betriebsrat setzen. Nur so lässt sich langfristige Rechtssicherheit erreichen.

de | wirtschaft | 69423477 |