Warum Datenschutz 2026 komplizierter ist als je zuvor
Der Datenschutz im Betrieb hat sich fundamental verändert, denn früher kannte jeder die Systeme, die Beschäftigtendaten verarbeiteten – beispielsweise die Zeiterfassungssoftware, das Zutrittskontrollsystem oder vielleicht noch die Videoüberwachung im Eingangsbereich. Heute präsentiert sich die Lage jedoch deutlich unübersichtlicher, weil moderne Arbeitstools sich vernetzen, cloud-basiert arbeiten und oft künstliche Intelligenz nutzen. Dabei sammeln sie permanent Daten, analysieren Verhalten und erstellen Profile, ohne dass die Nutzer dies bemerken.
Microsoft 365 mit Teams, Outlook und SharePoint gehört inzwischen in den meisten Unternehmen zum Standard. Trotzdem wissen die wenigsten, welche Daten diese Plattform tatsächlich erhebt: Wer kommuniziert mit wem? Wie lange dauern Meetings? Wie schnell beantworten Mitarbeiter E-Mails? Außerdem gibt es KI-Assistenten wie Copilot, die Gespräche mithören, Zusammenfassungen erstellen und dabei aus Millionen Datenpunkten lernen. Hinzu kommen noch die HR-Tools, die sowohl Bewerberdaten analysieren als auch Mitarbeiterleistung bewerten und sogar Kündigungsrisiken vorhersagen wollen.
Für Betriebsräte bedeutet dies: Das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG (Überwachungseinrichtungen) greift heute zwar viel häufiger als früher, aber die Technik zeigt sich so komplex, dass viele Datenschutzrisiken erst spät auffallen. Dieser Beitrag zeigt Ihnen deshalb, wo die größten Gefahren lauern und wie Sie als Betriebsrat gegensteuern können.
Microsoft 365 und Teams: Die unsichtbare Datensammelmaschine
Microsoft 365 bietet mehr als eine Sammlung von Office-Programmen, denn es bildet ein Ökosystem, das praktisch jeden Aspekt der digitalen Arbeit erfasst. Das Problem dabei: Viele Funktionen, die den Arbeitsalltag erleichtern sollen, funktionieren gleichzeitig als Überwachungsinstrumente.
Productivity Score und Workplace Analytics durchleuchten Mitarbeiter
Microsoft bietet Führungskräften mit dem „Productivity Score“ detaillierte Einblicke in das Nutzungsverhalten ihrer Teams, wobei das System zeigt, wie oft Mitarbeiter E-Mails senden, an Meetings teilnehmen oder in Teams aktiv arbeiten. Ursprünglich konnte man diese Daten sogar personenbezogen abrufen, doch nach massiver Kritik von Datenschützern schränkte Microsoft dies ein, obwohl die Funktion weiterhin existiert. Workplace Analytics geht sogar noch weiter und erstellt Netzwerkanalysen, sodass erkennbar wird, wer mit wem zusammenarbeitet oder wer in der Kommunikation eine zentrale Position einnimmt.
Aus Datenschutzsicht wirkt das hochproblematisch, weil diese Tools eine systematische Verhaltens- und Leistungskontrolle ermöglichen, die weit über frühere Möglichkeiten hinausgeht. Der Betriebsrat muss hier unbedingt aktiv werden und folgende Fragen klären: Hat das Unternehmen diese Funktionen aktiviert? Wer greift auf die Daten zu? Außerdem muss geklärt werden, ob die Geschäftsführung sie zur Leistungskontrolle nutzt. Ohne Betriebsvereinbarung, die diese Punkte regelt, bleibt der Einsatz nämlich unzulässig.
Teams-Meetings speichern mehr als Sie denken
Microsoft Teams ermöglicht es zwar, Meetings aufzuzeichnen und automatisch zu transkribieren, was die Dokumentation erleichtert, allerdings wirft dies datenschutzrechtliche Fragen auf. So muss geklärt werden: Informiert das System alle Teilnehmer über die Aufzeichnung? Wo speichert Microsoft die Aufnahmen, und wer erhält Zugriff? Außerdem stellt sich die Frage, wie lange das Unternehmen sie aufbewahrt. Eine Betriebsvereinbarung muss diese Fragen klar beantworten, zumal das System Aufzeichnungen auch automatisch starten kann, ohne dass alle Teilnehmer dies bemerken.
Datenübertragung in die USA birgt Risiken
Ein weiteres Problem stellt der Datentransfer dar, denn Microsoft verarbeitet Daten in Rechenzentren weltweit und teilweise auch in den USA. Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs bestehen hier Unsicherheiten, obwohl es inzwischen das neue Data Privacy Framework gibt. US-Behörden könnten theoretisch auf Beschäftigtendaten zugreifen, weshalb der Betriebsrat vom Arbeitgeber verlangen sollte, dass das Unternehmen Daten ausschließlich in Europa verarbeitet. Microsoft bietet zwar entsprechende Einstellungen an, aber Administratoren müssen diese aktiv konfigurieren.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat zu Microsoft 365 bereits mehrfach Stellung genommen und Handreichungen veröffentlicht, sodass Betriebsräte diese als Argumentationsgrundlage nutzen können. Auch das Bundesamt für Sicherheit in der Informationstechnik gibt regelmäßig Empfehlungen zur sicheren Nutzung von Cloud-Diensten heraus.
KI-Assistenten im Betrieb: Wenn der digitale Assistent zum Spion wird
Künstliche Intelligenz hält rasant Einzug in den Arbeitsalltag, wobei ChatGPT, Microsoft Copilot, Google Bard und unzählige spezialisierte KI-Tools versprechen, Arbeit zu erleichtern. Aus Datenschutzperspektive stellen sie jedoch eine enorme Herausforderung dar.
Microsoft Copilot liest immer mit
Copilot integriert sich direkt in Microsoft 365 und greift dabei auf alle Dokumente, E-Mails und Chats zu, um Antworten zu generieren. Das bedeutet: Die KI liest mit – und zwar immer. Dabei analysiert sie, welche Informationen wo liegen, wie sie zusammenhängen und was relevant sein könnte. Das System nutzt diese Daten, um sich zu trainieren und zu verbessern, wobei sich die entscheidende Frage stellt: Was geschieht mit diesen Informationen? Anonymisiert Microsoft sie, oder fließen sie in allgemeine Trainingsdaten ein? Außerdem bleibt unklar, ob Betriebsgeheimnisse oder personenbezogene Informationen ungewollt nach außen gelangen könnten.
Betriebsräte müssen hier genau hinschauen, denn der Einsatz von KI-Assistenten erfordert Mitbestimmung, wenn die Systeme sich dazu eignen, Verhalten oder Leistung von Beschäftigten zu überwachen. Bei Copilot trifft das zu, weil das System erfasst, wer welche Informationen abruft und welche Fragen Mitarbeiter stellen. Eine Betriebsvereinbarung muss deshalb regeln, welche Daten das System erfasst, wie lange es sie speichert und wer darauf zugreifen darf.
Externe KI-Tools und die Gefahr der Schatten-IT
Noch problematischer zeigt sich die Situation, wenn Beschäftigte eigenständig externe KI-Tools nutzen, beispielsweise ChatGPT für die Texterstellung oder Jasper AI für Marketing-Inhalte. Dabei laden sie oft vertrauliche Unternehmensdaten oder personenbezogene Informationen in diese Systeme, ohne zu wissen, dass die Anbieter diese Daten möglicherweise für das Training der KI verwenden. Diese „Schatten-IT“ entzieht sich zwar der Kontrolle des Betriebsrats, stellt aber ein enormes Datenschutzrisiko dar.
Die Lösung: Das Unternehmen braucht klare Richtlinien für den Umgang mit KI-Tools, wobei der Arbeitgeber festlegen muss, welche Tools die Beschäftigten nutzen dürfen und welche Daten sie keinesfalls in externe Systeme eingeben dürfen. Der Betriebsrat sollte darauf drängen, dass das Unternehmen alle Beschäftigten zu diesem Thema schult.
HR-Tools und People Analytics: Wenn Software Mitarbeiter durchleuchtet
Moderne Personalmanagementsysteme leisten weit mehr als klassische Funktionen wie Urlaubsverwaltung oder Gehaltsabrechnung, denn sie analysieren Mitarbeiterdaten, erstellen Prognosen und treffen Entscheidungen – oft allerdings mit erschreckend geringer Transparenz.
Bewerbermanagement-Systeme diskriminieren unbemerkt
Viele Unternehmen setzen auf KI-gestützte Bewerbermanagementsysteme, die CVs automatisch analysieren, Kandidaten bewerten und Rankings erstellen. Das Problem dabei: Diese Systeme können diskriminieren, und zwar etwa aufgrund von Geschlecht, Alter oder Herkunft – selbst wenn niemand dies beabsichtigt. Algorithmen lernen nämlich aus historischen Daten, und wenn Unternehmen in der Vergangenheit bestimmte Gruppen benachteiligten, setzen sich diese Muster in den KI-Entscheidungen fort.
Der Betriebsrat besitzt hier ein Mitbestimmungsrecht nach § 95 BetrVG (Auswahlrichtlinien) sowie nach § 87 Abs. 1 Nr. 1 BetrVG (Ordnung des Betriebs). Wichtig dabei: Der Arbeitgeber muss offenlegen, nach welchen Kriterien die KI bewertet und welche Mechanismen Diskriminierung verhindern. Außerdem muss das Unternehmen sicherstellen, dass es nicht mehr Daten erhebt als nötig, zumal viele Bewerbermanagementsysteme Informationen verlangen, die für die Stellenbesetzung irrelevant sind.
Performance-Tracking überwacht jeden Schritt
Einige HR-Tools gehen sogar noch einen Schritt weiter und überwachen die Leistung der Beschäftigten kontinuierlich, wobei sie tracken, wie lange jemand an einem Projekt arbeitet, wie produktiv er sich zeigt oder wie oft er Pausen macht. Manche Systeme werten dabei sogar E-Mail-Kommunikation oder Kalendereinträge aus, um „Engagement-Scores“ zu berechnen. Diese Tools verletzen den Datenschutz massiv und bleiben ohne Zustimmung des Betriebsrats unzulässig.
Hier gilt deshalb: Der Betriebsrat muss diese Systeme frühzeitig erkennen und seine Mitbestimmungsrechte geltend machen. Oft führen nämlich die IT-Abteilung oder der HR-Bereich solche Tools ohne Einbindung des Betriebsrats ein – was einen klaren Rechtsverstoß darstellt. Sobald der Betriebsrat davon erfährt, sollte er den Einsatz sofort stoppen lassen, bis eine rechtskonforme Betriebsvereinbarung vorliegt.
Kündigungsprognosen verletzen die Privatsphäre
Besonders heikel wirken Tools, die vorhersagen sollen, welche Mitarbeiter das Unternehmen bald verlassen könnten. Diese „Predictive Analytics“-Systeme analysieren dabei Verhaltensmuster – beispielsweise sinkende Produktivität, veränderte Kommunikation oder häufigere Abwesenheit – und warnen Vorgesetzte, dass ein Mitarbeiter kündigungsgefährdet erscheint. Das ermöglicht dem Arbeitgeber zwar, präventiv zu handeln, verletzt aber den Datenschutz erheblich, weil das System sensible Verhaltensprofile erstellt.
Der Betriebsrat muss hier eine klare Linie ziehen, denn solche Systeme darf das Unternehmen nur mit umfassenden Schutzmaßnahmen und transparenten Regeln einsetzen. Beschäftigte müssen wissen, dass ihr Arbeitgeber ihre Daten so auswertet, und das Unternehmen muss außerdem sicherstellen, dass die Prognosen nicht automatisch zu Nachteilen führen.
Praktische Handlungsempfehlungen: So stoppt der Betriebsrat den Datenabfluss
Angesichts dieser Fülle an Datenschutzrisiken stellt sich die Frage: Was kann der Betriebsrat konkret tun? Hier sind deshalb die wichtigsten Handlungsschritte:
Bestandsaufnahme aller datenverarbeitenden Systeme
Verschaffen Sie sich zunächst einen Überblick über alle Systeme, die Ihr Unternehmen einsetzt. Dazu gehören nicht nur offensichtliche Tools wie Zeiterfassung oder Zutrittskontrolle, sondern auch Microsoft 365, HR-Software, KI-Assistenten, Bewerbermanagementsysteme und Cloud-Dienste. Fordern Sie vom Arbeitgeber ein vollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, denn das steht Ihnen rechtlich zu.
Datenschutzfolgenabschätzungen einfordern
Bei risikoreichen Verarbeitungen muss der Arbeitgeber eine Datenschutz-Folgenabschätzung durchführen, wobei das insbesondere Systeme betrifft, die systematisch große Datenmengen auswerten oder sensible Informationen verarbeiten. Der Betriebsrat besitzt dabei das Recht, diese Folgenabschätzungen einzusehen und mitzuwirken.
Betriebsvereinbarungen für jedes System abschließen
Jedes mitbestimmungspflichtige System braucht eine Betriebsvereinbarung, die folgende Punkte regeln sollte: Welche Daten erfasst das System, und zu welchem Zweck? Wie lange speichert das Unternehmen sie, und wer erhält Zugriff? Außerdem muss geklärt werden, wie das Unternehmen den Datenschutz sicherstellt und welche Kontrollmechanismen greifen. Wichtig dabei: Die Betriebsvereinbarung muss konkret formulieren, denn allgemeine Floskeln reichen nicht aus.
Schulungen für Beschäftigte organisieren
Viele Datenschutzprobleme entstehen aus Unwissenheit, weil Beschäftigte vertrauliche Daten in unsichere Cloud-Dienste laden, private Tools für berufliche Zwecke nutzen oder sensible Informationen in KI-Systeme eingeben. Der Betriebsrat sollte deshalb gemeinsam mit dem Arbeitgeber Schulungen organisieren, in denen Experten die wichtigsten Datenschutzregeln vermitteln.
Den Datenschutzbeauftragten als Partner gewinnen
Der betriebliche Datenschutzbeauftragte unterstützt den Betriebsrat wirkungsvoll, weshalb Sie dessen Expertise nutzen sollten. Lassen Sie sich beraten und arbeiten Sie bei der Prüfung neuer Systeme zusammen, denn gemeinsam erreichen Sie mehr als jeder für sich allein.
Fazit: Datenschutz ist Beschäftigtenschutz
Der Datenschutz im Betrieb zeigt sich 2026 komplexer denn je, aber er bleibt auch wichtiger denn je. Digitale Tools durchdringen jeden Aspekt der Arbeitswelt, und damit steigt das Risiko der Überwachung und des Missbrauchs von Beschäftigtendaten. Als Betriebsrat tragen Sie die Aufgabe und besitzen gleichzeitig die rechtlichen Mittel, hier wirksam gegenzusteuern.
Datenschutz erfüllt keinen Selbstzweck, sondern schützt die Beschäftigten, wobei es darum geht, die Privatsphäre der Mitarbeiter zu wahren, Diskriminierung zu verhindern und sicherzustellen, dass Technologie den Menschen dient – und nicht umgekehrt. Mit den richtigen Betriebsvereinbarungen, klaren Regeln und konsequenter Kontrolle stoppen Sie den schleichenden Datenabfluss und schaffen dabei ein faires, transparentes Arbeitsumfeld.
Lassen Sie sich nicht von der technischen Komplexität abschrecken, sondern holen Sie sich externe Unterstützung, wenn nötig, und arbeiten Sie eng mit dem Datenschutzbeauftragten zusammen, während Sie Ihre Mitbestimmungsrechte konsequent nutzen. Die Beschäftigten werden es Ihnen danken, denn Datenschutz schafft Vertrauen, und Vertrauen bildet die Basis jeder guten Arbeitsbeziehung.
Sie erhalten innerhalb von 24 Stunden Ihre Antwort!
