Es liegt ein Gesetzesvorhaben der EU-Kommission vor, das mehrere bestehende Gesetze aus dem digitalen Feld mit einem Schlag vereinfachen soll: der „digitale Omnibus“. Damit ist nicht das Fahrzeug gemeint, sondern der lateinische Ausdruck „für alle“; und damit werden derzeit gut ausgebaute Rechte reduziert. Was das für den Beschäftigtendatenschutz bedeutet:
Wo „Vereinfachung“ draufsteht, ist oft eine Schwächung von Arbeitnehmer:innen-Rechten drin
Das 163 Seiten umfassende Dokument wurde am 19.11.2025 der Öffentlichkeit vorgestellt und birgt Änderungsvorhaben zur DSGVO und anderen Verordnungen rund um Datenverarbeitung, Privatsphäre und Digitalisierung (z. B. Data Act, Artificial Intelligence Act). In den Worten der Kommissionspräsidentin von der Leyen dient der Omnibus der Wettbewerbsfähigkeit und schafft einen „innovationsfreundlichen Datenschutzrahmen“. NGOs, progressive EU-Parlamentsparteien und Gewerkschaften sehen das anders. Für Arbeitnehmer:innen und ihre Privatsphäre hält der „digitale Omnibus“ einige unangenehme Überraschungen bereit.
Derzeit dürfen besonders geschützte Daten(dazu zählen unter anderem Religion, Gesundheit, sexuelle Orientierung oder Gewerkschaftszugehörigkeit) nur unter strengen Auflagen verwendet werden. Diese Hürden sollen fallen und nur mehr gelten, wenn Daten „direkt offengelegt“ wurden. Das könnte zu dem Szenario führen, dass der Gesundheitszustand einer Arbeitnehmerin zwar geschützt ist, wenn sie selbst direkt ihre Erkrankung offenlegt. Nicht geschützt wäre es zukünftig, wenn der Arbeitgeber etwa aus Geolocation-Daten wie dem Standort eines Spitals, Krankenständen und Internet-Suchbegriffen der Arbeitnehmerin indirekt darauf schließt, dass sie eine Krebserkrankung hat.
Anderes Szenario: Sollte eine Arbeitgeberin über verschiedene Indizien darauf schließen, dass ein Kollege Gewerkschaftsmitglied ist, etwa weil er sich oft im Betriebsratsbüro oder auf einschlägigen Demonstrationen aufhält und sich auf Social Media „wie andere Gewerkschaftsmitglieder“ äußert, dann wäre diese Information nicht mehr besonders schützenswert.
Beim digitalen Omnibus der EU-Kommission geraten besonders geschützte Daten unter die Räder
Als „Erleichterung“ ist auch geplant, dass die Auskunftspflichtgegenüber Betroffenen nur mehr dann besteht, wenn eine Information „zum Zweck des Datenschutzes“ verwendet wird. Arbeitnehmer:innen, die aus anderen Gründen Bescheid wissen möchten, an wen die eigenen Daten übermittelt wurden, würden dann – gemäß dem Fahrplan des digitalen Omnibusses – keine Auskunft erhalten. In der Praxis ist es aufgrund des Machtungleichgewichts im Arbeitsverhältnis, insbesondere in Betrieben ohne Betriebsrat, schwer möglich, als einfache:r Beschäftigte:r Auskunft zu erhalten (z. B. über Videoaufzeichnungen oder die Arbeitszeiterfassung), aber Beschäftigte können sich auf ihr Auskunftsrecht aus der DSGVO berufen.
Arbeitgeber:innen müssten Beschäftigte nicht mehr zu Künstlicher Intelligenz schulen
Der AI Act enthält derzeit in Artikel 4 eine Verpflichtungfür Anbieter:innen und Betreiber:innen von KI zu Schulungen. Diese Verpflichtung soll nun an staatliche Stellen und die Kommission übergehen. Wenn der Omnibus diese Verschiebung im Gepäck hat, wären wohl automatisch vorwiegend solche KI-Anwendungen Gegenstand der Schulung, die generellen Zwecken dienen (sogenannte „General Purpose AI“), und Arbeitgeber:innen somit nicht mehr dafür zuständig, ihre betriebsspezifischen KI-Anwendungen vor Ort zu erläutern. Arbeitnehmer:innen würden somit im Unklaren gelassen, könnten nicht nachfragen, welche konkreten Auswirkungen KI auf sie und ihre Arbeit hätte.
Freibriefe für KI-Trainingsdaten und Setzen von Cookies
Seitens der EU-Kommission vorgesehen wäre auch die „erleichterte Verwendung“ von Daten zum KI-Training. Was harmlos klingt, kann schwerwiegende Folgen haben. Der Unternehmens-Chatbot dürfte dann legal mit den Stimmen der Beschäftigten trainiert werden. Die KI zum Karrieremanagement dürfte dann auf Unternehmensdaten wie Prüfungsergebnisse zugreifen, die Meinung der Kolleg:innen analysieren und vorschlagen, wer für eine Weiterbildung oder den nächsten Karriereschritt infrage kommt – und wer nicht. Die Übersetzungs-KI könnte sämtliche von den Beschäftigten angefertigte Texte als Trainingsdaten heranziehen und „von ihnen lernen“.
Der Noyb-Gründer Max Schrems bezeichnete diese Erlaubnis zum KI-Training treffend als „Wildcard“ und verfasste gemeinsam mit anderen europäischen Datenschutz-NGOs einen offenen Brief an die Kommission mit dem Auftrag, diese Grundrechtseingriffe dringend zu überdenken.
Die Liste jener, die sich angesichts dieses Vorhabens der EU-Kommission lautstark und kritisch zu Wort gemeldet haben, ist lang. Die Liberalen, die Grünen und die Sozialdemokraten im Europäische Parlament sind nicht erfreut, weder über die Vorgangsweise noch über den Inhalt des Kommissionspapiers.
Eine weitere Art von Freibrief – geht es nach den Plänen der Kommission – wäre dadurch gegeben, dass es ohne Zustimmungder Beschäftigten möglich sein soll, Cookies zu setzen oder remote auf mobile Geräte zuzugreifen. Arbeitgeber:innen müssten nur mehr sogenannte „berechtigte Interessen“ vorgeben und könnten auf mobile Geräte sowie auf alle dort vorhandenen Daten zugreifen.
Dokumentiert würde nur mehr in Unternehmen ab 700 Beschäftigten
Doch damit nicht genug. Im hinteren Teil des Entwurfs lauert eine weitere gravierende Änderung: Dokumentationsverpflichtungensollen nur mehr Unternehmen ab 700 Beschäftigten treffen und nur mehr Anwendungen mit „hohem Risiko“ erfasst werden. Hinter der knappen Aussage im Kommissionsentwurf, dass man in Anlehnung an den 2025 beschlossenen Data Act zu den „small and middle-sized companies“ nun auch „mid cap companies“ dazuzählt, verbirgt sich die Tatsache einer Erweiterung der Unternehmensgröße. Die Europäische Datenschutzbehörde diagnostiziert negative Auswirkungen des digitalen Omnibus, wenn diese „Erleichterungen für kleine Unternehmen“ kommen.
Diese „Erleichterungen“ für Unternehmen unter 700 Beschäftigten stehen allerdings schon seit Langem auf der Agenda der EU, wie die Schlagworte „Better Regulation“ oder „Bürokratieabbau“ seit den 2000er Jahren belegen. Schlägt das auch beim digitalen Omnibus durch, wäre es für Beschäftigte und Betriebsräte „kleiner“ Betriebe wesentlich schwieriger, zu Dokumentationen und damit Informationen darüber zu gelangen, welche personenbezogenen Daten vom Arbeitgeber oder der Arbeitgeberin wofür eingesetzt werden – schlicht, weil solche Dokumentationen nicht mehr vorliegen müssten.
Kniefall vor Tech-Konzernen?
Es ist unklar, weshalb der Omnibus die noch nicht einmal sieben Jahre alte DSGVO abändern soll, anstatt den ursprünglich geplanten Zeitplan für Leitlinien zur Anwendung der DSGVO seitens des Europäischen Datenschutzausschusses gemeinsam mit der Kommission beizubehalten. EU-Insider meinen, dieses Überraschungsmoment sei typisch für den „europäischen Kniefall vor den US-amerikanischen Tech-Giganten und Trump“, der in letzter Zeit häufig praktiziert werde.
Insgesamt stellt dieses Vorhaben einen Angriff auf den derzeit bestehenden Schutz für Arbeitnehmer:innen vor Eingriffen in ihre Privatsphäre dar. Damit würden Schutzdämme abgetragen, die seit Jahren über Rechtsprechung und Rechtsetzung in Europa aufgebaut und insbesondere seit Bestehen der DSGVO 2018 massiv verstärkt wurden. NGOs kritisieren, dass vor allem Tech-Konzerne profitieren und es weniger um den vielzitierten „Mittelstand“ geht, der von den geplanten Änderungen wenig bis gar nichts habe. Dass der digitale Omnibus stark von Künstlicher Intelligenz und damit US-amerikanischen Interessen angetrieben wird, ist eine naheliegende Vermutung.
EU-Parlament fordert Gesetz zum Schutz der Beschäftigten vor algorithmischem Management
Der Ausschuss für Beschäftigung und Soziale Angelegenheiten im Europäischen Parlament (EMPL) hat bereits eine Idee, wie sich Europa auf dem Arbeitsmarkt gegen den massiven Einfluss von Tech-Konzernen wappnen und die Beschäftigten besser schützen könnte. Der Ausschuss hat ein Gesetz zu algorithmischem Management am Arbeitsplatz ausgearbeitet. Diese am 11. November 2025 im EMPL beschlossene Initiative gäbe den Beschäftigten stärkere Informationsrechte und verpflichtende Schulungen zu KI-Anwendungen sowie KI-Entscheidungen. Entscheidungen zu Arbeitszeiteinteilung, Gehaltsänderungen, Einstellung, Kündigung, Beförderung oder ähnlich wichtigen Vorgängen müssten gemäß der Initiative des EMPL immer von einem Menschen getroffen werden.
Am 17. Dezember 2025 hat das EU-Parlament mit großer Mehrheit die Kommission aufgefordert, im Sinne der Arbeitnehmer:innen tätig zu werden und sich mit der Regelung von Algorithmen am Arbeitsplatz auseinanderzusetzen. 451 Abgeordnete haben entgegen 45 Nein-Stimmen und 153 Enthaltungen klar dafür gestimmt. Vielleicht haben dazu auch die E-Mails an die Abgeordneten eine Rolle gespielt, die im Zuge einer Kampagne des Europäischen Gewerkschaftsbundes verschickt wurden.
Regelung zum algorithmischen Management am Arbeitsplatz würde Beschäftigte besser schützen
Mit einem Gesetz, bei dem der menschliche Einfluss auf arbeitsplatzbezogene Entscheidungen und das Einbeziehen der Beschäftigten im Zentrum stehen, könnte ein stabiler Damm zum Schutz der Europäischen Arbeitnehmer:innen vor Eingriffen in ihre Privatsphäre geschaffen werden.
Ein Interview mit einer EU-Expertin gibt es auf dem Kompetenz-Blog der Gewerkschaft GPA. Einen umfassenden Beitrag auf dem Blog der Abteilung Arbeit und Technik.