NIS2-Gesetz stellt Betriebsräte vor vollendete Tatsachen
01.01.2026 - 13:31:12Das neue Cybersicherheitsgesetz verpflichtet Unternehmen zu sofortigen IT-Sicherheitsmaßnahmen, die traditionelle Mitbestimmungsrechte der Betriebsräte einschränken. Die Umsetzung muss bis März 2026 erfolgen.
Ab sofort müssen deutsche Unternehmen IT-Sicherheitsmaßnahmen umsetzen, die traditionelle Mitbestimmungsrechte aushebeln. Das neue Cybersicherheitsgesetz lässt keinen Verhandlungsspielraum mehr.
Seit dem 6. Dezember 2025 gilt das NIS-2-Umsetzungsgesetz – und mit dem Jahreswechsel 2026 beginnt der Ernstfall für etwa 29.500 betroffene Unternehmen. Die EU-Richtlinie verpflichtet sie zu sofortigen, teils tiefgreifenden Sicherheitsmaßnahmen. Das Problem: Viele dieser Maßnahmen, wie Mitarbeiterüberwachung oder strenge Zugangskontrollen, fallen eigentlich unter das Mitbestimmungsrecht der Betriebsräte. Doch genau dieses Recht wird durch das neue Gesetz ausgehebelt.
Keine Schonfrist für die Praxis
Die Umsetzungsfrist ist gnadenlos kurz. Bis zum 6. März 2026 müssen sich alle als „wichtig“ oder „besonders wichtig“ eingestuften Institutionen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Für die IT-Abteilungen bedeutet das: Sie müssen Überwachungssysteme, Hintergrundchecks und Kontrollmechanismen einführen – und das im Eiltempo.
„Es gibt keine Übergangsfristen“, betonen Experten in einer aktuellen Branchenanalyse. Der Gesetzgeber habe bewusst auf eine Schonfrist verzichtet. Für Betriebsräte bleibt damit kaum Zeit für die sonst üblichen, langwierigen Verhandlungsprozesse. Die IT-Sicherheit hat nun gesetzliche Priorität.
Passend zum Thema Mitbestimmung: Betriebsräte stehen durch das neue NIS‑2-Umsetzungsgesetz plötzlich vor engen Grenzen. Wer jetzt schnell und rechtssicher handeln will, sollte §87 BetrVG genau kennen — welche Rechte bleiben, welche nur bei der Umsetzung gelten und wie sich Betriebsvereinbarungen noch sinnvoll gestalten lassen. Der kostenlose Leitfaden erklärt verständlich Ihre Mitbestimmungsrechte und bietet konkrete Musterformulierungen für Verhandlungspositionen. Kostenlosen Leitfaden zu §87 BetrVG herunterladen
Mitbestimmung nur noch bei der Umsetzung
Der Konflikt ist vorprogrammiert. Paragraph 87 des Betriebsverfassungsgesetzes gewährt Betriebsräten ein Mitbestimmungsrecht bei der Einführung von Technik, die das Verhalten oder die Leistung von Beschäftigten überwacht. Moderne Sicherheitssysteme wie Endpoint Detection and Response (EDR) oder User Behavior Analytics (UBA) fallen genau in diese Kategorie.
Doch das neue Cybersicherheitsgesetz setzt hier einen klaren Vorrang. Juristen wie Dennis-Kenji Kipker erklären: Wenn eine Maßnahme gesetzlich vorgeschrieben ist, entfällt das Vetorecht des Betriebsrats. Die Mitbestimmung beschränkt sich damit nur noch auf die Modalitäten der Umsetzung – also darauf, wie mit den erhobenen Daten umgegangen wird. Ob die Systeme eingeführt werden, steht nicht mehr zur Debatte.
Der Schutz kritischer Infrastrukturen und Lieferketten hat Vorrang vor internen Konsensfindungen. Betriebsräte können die Einführung nicht mehr mit Verweis auf Datenschutz oder Leistungsdruck blockieren.
Neue Konflikte durch „kritische Komponenten“
Eine weitere Zuspitzung erwartet die Unternehmen bei sogenannten kritischen Komponenten. Das Gesetz erlaubt es den Behörden, den Einsatz von Hardware oder Software bestimmter, als nicht vertrauenswürdig eingestufter Anbieter zu verbieten. Die Folge: Unternehmen müssen Komponenten kurzfristig austauschen.
Für Betriebsräte ist das ein Albtraum. Solche Ersetzungen können Arbeitsabläufe erheblich stören und die Arbeitsbedingungen verändern. Da die Anordnung jedoch von außen aus Gründen der nationalen Sicherheit kommt, entfällt auch hier das vorherige Mitspracherecht.
Zusätzlich müssen Unternehmen jetzt ihre Lieferketten überprüfen. Dafür gewähren sie oft externen Prüfern Zugang zu internen Systemen. Viele Arbeitnehmervertreter betrachten diese Praxis mit großer Skepsis. Sie fürchten, dass „Sicherheit“ zum Vorwand für eine immer weiter ausufernde Überwachung am Arbeitsplatz wird – ohne die bisherigen Kontrollmechanismen.
Betriebsräte müssen Strategie ändern
Angesichts der drängenden Frist empfehlen Berater den Betriebsräten eine strategische Wende. Statt auf Blockade sollten sie auf konstruktive Compliance setzen. Das bedeutet: Sie verhandeln konkrete IT-Betriebsvereinbarungen, die Datenspeicherfristen, Zugriffsprotokolle und den Zweck der Datennutzung genau regeln.
Wichtigste Forderung: Sicherheitsdaten dürfen nicht für Leistungsbewertungen der Mitarbeiter genutzt werden. So lässt sich ein Mindestmaß an Kontrolle und Transparenz bewahren.
In den kommenden Wochen zeichnen sich mehrere kritische Entwicklungen ab:
* Anmeldeansturm: Tausende Unternehmen werden das BSI-Portal vor dem März-Termin überlasten.
* Erste Gerichtsverfahren: Arbeitsgerichte könnten über Klagen von Betriebsräten gegen als zu invasiv empfundene Überwachungstools entscheiden müssen.
* BSI-Leitfäden: Erwartet werden weitere Hilfestellungen der Behörde, die die Grenze zwischen notwendiger Sicherheit und überzogener Überwachung klären sollen.
Die Botschaft zum Start ins Jahr 2026 ist eindeutig: Cybersicherheit ist kein verhandelbarer Unternehmensstandard mehr, sondern ein gesetzlicher Befehl. Für die Betriebsräte beginnt ein Balanceakt. Sie müssen Arbeitnehmerrechte in einem Rahmen schützen, der die Pausentaste für IT-Sicherheit nicht mehr vorsieht.
PS: Sie wollen die Rechte des Betriebsrats in der Praxis durchsetzen, auch wenn Sicherheitspflichten von außen vorgeschrieben werden? Das kostenlose E‑Book erklärt Schritt für Schritt, wie Sie Ihre Mitbestimmung bei Überwachungstechniken, Zugriffsprotokollen und Lieferkettenprüfungen sichern — inklusive Checklisten und Verhandlungsstrategien für Betriebsvereinbarungen. Jetzt kostenlosen §87‑Leitfaden für Betriebsräte sichern
