Die unsichtbaren Analysten: Wie Microsoft 365 Arbeitsverhalten vermisst und was das für die Mitbestimmung bedeutet

Microsoft 365 ist mehr als Word, Excel und Teams. Hinter der vertrauten Oberfläche arbeitet ein Geflecht aus Analysemodulen, das Kommunikationsmuster auswertet, Produktivitätskennzahlen berechnet und die Nutzung von KI-Funktionen protokolliert. Viele Beschäftigte wissen nicht, dass diese Module existieren. Viele Betriebsräte unterschätzen, wie tief sie reichen.

Mit der Einführung von Microsoft 365 Copilot hat sich diese Analyseschicht nochmals erweitert. Copilot erzeugt nicht nur Inhalte. Es erzeugt Daten über die Erzeugung von Inhalten. Und diese Daten fließen in Dashboards, die Führungskräften und Administratoren zugänglich sind.

Dieser Artikel legt offen, welche Analysemodule in Microsoft 365 arbeiten, welche Daten sie erheben und warum Betriebsräte sie in jeder Betriebsvereinbarung berücksichtigen müssen.

Die drei Analyseschichten von Microsoft 365

Microsoft 365 analysiert Arbeitsverhalten nicht mit einem einzelnen Werkzeug, sondern über drei aufeinander aufbauende Schichten. Jede Schicht hat eigene Funktionen, eigene Datenquellen und eigene Risiken für Beschäftigte.

Schicht 1: Microsoft Viva Insights

Viva Insights ist das umfangreichste Analysemodul in Microsoft 365. Es existiert in drei Ausbaustufen, die sich in ihrem Zugriff und ihrer Auswertungstiefe unterscheiden.

Die persönliche Ebene zeigt jedem Beschäftigten individuell, wie er seine Arbeitszeit verbringt: Stunden in Besprechungen, Fokuszeit ohne Unterbrechungen, Reaktionszeiten auf Nachrichten, Muster in der Zusammenarbeit mit Kollegen. Microsoft vermarktet das als Werkzeug für das eigene Wohlbefinden. Tatsächlich generiert es ein detailliertes Profil des individuellen Arbeitsverhaltens.

Die Manager-Ebene aggregiert diese Daten auf Teamebene. Führungskräfte sehen, wie ihre Teams arbeiten: durchschnittliche Meeting-Belastung, Verteilung von Fokuszeiten, Überstundenmuster, Zusammenarbeitsnetzwerke. Microsoft setzt eine Mindestgruppengröße von zehn Personen voraus, um Rückschlüsse auf Einzelne zu erschweren. In der Praxis reicht eine Gruppengröße von zehn in vielen Abteilungsstrukturen nicht aus, um Anonymität tatsächlich zu gewährleisten. Wer in einer Abteilung mit zwölf Personen der Einzige ist, der regelmäßig bis 20 Uhr arbeitet, ist auch in aggregierten Daten identifizierbar.

Die erweiterte Analyse, früher Workplace Analytics genannt, bietet Organisationsanalysten Zugriff auf unternehmensweite Auswertungen. Hier lassen sich Kommunikationsflüsse zwischen Abteilungen visualisieren, Netzwerkstrukturen analysieren und Muster identifizieren, die auf organisatorische Probleme hindeuten. Microsoft protokolliert alle Abfragen, die Analysten in diesem Modul erstellen.

Was Betriebsräte beachten müssen: Viva Insights greift auf Metadaten aus Exchange, Teams, SharePoint und OneDrive zu. Es wertet keine Inhalte aus, sondern strukturelle Muster. Wer kommuniziert mit wem, wann, wie oft, über welchen Kanal. Diese Metadaten sind in vielen Fällen aussagekräftiger als die Inhalte selbst. Sie zeichnen ein präzises Bild davon, wie eine Person arbeitet, ohne ein einziges Wort zu lesen.

Schicht 2: Adoption Score

Der Adoption Score ist der Nachfolger des Microsoft Productivity Score, der 2020 eine massive Datenschutzkontroverse auslöste. Der ursprüngliche Productivity Score ermöglichte Auswertungen auf Individualebene: Administratoren konnten sehen, an wie vielen Tagen ein einzelner Beschäftigter E-Mails verschickt, Chats genutzt oder an Dokumenten zusammengearbeitet hatte. Der Datenschutzaktivist Wolfie Christl machte die Problematik öffentlich. Microsoft reagierte mit der Entfernung individueller Nutzernamen und der Umbenennung in Adoption Score.

Die Kernfunktion blieb erhalten. Der Adoption Score misst, wie intensiv eine Organisation Microsoft 365 nutzt, und vergleicht diese Nutzung mit ähnlich großen Unternehmen. Er erfasst Kommunikationsverhalten über E-Mails und Chats, Zusammenarbeit an gemeinsamen Dokumenten, Nutzung von Cloud-Speicher und Mobility-Funktionen, Meeting-Praktiken und Interaktionsmuster.

Microsoft betont, dass keine individuellen Nutzerdaten mehr sichtbar sind. Das ist technisch korrekt. Die zugrundeliegenden Daten werden jedoch weiterhin auf Individualebene erhoben und lediglich in der Darstellung aggregiert. Sie existieren im System. Und die Geschichte des Productivity Score zeigt, dass Microsoft die Granularität der Anzeige in beide Richtungen ändern kann.

Für Betriebsräte ist die Lehre aus dieser Episode klar: Es reicht nicht, die aktuelle Benutzeroberfläche zu bewerten. Entscheidend ist, welche Daten im Hintergrund erhoben werden und welche Auswertungen technisch möglich sind, unabhängig davon, ob sie heute aktiviert sind.

Schicht 3: Copilot Analytics

Mit der Einführung von Microsoft 365 Copilot ist eine dritte Analyseschicht hinzugekommen, die in ihrer Detailtiefe über alles hinausgeht, was Microsoft 365 bisher an Nutzungsdaten erzeugt hat.

Das Copilot Dashboard in Viva Insights zeigt Administratoren und Führungskräften, wie Copilot im Unternehmen genutzt wird. Es erfasst die Gesamtzahl der eingegebenen Prompts und den Durchschnitt pro Nutzer, die Nutzungshäufigkeit aufgeschlüsselt nach Anwendung (Word, Excel, Teams, Outlook, PowerPoint), welche Copilot-Funktionen eingesetzt werden (Zusammenfassungen, Entwürfe, Analysen) und Adoptionstrends im Zeitverlauf.

Das Copilot Control System, das Microsoft 2025 auf der Ignite vorgestellt hat, erweitert diese Analysefähigkeiten zusätzlich. Es bietet Administratoren granulare Steuerungs- und Auswertungsmöglichkeiten für den Copilot-Einsatz.

Die brisanteste Dimension ist die Protokollierung über Microsoft Purview. Copilot-Interaktionen unterliegen der Enterprise Data Protection. Das bedeutet: Jede Frage, die ein Beschäftigter an Copilot stellt, und jede Antwort, die Copilot generiert, kann über das Audit Log und eDiscovery durchsucht, gespeichert und ausgewertet werden. Microsoft positioniert das als Compliance-Funktion. Für Betriebsräte ist es eine Überwachungsinfrastruktur, die den vollständigen KI-gestützten Arbeitsprozess eines Beschäftigten dokumentiert.

Ab 2026 werden Copilot-Prompts und -Antworten auch innerhalb Deutschlands verarbeitet. Microsoft hat angekündigt, die In-Country-Verarbeitung schrittweise auf elf weitere europäische Standorte auszuweiten, darunter Deutschland. Das verbessert die Datensouveränität, ändert aber nichts an der grundsätzlichen Protokollierungstiefe.

Warum das ein Mitbestimmungsthema ist

Die rechtliche Ausgangslage

§87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Das Bundesarbeitsgericht hat 2022 klargestellt, dass bereits die objektive Eignung zur Überwachung ausreicht. Eine Überwachungsabsicht des Arbeitgebers ist nicht erforderlich.

Viva Insights, Adoption Score und Copilot Analytics erfüllen dieses Kriterium jeweils einzeln. In Kombination potenzieren sie die Überwachungseignung. Zusammengenommen ermöglichen sie ein Bild, das Kommunikationsverhalten, Produktivitätsmuster und KI-Nutzung eines Beschäftigten zu einem umfassenden Arbeitsprofil vereint.

Das Problem der schleichenden Aktivierung

Keines dieser Analysemodule muss separat eingeführt werden. Sie sind Bestandteil der Microsoft 365 Lizenzierung und in vielen Fällen standardmäßig aktiviert. Viva Insights auf persönlicher Ebene ist für alle Microsoft 365 Nutzer verfügbar. Der Adoption Score steht jedem Administrator im Admin Center zur Verfügung. Copilot Analytics aktiviert sich automatisch mit der Copilot-Lizenz.

Das ist aus Mitbestimmungsperspektive hochproblematisch. Die technische Einrichtung wird nicht durch einen bewussten Einführungsakt installiert, sondern ist bereits vorhanden, wenn Microsoft 365 genutzt wird. Viele Betriebsräte erfahren erst von diesen Modulen, wenn sie bereits Daten erheben.

Die Aggregierungsfalle

Microsoft argumentiert regelmäßig, dass Auswertungen nur auf aggregierter Ebene stattfinden und individuelle Rückschlüsse nicht möglich seien. Dieses Argument hat drei Schwachstellen.

• Erstens: Die Daten werden individuell erhoben und erst in der Darstellung aggregiert. Die Rohdaten existieren und sind unter bestimmten Bedingungen zugänglich, etwa über Microsoft Purview oder über die Graph API.

  
  

• Zweitens: Aggregierung schützt nicht vor Re-Identifizierung. In kleinen Teams oder bei ungewöhnlichen Arbeitsmustern sind Einzelne auch in aggregierten Daten erkennbar. Die Mindestgruppengröße von zehn Personen bei Viva Insights Manager-Ansichten ist ein statistisches Minimum, keine Anonymitätsgarantie.

  
  

• Drittens: Microsoft kann die Aggregierungsebene jederzeit ändern. Der Wechsel vom Productivity Score zum Adoption Score hat gezeigt, dass Datenschutzentscheidungen bei Microsoft reversibel sind. Was heute aggregiert dargestellt wird, kann morgen wieder individualisiert werden.

Was Betriebsräte konkret tun sollten

Bestandsaufnahme durchführen

Der erste Schritt ist eine vollständige Bestandsaufnahme aller aktiven Analysemodule. Welche Viva Insights Ebenen sind aktiviert? Wer hat Zugriff auf Manager-Insights und erweiterte Analysen? Ist der Adoption Score im Admin Center sichtbar und wer nutzt ihn? Welche Copilot-Nutzungsdaten werden erhoben und wer hat Zugriff auf das Dashboard?

Diese Bestandsaufnahme ist ohne technischen Sachverstand kaum zu leisten. Die Module sind über verschiedene Admin-Oberflächen verteilt und ihre Konfiguration erfordert tiefes Wissen über die Microsoft 365 Architektur.

Analysemodule in die Betriebsvereinbarung aufnehmen

Eine Betriebsvereinbarung zu Microsoft 365, die nur Word, Excel und Teams regelt, greift zu kurz. Viva Insights, Adoption Score und Copilot Analytics müssen explizit adressiert werden. Konkret sollte die Betriebsvereinbarung festlegen, welche Analyse-Ebenen aktiviert werden dürfen und welche deaktiviert bleiben, wer Zugriff auf welche Auswertungen erhält, welche Aufbewahrungsfristen für Analysedaten gelten, unter welchen Bedingungen individuelle Copilot-Interaktionen über Purview eingesehen werden dürfen, dass neue Analysefunktionen, die Microsoft ausrollt, erst nach Zustimmung des Betriebsrats aktiviert werden.

Technische Schutzmaßnahmen einfordern

Neben der vertraglichen Regelung gibt es technische Maßnahmen, die den Datenabfluss begrenzen. Administratoren können Viva Insights auf persönlicher Ebene deaktivieren, sodass Beschäftigte keine individuellen Produktivitätsprofile sehen. Die Manager-Ebene von Viva Insights lässt sich separat deaktivieren. Audit Log Retention Policies können so konfiguriert werden, dass Copilot-Interaktionen nach einer definierten Frist automatisch gelöscht werden. Conditional Access Policies können den Zugriff auf Analysedashboards auf einen definierten Personenkreis beschränken.

Diese Maßnahmen erfordern eine enge Zusammenarbeit zwischen Betriebsrat, IT-Abteilung und Datenschutzbeauftragtem. Sie erfordern auch die Fähigkeit, die technische Umsetzung zu überprüfen. Denn eine Deaktivierung in der Admin-Oberfläche bedeutet nicht zwangsläufig, dass die Datenerhebung im Hintergrund stoppt.

Sachverständige hinzuziehen

Die Komplexität der Microsoft 365 Analyselandschaft übersteigt das, was Betriebsräte aus eigener Kraft bewerten können. Das ist kein Vorwurf, sondern eine Beschreibung der technischen Realität. Microsoft Graph, Viva Insights, Purview, das Copilot Control System: Das sind Systeme, deren Zusammenspiel selbst für spezialisierte IT-Fachleute eine Herausforderung darstellt.

§80 Abs. 3 BetrVG gibt Betriebsräten das Recht, Sachverständige hinzuzuziehen. Bei der Beurteilung von KI-Systemen, und Copilot ist ein KI-System, ist eine nähere Vereinbarung mit dem Arbeitgeber seit 2021 nicht mehr erforderlich. Die Kosten trägt der Arbeitgeber nach §40 BetrVG. Sachverständige, die technische und rechtliche Kompetenz vereinen, sind dabei besonders wertvoll: Sie können nicht nur bewerten, welche Daten erhoben werden, sondern auch beurteilen, welche rechtlichen Konsequenzen sich daraus ergeben und welche Regelungen in einer Betriebsvereinbarung wirksam sind.

Regelmäßige Audits vereinbaren

Microsoft aktualisiert seine Analysemodule kontinuierlich. Was heute konfiguriert und vereinbart ist, kann durch ein Feature-Update überholt sein. Betriebsräte sollten in der Betriebsvereinbarung regelmäßige Audits verankern, mindestens halbjährlich. In diesen Audits wird die aktuelle Konfiguration aller Analysemodule überprüft, neue Features und Änderungen bewertet und die Einhaltung der vereinbarten Regelungen kontrolliert.

Fazit: Analyse ist nicht neutral

Microsoft positioniert seine Analysemodule als Werkzeuge für Produktivität und Wohlbefinden. Viva Insights soll Beschäftigten helfen, ihre Arbeitszeit besser zu gestalten. Der Adoption Score soll Organisationen zeigen, wie gut sie digitale Werkzeuge nutzen. Copilot Analytics soll den ROI der KI-Investition messbar machen.

Diese Erzählung ist nicht falsch. Aber sie ist unvollständig. Dieselben Daten, die dem Wohlbefinden dienen sollen, sind objektiv geeignet, Verhalten und Leistung zu überwachen. Das macht sie mitbestimmungspflichtig. Und zwar nicht als Nebensache, die man in einem Absatz einer Microsoft 365 Betriebsvereinbarung abhandelt, sondern als eigenständiges Thema, das eine sorgfältige technische und rechtliche Bewertung verdient.

Betriebsräte, die Microsoft 365 nur als Sammlung von Produktivitätsprogrammen betrachten, übersehen die Analyseschicht, die darunter arbeitet. Und sie übersehen damit einen wesentlichen Teil dessen, was §87 Abs. 1 Nr. 6 BetrVG zu schützen versucht.

Keywords: Microsoft Analysemodule Mitbestimmung, Viva Insights Betriebsrat, Productivity Score Überwachung, Copilot Analytics Datenschutz, §87 BetrVG technische Überwachung, Microsoft 365 Verhaltensanalyse, KI Arbeitsplatz Betriebsrat