{ "@context": "https://schema.org", "@graph": [ { "@type": "Organization", "@id": "https://www.tapausconsulting.de/#organization", "name": "Tapaus Technology Consulting GmbH", "alternateName": "Tapaus Consulting", "url": "https://www.tapausconsulting.de", "logo": { "@type": "ImageObject", "url": "https://static.wixstatic.com/media/6b8e7f_186853597a78426693841284d98bd3b7~mv2.png", "width": 198, "height": 42 }, "description": "Zertifizierte Sachverständige und Berater für Betriebsräte und Unternehmen. Spezialisiert auf KI-Gutachten nach §80 BetrVG, IT-Mitbestimmung, EU AI Act und Betriebsvereinbarungen.", "contactPoint": { "@type": "ContactPoint", "telephone": "+49-89-38169228", "email": "hello@tapaus.eu", "contactType": "customer service", "availableLanguage": ["German", "English"] }, "sameAs": [ "https://www.tapaus.eu" ] }, { "@type": "LocalBusiness", "@id": "https://www.tapausconsulting.de/#localbusiness", "name": "Tapaus Technology Consulting GmbH", "description": "KI-Sachverständige und IT-Berater für Betriebsräte – §80 BetrVG Gutachten, Betriebsvereinbarungen, EU AI Act Beratung. Kosten trägt der Arbeitgeber.", "url": "https://www.tapausconsulting.de", "telephone": "+49-89-38169228", "email": "hello@tapaus.eu", "address": { "@type": "PostalAddress", "addressLocality": "München", "postalCode": "80798", "addressCountry": "DE" }, "geo": { "@type": "GeoCoordinates", "latitude": 48.1551, "longitude": 11.5418 }, "areaServed": { "@type": "Country", "name": "Deutschland" }, "priceRange": "Kosten trägt der Arbeitgeber nach §40 BetrVG", "knowsAbout": [ "§80 BetrVG Sachverständigenrecht", "KI-Gutachten Betriebsrat", "EU AI Act Compliance", "Betriebsvereinbarung Künstliche Intelligenz", "Microsoft 365 Copilot Mitbestimmung", "Workforce Analytics Betriebsrat", "DSGVO Betriebsrat §79a" ], "parentOrganization": { "@id": "https://www.tapausconsulting.de/#organization" } } ] }
top of page

Aktuelle Informationen

für Betriebsräte

Suche

Microsoft 365 und Betriebsrat: Warum die Mitbestimmung an ihre Grenzen stößt

Aktualisiert: 15. Mai

Microsoft 365 ist in deutschen Unternehmen allgegenwärtig. Rund 85 Prozent der Großunternehmen setzen die Plattform ein. Was viele Betriebsräte unterschätzen: Hinter der vertrauten Oberfläche von Word, Excel und Teams verbirgt sich ein Ökosystem, das nahezu jede Benutzeraktivität protokolliert, auswertet und vernetzt. Und ein erheblicher Teil dieser Funktionen lässt sich nicht abschalten.


Das erzeugt einen Konflikt, der tiefer reicht als die üblichen Datenschutzdebatten. Es geht um die Frage, ob die technische Architektur von Microsoft 365 überhaupt mit dem Grundgedanken der Mitbestimmung vereinbar ist.


Das Problem: Microsofts Architektur kennt kein „Aus"

Microsoft 365 ist keine Sammlung einzelner Programme. Es ist eine vernetzte Plattform, deren Kern der Microsoft Graph bildet. Graph ist die zentrale Datenschicht, die sämtliche Microsoft 365 Dienste miteinander verbindet. Jede E-Mail, jede Teams Nachricht, jede Dateibearbeitung, jeder Kalendereintrag fließt durch Graph.


Und genau hier liegt das grundlegende Problem für Betriebsräte: Microsoft Graph lässt sich nicht deaktivieren. Es ist keine optionale Funktion. Es ist die Infrastruktur, ohne die Microsoft 365 nicht funktioniert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in mehreren Analysen dokumentiert, dass selbst bei minimaler Konfiguration Telemetriedaten an Microsoft Server übermittelt werden, darunter auch an Rechenzentren in den USA.


Die Konsequenz ist bemerkenswert: Selbst wenn ein Betriebsrat Viva Insights deaktivieren lässt, existieren die zugrundeliegenden Daten weiterhin in Graph. Sie werden erhoben, gespeichert und sind potenziell auswertbar. Die Deaktivierung der Benutzeroberfläche ändert nichts an der Datenerhebung.


Was Betriebsräte nicht einfach abschalten können

Die Herausforderung erstreckt sich über mehrere Ebenen. Microsoft unterscheidet zwischen „verbundenen Erfahrungen" (Connected Experiences), die Administratoren deaktivieren können, und „erforderlichen verbundenen Erfahrungen" (Required Connected Experiences), die sich nicht über Gruppenrichtlinien abschalten lassen. Microsoft selbst definiert diese als notwendig für den Betrieb der Software.


Konkret bedeutet das: Exchange Online protokolliert Sende- und Empfangszeitpunkte, Kommunikationspartner und Metadaten. Teams speichert Anwesenheitsstatus, Beitritts- und Verlassenszeiten in Besprechungen, Chat-Verläufe und Reaktionsmuster. SharePoint und OneDrive dokumentieren jeden Dateizugriff mit Zeitstempel und Benutzerkennung. Das Unified Audit Log in Microsoft Purview aggregiert Hunderte von Aktivitätstypen und macht sie durchsuchbar.


All diese Daten werden nicht optional erhoben. Sie fallen zwangsläufig bei der normalen Nutzung an. Für Betriebsräte nach §87 Abs. 1 Nr. 6 BetrVG ist das ein Problem: Die technische Einrichtung ist objektiv geeignet, das Verhalten und die Leistung von Beschäftigten zu überwachen. Und zwar unabhängig davon, ob der Arbeitgeber diese Absicht hat.


Unsere Beratungspraxis zeigt: Viele Betriebsräte erhalten bei Microsoft-365-Projekten umfangreiche Präsentationen zu Produktivität und Zusammenarbeit jedoch nur begrenzte Informationen zu Telemetrie, Audit-Funktionen oder langfristigen Datenflüssen sowie zu bereits aktivierten KI-Funktionen.

Microsoft Copilot verschärft die Lage

Mit der Einführung von Microsoft 365 Copilot erreicht die Problematik eine neue Dimension. Copilot greift auf sämtliche Microsoft 365 Daten zu, die einem Benutzer zugänglich sind. Es fasst E-Mails zusammen, analysiert Besprechungsinhalte, priorisiert Aufgaben und generiert Texte auf Basis vorhandener Dokumente.


Die Mitbestimmungsrelevanz ist offensichtlich: Copilot erzeugt durch die Art und Tiefe der Verarbeitung neue Protokoll- und Auswertungsmöglichkeiten. Selbst wenn der Arbeitgeber keine Leistungskontrolle beabsichtigt, entsteht durch die Nutzung eine objektive Überwachungseignung, die den Tatbestand des §87 Abs. 1 Nr. 6 BetrVG auslöst.


Gleichzeitig reguliert der EU AI Act Microsoft Copilot in seiner Standardform als System mit begrenztem Risiko, was Transparenzpflichten gegenüber den Beschäftigten auslöst. Die verschärften Anforderungen für Hochrisiko-KI-Systeme treten voraussichtlich ab August 2026 in Kraft.



Der Strukturkonflikt: Plattformlogik gegen Mitbestimmung

Das eigentliche Problem ist nicht technischer, sondern struktureller Natur. Die Idee der Mitbestimmung nach dem Betriebsverfassungsgesetz basiert auf einem einfachen Prinzip: Bevor eine technische Einrichtung eingeführt wird, die zur Überwachung geeignet ist, muss der Betriebsrat zustimmen und ihre Nutzung in einer Betriebsvereinbarung regeln.


Microsoft 365 untergräbt dieses Prinzip in mehrfacher Hinsicht.


  1. Kontinuierliche Veränderung Microsoft aktualisiert die Plattform permanent. Neue Features werden automatisch ausgerollt. Der Betriebsrat müsste eigentlich bei jeder Änderung erneut beteiligt werden. In der Praxis ist das kaum leistbar.


  2. Intransparente Datenflüsse Welche Daten wo erhoben und wie verarbeitet werden, ist selbst für IT-Fachleute schwer vollständig zu durchdringen. Für Betriebsräte ohne technischen Sachverstand ist eine fundierte Beurteilung praktisch unmöglich. In der Praxis fehlen häufig:

    • vollständige technische Dokumentationen,

    • nachvollziehbare Datenflussanalysen,

    • klare Aussagen zu Telemetrie- und Diagnosedaten,

    • oder belastbare Informationen darüber, welche Funktionen künftig automatisch aktiviert werden.

    Dadurch müssen Betriebsräte Entscheidungen treffen, obwohl wesentliche technische Auswirkungen häufig nicht vollständig transparent sind.


  3. Eingeschränkte Konfigurierbarkeit Der Betriebsrat kann nur regeln, was sich technisch auch tatsächlich steuern lässt. Wenn Microsoft Features als „erforderlich" deklariert und keine Deaktivierung ermöglicht, kann auch die beste Betriebsvereinbarung diese Datenerhebung nicht unterbinden.


Das Bundesarbeitsgericht hat 2022 klargestellt, dass die Einführung und Anwendung von Microsoft Office 365 der Mitbestimmung nach §87 Abs. 1 Nr. 6 BetrVG unterliegt. Diese Rechtsprechung bestätigt den Anspruch des Betriebsrats. Sie löst aber nicht den praktischen Konflikt zwischen dem Mitbestimmungsrecht und der technischen Realität einer Plattform, die nach ganz anderen Prinzipien gebaut ist.


Lösungsansätze: Was Betriebsräte jetzt tun können

Trotz dieser strukturellen Herausforderungen sind Betriebsräte nicht machtlos. Es gibt konkrete Handlungsoptionen.


  • Sachverständige hinzuziehen. Das Betriebsrätemodernisierungsgesetz 2021 hat den Anspruch auf Sachverständige nach §80 Abs. 3 BetrVG gezielt gestärkt. Bei der Beurteilung von KI-Systemen ist eine nähere Vereinbarung mit dem Arbeitgeber nicht mehr erforderlich. Die Kosten trägt der Arbeitgeber nach §40 BetrVG. Angesichts der Komplexität von Microsoft 365 ist die Beauftragung von Sachverständigen, die technische und rechtliche Kompetenz vereinen, keine Option, sondern eine Notwendigkeit.


  • Dynamische Betriebsvereinbarungen verhandeln. Statt statischer Regelwerke, die bei jedem Update überholt sind, sollten Betriebsvereinbarungen Mechanismen für die laufende Anpassung enthalten. Dazu gehören eine Pflicht zur Vorabinformation bei Feature-Änderungen, ein Eskalationsverfahren bei nicht deaktivierbaren Funktionen und regelmäßige gemeinsame Reviews der Konfiguration.


  • Technische Gegenmaßnahmen einfordern. Firewall-basierte Blockierung von Telemetrie-Endpunkten, restriktive Konfiguration von Audit Logs und der konsequente Einsatz von Conditional Access Policies können den Datenabfluss zumindest begrenzen. Diese Maßnahmen erfordern technisches Know-how und enge Zusammenarbeit zwischen IT-Abteilung, Datenschutzbeauftragten und Betriebsrat.


  • Den Druck auf Microsoft erhöhen. Betriebsräte sollten über ihre Gesamtbetriebsräte und Konzernbetriebsräte koordiniert auf den Arbeitgeber einwirken, damit dieser gegenüber Microsoft auf konfigurierbare Datenschutzoptionen dringt. Je mehr Unternehmen diese Anforderungen stellen, desto eher wird Microsoft reagieren.


Fazit: Mitbestimmung braucht technischen Sachverstand

Unternehmen arbeiten bei Microsoft-365-Projekten häufig mit spezialisierten Microsoft-Partnern, IT-Dienstleistern und teilweise sogar rechtsberatenden Kanzleien. Betriebsräte benötigen vergleichbare technische und juristische Expertise, um Ihre Mitbestimmungsrechte wirksam wahrnehmen zu können.


Microsoft 365 ist kein gewöhnliches IT-System. Es ist eine Plattform, deren Architektur fundamentale Fragen an die Mitbestimmung stellt. Betriebsräte, die ihre Rechte nach §87 BetrVG wirksam wahrnehmen wollen, kommen um technischen Sachverstand nicht herum.


Die gute Nachricht: Der Gesetzgeber hat diesen Bedarf erkannt und den Zugang zu Sachverständigen gestärkt. Die Kosten trägt der Arbeitgeber. Es gibt keinen Grund zu warten.


Das sollten Betriebsräte jetzt tun, wenn Microsoft 365 bereits im Einsatz ist

In vielen Unternehmen wurde Microsoft 365 eingeführt, ohne dass sämtliche Datenschutz-, Mitbestimmungs- und Überwachungsfragen vollständig bewertet wurden. Gerade bei älteren Betriebsvereinbarungen zeigt sich heute häufig eine erhebliche Regulierungslücke: Neue Funktionen, zusätzliche Cloud-Dienste und KI-Erweiterungen wie Microsoft Copilot verändern die Plattform kontinuierlich — während bestehende Regelungen technisch und rechtlich längst überholt sind.


Betriebsräte sollten deshalb nicht davon ausgehen, dass frühere Vereinbarungen automatisch ausreichend Schutz bieten. Insbesondere da Microsoft den Funktionsumfang ständig weiterentwickelt und neue Funktionen hinzufügt. Entscheidend ist jetzt eine strukturierte Neubewertung der bestehenden Microsoft-365-Umgebung.

Gerade weil viele Überwachungs- und Auswertungsmöglichkeiten nicht sichtbar im Arbeitsalltag erscheinen, bleibt das tatsächliche Risiko häufig lange unerkannt. Lassen Sie daher von unabhängigen Sachverständigen prüfen,

  • welche Funktionen in Ihrer Microsoft-365-Umgebung tatsächlich aktiv sind,

  • welche Mitbestimmungsrechte betroffen sind,

  • und wo bestehende Betriebsvereinbarungen regulatorische Lücken aufweisen.


Tapaus Technology Consulting vereint zertifizierten IT-Sachverstand und juristische Kompetenz unter einem Dach. Wir unterstützen Betriebsräte bei der Beurteilung von Microsoft 365, der Verhandlung von Betriebsvereinbarungen und der laufenden Begleitung. Ein Erstgespräch ist kostenlos und unverbindlich.


Weitere Informationen haben wir für Sie in nachfolgendem Whitepaper zusammengestellt:


Oder schauen Sie sich unsere Muster-BV an um erste Eindrücke zu erhalten wie MS365 reguliert werden kann:



Achtung: Untätigkeit schafft Risiken — technisch, rechtlich und strategisch

Viele Betriebsräte gehen davon aus, dass bestehende Betriebsvereinbarungen oder allgemeine Datenschutzregelungen ausreichend Schutz bieten. Bei modernen Plattformen wie Microsoft 365 ist das jedoch häufig nicht der Fall. Die Systeme entwickeln sich kontinuierlich weiter, neue Funktionen werden automatisiert ausgerollt und KI-gestützte Dienste erweitern die bestehenden Daten- und Auswertungsmöglichkeiten fortlaufend. Technische Funktionen verändern sich schneller, als bestehende Regelungen angepasst werden. Dadurch können Überwachungs- und Analysefunktionen aktiv sein, ohne dass deren Auswirkungen auf Beschäftigte oder Mitbestimmungsrechte vollständig bewertet wurden.


Für Betriebsräte entstehen daraus erhebliche Risiken:


  • Mitbestimmungsrechte werden faktisch unterlaufen,

  • datenschutzrechtliche Konflikte eskalieren erst im laufenden Betrieb,

  • bestehende Betriebsvereinbarungen verlieren ihre praktische Wirksamkeit,

  • und Beschäftigte verlieren Vertrauen in die Schutzfunktion des Betriebsrats.


Je länger bestehende Microsoft-365-Umgebungen ungeprüft bleiben, desto schwieriger wird es für Betriebsräte, technische Entwicklungen nachträglich wirksam zu regulieren.




IHR NÄCHSTER SCHRITT

Kostenloses Erstgespräch buchen

 

30 Minuten · Online · Unverbindlich · www.tapaus.eu

bottom of page