Microsoft 365 Copilot & Betriebsrat Mitbestimmung

Microsoft 365 Copilot ist in deutschen Unternehmen angekommen. Laut Microsoft nutzen bereits Hunderttausende Organisationen weltweit den KI-Assistenten, der in Word, Excel, PowerPoint, Teams und Outlook integriert ist. Für Betriebsräte entsteht damit eine Situation, die weit über die bisherigen Herausforderungen mit Microsoft 365 hinausgeht. Copilot liest nicht nur Daten. Copilot versteht, verknüpft und bewertet sie. Und genau das macht die Mitbestimmungsfrage so drängend.

Dieser Artikel analysiert, welche konkreten Risiken Microsoft 365 Copilot für Beschäftigte erzeugt, welche Rechte Betriebsräte haben und wie sie diese wirksam einsetzen können.

Was Microsoft 365 Copilot tatsächlich tut

Um die Mitbestimmungsrelevanz zu verstehen, muss man zunächst verstehen, wie Copilot funktioniert. Microsoft 365 Copilot ist kein eigenständiges Programm. Es ist eine KI-Schicht, die auf dem gesamten Microsoft 365 Ökosystem aufsetzt. Im Zentrum steht der Microsoft Graph, die zentrale Datenschicht, die sämtliche Microsoft 365 Dienste miteinander verbindet.

Wenn ein Beschäftigter Copilot eine Frage stellt, geschieht Folgendes: Copilot durchsucht alle Daten, auf die der Nutzer Zugriff hat. E-Mails in Outlook, Chatverläufe in Teams, Dateien in SharePoint und OneDrive, Kalendereinträge, Besprechungsprotokolle. Es fasst zusammen, priorisiert, analysiert Muster und generiert Antworten auf Basis dieser Daten.

Das unterscheidet Copilot grundlegend von bisherigen Microsoft 365 Funktionen. Word speichert ein Dokument. Copilot versteht den Inhalt des Dokuments, setzt ihn in Bezug zu E-Mails, Besprechungen und anderen Dokumenten und zieht daraus Schlüsse. Diese Fähigkeit zur Verknüpfung und Interpretation ist es, die Copilot für die Mitbestimmung so relevant macht.

Die Risiken: Warum Copilot ein Mitbestimmungsthema ist

Das Bundesarbeitsgericht hat in seinem Beschluss vom 8. März 2022 (1 ABR 20/21) klargestellt: Eine technische Einrichtung unterliegt der Mitbestimmung nach §87 Abs. 1 Nr. 6 BetrVG, wenn sie objektiv geeignet ist, das Verhalten oder die Leistung von Beschäftigten zu überwachen. Ob der Arbeitgeber diese Absicht hat, ist unerheblich.

Microsoft 365 Copilot erfüllt dieses Kriterium in mehrfacher Hinsicht. Im Microsoft 365 Admin Center können Administratoren detaillierte Nutzungsdaten einsehen: Wie oft ein Beschäftigter Copilot nutzt, in welchen Anwendungen, für welche Aufgabentypen. Über Microsoft Viva Insights lassen sich diese Daten zu Mustern aggregieren, die Rückschlüsse auf Arbeitsverhalten und Produktivität ermöglichen.

Noch schwerwiegender: Über Microsoft Purview und das Unified Audit Log können bei entsprechender Konfiguration einzelne Copilot-Interaktionen nachvollzogen werden. Jede Frage, die ein Beschäftigter an Copilot stellt, kann protokolliert, durchsucht und ausgewertet werden. Microsoft bezeichnet das als Enterprise Data Protection. Für Betriebsräte bedeutet es: Es existiert ein lückenloses Protokoll der KI-gestützten Arbeitsweise jedes einzelnen Beschäftigten.

Neue Qualität der Datenverknüpfung

Das eigentliche Risiko liegt nicht in der bloßen Protokollierung. Es liegt in der Qualität der Auswertung. Vor Copilot waren die Daten in Microsoft 365 fragmentiert. E-Mails lagen in Outlook, Dateien in SharePoint, Chats in Teams. Eine systematische Auswertung erforderte erheblichen Aufwand.

Copilot hebt diese Fragmentierung auf. Es verknüpft Daten über Anwendungsgrenzen hinweg und erzeugt damit ein zusammenhängendes Bild der Arbeitstätigkeit eines Beschäftigten. Welche Themen bearbeitet er? Mit wem kommuniziert sie? Wie schnell reagiert er auf Anfragen? Wie formuliert sie im Vergleich zu Kollegen? All diese Informationen waren theoretisch auch vorher vorhanden. Copilot macht sie praktisch verfügbar.

Für Betriebsräte verschiebt das die Risikobewertung erheblich. Es geht nicht mehr nur um die Frage, ob Daten erhoben werden. Es geht darum, dass eine KI diese Daten in Echtzeit interpretiert und in Zusammenhänge stellt, die für eine Leistungs- und Verhaltensüberwachung unmittelbar nutzbar sind.

Datenschutzrechtliche Problemfelder

Microsoft betont, dass Copilot innerhalb der EU Data Boundary arbeitet und Kundendaten in europäischen Rechenzentren verbleiben. Das ist grundsätzlich korrekt, allerdings mit einer bemerkenswerten Einschränkung: Seit 2025 setzt Microsoft neben OpenAI-Modellen auch Modelle von Anthropic (Claude) in Copilot ein. Anthropic hostet primär auf AWS-Servern in den USA und ist derzeit von der EU Data Boundary ausgenommen. Bei Verarbeitung über ein Claude-Modell können Daten die EU verlassen.

Für Betriebsräte bedeutet das: Die pauschale Zusicherung, dass Daten in Europa bleiben, ist differenzierter zu betrachten als Microsoft es darstellt. Eine Betriebsvereinbarung, die sich auf die EU Data Boundary verlässt, ohne die Modellarchitektur zu berücksichtigen, greift möglicherweise zu kurz.

Darüber hinaus stellen sich grundlegende Fragen zur Rechtsgrundlage der Datenverarbeitung. Copilot verarbeitet personenbezogene Daten in einem Umfang und einer Tiefe, die über die ursprüngliche Zweckbindung der einzelnen Microsoft 365 Dienste hinausgeht. Ob die bestehenden Auftragsverarbeitungsverträge diese erweiterte Verarbeitung abdecken, ist rechtlich umstritten.

Unkontrollierbare Feature-Updates

Microsoft rollt neue Copilot-Funktionen in hoher Frequenz aus. Agentische Fähigkeiten, erweiterte Analysefunktionen, die Integration von Drittanbieter-Plugins. Viele dieser Updates erfolgen automatisch, ohne dass Administratoren oder Betriebsräte vorab informiert werden.

Das erzeugt ein strukturelles Problem: Die Betriebsvereinbarung, die heute den Einsatz von Copilot regelt, kann morgen durch ein Feature-Update überholt sein. Die Mitbestimmung nach §87 BetrVG setzt voraus, dass der Betriebsrat vor der Einführung einer technischen Einrichtung beteiligt wird. Bei einem System, das sich permanent verändert, ist dieser Zeitpunkt schwer zu bestimmen.

Die rechtliche Lage: Welche Rechte haben Betriebsräte?

§87 Abs. 1 Nr. 6 BetrVG: Zwingende Mitbestimmung

Die Einführung und Anwendung von Microsoft 365 Copilot unterliegt der zwingenden Mitbestimmung des Betriebsrats. Das ergibt sich unmittelbar aus dem BAG-Beschluss von 2022 zu Microsoft 365 und gilt für Copilot in verstärktem Maße. Ohne Zustimmung des Betriebsrats darf Copilot nicht eingesetzt werden. Bei unternehmensweitem Einsatz ist der Gesamtbetriebsrat zuständig.

Konkret bedeutet das: Der Arbeitgeber muss den Betriebsrat bereits in der Planungsphase einbeziehen. Eine nachträgliche Information reicht nicht aus. Der Betriebsrat hat das Recht, die Konfiguration mitzubestimmen, also festzulegen, welche Copilot-Funktionen aktiviert werden, welche Nutzungsdaten erhoben werden dürfen und wer darauf Zugriff hat.

§80 Abs. 3 BetrVG: Sachverständige für KI

Das Betriebsrätemodernisierungsgesetz 2021 hat den Zugang zu Sachverständigen bei der Beurteilung von KI-Systemen bewusst erleichtert. Bei Fragen, die den Einsatz von künstlicher Intelligenz betreffen, ist eine nähere Vereinbarung mit dem Arbeitgeber nicht mehr erforderlich. Der Betriebsrat kann eigenständig Sachverständige beauftragen. Die Kosten trägt der Arbeitgeber nach §40 BetrVG.

Angesichts der technischen Komplexität von Microsoft 365 Copilot ist das kein theoretisches Recht. Es ist eine praktische Notwendigkeit. Die Frage, welche Daten Copilot verarbeitet, wie die Protokollierung funktioniert und welche Konfigurationsoptionen tatsächlich wirksam sind, erfordert Sachverstand, der technische und rechtliche Kompetenz vereint.

EU AI Act: Neue Pflichten ab 2026

Der EU AI Act fügt eine weitere Regulierungsebene hinzu. Microsoft 365 Copilot fällt in der Standardkonfiguration unter die Kategorie der KI-Systeme mit begrenztem Risiko. Das löst Transparenzpflichten aus: Beschäftigte müssen darüber informiert werden, dass sie mit einem KI-System interagieren.

Wird Copilot jedoch in HR-Prozessen eingesetzt, etwa zur Vorbereitung von Personalentscheidungen, zur Leistungsbeurteilung oder zur Bewerberauswahl, kann es als Hochrisiko-KI-System eingestuft werden. Die verschärften Anforderungen für Hochrisiko-Systeme, darunter Konformitätsbewertungen, Registrierung im EU-KI-Register und eine verpflichtende Grundrechte-Folgenabschätzung, greifen nach aktuellem Stand ab Dezember 2027. Die ursprünglich für August 2026 geplante Frist wurde durch eine Einigung von Parlament und Rat im Mai 2026 verschoben.

Seit Februar 2025 gilt bereits die Pflicht zur KI-Kompetenz: Anbieter und Betreiber müssen sicherstellen, dass alle Personen, die mit KI-Systemen arbeiten, über ausreichende Kenntnisse verfügen. Für Betriebsräte ist das ein wirksamer Hebel: Schulungen und Qualifizierungsmaßnahmen im Zusammenhang mit Copilot sind nicht optional, sondern gesetzlich geboten.

Die Möglichkeiten: Was Betriebsräte jetzt tun können

Betriebsvereinbarung verhandeln, nicht unterschreiben

Eine Betriebsvereinbarung zu Microsoft 365 Copilot ist kein Formular, das man ausfüllt. Sie ist ein Verhandlungsergebnis, das die technischen Realitäten widerspiegeln muss. Betriebsräte sollten dabei auf mehrere Punkte bestehen.

• Erstens: Eine präzise Definition, welche Copilot-Funktionen aktiviert werden und welche nicht. Nicht alle Features müssen freigeschaltet werden. Die Deaktivierung einzelner Funktionen, etwa der Besprechungszusammenfassung in Teams oder der Copilot-Nutzung in bestimmten Abteilungen, ist technisch möglich.

  
  

• Zweitens: Klare Regelungen zur Protokollierung und zum Zugriff auf Nutzungsdaten. Wer darf Copilot-Nutzungsstatistiken einsehen? Unter welchen Bedingungen dürfen einzelne Copilot-Interaktionen über Purview eingesehen werden? Welche Aufbewahrungsfristen gelten?

  
  

• Drittens: Eine dynamische Anpassungsklausel. Neue Copilot-Features, die Microsoft ausrollt, dürfen erst nach Information und Zustimmung des Betriebsrats aktiviert werden. Das erfordert einen Mechanismus, der die IT-Abteilung verpflichtet, Feature-Updates zu melden, bevor sie freigeschaltet werden.

Technischen Sachverstand beauftragen

Die Beurteilung von Microsoft 365 Copilot übersteigt das, was ein Betriebsrat aus eigener Kraft leisten kann. Das ist keine Schwäche, sondern eine realistische Einschätzung der technischen Komplexität. Der Gesetzgeber hat genau für diesen Fall den Zugang zu Sachverständigen erleichtert.

Sachverständige, die sowohl die technische Architektur von Microsoft 365 als auch die rechtlichen Rahmenbedingungen verstehen, können den Betriebsrat bei der Bewertung der tatsächlichen Datenflüsse unterstützen, die Wirksamkeit von Konfigurationsoptionen prüfen, Betriebsvereinbarungen auf technische Umsetzbarkeit bewerten und bei der laufenden Begleitung des Copilot-Einsatzes beraten.

Die Kosten dafür trägt der Arbeitgeber. Das ist geltendes Recht nach §40 BetrVG, nicht verhandelbar.

Beschäftigte einbeziehen und qualifizieren

Copilot verändert die Art, wie Menschen arbeiten. Betriebsräte haben die Möglichkeit, diesen Wandel mitzugestalten, statt ihn nur zu kontrollieren. Konkret bedeutet das: Schulungen einfordern, die nicht nur die Bedienung von Copilot vermitteln, sondern auch ein Bewusstsein dafür schaffen, welche Daten bei der Nutzung entstehen und wie Beschäftigte ihre eigene digitale Arbeitsumgebung bewusst gestalten können.

Die seit Februar 2025 geltende KI-Kompetenzpflicht aus dem EU AI Act gibt Betriebsräten ein zusätzliches Argument: Der Arbeitgeber ist verpflichtet, für ausreichende KI-Kompetenz zu sorgen. Betriebsräte können mitbestimmen, wie diese Qualifizierung aussieht.

Informationsrechte konsequent nutzen

Betriebsräte haben nach §80 Abs. 2 BetrVG umfassende Informationsrechte. Im Zusammenhang mit Copilot bedeutet das: Der Arbeitgeber muss offenlegen, welche Copilot-Lizenzen vergeben werden, welche Konfiguration gewählt wurde, welche Nutzungsdaten erhoben werden und wer darauf Zugriff hat.

Diese Informationsrechte sind kein einmaliger Vorgang. Angesichts der ständigen Weiterentwicklung von Copilot sollten Betriebsräte regelmäßige Reviews vereinbaren, in denen die aktuelle Konfiguration gemeinsam überprüft wird.

Fazit: Copilot ist kein Werkzeug. Copilot ist ein System.

Der entscheidende Denkfehler in vielen Unternehmen besteht darin, Microsoft 365 Copilot wie ein weiteres Office-Tool zu behandeln. Es ist kein Tool. Es ist ein KI-System, das tief in die Arbeitsprozesse eingreift, umfassende Daten verarbeitet und neue Überwachungsmöglichkeiten schafft.

Für Betriebsräte bedeutet das: Die Mitbestimmungsrechte nach §87 BetrVG gelten nicht nur. Sie sind bei Copilot besonders dringend auszuüben. Der Gesetzgeber hat den Zugang zu technischem Sachverstand gestärkt. Der EU AI Act ergänzt zusätzliche Transparenz- und Qualifizierungspflichten. Die rechtlichen Instrumente sind vorhanden.

Was oft fehlt, ist der technische Sachverstand, um diese Instrumente wirksam einzusetzen. Betriebsräte, die Microsoft 365 Copilot nicht nur hinnehmen, sondern aktiv gestalten wollen, brauchen Partner, die Technologie und Recht zusammen denken.

Vielleicht auch Interessant für Sie:

• Tapaus Rechts-Datenbank: Urteil Microsoft 365- Zuständigkeit Gesamtbetriebsrat

• Tapaus Whitepaper: Leitfaden Künstliche Intelligenz & Mitbestimmung