{ "@context": "https://schema.org", "@graph": [ { "@type": "Organization", "@id": "https://www.tapausconsulting.de/#organization", "name": "Tapaus Technology Consulting GmbH", "alternateName": "Tapaus Consulting", "url": "https://www.tapausconsulting.de", "logo": { "@type": "ImageObject", "url": "https://static.wixstatic.com/media/6b8e7f_186853597a78426693841284d98bd3b7~mv2.png", "width": 198, "height": 42 }, "description": "Zertifizierte Sachverständige und Berater für Betriebsräte und Unternehmen. Spezialisiert auf KI-Gutachten nach §80 BetrVG, IT-Mitbestimmung, EU AI Act und Betriebsvereinbarungen.", "contactPoint": { "@type": "ContactPoint", "telephone": "+49-89-38169228", "email": "hello@tapaus.eu", "contactType": "customer service", "availableLanguage": ["German", "English"] }, "sameAs": [ "https://www.tapaus.eu" ] }, { "@type": "LocalBusiness", "@id": "https://www.tapausconsulting.de/#localbusiness", "name": "Tapaus Technology Consulting GmbH", "description": "KI-Sachverständige und IT-Berater für Betriebsräte – §80 BetrVG Gutachten, Betriebsvereinbarungen, EU AI Act Beratung. Kosten trägt der Arbeitgeber.", "url": "https://www.tapausconsulting.de", "telephone": "+49-89-38169228", "email": "hello@tapaus.eu", "address": { "@type": "PostalAddress", "addressLocality": "München", "postalCode": "80798", "addressCountry": "DE" }, "geo": { "@type": "GeoCoordinates", "latitude": 48.1551, "longitude": 11.5418 }, "areaServed": { "@type": "Country", "name": "Deutschland" }, "priceRange": "Kosten trägt der Arbeitgeber nach §40 BetrVG", "knowsAbout": [ "§80 BetrVG Sachverständigenrecht", "KI-Gutachten Betriebsrat", "EU AI Act Compliance", "Betriebsvereinbarung Künstliche Intelligenz", "Microsoft 365 Copilot Mitbestimmung", "Workforce Analytics Betriebsrat", "DSGVO Betriebsrat §79a" ], "parentOrganization": { "@id": "https://www.tapausconsulting.de/#organization" } } ] }
top of page

Aktuelle Informationen

für Betriebsräte

Suche

Microsoft Purview & Insider Risk: Die unterschätzte Überwachungsplattform in Microsoft 365

Viele Betriebsräte beschäftigen sich bei Microsoft 365 vor allem mit Teams, Outlook oder Copilot. Was dabei häufig übersehen wird: Microsoft 365 enthält mit Microsoft Purview und Insider Risk Management Werkzeuge, die tiefgreifende Analyse- und Überwachungsmöglichkeiten schaffen. Und genau hier entstehen erhebliche Risiken für Datenschutz, Transparenz und Mitbestimmung.


Was ist Microsoft Purview?

Microsoft Purview ist die zentrale Compliance-, Sicherheits- und Governance-Plattform innerhalb von Microsoft 365. Dort werden unter anderem:

  • Audit-Logs,

  • Kommunikationsdaten,

  • Dateiaktivitäten,

  • Zugriffsereignisse,

  • Datenbewegungen,

  • Compliance-Regeln,

  • sowie Sicherheits- und Risikoinformationen

zentral zusammengeführt.


Insider Risk Management erweitert diese Funktionen zusätzlich um verhaltensbezogene Risikoanalysen.


Warum das für Betriebsräte relevant ist

Purview und Insider Risk sind technisch in der Lage, ungewöhnliche Aktivitäten, Kommunikationsmuster, Dateioperationen, Datenbewegungen oder potenziell „riskantes Verhalten" zu identifizieren. Dabei entstehen Risikobewertungen und Analysemechanismen, die erhebliche Auswirkungen auf Beschäftigte haben können.


Das Problem: Viele dieser Funktionen arbeiten im Hintergrund und bleiben Betriebsräten bei der Einführung von Microsoft 365 häufig verborgen.


Welche Daten analysiert Insider Risk?

Je nach Konfiguration können unter anderem analysiert werden:

  • Datei-Downloads,

  • externe Freigaben,

  • USB-Nutzung,

  • Druckvorgänge,

  • Löschaktivitäten,

  • Kommunikationsmuster,

  • ungewöhnliche Arbeitszeiten,

  • oder Zugriffe auf sensible Inhalte.


Besonders kritisch ist dabei die Möglichkeit, verschiedene Aktivitätsdaten miteinander zu verknüpfen. Dadurch entstehen umfassende Verhaltens- und Risikoprofile.


Das zentrale Problem: Der Begriff „Risiko"

Microsoft vermarktet Insider Risk als Sicherheits- und Compliance-Lösung. Technisch betrachtet entstehen jedoch Systeme, die Beschäftigte anhand definierter Verhaltensmuster klassifizieren können. Damit verschiebt sich der Fokus: Nicht nur einzelne Aktivitäten werden sichtbar — sondern potenziell ganze Verhaltensprofile. Für Betriebsräte ist das hochrelevant.


Denn bereits die Möglichkeit solcher Auswertungen kann Mitbestimmungsrechte nach §87 Abs. 1 Nr. 6 BetrVG auslösen. Entscheidend ist die objektive Überwachungseignung und nicht die Absicht des Arbeitgebers. Das hat das Bundesarbeitsgericht mit dem Headset-Urteil (1 ABR 16/23) unmissverständlich klargestellt.


Viele Unternehmen unterschätzen die Mitbestimmungsdimension

In der Praxis werden Purview- und Insider-Risk-Funktionen häufig durch Security-Abteilungen, Compliance-Teams, Datenschutzprojekte oder externe Microsoft-Partner eingeführt.


Dabei liegt der Fokus meist auf Datensicherheit, Cybersecurity, Informationsschutz oder regulatorischen Anforderungen. Die Auswirkungen auf Beschäftigtendaten und Mitbestimmung geraten dabei schnell in den Hintergrund.


Das Risiko für Betriebsräte

Bleiben Purview- und Insider-Risk-Umgebungen ungeprüft, entstehen erhebliche Risiken:

  • Verhaltensanalysen werden technisch möglich,

  • Beschäftigte können indirekt bewertet werden,

  • umfangreiche Audit- und Aktivitätsprofile entstehen,

  • und bestehende Betriebsvereinbarungen verlieren ihre Schutzwirkung.

Besonders kritisch: Viele Funktionen lassen sich nicht allein durch organisatorische Regelungen kontrollieren. Entscheidend ist die tatsächliche technische Konfiguration.


Was Betriebsräte jetzt prüfen sollten

Betriebsräte sollten klären:

  • Welche Purview-Module aktiv sind,

  • welche Auditfunktionen genutzt werden,

  • welche Risikoindikatoren definiert sind,

  • welche Administratoren Zugriff haben,

  • welche Daten gespeichert werden,

  • welche Auswertungen technisch möglich sind,

  • und welche KI- und Analysefunktionen integriert sind.

Gerade weil viele dieser Systeme hochkomplex sind, ist technischer Sachverstand unverzichtbar.


Warum technischer Sachverstand entscheidend ist

Die tatsächlichen Risiken von Purview und Insider Risk lassen sich häufig nicht allein anhand von Produktbroschüren oder Management-Präsentationen beurteilen.

Entscheidend ist die konkrete technische Konfiguration. Viele Analyse- und Auswertungsmöglichkeiten werden erst sichtbar, wenn Datenflüsse, Berechtigungen, Dashboardfunktionen und Backend-Konfigurationen tatsächlich geprüft werden.


Der Gesetzgeber hat den Zugang zu Sachverständigen nach §80 Abs. 3 BetrVG gezielt gestärkt — insbesondere bei der Beurteilung von KI-Systemen. Die Kosten trägt der Arbeitgeber nach §40 BetrVG.


Fazit

Microsoft Purview und Insider Risk gehören zu den sensibelsten Komponenten innerhalb von Microsoft 365. Die Plattformen schaffen weitreichende Analyse- und Auswertungsmöglichkeiten, die tief in Beschäftigtendaten eingreifen können.


Viele Betriebsräte wissen nicht, welche Funktionen bereits aktiviert sind oder welche Auswirkungen die aktuelle Konfiguration tatsächlich hat.


Wer Mitbestimmungsrechte wirksam schützen will, muss deshalb nicht nur sichtbare Anwendungen wie Teams oder Outlook betrachten, sondern auch die Analyse- und Governance-Strukturen im Hintergrund.


Sie möchten prüfen welche Funktionen in Ihrem Unternehmen bereits aktiv sind?

Tapaus unterstützt Betriebsräte bundesweit bei:

  • Purview- und Insider-Risk-Analysen,

  • technischen Risikoaudits,

  • Datenschutz- und Mitbestimmungsbewertungen,

  • Audit-Log- und Telemetrieanalysen,

  • sowie der Entwicklung rechtssicherer Betriebsvereinbarungen.




Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung im Einzelfall.





IHR NÄCHSTER SCHRITT

Kostenloses Erstgespräch buchen

 

30 Minuten · Online · Unverbindlich · www.tapaus.eu

bottom of page