kostenloses Infopaket anfordern

Kategorie: Betriebsrat

  • KI in Microsoft 365 für Betriebsräte: Kurzansicht und Quick Wins

    KI in Microsoft 365 für Betriebsräte: Kurzansicht und Quick Wins

    Microsoft 365 ist längst nicht mehr nur Office. In nahezu jedem Baustein steckt heute Künstliche Intelligenz: in Copilot, in Viva, in Purview und in Windows Recall. Diese Funktionen verarbeiten personenbezogene und verhaltensbezogene Daten von Beschäftigten, oft ohne dass der Betriebsrat davon erfährt. Diese Kurzansicht gibt Ihnen einen schnellen Überblick und konkrete erste Schritte. Sie ist eine fachliche Einordnung und keine Rechtsberatung.

    Die gute Nachricht: Fast alles davon ist mitbestimmungspflichtig, abschaltbar oder regelbar. Sie haben als Betriebsrat einen starken Hebel, wenn Sie ihn rechtzeitig ansetzen.

    Die Funktionen, die Sie am meisten betreffen

    Die heiklen Funktionen sind nicht die offensichtlichen Schreibhilfen, sondern die unauffälligen Auswertungen im Hintergrund. Sechs davon sollten Sie kennen.

    Das Risiko-Scoring in Microsoft Purview (Insider Risk Management) bewertet jede Aktivität eines Mitarbeiters und vergibt eine individuelle Risikopunktzahl. Das ist Profiling in Reinform. Der intelligente Rückblick in Teams wertet aus, wer wie lange spricht und mit welcher Stimmung. Windows Recall macht auf neuen Geräten alle paar Sekunden einen Screenshot des Bildschirms und hält ihn durchsuchbar. Die KI in Viva wertet über das Copilot Dashboard, die Stimmungsanalyse in Glint und automatisch erzeugte Kompetenzprofile die Nutzungs-, Stimmungs- und Skill-Daten der Belegschaft aus. Autonome Agenten verarbeiten selbsttätig Mitarbeiterdaten und lösen Aktionen aus. Und Copilot Chat zeigt in Verbindung mit dem Nutzungsprotokoll, wer wie intensiv mit KI arbeitet.

    Dazu kommt eine Datenschutzfrage. Seit 2026 stehen in Copilot auch Modelle von Anthropic (Claude) bereit, die außerhalb der EU verarbeiten, anders als die OpenAI-Modelle innerhalb der EU Data Boundary. Für Kunden in der EU sind sie zunächst abgeschaltet, lassen sich aber per Verwaltungseinstellung aktivieren.[1] Die vollständige Liste aller betroffenen Dienste und Funktionen finden Sie im begleitenden Inventar.

    Ihre Rechte in Kürze

    Praktisch jede dieser Funktionen ist objektiv geeignet, Verhalten oder Leistung zu überwachen. Damit greift in der Regel die erzwingbare Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, und zwar bei der Einführung wie bei der Anwendung. Auf eine Überwachungsabsicht des Arbeitgebers kommt es nicht an. Es genügt, dass die Funktion dafür geeignet ist.

    Drei weitere Hebel sind besonders nützlich. Nach § 90 BetrVG muss der Arbeitgeber Sie schon in der Planung rechtzeitig unterrichten und die Sache mit Ihnen beraten. Nach § 80 Abs. 3 BetrVG können Sie bei KI einen Sachverständigen hinzuziehen. Seit der Reform von 2021 gilt das bei KI als erleichtert erforderlich, und die Kosten trägt der Arbeitgeber. Nach § 80 Abs. 1 und 2 BetrVG haben Sie einen umfassenden Anspruch auf Auskunft und Einsicht, auch in die Datenschutz-Folgenabschätzung.

    Quick Wins: Was Sie sofort tun können

    Diese acht Schritte lassen sich ohne große Vorbereitung anstoßen und später in einer Betriebsvereinbarung sauber ausformulieren.

    1. Verlangen Sie schriftlich, dass keine KI-Funktion (Copilot, Viva Insights, Recall und weitere) ohne vorherige Betriebsvereinbarung aktiviert oder ausgerollt wird. Mitbestimmungswidrig eingeführte Maßnahmen sind individualrechtlich angreifbar.

    2. Fordern Sie eine vollständige Unterrichtung: eine Liste der aktivierten KI-Funktionen, der Datenflüsse, der eingeschalteten Protokolle und den Zeitplan.

    3. Ziehen Sie einen Sachverständigen nach § 80 Abs. 3 BetrVG hinzu, der die tatsächliche Konfiguration im System prüft. Was im Prospekt steht und was eingestellt ist, sind zwei verschiedene Dinge.

    4. Fordern Sie die Datenschutz-Folgenabschätzung an und nehmen Sie Einsicht. Bei KI mit Beschäftigtendaten ist sie fast immer erforderlich.

    5. Bestehen Sie auf dem Grundsatz, im Zweifel abgeschaltet. Kritische Auswertungen wie personenbezogene Berichte, der Blick auf Einzelpersonen oder die Sprecherauswertung bleiben aus, bis eine Vereinbarung steht.

    6. Sichern Sie sich gegen Re-Identifizierung ab: verbindliche Mindestgruppengrößen und das Verbot, in Auswertungen bis auf einzelne Personen herunterzugehen.

    7. Klären Sie die Frage der Datenverarbeitung im Ausland. Lassen Sie dokumentieren, ob die Anthropic-Modelle und Flex Routing aktiv sind, und prüfen Sie, ob sie abgeschaltet werden sollen.

    8. Organisieren Sie eine Schulung für das Gremium nach § 37 Abs. 6 BetrVG. KI-Kompetenz ist die Voraussetzung, um auf Augenhöhe zu verhandeln.

    Drei rote Linien

    Drei Dinge sollten ohne klare Regelung gar nicht erst laufen. Keine verdeckte Kontrolle von Leistung oder Verhalten durch Auswertungen, die als reine Produktivitätsanalyse ausgegeben werden. Keine automatisierten Personalentscheidungen ohne eine echte menschliche Letztentscheidung, denn ein bloßes Abnicken eines KI-Vorschlags reicht nach Art. 22 DSGVO nicht. Und keine ungeprüfte Übernahme von KI-Ergebnissen in Personalakten oder Entscheidungen, denn KI kann sachlich falschliegen.

    Fragebogen für das Erstgespräch

    Mit diesen Fragen gehen Sie vorbereitet in das erste Gespräch mit dem Arbeitgeber oder in eine Beratung. Sie helfen, in kurzer Zeit den Stand zu klären und die wichtigsten Lücken zu finden.

    FrageWorauf es ankommt
    Welche KI-Funktionen in Microsoft 365 sind in unserem Haus bereits aktiviert?Verschafft den Überblick. Häufig ist mehr aktiv, als im Gremium bekannt ist.
    Wer hat die Einführung geplant, und wurden wir nach § 90 BetrVG rechtzeitig unterrichtet?Klärt, ob das Beteiligungsrecht gewahrt wurde.
    Gibt es bereits eine Betriebsvereinbarung zu KI oder zu Microsoft 365?Zeigt, ob eine Grundlage besteht oder neu verhandelt werden muss.
    Liegt eine Datenschutz-Folgenabschätzung vor, und dürfen wir sie einsehen?Bei KI mit Beschäftigtendaten ist sie in der Regel Pflicht.
    Werden Auswertungen wie Insider-Risk-Scoring, Teams-Sprecherauswertung oder Viva-Insights genutzt?Das sind die mitbestimmungskritischsten Funktionen.
    Werden Daten auf einzelne Personen heruntergebrochen, oder gibt es Mindestgruppengrößen?Entscheidet über das Risiko der Re-Identifizierung.
    Sind die Anthropic-Modelle oder Flex Routing aktiv, also eine Verarbeitung außerhalb der EU?Wichtig für Drittlandtransfer und Betriebsvereinbarung.
    Ist Windows Recall auf den Geräten freigeschaltet?Lückenlose Bildschirmaufzeichnung ist die weitreichendste Einzelfunktion.
    Werden KI-Ergebnisse in Personalentscheidungen genutzt, und entscheidet am Ende ein Mensch?Berührt das Verbot rein automatisierter Entscheidungen.
    Welche Protokolle laufen mit, wer darf sie einsehen, und zu welchem Zweck?Klärt, ob aus Sicherheitsprotokollen eine verdeckte Leistungskontrolle werden kann.
    Können wir einen Sachverständigen hinzuziehen, und übernimmt der Arbeitgeber die Kosten?Nach § 80 Abs. 3 BetrVG bei KI erleichtert möglich.
    Wie werden wir über künftige Updates und neue Funktionen informiert?Cloud-Funktionen ändern sich laufend, eine einmalige Regelung reicht nicht.

    Möchten Sie KI in Microsoft 365 rechtssicher und reibungslos einführen?

    Sichern Sie sich unser kostenloses Expertenpaket für Datenschutz und Betriebsrat. Sie erhalten praxisnahe Leitfäden und Vorlagen direkt per Download – komplett unverbindlich. Jetzt kostenloses Expertenpaket anfordern ➔

    Über improve it

    Die improve it GmbH mit Sitz in Weingarten bei Karlsruhe begleitet Unternehmen und Betriebsräte beim Datenschutz, bei der Informationssicherheit und beim Compliance-konformen Betrieb von Microsoft 365. Wir stellen zertifizierte externe Datenschutzbeauftragte, führen interne Audits durch und bewerten mit dem M365 Compliance Radar fortlaufend die Änderungen an der Plattform, damit eine einmal getroffene Regelung nicht vom nächsten Update überholt wird. Interne Audits prüft und gibt unser nach ISO 19011 qualifizierter, von Bavaria Cert berufener Auditor frei. improve it ist Zertifizierungsbegleiter und keine akkreditierte Zertifizierungsstelle; wir stellen also keine Zertifikate aus, sondern beraten unabhängig und bereiten Sie auf die Zertifizierung vor.

    Wenn Sie diese Analyse für Ihre eigene Lage nutzen möchten, sprechen Sie uns an. In einem kostenfreien Erstgespräch klären wir Ihre wichtigsten Fragen und zeigen die nächsten Schritte. Sie erreichen uns über Kontakt – improve it GmbH.

    Hinweis

    Diese Kurzansicht bildet den Stand Juni 2026 ab und ist eine fachliche Einordnung, keine Rechtsberatung. Der Stand des Beschäftigtendatengesetzes, die Belastbarkeit des § 26 BDSG und das Zusammenspiel mit der KI-Verordnung der EU sind in Bewegung und im Einzelfall zu prüfen. Die Einstellungen in Ihrem eigenen System sind im Microsoft-Verwaltungsbereich zu überprüfen.

    [1] Microsoft Learn: Connect to an AI subprocessor, Anthropic models. https://learn.microsoft.com/en-us/microsoft-365/copilot/connect-to-ai-subprocessor

  • LaSuite: Frankreichs unabhängige Alternative zu Microsoft 365

    LaSuite: Frankreichs unabhängige Alternative zu Microsoft 365

    Frankreich ersetzt Teams und Zoom bis 2027 mit LaSuite durch eigene Lösungen – und zeigt Europa, wie digitale Souveränität im öffentlichen Sektor funktionieren kann. Am 27. Januar 2026 verkündete die französische Regierung offiziell den Ausstieg aus US-amerikanischen Videokonferenzlösungen. Mit „LaSuite Numérique“ hat die DINUM (Direction Interministérielle du Numérique) eine vollständig souveräne Alternative geschaffen, die bereits 500.000 Beschäftigte monatlich nutzen. Für deutsche Behörden und Unternehmen bietet dies wertvolle Erkenntnisse – und konkrete Kooperationsmöglichkeiten.

    Was ist LaSuite und wer steht dahinter?

    LaSuite Numérique ist Frankreichs souveräne Digital-Workplace-Plattform für den öffentlichen Dienst. Die DINUM – direkt dem Premierminister unterstellt – entwickelt und betreibt die Suite als Open-Source-Lösung unter MIT-Lizenz. Das Ziel: Eine gleichwertige Alternative zu Microsoft 365 und Google Workspace, bei der alle Daten ausschließlich in Frankreich auf SecNumCloud-zertifizierter Infrastruktur gespeichert werden.

    Die Suite umfasst sieben Kernkomponenten: Tchap für verschlüsseltes Messaging (600.000 Nutzer, basierend auf dem Matrix-Protokoll), Visio für Videokonferenzen, Docs für kollaboratives Schreiben, Fichiers als Cloud-Speicher, Grist als No-Code-Datenbank, France Transfert für große Dateien und einen KI-Assistenten auf Basis von Mistral AI. Seit Juli 2025 ist Tchap für alle Ministerien verpflichtend – ein deutliches Signal der strategischen Priorisierung.

    LaSuite Visio

    LaSuite Visio im Detail: Videokonferenzen ohne Kompromisse

    Die Videokonferenzlösung Visio bildet das Herzstück der aktuellen Offensive. Anders als oft angenommen basiert sie nicht auf Jitsi, sondern auf LiveKit – einer modernen WebRTC-Plattform mit starker Skalierbarkeit. Technisch unterstützt Visio bis zu 150 Teilnehmer, HD-Video, Bildschirmfreigabe, Chat und Aufzeichnung. Besonders hervorzuheben: Die KI-gestützte automatische Transkription mit Sprechererkennung (entwickelt vom französischen Startup Pyannote) und ab Sommer 2026 Echtzeit-Untertitel durch das KI-Labor Kyutai.

    Das Hosting erfolgt auf Infrastruktur von 3DS Outscale (Dassault Systèmes-Tochter) mit SecNumCloud-Zertifizierung – dem höchsten französischen Cloud-Sicherheitsstandard. Externe Teilnehmer können über einen Link beitreten, ohne Konto oder Installation. Aktuell nutzen 40.000-50.000 Beschäftigte Visio regelmäßig; bis Ende Q1 2026 sollen es 200.000 sein.

    Parallel existiert „Webinaire de l’État“ auf BigBlueButton-Basis für größere Veranstaltungen mit bis zu 350 Teilnehmern, Breakout-Rooms und Whiteboards – Funktionen, die Visio derzeit noch entwickelt.

    Warum Frankreich Microsoft den Rücken kehrt

    Der Hintergrund des Ausstiegs ist nicht nur technischer, sondern rechtlicher Natur. Im Juni 2025 sagte der Rechtsdirektor von Microsoft Frankreich vor dem französischen Senat unter Eid aus, er könne nicht garantieren, dass französische Bürgerdaten niemals ohne französische Genehmigung an US-Behörden übermittelt würden. Der US CLOUD Act verpflichtet amerikanische Unternehmen zur Datenherausgabe – unabhängig vom physischen Speicherort.

    Diese Aussage bestätigt, was Datenschützer seit Schrems II (2020) betonen: US-Cloud-Dienste können strukturell keine vollständige DSGVO-Konformität gewährleisten. Das EU-US Data Privacy Framework bietet zwar derzeit eine Rechtsgrundlage, basiert aber auf einer US-Exekutivanordnung, die jederzeit widerrufen werden kann.

    LaSuite eliminiert dieses Risiko vollständig: Alle Daten unterliegen ausschließlich französischem und EU-Recht. Die geschätzten Einsparungen: 1 Million Euro jährlich pro 100.000 Nutzer durch wegfallende Lizenzkosten.

    Einschub für Datenschutzbeauftragte und ISBs

    Compliance-Vorteile von LaSuite:

    • SecNumCloud-Zertifizierung mit über 350 technischen und rechtlichen Anforderungen
    • Immunität gegen US CLOUD Act, FISA 702 und andere extraterritoriale Gesetze
    • Keine Drittlandübermittlung – vollständige DSGVO-Konformität by Design
    • Transparente Open-Source-Codebasis (MIT-Lizenz)

    Schrems II-Relevanz: Während US-Dienste auf das fragile EU-US Data Privacy Framework angewiesen sind (Schrems III-Klage angekündigt), ist LaSuite von dieser Problematik vollständig entkoppelt.

    Einschränkungen: Noch keine HDS-Zertifizierung für Gesundheitsdaten; nicht für VS-NfD klassifizierte Inhalte freigegeben.

    Was bedeutet der Ansatz von LaSuite für Deutschland?

    Deutschland verfolgt mit openDesk einen parallelen Ansatz. Das Zentrum für Digitale Souveränität (ZenDiS) hat mit €45 Millionen Budget eine Suite entwickelt, die Nextcloud, Collabora, Open-Xchange, Element, Jitsi und OpenProject integriert. Stand September 2025 sind bereits 80.000 Arbeitsplätze migriert – darunter 60.000 Lehrkräfte in Baden-Württemberg und die Bundeswehr (7-Jahres-Vertrag mit BWI).

    Entscheidend: Deutschland und Frankreich kooperieren seit Februar 2024 in einem trilateralen Abkommen (mit den Niederlanden seit Dezember 2024). In gemeinsamen „100-Tage-Challenges“ entwickeln DINUM und ZenDiS Features wie die Docs/Notes-Komponente. Schleswig-Holstein hat bereits 40.000 E-Mail-Konten von Microsoft Exchange auf Open-Xchange migriert.

    Für deutsche Behörden ergeben sich zwei Optionen: Der Einsatz von openDesk mit seiner Nextcloud-Basis – oder perspektivisch die Nutzung interoperabler Module aus LaSuite. Die europäische Dimension wurde beim ersten EU-Gipfel zur Digitalen Souveränität im November 2025 in Berlin unterstrichen, bei dem ein EDIC (European Digital Infrastructure Consortium) für digitale Commons angekündigt wurde.

    Relevanz des LaSuite Ansatzes für Privatunternehmen

    Auch außerhalb des öffentlichen Sektors wächst das Interesse an souveränen Lösungen. 61% der westeuropäischen CIOs planen laut Gartner, Workloads zu lokalen Anbietern zu verlagern. Nextcloud (deutsches Unternehmen, mitarbeitereigen) verzeichnet eine Verdreifachung der Nachfrage und investiert mit „Sovereignty 2030″ €250 Millionen.

    Praktische Alternativen für Unternehmen umfassen:

    Sie nutzen Microsoft 365? Dann schauen Sie sich auch unsere M365 Compliance Radar & Auditor für Datenschutz, Betriebsrat an und erhalten Sie regelmäßige Updates zu allen relevanten Aktivitäten für Datenschützer, Betriebsräte und Informationssicherheitsbeauftragten.

    Fazit: Das LaSuite-Modell, ein Vorbild für Europa

    Frankreichs LaSuite demonstriert, dass digitale Souveränität kein Kompromiss sein muss. Mit 500.000 aktiven Nutzern, KI-gestützten Features und vollständiger rechtlicher Unabhängigkeit bietet die Suite eine ernstzunehmende Alternative zu US-Anbietern. Die deutsch-französische Kooperation schafft dabei Synergien, die einzelne Länder allein nicht erreichen könnten.

    Für Entscheider im öffentlichen Sektor ist die Botschaft klar: Die technischen und organisatorischen Voraussetzungen für den Umstieg sind geschaffen. Die Frage ist nicht mehr ob, sondern wann und wie schnell die Migration erfolgt. Frankreich hat mit dem 2027-Ziel den Takt vorgegeben – Deutschland sollte nicht zu lange warten, diesen aufzunehmen.

  • Microsoft 365 ist kein Tool – es ist Mitbestimmung auf Dauerbetrieb

    Microsoft 365 ist kein Tool – es ist Mitbestimmung auf Dauerbetrieb

    Viele Unternehmen behandeln Microsoft 365 wie eine klassische Software:
    Einführen, freigeben, Betriebsvereinbarung abschließen – fertig.

    Das Problem:

    Microsoft 365 ist kein statisches Tool. Es ist eine sich permanent verändernde Arbeitsumgebung. Und genau das stellt die Mitbestimmung vor neue Herausforderungen.

    Der Denkfehler: Einführung = erledigt

    In klassischen IT-Projekten funktioniert Mitbestimmung oft projektbezogen.
    Bei Microsoft 365 greift dieses Modell nicht mehr.

    • Funktionen ändern sich monatlich
    • Voreinstellungen werden angepasst
    • neue Dienste entstehen, alte verschwinden
    • Arbeitsweisen verändern sich – oft schleichend

    Ohne neues Projekt. Ohne formale Einführung. Ohne erneute Abstimmung.

    Wer Mitbestimmung ernst nimmt, muss akzeptieren:

    Mitbestimmung endet nicht mit dem Go-Live.

    Was Mitbestimmung bei Microsoft 365 wirklich bedeutet

    Mitbestimmung bei Microsoft 365 ist kein juristischer Sonderfall – sondern eine organisatorische Daueraufgabe.

    Konkret heißt das:

    • Nicht jede Änderung ist mitbestimmungspflichtig
    • aber relevante Änderungen müssen erkannt und eingeordnet werden
    • insbesondere dort, wo Verhalten, Leistung oder Daten der Mitarbeitenden betroffen sind

    Kritische Beispiele sind u. a.:

    • neue Teams-Funktionen
    • KI-gestützte Features
    • Auswertungen und Nutzungsanalysen
    • Automatisierungen und neue Standardkonfigurationen

    Die zentrale Frage lautet nicht: „Ist Microsoft 365 mitbestimmungspflichtig?“
    Sondern: „Welche Änderung hat welche Auswirkungen – und für wen?“

    Das eigentliche Problem: Niemand hat den Gesamtüberblick

    In der Praxis erleben wir immer wieder dasselbe Muster – wenn überhaupt alle Parteien beteiligt werden:

    • IT bewertet technisch
    • Datenschutz bewertet rechtlich
    • der Betriebsrat bewertet arbeitsrechtlich

    Alle für sich korrekt – aber ohne gemeinsamen Blick.

    Das führt zu:

    • verspäteter Einbindung des Betriebsrats
    • unnötigen Eskalationen
    • pauschalen Verboten oder Blockaden
    • Unsicherheit bei Management und IT

    Nicht aus bösem Willen – sondern aus fehlender Transparenz.

    Warum klassische Lösungen nicht mehr reichen

    Viele Organisationen verlassen sich auf:

    • einmalige Bewertungen
    • alte Betriebsvereinbarungen
    • manuelle Sichtung von Microsoft-Ankündigungen

    Das funktioniert nicht mehr.

    Microsoft 365 entwickelt sich schneller, als klassische Gremien- und Projektlogiken es abbilden können.
    Mitbestimmung wird dadurch nicht überflüssig – sondern anspruchsvoller.

    Ein pragmatischer Weg nach vorne

    Mitbestimmung bei Microsoft 365 braucht vor allem eines: Struktur.

    • frühzeitig erkennen, was sich ändert
    • einordnen, ob Mitbestimmung betroffen ist
    • bewerten, wie sich Änderungen konkret im Tenant auswirken
    • Entscheidungen faktenbasiert treffen – nicht aus dem Bauch heraus

    Nicht als Einzelaktion. Sondern kontinuierlich.

    Fazit

    Microsoft 365 ist kein IT-Projekt. Es ist ein dauerhaftes Veränderungssystem.

    Wer Mitbestimmung hier auf ein einmaliges Dokument reduziert, verliert früher oder später die Kontrolle.
    Wer Transparenz, Regelmäßigkeit und klare Einordnung schafft, macht Mitbestimmung wieder handlungsfähig.

    Wir unterstützen Ihre Organisation genau dabei:
    Microsoft-365-Änderungen verständlich einordnen – für Betriebsrat, Datenschutz, IT und Management.

    Schluss mit der Unsicherheit bei Roadmap-Änderungen. Erhalten Sie jetzt praxiserprobte Vorlagen, Prozess-Blueprints und Tool-Einblicke – kostenfrei und direkt in Ihr Postfach.

    kostenloses Informationspaket anfordern