Microsoft 365 ist längst nicht mehr nur Office. In nahezu jedem Baustein steckt heute Künstliche Intelligenz: in Copilot, in Viva, in Purview und in Windows Recall. Diese Funktionen verarbeiten personenbezogene und verhaltensbezogene Daten von Beschäftigten, oft ohne dass der Betriebsrat davon erfährt. Diese Kurzansicht gibt Ihnen einen schnellen Überblick und konkrete erste Schritte. Sie ist eine fachliche Einordnung und keine Rechtsberatung.
Die gute Nachricht: Fast alles davon ist mitbestimmungspflichtig, abschaltbar oder regelbar. Sie haben als Betriebsrat einen starken Hebel, wenn Sie ihn rechtzeitig ansetzen.
Die Funktionen, die Sie am meisten betreffen
Die heiklen Funktionen sind nicht die offensichtlichen Schreibhilfen, sondern die unauffälligen Auswertungen im Hintergrund. Sechs davon sollten Sie kennen.
Das Risiko-Scoring in Microsoft Purview (Insider Risk Management) bewertet jede Aktivität eines Mitarbeiters und vergibt eine individuelle Risikopunktzahl. Das ist Profiling in Reinform. Der intelligente Rückblick in Teams wertet aus, wer wie lange spricht und mit welcher Stimmung. Windows Recall macht auf neuen Geräten alle paar Sekunden einen Screenshot des Bildschirms und hält ihn durchsuchbar. Die KI in Viva wertet über das Copilot Dashboard, die Stimmungsanalyse in Glint und automatisch erzeugte Kompetenzprofile die Nutzungs-, Stimmungs- und Skill-Daten der Belegschaft aus. Autonome Agenten verarbeiten selbsttätig Mitarbeiterdaten und lösen Aktionen aus. Und Copilot Chat zeigt in Verbindung mit dem Nutzungsprotokoll, wer wie intensiv mit KI arbeitet.
Dazu kommt eine Datenschutzfrage. Seit 2026 stehen in Copilot auch Modelle von Anthropic (Claude) bereit, die außerhalb der EU verarbeiten, anders als die OpenAI-Modelle innerhalb der EU Data Boundary. Für Kunden in der EU sind sie zunächst abgeschaltet, lassen sich aber per Verwaltungseinstellung aktivieren.[1] Die vollständige Liste aller betroffenen Dienste und Funktionen finden Sie im begleitenden Inventar.
Ihre Rechte in Kürze
Praktisch jede dieser Funktionen ist objektiv geeignet, Verhalten oder Leistung zu überwachen. Damit greift in der Regel die erzwingbare Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, und zwar bei der Einführung wie bei der Anwendung. Auf eine Überwachungsabsicht des Arbeitgebers kommt es nicht an. Es genügt, dass die Funktion dafür geeignet ist.
Drei weitere Hebel sind besonders nützlich. Nach § 90 BetrVG muss der Arbeitgeber Sie schon in der Planung rechtzeitig unterrichten und die Sache mit Ihnen beraten. Nach § 80 Abs. 3 BetrVG können Sie bei KI einen Sachverständigen hinzuziehen. Seit der Reform von 2021 gilt das bei KI als erleichtert erforderlich, und die Kosten trägt der Arbeitgeber. Nach § 80 Abs. 1 und 2 BetrVG haben Sie einen umfassenden Anspruch auf Auskunft und Einsicht, auch in die Datenschutz-Folgenabschätzung.
Quick Wins: Was Sie sofort tun können
Diese acht Schritte lassen sich ohne große Vorbereitung anstoßen und später in einer Betriebsvereinbarung sauber ausformulieren.
1. Verlangen Sie schriftlich, dass keine KI-Funktion (Copilot, Viva Insights, Recall und weitere) ohne vorherige Betriebsvereinbarung aktiviert oder ausgerollt wird. Mitbestimmungswidrig eingeführte Maßnahmen sind individualrechtlich angreifbar.
2. Fordern Sie eine vollständige Unterrichtung: eine Liste der aktivierten KI-Funktionen, der Datenflüsse, der eingeschalteten Protokolle und den Zeitplan.
3. Ziehen Sie einen Sachverständigen nach § 80 Abs. 3 BetrVG hinzu, der die tatsächliche Konfiguration im System prüft. Was im Prospekt steht und was eingestellt ist, sind zwei verschiedene Dinge.
4. Fordern Sie die Datenschutz-Folgenabschätzung an und nehmen Sie Einsicht. Bei KI mit Beschäftigtendaten ist sie fast immer erforderlich.
5. Bestehen Sie auf dem Grundsatz, im Zweifel abgeschaltet. Kritische Auswertungen wie personenbezogene Berichte, der Blick auf Einzelpersonen oder die Sprecherauswertung bleiben aus, bis eine Vereinbarung steht.
6. Sichern Sie sich gegen Re-Identifizierung ab: verbindliche Mindestgruppengrößen und das Verbot, in Auswertungen bis auf einzelne Personen herunterzugehen.
7. Klären Sie die Frage der Datenverarbeitung im Ausland. Lassen Sie dokumentieren, ob die Anthropic-Modelle und Flex Routing aktiv sind, und prüfen Sie, ob sie abgeschaltet werden sollen.
8. Organisieren Sie eine Schulung für das Gremium nach § 37 Abs. 6 BetrVG. KI-Kompetenz ist die Voraussetzung, um auf Augenhöhe zu verhandeln.
Drei rote Linien
Drei Dinge sollten ohne klare Regelung gar nicht erst laufen. Keine verdeckte Kontrolle von Leistung oder Verhalten durch Auswertungen, die als reine Produktivitätsanalyse ausgegeben werden. Keine automatisierten Personalentscheidungen ohne eine echte menschliche Letztentscheidung, denn ein bloßes Abnicken eines KI-Vorschlags reicht nach Art. 22 DSGVO nicht. Und keine ungeprüfte Übernahme von KI-Ergebnissen in Personalakten oder Entscheidungen, denn KI kann sachlich falschliegen.
Fragebogen für das Erstgespräch
Mit diesen Fragen gehen Sie vorbereitet in das erste Gespräch mit dem Arbeitgeber oder in eine Beratung. Sie helfen, in kurzer Zeit den Stand zu klären und die wichtigsten Lücken zu finden.
| Frage | Worauf es ankommt |
|---|---|
| Welche KI-Funktionen in Microsoft 365 sind in unserem Haus bereits aktiviert? | Verschafft den Überblick. Häufig ist mehr aktiv, als im Gremium bekannt ist. |
| Wer hat die Einführung geplant, und wurden wir nach § 90 BetrVG rechtzeitig unterrichtet? | Klärt, ob das Beteiligungsrecht gewahrt wurde. |
| Gibt es bereits eine Betriebsvereinbarung zu KI oder zu Microsoft 365? | Zeigt, ob eine Grundlage besteht oder neu verhandelt werden muss. |
| Liegt eine Datenschutz-Folgenabschätzung vor, und dürfen wir sie einsehen? | Bei KI mit Beschäftigtendaten ist sie in der Regel Pflicht. |
| Werden Auswertungen wie Insider-Risk-Scoring, Teams-Sprecherauswertung oder Viva-Insights genutzt? | Das sind die mitbestimmungskritischsten Funktionen. |
| Werden Daten auf einzelne Personen heruntergebrochen, oder gibt es Mindestgruppengrößen? | Entscheidet über das Risiko der Re-Identifizierung. |
| Sind die Anthropic-Modelle oder Flex Routing aktiv, also eine Verarbeitung außerhalb der EU? | Wichtig für Drittlandtransfer und Betriebsvereinbarung. |
| Ist Windows Recall auf den Geräten freigeschaltet? | Lückenlose Bildschirmaufzeichnung ist die weitreichendste Einzelfunktion. |
| Werden KI-Ergebnisse in Personalentscheidungen genutzt, und entscheidet am Ende ein Mensch? | Berührt das Verbot rein automatisierter Entscheidungen. |
| Welche Protokolle laufen mit, wer darf sie einsehen, und zu welchem Zweck? | Klärt, ob aus Sicherheitsprotokollen eine verdeckte Leistungskontrolle werden kann. |
| Können wir einen Sachverständigen hinzuziehen, und übernimmt der Arbeitgeber die Kosten? | Nach § 80 Abs. 3 BetrVG bei KI erleichtert möglich. |
| Wie werden wir über künftige Updates und neue Funktionen informiert? | Cloud-Funktionen ändern sich laufend, eine einmalige Regelung reicht nicht. |
Möchten Sie KI in Microsoft 365 rechtssicher und reibungslos einführen?
Sichern Sie sich unser kostenloses Expertenpaket für Datenschutz und Betriebsrat. Sie erhalten praxisnahe Leitfäden und Vorlagen direkt per Download – komplett unverbindlich. Jetzt kostenloses Expertenpaket anfordern ➔
Über improve it
Die improve it GmbH mit Sitz in Weingarten bei Karlsruhe begleitet Unternehmen und Betriebsräte beim Datenschutz, bei der Informationssicherheit und beim Compliance-konformen Betrieb von Microsoft 365. Wir stellen zertifizierte externe Datenschutzbeauftragte, führen interne Audits durch und bewerten mit dem M365 Compliance Radar fortlaufend die Änderungen an der Plattform, damit eine einmal getroffene Regelung nicht vom nächsten Update überholt wird. Interne Audits prüft und gibt unser nach ISO 19011 qualifizierter, von Bavaria Cert berufener Auditor frei. improve it ist Zertifizierungsbegleiter und keine akkreditierte Zertifizierungsstelle; wir stellen also keine Zertifikate aus, sondern beraten unabhängig und bereiten Sie auf die Zertifizierung vor.
Wenn Sie diese Analyse für Ihre eigene Lage nutzen möchten, sprechen Sie uns an. In einem kostenfreien Erstgespräch klären wir Ihre wichtigsten Fragen und zeigen die nächsten Schritte. Sie erreichen uns über Kontakt – improve it GmbH.
Hinweis
Diese Kurzansicht bildet den Stand Juni 2026 ab und ist eine fachliche Einordnung, keine Rechtsberatung. Der Stand des Beschäftigtendatengesetzes, die Belastbarkeit des § 26 BDSG und das Zusammenspiel mit der KI-Verordnung der EU sind in Bewegung und im Einzelfall zu prüfen. Die Einstellungen in Ihrem eigenen System sind im Microsoft-Verwaltungsbereich zu überprüfen.
[1] Microsoft Learn: Connect to an AI subprocessor, Anthropic models. https://learn.microsoft.com/en-us/microsoft-365/copilot/connect-to-ai-subprocessor