Warum bestehende M365-Regelungen jetzt überprüft und erweitert werden müssen.

Mit der fortschreitenden Einführung von Microsoft 365 Copilot – sowohl in der Chat-Variante als auch in der lizenzierten Integration in die Microsoft-365-Applikationen – stehen viele Unternehmen vor der Frage, ob bestehende Betriebsvereinbarungen zu Microsoft 365 noch tragfähig sind. In der Praxis zeigt sich zunehmend, dass Copilot nicht lediglich eine weitere Funktion darstellt, sondern die Nutzung von Microsoft 365 qualitativ verändert. Damit rückt insbesondere die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG erneut in den Fokus.

Rechtlich entscheidend ist dabei zunächst festzuhalten, dass Microsoft Copilot kein eigenständiger Regelungsgegenstand ist. Copilot ist kein isoliertes IT-System, sondern ein funktionaler Bestandteil der Microsoft-365-Plattform. Er greift auf bestehende Applikationen wie Outlook, Teams, Word, Excel oder SharePoint zu, nutzt vorhandene Berechtigungsstrukturen und entfaltet seine Wirkung ausgehend von der bestehenden M365-Systemarchitektur. Daraus folgt zwingend, dass Copilot nicht losgelöst geregelt werden kann, sondern stets Teil einer Microsoft-365-Betriebsvereinbarung sein muss. Separate „Copilot-Betriebsvereinbarungen“ verkennen diesen systemischen Zusammenhang und sind rechtlich wie praktisch problematisch.

Was ist zum Microsoft Copilot zu regeln?

Die Regelungserforderlichkeit ergibt sich dabei – wie stets – nicht aus der bloßen Existenz einer neuen Technologie, sondern aus dem Maßstab des § 87 Abs. 1 Nr. 6 BetrVG. Maßgeblich ist allein, ob und in welchem Umfang die eingesetzte technische Einrichtung geeignet ist, Verhalten oder Leistung der Beschäftigten zu überwachen. Bei Microsoft Copilot ist diese Frage neu zu bewerten, weil Copilot Arbeitsinhalte zusammenfasst, Kommunikationsverläufe auswertet, Dokumente analysiert, Vorschläge priorisiert und Arbeitsstände verdichtet darstellt. Selbst wenn der Arbeitgeber keine Leistungs- oder Verhaltenskontrolle beabsichtigt, entsteht eine objektive Überwachungseignung bereits durch die Art und Tiefe der Verarbeitung sowie durch die entstehenden Protokoll- und Auswertungsmöglichkeiten.

Diese Bewertung gilt sowohl für Copilot Chat als auch für Copilot für Microsoft 365, wobei zwischen beiden Einsatzformen differenziert werden muss. Während Copilot Chat häufig als niedrigschwelliger Einstieg wahrgenommen wird, sind auch hier personenbezogene Bezüge und Nutzungsdaten nicht ausgeschlossen, insbesondere bei Entra-ID-gebundenen Szenarien. Die lizenzierte M365-Variante geht jedoch deutlich weiter, da sie tief in Arbeitsprozesse integriert ist und auf produktive Inhalte der Beschäftigten zugreift. Bestehende Betriebsvereinbarungen zu Microsoft 365 müssen daher prüfen, ob sie diese neue Qualität der Datenverarbeitung, Kontextbildung und potenziellen Leistungsverdichtung noch ausreichend abdecken.

Besonders deutlich wird der Anpassungsbedarf durch zusätzliche Funktionalitäten wie Copilot Agents oder das Copilot Control System. Agents ermöglichen teilautomatisierte Prozesse, die Aufgaben bündeln, Informationen zusammenführen oder Vorschläge über Arbeitsprioritäten und Bearbeitungsstände machen. Dadurch kann mittelbar sichtbar werden, wie Beschäftigte arbeiten, in welchem Umfang Aufgaben erledigt werden oder wo Verzögerungen auftreten. Auch das Copilot Control System verändert die Mitbestimmungslage, da es administrative Steuerungs-, Protokollierungs- und Auswertungsmöglichkeiten schafft, die zumindest abstrakt zur Leistungs- und Verhaltenskontrolle geeignet sind. Genau an dieser objektiven Eignung knüpft § 87 Abs. 1 Nr. 6 BetrVG an.

Die Regelungsarchitektur ist entscheidend 

In der Regelungsarchitektur ist zudem zwingend zu berücksichtigen, dass viele Unternehmen bereits KI-Nutzungsrichtlinien eingeführt haben. Diese regeln in der Regel das Arbeitsverhalten der Beschäftigten, etwa den verantwortungsvollen Umgang mit KI-Systemen, und sind häufig mitbestimmungsfrei, da sie meist keine mitbestimmungspflichtiges Ordnungsverhalten darstellen. Gleichwohl dürfen diese Richtlinien nicht isoliert betrachtet werden. Eine Microsoft-365-Betriebsvereinbarung mit Copilot-Regelungen muss solche Richtlinien berücksichtigen und systematisch einbinden, ohne sie zu ersetzen oder zu unterlaufen.

Gleiches gilt für etwaige Betriebsvereinbarungen zu KI-Systemen, die als Rahmenregelung ausgestaltet sind. Copilot ist kein Sonderfall, sondern ein konkreter Anwendungsfall innerhalb einer unternehmensweiten KI-Governance. Eine solche Einordnung entspricht auch dem Ansatz, der in der Fachliteratur und Praxis zunehmend vertreten wird, etwa in Bezug auf Rahmenbetriebsvereinbarungen zu künstlicher Intelligenz (vgl. LINK).

Zusammenspiel von Datenschutz, KI-Regulierung und Mitbestimmung

Zentral für das Zusammenspiel von Datenschutz, KI-Regulierung und Mitbestimmung ist zudem das Urteil des LAG Hessen vom 05.12.2024 – 5 TaBV 4/24. Das Gericht stellt klar, dass die Zusammenarbeit zwischen Arbeitgeber und Betriebsrat einem zweistufigen Ansatz folgt. In der ersten Stufe verantwortet der Arbeitgeber als Verantwortlicher im Sinne der DSGVO den Datenschutz. Der Betriebsrat nimmt hier keine eigene Datenschutzverantwortung wahr.

Kraft § 80 Abs. 1 BetrVG ist der Betriebsrat jedoch nach wie vor zur Rechtskontrolle berechtigt, soweit dies zur ordnungsgemäßen Wahrnehmung erforderlich ist. Dieses Kontrollrecht setzt voraus, dass der Betriebsrat Einsicht in die einschlägigen Datenschutzdokumentationen erhält, insbesondere in das Verzeichnis der Verarbeitungstätigkeiten, in Schwellenwertanalysen sowie in Datenschutz-Folgenabschätzungen.

Dieser Ansatz ist auf die Anforderungen der KI-Verordnung übertragbar. Auch hier ist der Arbeitgeber Betreiber (Art. 3 KI-VO) des KI-Systems und damit Adressat der Dokumentations-, Transparenz- und Risikobewertungspflichten. Der Betriebsrat ist ebenso berechtigt, diese Unterlagen im Rahmen seiner gesetzlichen Aufgaben einzusehen und zu prüfen. Erst auf dieser Grundlage kann in der zweiten Stufe gemeinsam bewertet werden, in welchem Umfang Copilot als technische Einrichtung im Sinne von § 87 Abs. 1 Nr. 6 BetrVG einzustufen ist und welche Schutzmechanismen in einer Betriebsvereinbarung erforderlich sind.

Microsoft Copilot erzwingt damit nicht automatisch eine völlig neue Betriebsvereinbarung, wohl aber eine kritische Überprüfung und Weiterentwicklung bestehender Microsoft-365-Regelungen. Copilot ist kein isoliertes KI-Werkzeug, sondern ein integraler Bestandteil der digitalen Arbeitsumgebung. Eine rechtssichere und zukunftsfähige Regelungsarchitektur verbindet daher Microsoft-365-Betriebsvereinbarungen, KI-Nutzungsrichtlinien, gegebenenfalls eine Rahmenbetriebsvereinbarung zu KI sowie klare datenschutzrechtliche sowie KI-VO-relevante Transparenz- und Kontrollmechanismen. Nur so lassen sich technologische Innovation, gesetzliche Pflichten und betriebliche Mitbestimmung dauerhaft in Einklang bringen.

Ihr Interesse an einem professionellen IT-Sachverständigen und moderner IT-Mitbestimmung in Zeiten der digitalen Transformation ist geweckt? Das Team von Betriebsdialog unterstützt Sie gerne auf dem Weg zu einer kooperativen Mitbestimmung. Kontaktieren Sie uns unverbindlich für einen Kennenlerntermin.