Microsoft 365 Mitbestimmung

Rechtsgrundlagen: BetrVG und DSGVO

In Deutschland unterliegt die Einführung und Nutzung von Microsoft 365 eindeutig der Mitbestimmung des Betriebsrats. § 87 Abs. 1 Nr. 6 BetrVG besagt, dass der Betriebsrat mitzubestimmen hat, wenn technische Einrichtungen eingeführt oder angewendet werden, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Entscheidend ist dabei nicht, ob der Arbeitgeber tatsächlich eine Überwachung beabsichtigt, sondern ob die Einrichtung objektiv geeignet ist, solche Informationen zu erheben. Microsoft 365 erfüllt dieses Kriterium, da es beispielsweise Nutzungszeiten erfasst und Nutzungsanalysen erstellt. Folglich ist eine Beteiligung des Betriebsrats zwingend erforderlich, bevor Microsoft 365 oder einzelne Module daraus eingeführt oder geändert werden. Unterbleibt diese Beteiligung, kann der Betriebsrat per einstweiliger Verfügung die Einführung stoppen lassen; zudem drohen dem Arbeitgeber gemäß § 23 Abs. 3 BetrVG Sanktionen bei grober Missachtung von Mitbestimmungsrechten.

Diese Abhandlung steht hier frei einsehbar zur Verfügung.

Wenn Sie sie in Ihrem Unternehmen oder Organisation nutzen möchten, gibt es zwei Versionen:

• Geschütztes PDF: Eine PDF-Version ohne den „Vorschau“-Schriftzug. Das PDF ist druckbar, die Entnahme von Inhalten ist nicht möglich.
• White Label-Version: Diese Variante erhalten Sie als Word-Dokument, so dass Sie das Dokument beliebig modifzieren können.

Kontaktieren Sie mich bitte, wenn Sie eine kommerzielle Fassung dieser Abhandlung möchten.

Ist ein Unternehmen an mehreren Standorten tätig, stellt sich die Zuständigkeitsfrage: Die Einführung einer einheitlichen Microsoft 365-Umgebung („Single Tenant“) bedarf einer betriebsübergreifenden Regelung durch den Gesamtbetriebsrat. Das Bundesarbeitsgericht entschied 2022, dass bei zentral administrierten Office-365-Tenants der Gesamtbetriebsrat zuständig ist, da die Kontrolle der Arbeitnehmer übergreifend möglich ist. Lokale Betriebsräte allein können eine solche Einführung also nicht regeln, wenn die Administration und Datenhaltung zentral erfolgt.

Auch Datenschutzrecht spielt eine große Rolle. Personenbezogene Daten der Beschäftigten dürfen nur auf Basis gesetzlicher Erlaubnistatbestände oder Kollektivvereinbarungen (Betriebsvereinbarungen) verarbeitet werden. Art. 88 DSGVO und § 26 BDSG erlauben zusätzliche Regelungen im Beschäftigungskontext. Eine Betriebsvereinbarung kann demnach als Rechtsgrundlage dienen, muss aber die Vorgaben der DSGVO einhalten. Sie darf keine Datenverarbeitung legitimieren, die nach DSGVO eigentlich unzulässig wäre. Praktisch bedeutet dies, dass eine Betriebsvereinbarung zu Microsoft 365 ausreichende Schutzmaßnahmen und Begrenzungen für die Datenverarbeitung vorsehen muss (z. B. strenge Zweckbindung, Löschfristen, Zugriffsregelungen), um wirksam zu sein. Darüber hinaus verpflichtet die DSGVO den Arbeitgeber in vielen Fällen zu einer Datenschutz-Folgenabschätzung (DSFA), bevor neue Technologien wie Microsoft 365 eingeführt werden. Insbesondere wenn eine umfangreiche systematische Überwachung oder Verarbeitung sensibler Daten möglich ist, ist gemäß Art. 35 DSGVO eine DSFA durchzuführen. Der Betriebsrat kann vor Abschluss einer Vereinbarung Einsicht in die DSFA verlangen, um die Risiken für die Beschäftigten nachvollziehen zu können.

Aktuelle Urteile und Stellungnahmen der Aufsichtsbehörden

In den letzten Jahren haben Gerichte und Datenschutzbehörden die Einführung von Microsoft 365 kritisch beleuchtet. Ein wichtiges Urteil betrifft den oben genannten Fall der zentralen Office-365-Einführung: Das Bundesarbeitsgericht (Beschluss vom 08.03.2022 – 1 ABR 20/21) bestätigte, dass Office 365 mit potenzieller Verhaltenskontrolle mitbestimmungspflichtig ist und der Gesamtbetriebsrat zuständig sein kann. Bereits die Vorinstanzen (ArbG Bonn und LAG Köln) hatten dem örtlichen Betriebsrat die Zuständigkeit abgesprochen, weil eine einheitliche Cloud-Lösung vorlag. Dieses Urteil unterstreicht nochmals: Sobald Software – wie Microsoft 365 – Mitarbeiterdaten zentral erfasst und auswertbar macht, ist die Mitbestimmung zwingend und notfalls überbetrieblich auszuüben.

Datenschutzaufsichtsbehörden haben sich ebenfalls klar positioniert. Die Konferenz der Datenschutzbehörden (DSK) kam im November 2022 nach einer Prüfung zu dem Schluss, dass Microsoft 365 derzeit nicht DSGVO-konform einsetzbar ist. In ihrer Stellungnahme vom 24.11.2022 stellte die DSK fest, dass Microsoft nicht hinreichend nachweisen konnte, die Anforderungen der DSGVO zu erfüllen, sodass die Nutzung von M365 als rechtswidrig einzustufen sei. Hauptkritikpunkte der Behörden betrafen u. a. die mangelnde Transparenz über die Verarbeitung von Telemetrie- und Diagnosedaten durch Microsoft, unzureichend spezifizierte Auftragsverarbeitungsbedingungen und Risiken beim Datentransfer in die USA. Zwar hat Microsoft mit Maßnahmen wie dem EU Data Boundary (Speicherung und Verarbeitung von Kundendaten ausschließlich in EU-Rechenzentren) und der Teilnahme am neuen EU-US Data Privacy Framework reagiert, doch sehen Aufsichtsbehörden weiterhin rechtliche Unsicherheiten. So bemängelt die DSK, dass Microsofts Zusagen zu Zugriffsbeschränkungen und Datenauskunft nur für Teile der Daten gelten und nicht klar ist, welche personenbezogenen Daten Microsoft zu eigenen Zwecken verarbeitet. In der Praxis bedeutet diese Einschätzung: Unternehmen stehen bei Einsatz von Microsoft 365 in der Verantwortung, zusätzliche Sicherungsmaßnahmen zu ergreifen und gegenüber dem Betriebsrat sowie den Datenschutzbehörden darzulegen, wie ein rechtskonformer Betrieb gewährleistet wird. Einige Behörden – etwa Landesdatenschützer in Hessen und Baden-Württemberg – haben öffentlich gewarnt, dass insbesondere im Bildungsbereich oder öffentlichen Sektor Alternativen zu Microsoft 365 geprüft werden sollten, bis offene Datenschutzfragen geklärt sind. Diese strenge Sicht der Behörden spiegelt sich auch in der Belegschaftsvertretung wider: Betriebsräte nehmen die Datenschutzbedenken ernst und drängen auf rechtssichere Lösungen oder Einschränkungen beim Einsatz von Microsoft 365.

Microsoft 365-Komponenten: Mitbestimmungs- und Datenschutzrisiken (Ampelbewertung)

Ein zentraler Bestandteil der Mitbestimmung ist die Bewertung, welche Risiken die einzelnen Dienste von Microsoft 365 für Arbeitnehmerrechte und Datenschutz bergen. Die folgende Tabelle gibt einen Überblick über wichtige Komponenten von Microsoft 365 und stuft das Mitbestimmungs-/Datenschutzrisiko im Ampelsystem ein (🟢 gering, 🟡 mittel, 🔴 hoch). Jede Einstufung wird kurz begründet:

Hinweis: Übergreifende Administrations- und Monitoring-Funktionen von Microsoft 365 (wie das Microsoft 365 Admin Center mit Nutzungsberichten oder der früher sogenannte „Productivity Score“) sind aus Betriebsratssicht besonders kritisch. Diese Funktionen sind zwar kein Endnutzer-Tool, aber sie ermöglichen Administratoren oder Vorgesetzten, detaillierte Statistiken pro Benutzer abzurufen (z. B. Anzahl gesendeter Mails, Chat-Nachrichten, Anmeldezeiten). Solche Auswertungen fallen eindeutig unter § 87 Abs. 1 Nr. 6 BetrVG und sollten nur anonymisiert oder stark eingeschränkt verwendet werden. In vielen Betriebsvereinbarungen wird festgelegt, dass individualisierte Nutzungsberichte deaktiviert oder nur in Ausnahmefällen zulässig sind. Die Ampel stünde hier ohne strikte Regelung auf Rot.

Arbeitgeberfreundliche Strategie im Umgang mit dem Betriebsrat

Eine konstruktive Zusammenarbeit mit dem Betriebsrat ist Schlüssel zum erfolgreichen Einsatz von Microsoft 365. IT-Verantwortliche sollten von Anfang an eine proaktive und lösungsorientierte Haltung einnehmen. Folgende Strategieelemente haben sich als arbeitgeberfreundlich und zugleich die Mitbestimmung achtend bewährt:

1. Frühzeitige Einbindung: Der Betriebsrat sollte so früh wie möglich über die Pläne zur Einführung oder Erweiterung von Microsoft 365 informiert werden. Überraschungen gilt es zu vermeiden. Statt erst mit fertigen Tatsachen zu konfrontieren, ist es sinnvoll, den Betriebsrat bereits in der Planungsphase anzuhören – etwa durch Präsentation der vorgesehenen Module und Funktionen. Diese frühe Beteiligung schafft Vertrauen und signalisiert Wertschätzung der Mitbestimmungsrechte.
2. Transparenz und Offenheit: Stellen Sie dem Betriebsrat alle relevanten Informationen zur Verfügung – von der Produktbeschreibung über die Ergebnisse der Datenschutz-Folgenabschätzung bis hin zu technischen Details, welche Daten verarbeitet werden. Je klarer der Betriebsrat versteht, wie Microsoft 365 funktioniert und wozu welche Daten anfallen, desto sachlicher kann die Diskussion verlaufen. Verbergen Sie nichts: Auch bekannte Risiken (z. B. verbleibende Unsicherheiten bei US-Transfers) sollten offen benannt werden, verbunden mit dem Vorschlag, gemeinsam Lösungen zu finden. Transparenz reduziert Misstrauen.
3. Externe Expertise nutzen: Es kann sinnvoll sein, neutrale Experten hinzuzuziehen – etwa den Datenschutzbeauftragten des Unternehmens oder externe Datenschutz-/IT-Fachleute. Diese können dem Betriebsrat versichern, dass die datenschutzrechtlichen Anforderungen beachtet wurden, und technische Maßnahmen erläutern, die Missbrauch verhindern. Ein unabhängiges Gutachten oder Best-Practice-Bericht (z. B. von anderen Unternehmen, in denen Betriebsräte einer ähnlichen Einführung zugestimmt haben) kann Überzeugungsarbeit leisten.
4. Konkrete Schutzmaßnahmen anbieten: Ein arbeitgeberfreundlicher Ansatz bedeutet nicht, maximalen Nutzen aus Überwachungsmöglichkeiten zu ziehen, sondern im Gegenteil, von vornherein Schutzmechanismen einzubauen. Gehen Sie aktiv mit Vorschlägen auf den Betriebsrat zu: Etwa die Deaktivierung oder Einschränkung bestimmter Features (z. B. Kein individuelles Produktivitäts-Scoring, Abschalten von optionaler Telemetrie, strenge Rollenbeschränkungen für Administratoren), klare Regelungen zur Nutzungszeit (kein Zwang zur ständigen Erreichbarkeit) und Zusagen, dass ohne Zustimmung des Betriebsrats keine neuen überwachungsrelevanten Funktionen aktiviert werden. Solche Vorab-Zugeständnisse zeigen, dass der Arbeitgeber die Arbeitnehmerinteressen ernst nimmt, und erleichtern die Verhandlungen erheblich.
5. Betriebsvereinbarung als Chance verstehen: Schlagen Sie vor, eine umfangreiche Betriebsvereinbarung zu Microsoft 365 zu erarbeiten, und bieten Sie an, gemeinsam an einem Entwurf zu feilen. Eine gut formulierte Vereinbarung schafft Rechtssicherheit für beide Seiten. Aus Arbeitgebersicht ist sie Schutz vor späteren Konflikten, da genau geregelt ist, was erlaubt ist (z. B. Nutzung von Teams für interne Kommunikation) und was ausgeschlossen ist (z. B. Auswertung von Chatprotokollen zur Leistungsbeurteilung). Betonen Sie gegenüber dem Betriebsrat, dass Sie an einer fairen, ausgewogenen Vereinbarung interessiert sind, die sowohl die Betriebsratsanliegen berücksichtigt als auch die notwendigen Freiräume für einen effizienten IT-Betrieb lässt.
6. Schulung und Mitnahme der Belegschaft: Eine konstruktive Strategie adressiert nicht nur den Betriebsrat, sondern auch die Sorgen der Mitarbeiter. Bieten Sie Schulungen und Informationsveranstaltungen an, gerne gemeinsam mit dem Betriebsrat, um die Belegschaft mit den neuen Tools vertraut zu machen. Verdeutlichen Sie die Vorteile von Microsoft 365 (z. B. bessere Zusammenarbeit im Team, flexibleres Arbeiten auch im Homeoffice) ohne die Risiken auszublenden. Wenn Mitarbeiter sehen, dass Arbeitgeber und Betriebsrat an einem Strang ziehen, um einen sicheren und sinnvollen Einsatz der Software zu gewährleisten, steigert das die Akzeptanz insgesamt.
7. Pilotphasen und Feedback: Ein arbeitgeberfreundlicher, aber dialogorientierter Ansatz kann darin bestehen, Microsoft 365 zunächst in einem Pilotprojekt einzuführen – ggf. in einem einzelnen Unternehmensbereich – und den Betriebsrat diesen Prozess eng begleiten zu lassen. In der Pilotphase gesammeltes Feedback (sowohl von Mitarbeitern als auch vom Betriebsrat) kann genutzt werden, um Einstellungen oder Regeln nachzujustieren. Dieses iterative Vorgehen signalisiert Kompromissbereitschaft und den Willen, gemeinsam zu lernen. Der Betriebsrat wird eher zustimmen, wenn er sieht, dass Bedenken ernsthaft geprüft und gegebenenfalls korrigiert werden.
8. Regelmäßige Kommunikation und Vertrauen: Etablieren Sie einen dauerhaften Austausch mit dem Betriebsrat zum Thema IT. Dies kann etwa in Form eines regelmäßigen „IT-Betriebsrats-Run­den­tischs“ geschehen, bei dem Updates zu Microsoft 365 besprochen werden. So können kommende Änderungen (Updates, neue Features) früh diskutiert und eventuelle Mitbestimmungsbedarfe erkannt werden. Eine solche enge Zusammenarbeit ermöglicht es, Konflikte zu vermeiden, bevor sie entstehen. Insgesamt gilt: Eine partnerschaftliche Haltung, bei der der Betriebsrat als Gestalter und nicht als Gegner gesehen wird, zahlt sich langfristig aus – die Einführung verläuft reibungsloser und beide Seiten schaffen eine Vertrauensbasis für die digitale Transformation im Unternehmen.

Zehn häufige Bedenken des Betriebsrats und passende Einwandbehandlungen

Im Zusammenhang mit Microsoft 365 tauchen aus Sicht von Betriebsräten immer wieder ähnliche Bedenken und Einwände auf. Nachfolgend sind die zehn häufigsten Befürchtungen aufgelistet – jeweils mit einer kurzen Erläuterung der Sorge sowie einem Vorschlag, wie der Arbeitgeber dem konstruktiv begegnen kann (Einwandbehandlung):

1. Bedenken: Überwachung der Mitarbeiterleistung. Viele Betriebsräte befürchten, Microsoft 365 ermögliche eine lückenlose Kontrolle von Leistung und Verhalten der Beschäftigten – etwa durch Nutzungsstatistiken in Teams oder automatisierte Berichte über Arbeitsaktivitäten.
   Einwandbehandlung: Als Arbeitgeber sollte man klarstellen, dass Microsoft 365 nicht als Überwachungsinstrument missbraucht wird. Konkret kann man zusichern, in der Betriebsvereinbarung festzuschreiben, dass keine individuellen Leistungsprofile erstellt werden. Beispielsweise wird vereinbart, dass Kennzahlen wie Login-Zeiten, Chat-Aktivitäten oder E-Mail-Aufkommen nicht zur Bewertung von Mitarbeitern herangezogen werden dürfen. Zusätzlich kann angeboten werden, bestimmte Logging-Funktionen zu deaktivieren oder zu anonymisieren. Wichtig ist es, dem Betriebsrat zu vermitteln: Wir möchten die Produktivität durch bessere Zusammenarbeit steigern, nicht durch Überwachung. Alle Maßnahmen zur Leistungs- oder Verhaltenskontrolle werden ausgeschlossen, außer es besteht eine gesetzliche Pflicht (etwa bei Compliance-Ermittlungen, dann aber unter Beteiligung des Betriebsrats).
2. Bedenken: Datenschutz und Cloud (DSGVO-Konformität). Der Betriebsrat sorgt sich, dass durch die Cloud-Nutzung von Microsoft 365 personenbezogene Daten ins Ausland (USA) fließen und die DSGVO verletzt wird. Insbesondere nach den Schrems-II-Urteilen besteht Angst vor unzulässigem Zugriff aus Drittstaaten und Strafen der Aufsichtsbehörden.
   Einwandbehandlung: Hier sollte der Arbeitgeber offensiv darlegen, welche Datenschutzmaßnahmen getroffen wurden. Etwa: Microsoft 365 wird in europäischen Rechenzentren betrieben (EU Data Boundary), Microsoft ist nach aktuellem Stand dem EU-US Data Privacy Framework beigetreten und wir haben die Standardvertragsklauseln abgeschlossen. Zudem werden alle sensiblen Daten, wo immer möglich, verschlüsselt gespeichert und übertragen. Man kann dem Betriebsrat auch mitteilen, dass man die Entwicklung kontinuierlich beobachtet und bereit ist, auf Änderungen (z. B. ein möglicherweise negatives EuGH-Urteil zum Privacy Framework) umgehend zu reagieren, notfalls mit zusätzlichen Schutzmaßnahmen oder einem Anbieterwechsel. Kurz: Der Arbeitgeber zeigt, dass ihm rechtskonformer Betrieb wichtig ist und dass kein fahrlässiges Datenschutzrisiko eingegangen wird. Ggf. kann ein gemeinsam mit dem Datenschutzbeauftragten verfasstes Datenschutzkonzept zu Microsoft 365 präsentiert werden, um Vertrauen zu schaffen.
3. Bedenken: Einsicht in private Kommunikation. Oft besteht die Sorge, der Arbeitgeber könne E-Mails, Chats oder OneDrive-Dateien der Mitarbeiter nach Belieben mitlesen bzw. durchsuchen. Diese Vorstellung verletzt das Vertrauensverhältnis massiv.
   Einwandbehandlung: Der Arbeitgeber sollte eindeutig versichern, dass eine Inhaltliche Überwachung der Kommunikation nicht stattfindet. Konkret: Weder Vorgesetzte noch Administratoren lesen routinemäßig private oder persönliche Nachrichten mit. Zugriff auf E-Mail-Postfächer oder Teams-Chats erfolgt – wenn überhaupt – nur in eng umrissenen Ausnahmefällen, etwa bei einem gravierenden Verdacht auf Straftaten im Unternehmen. Und selbst dann nur nach einem festgelegten Verfahren, das den Betriebsrat einbindet (z. B. Vier-Augen-Prinzip mit dem Datenschutzbeauftragten oder Betriebsratsmitglied). Ferner kann betont werden, dass Mitarbeiter durchaus ein Recht auf Vertraulichkeit ihrer Kommunikation haben. Falls das Unternehmen private E-Mail-Nutzung erlaubt, wird es die Geheimhaltung entsprechend telekommunikationsrechtlicher Vorgaben wahren. Insgesamt sollte der Betriebsrat spüren: Die Einführung von M365 bedeutet nicht, dass künftig überall mitgelesen wird – vertrauliche Kommunikation bleibt vertraulich.
4. Bedenken: „Always-On“-Mentalität und Stress. Neue Kollaborationstools wie Teams fördern ständige Erreichbarkeit – der Betriebsrat fürchtet digitalen Stress und die Aufweichung von Arbeitszeitgrenzen. Mitarbeiter könnten sich gedrängt fühlen, auch außerhalb ihrer regulären Arbeitszeit noch „online“ zu sein oder sofort auf Nachrichten zu reagieren.
   Einwandbehandlung: Der Arbeitgeber kann proaktiv Regeln vorschlagen, die die Work-Life-Balance schützen. Zum Beispiel: Es wird in der Betriebsvereinbarung festgelegt, dass keine Verpflichtung zur ständigen Erreichbarkeit besteht. Chats, die außerhalb der Arbeitszeit eingehen, müssen erst am nächsten Arbeitstag gelesen werden – hier wird auch an die Führungskräfte appelliert, dies zu respektieren. Außerdem kann eine „Right-to-Disconnect“-Policy besprochen werden, die klar kommuniziert, dass Mitarbeiter abends und am Wochenende nicht online sein müssen. Teams bietet Statusanzeigen („Nicht stören“), die aktiv genutzt werden dürfen, ohne dass dies negativ ausgelegt wird. Indem der Arbeitgeber auf solche gesundheitsfreundlichen Regelungen eingeht und ggf. Schulungen zum Thema digitale Arbeitsbelastung anbietet, zeigt er Verständnis für das Anliegen. Ziel ist es, dem Betriebsrat zu demonstrieren: Wir setzen moderne Tools ein, aber auf eine Weise, die die Gesundheit der Beschäftigten wahrt.
5. Bedenken: Intransparenz über Datenerhebung. Ein häufiger Einwand lautet, es sei unklar, welche Daten Microsoft 365 im Hintergrund sammelt. Telemetrie, Diagnosedaten, Nutzungsstatistiken – der normale Nutzer (und auch der Betriebsrat) blickt nicht ohne Weiteres durch, was davon wohin übermittelt wird. Diese Intransparenz nährt Misstrauen.
   Einwandbehandlung: Der Arbeitgeber sollte maximale Transparenz herstellen. Das bedeutet, dem Betriebsrat (und gerne auch allen Mitarbeitern in verständlicher Form) offenzulegen: Welche Arten von Daten fallen an? Welche gehen an Microsoft (z. B. zur Verbesserung der Dienste)? Welche bleiben intern verfügbar als Admin-Reports? Hier kann auf offizielle Dokumentationen verwiesen werden, und noch wichtiger: Man kann anbieten, gemeinsam Konfigurationen vorzunehmen, die die Datensammelei reduzieren. Beispielsweise lässt sich der Umfang der an Microsoft gesendeten Diagnosedaten oft einstellen (etwa nur „erforderliche Daten“ statt „optionale Diagnosedaten“). Der Arbeitgeber könnte zusagen: Wir stellen die Dienste datensparsam ein und dokumentieren dies. Zudem kann vorgeschlagen werden, in der BV ein Auskunftsrecht festzuschreiben: Der Betriebsrat erhält auf Wunsch einen Report, welche personenbezogenen Daten zu Überwachungszwecken erfasst werden. Diese Offerte, alle Karten offen auf den Tisch zu legen, wird den Betriebsrat beruhigen, da sie zeigt: Der Arbeitgeber hat nichts zu verbergen und bemüht sich um Klarheit.
6. Bedenken: Häufige Updates und neue Features. Cloud-Software wie Microsoft 365 verändert sich ständig – der Betriebsrat hat Angst, die Zustimmung zu geben und dann rollt Microsoft laufend neue Funktionen aus, die wiederum mitbestimmungspflichtig wären, ohne dass man sie rechtzeitig bemerkt. Es besteht das Gefühl eines Kontrollverlusts über die IT-Entwicklung.
   Einwandbehandlung: Diesem berechtigten Punkt kann der Arbeitgeber mit einem Prozessvorschlag begegnen: In der Betriebsvereinbarung wird ausdrücklich geregelt, wie mit Updates umgegangen wird. Man kann zusichern, dass wesentliche Änderungen (z. B. Einführung eines völlig neuen Dienstes oder einer neuen Monitoring-Funktion) dem Betriebsrat erneut vorgelegt werden, bevor sie aktiviert werden. Hingegen können rein technische Updates oder sicherheitsrelevante Patches sofort eingespielt werden, wobei der Betriebsrat in Kenntnis gesetzt wird. Wichtig ist die Definition, was „wesentlich“ ist – hier kann man anbieten, gemeinsam Kriterien festzulegen. Zudem kann der Arbeitgeber versprechen, Release-Notes und Ankündigungen von Microsoft aktiv zu verfolgen und den Betriebsrat bei relevanten Neuerungen unaufgefordert zu informieren. So behält der Betriebsrat die Zügel in der Hand, ohne jede Kleinigkeit blockieren zu müssen. Dieses Entgegenkommen signalisiert: Wir respektieren eure Mitbestimmung auch langfristig und wollen keinen Trojaner einschmuggeln. Eine Versionierung der BV oder eine regelmäßige Überprüfungsklausel (z. B. jährliche Evaluierung der Vereinbarung) kann ebenfalls Vertrauen schaffen.
7. Bedenken: Fehlende Alternativen und Freiheitsgrade. Manche Betriebsräte äußern grundsätzlich die Sorge, der Arbeitgeber zwinge alle Mitarbeiter in ein bestimmtes (Microsoft-)System, ohne Alternativen zu erlauben – z. B. Nutzung von Open-Source-Software oder zumindest die Möglichkeit, bestimmte Funktionen abzulehnen. Dahinter steht oft auch die Angst, völlig von Microsoft abhängig zu werden (Lock-in-Effekt).
   Einwandbehandlung: Hier kann der Arbeitgeber darauf hinweisen, dass die Entscheidung für Microsoft 365 wohlüberlegt und auf Marktvergleichen basiert. Man kann aber Entgegenkommen zeigen, indem man Flexibilität dort einräumt, wo es möglich ist: Beispielsweise Zubilligung von Ausnahmen, etwa wenn ein Mitarbeiter aus individuellen Gründen bestimmte Tools nicht nutzen will (im Rahmen der Arbeitsorganisation natürlich begrenzt möglich). Auch der Hinweis, dass Microsoft 365 gängiger Standard ist und die Zusammenarbeit mit Kunden/Partnern erleichtert, kann Verständnis schaffen. Wichtig ist, nicht abzuwerten: Sollte der BR konkrete Alternativen (z. B. Open-Source-Tools) vorschlagen, kann man offen prüfen, ob und wie diese gegebenenfalls parallel einsetzbar wären. Oft zeigt sich jedoch, dass ein einheitliches System Vorteile bringt. Der Arbeitgeber sollte verdeutlichen: Wir investieren in Schulung und Support, damit alle mit dem System gut arbeiten können. Dadurch wird klar, dass niemand „zwangsverglückt“ werden soll, sondern dass es um einen gemeinsamen Fortschritt geht. Die Abhängigkeit von Microsoft wird durch Vertragsklauseln (z. B. Datenportabilität) und ständige Marktbeobachtung begegnet – auch das kann man erwähnen.
8. Bedenken: IT-Sicherheit und Datenlecks. Der Betriebsrat fragt sich, ob mit der Cloud-basierten Plattform neue Sicherheitsrisiken ins Haus stehen – etwa Hackerangriffe, Phishing, Datenpannen, bei denen Mitarbeiterdaten öffentlich werden könnten. Auch ob Microsoft selbst Zugriff auf vertrauliche Firmendaten hat, ist ein Thema.
   Einwandbehandlung: In diesem Fall sollte der Arbeitgeber seine IT-Sicherheitsstrategie darlegen. Man kann argumentieren, dass Microsoft 365 sogar sicherer ist als manche Altsysteme: Microsoft investiert enorm in Sicherheit (Stichwort: Defender, Security Monitoring, regelmäßige Updates). Zudem hat das Unternehmen einschneidende Sicherheitsmaßnahmen ergriffen: z. B. verpflichtende Multi-Faktor-Authentifizierung für alle Nutzer, Verschlüsselung von Daten, strenge Zugriffsrechte nach dem Need-to-know-Prinzip. Für den Fall eines Sicherheitsvorfalls gibt es einen Notfallplan und Meldewege, auch der Betriebsrat würde informiert. Wichtig ist, dem Gremium klarzumachen, dass die Schutzinteressen der Mitarbeiterdaten ebenso gewahrt sind – z. B. sind Personalakten oder besonders sensible Daten gar nicht erst in der Cloud, oder wenn doch, dann nur stark beschränkt zugänglich. Durch diese Darstellung nimmt man dem Betriebsrat die Angst, mit Microsoft 365 ein Fass ohne Boden in puncto Sicherheitslöcher aufzumachen. Stattdessen zeigt man: Wir nutzen eine moderne Plattform, aber wir sichern sie nach dem Stand der Technik ab, sodass die Mitarbeiterdaten nicht gefährdeter sind als zuvor – eher im Gegenteil.
9. Bedenken: Komplexität und Schulungsbedarf. Der Betriebsrat gibt zu bedenken, dass viele Mitarbeiter von der Vielzahl der neuen Tools überfordert sein könnten. Nicht jeder ist digital affin; es besteht die Gefahr, dass Kollegen im Umgang Fehler machen, die dann eventuell sanktioniert werden, oder dass die Arbeitsbelastung durch ineffiziente Nutzung steigt.
   Einwandbehandlung: Diesem Einwand begegnet man am besten mit einem ausführlichen Schulungs- und Change Management-Konzept. Der Arbeitgeber kann versichern, dass kein Mitarbeiter ins kalte Wasser geworfen wird: Geplant sind Trainings, von Einsteigerkursen bis zu fortgeschrittenen Workshops, gegebenenfalls Tutorien oder eine Hotline für Fragen. Besonders wichtig: eine Kultur des Fehlertolerierens zu betonen – am Anfang läuft nicht alles perfekt, und das ist in Ordnung. Keiner wird bestraft, weil er eine neue Software nicht sofort 100% effizient nutzt. Man kann auch vorschlagen, sogenannte Key User zu benennen – Mitarbeiter, die besonders geschult werden und dann als Ansprechpartner im Team dienen. Indem der Arbeitgeber zeigt, dass er die menschliche Komponente im Blick hat und für Unterstützung sorgt, nimmt er dem Betriebsrat die Sorge, die Belegschaft könnte mit dem Wandel überfordert werden. Ideal ist, wenn der Betriebsrat selbst in die Ausgestaltung der Schulungen einbezogen wird (z. B. durch Feedback, welche Themen den Kollegen auf den Nägeln brennen).
10. Bedenken: Veränderungen der Arbeitskultur. Hinter manchem Vorbehalt steht die allgemeine Angst vor dem Wandel der Arbeitsorganisation. Microsoft 365 fördert mobiles Arbeiten, virtuelle Meetings statt persönlicher Treffen, transparente Dokumentenablage – kurz, die Arbeitswelt wird digitaler. Der Betriebsrat sorgt sich, dass traditionelle Arbeitsweisen verdrängt und persönliche Kontakte reduziert werden, was sich auf das Betriebsklima auswirken könnte. Auch könnte die Einführung für einige Rollen Änderungen bedeuten (z. B. Wegfall von Papierakten, Umschulung von Sekretariatstätigkeiten usw.).
    Einwandbehandlung: Der Arbeitgeber sollte diese kulturellen Aspekte nicht vom Tisch wischen, sondern aktiv ansprechen. Er kann betonen, dass Microsoft 365 als Werkzeug eingeführt wird, um die Zusammenarbeit zu verbessern, nicht um menschliche Interaktion zu ersetzen. Präsenzmeetings und persönliche Absprachen bleiben dort, wo sie sinnvoll sind, erhalten – MS Teams wird sie nur ergänzen, etwa wenn Kolleg*innen an verschiedenen Standorten arbeiten (ohne allerdings Genderstern: Kollegen an verschiedenen Standorten). Auch kann man hervorheben, dass Flexible-Work-Modelle durch M365 unterstützt werden (was vielen Beschäftigten entgegenkommt, z. B. Homeoffice-Möglichkeiten). Wichtig ist, die Einbindung aller Mitarbeiter zu suchen: vielleicht Workshops zur neuen „Team-Kultur“, Feedbackrunden nach Einführung, um zu hören, wo es klemmt. Der Betriebsrat wird beruhigt sein, wenn er sieht, dass der Arbeitgeber den sozialen Zusammenhalt und die Unternehmenskultur trotz Digitalisierung pflegen will. Konkret könnte man gemeinsame Regeln einer „Netiquette“ oder Kommunikationskultur in Teams erarbeiten, um Missverständnisse und Reibungsverluste zu minimieren (beispielsweise Guidelines für die Erreichbarkeit, Umgangston in Chats, Kamera-Nutzung in Videomeetings nur freiwillig etc.). So zeigt der Arbeitgeber: Wir modernisieren die Arbeit, aber behalten die Menschlichkeit bei. Dies nimmt viel von der diffusen Angst vor dem Neuen.

Fazit

Aus Arbeitgebersicht lässt sich festhalten, dass die Einführung und der Betrieb von Microsoft 365 in Deutschland mit Mitbestimmung erfolgreich gestaltbar sind – sofern man die richtigen Schritte geht. Die rechtlichen Vorgaben zwingen Unternehmen dazu, den Betriebsrat umfassend zu beteiligen, doch darin liegt auch eine Chance: Durch frühzeitigen Dialog und eine sorgfältig ausgearbeitete Betriebsvereinbarung können klare Regeln geschaffen werden, die sowohl den Schutz der Mitarbeiterinteressen als auch die betrieblichen Ziele sichern. Microsoft 365 bietet enorme Potentiale für Produktivität und Zusammenarbeit; mit Unterstützung des Betriebsrats können diese Potentiale ohne Rechtsverstöße und ohne Vertrauensverlust erschlossen werden.

Ein arbeitgeberorientiertes Fazit lautet somit: Transparenz und Kooperation zahlen sich aus. Wenn Unternehmen offenlegen, wie Microsoft 365 genutzt wird, Datenschutz und Arbeitnehmerrechte respektieren und gemeinsam mit dem Betriebsrat Lösungen für strittige Punkte erarbeiten, steht einer rechtskonformen Nutzung nichts im Wege. Die Erfahrungen zeigen, dass ein partnerschaftlicher Ansatz nicht etwa die Einführung verzögert, sondern im Gegenteil für Akzeptanz und Nachhaltigkeit sorgt. Mitarbeiter fühlen sich respektiert und der Betriebsrat kann die Einführung mittragen – so wird Microsoft 365 vom möglichen Konfliktherd zum gemeinsamen Projekt.

Letztlich unterstreicht die Mitbestimmung bei Microsoft 365, dass digitale Transformation und Arbeitnehmerrechte Hand in Hand gehen können. Ein gut ausgehandelter Rahmen – gestützt auf BetrVG, DSGVO und gesunden Menschenverstand – ermöglicht es, die Vorteile moderner Cloud-Tools zu nutzen, ohne die Belegschaft zum Objekt intransparenter Überwachung werden zu lassen. Für Arbeitgeber bedeutet dies zwar anfänglich mehr Abstimmungsaufwand, doch der Gewinn an Rechtssicherheit und Mitarbeitervertrauen wiegt dies auf. Kurz gesagt: Microsoft 365 lässt sich erfolgreich einführen, wenn man den Betriebsrat vom Gegner zum Partner macht – ein Investment in Kooperation, das sich für alle Seiten auszahlt.

Quellen: Betriebsverfassungsgesetz (BetrVG); Datenschutz-Grundverordnung (DSGVO); Bundesdatenschutzgesetz (BDSG); Beschlüsse von LAG Köln (21.05.2021, Az. 9 TaBV 28/20) und BAG (08.03.2022, Az. 1 ABR 20/21); Stellungnahme der DSK vom 24.11.2022; diverse Fachbeiträge und Kommentare (u. a. Daniel Wall in Computer und Arbeit 9/2022; Rechtsprechungsblog Beck Aktuell

Weitere Beiträge zum Thema Security und Compliance