Kann der Arbeitgeber Microsoft-Teams-Chats überwachen?

Kann Ihr Arbeitgeber den Chat-Verlauf in Teams einsehen?

Die Chat-Aktivitäten in Microsoft Teams können in den Admin-Dashboards von Microsoft 365 nachverfolgt werden (zum Beispiel die Anzahl der initiierten Teams-Gruppen, privaten Chats und Kanalbeiträge). Administratoren können identifizierbare Informationen in diesen Aktivitätsdaten, wie Namen und E-Mail-Adressen, pseudonymisieren oder anonymisieren.

Im Rahmen einer E-Discovery-Untersuchung kann ein Unternehmen jedoch die Chat-Inhalte eines Mitarbeiters in Teams einsehen. Über E-Discovery sind folgende Teams-Chat-Aktivitäten verfügbar:

• Chat-Nachrichten
• Bearbeitete Nachrichten
• Microsoft-Loop-Komponenten
• Emojis, GIFs und Sticker
• Chat-Reaktionen
• Teams-Kanalnamen

Hinweis: Je nach Richtlinie beziehungsweise Modul können gelöschte oder bearbeitete Inhalte als solche gekennzeichnet sein. Bei rechtlicher Aufbewahrung (Hold) bleiben frühere Versionen gegebenenfalls erhalten.

Die Prüfer können auch Risikomanagement-Tools verwenden, um potenziell bedrohliche oder belästigende Inhalte zu untersuchen. Dies bietet dem Arbeitgeber eine weitere Möglichkeit, Sicherheitsindikatoren für versteckte oder verschlüsselte Inhalte innerhalb von Teams zu erhalten.

Standardmäßig erfolgt die Prüfung rollenbasiert und häufig unter Pseudonymisierung der betroffenen Personen. Eine Re-Identifizierung ist nur für berechtigte Rollen vorgesehen.

Zulässige Szenarien in Deutschland

Technisch sind in Microsoft Teams weitreichende Auswertungen möglich, rechtlich ist jedoch der Kontext entscheidend. Der folgende Abschnitt zeigt, wann und unter welchen Bedingungen eine Auswertung in Deutschland grundsätzlich zulässig sein kann:

• Anlass-/Verdachtsbezug differenziert: Für verdeckte oder besonders eingriffsintensive Maßnahmen (zum Beispiel heimliche Überwachung oder die Verwendung von Keyloggern) ist ein durch Tatsachen belegter Verdacht auf Straftaten oder schwerwiegende Pflichtverletzungen erforderlich. Dieser ist zu dokumentieren. Offene, vorher kommunizierte Kontrollen (zum Beispiel Stichproben auf Regelkonformität) können auch ohne konkreten Verdacht zulässig sein, sofern sie zweckgebunden, datensparsam und verhältnismäßig sind.
• Private Nutzung und Richtlinien: Ist die private Nutzung untersagt und dies ist klar kommuniziert, sind zielgerichtete, offene Kontrollen zur Einhaltung dieser Vorgabe zulässig. Pauschale Vollzugriffe auf Inhalte bleiben jedoch unzulässig. Bei gestatteter oder geduldeter Privatnutzung sind inhaltliche Auswertungen nicht per se verboten, sondern nur ausnahmsweise und nach einer strengen Verhältnismäßigkeitsprüfung zulässig. Wo möglich, sind Metadatenprüfungen und Pseudonymisierung vorzuziehen.
• Betriebsratsbeteiligung: Sobald eine technische Einrichtung dazu geeignet ist, das Verhalten oder die Leistung der Mitarbeitenden zu überwachen (zum Beispiel durch die Auswertung von Chat- oder Nutzungsdaten, Kommunikations-Compliance oder eDiscovery-Workflows), besteht eine Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG. Üblich ist eine Betriebsvereinbarung, die den Zweck, den Umfang, die Rollen und Berechtigungen, die Transparenz, die Protokollierung und die Löschfristen regelt.

Rechtliche Vorgaben bei der Chat-Überwachung beachten

Artikel 8 der Europäischen Menschenrechtskonvention hält fest: "Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz." Damit ist schon einmal klargestellt, dass auch Chat-Verläufe nicht ohne Weiteres überwacht werden dürfen. Das verbietet Arbeitgebern aber nicht, ihre Mitarbeiter zum Zwecke der Compliance zu überwachen. Geschäftliche Kommunikation kann rechtlichen Aufbewahrungs- und Nachweispflichten unterliegen, die sich nach Branche und Zweck richten. Das bedeutet jedoch nicht, dass eine Aufzeichnung jeder Chat-Kommunikation immer notwendig ist. Vielmehr sind angemessene Retention-Regeln festzulegen und transparent zu machen.

Nach Betriebsverfassungsgesetz § 87 Mitbestimmungsrechte hat der Betriebsrat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen bei „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. Auch ohne Betriebsrat muss der Arbeitgeber Beschäftigte vorab informieren (Transparenz nach DSGVO): Zwecke, Datenkategorien, Empfänger, Rechtsgrundlagen, Speicherfristen, Betroffenenrechte. Für erhöhte Kontrollen bedarf es einer Rechtsgrundlage (regelmäßig § 26 BDSG) und einer Verhältnismäßigkeitsprüfung.

Mindestanforderungen für die Praxis

• Rechtsgrundlage und Transparenz: In der Regel § 26 Abs. 1 BDSG (Durchführung des Beschäftigungsverhältnisses), Informationspflichten nach Art. 13/14 DSGVO.
• Datenminimierung und Zugriff: Verarbeitung nur der erforderlichen Daten; bevorzugt aggregierte/anonymisierte Reports; rollenbasiert beschränkte Zugriffe (Need-to-know); Protokollierung aller Zugriffe.
• DSFA/Risikoabwägung: Bei systematischer Beobachtung oder erhöhtem Risiko ist eine Datenschutz-Folgenabschätzung (DSFA) zu prüfen beziehungsweise durchzuführen.
• Dokumentation und Löschung: Verdachtslagen, Suchkriterien, Prüfschritte und Ergebnisse sind nachvollziehbar zu dokumentieren. Es sind Lösch-/Sperrkonzepte anzuwenden.

Das ist in Österreich zu beachten

In Österreich ist die Technik dieselbe, der Rechtsrahmen jedoch eigenständig: Neben der DSGVO und § 11 DSG regelt das ArbVG, dass Kontrollmaßnahmen, die die Menschenwürde berühren, eine Betriebsvereinbarung erfordern. Ohne Betriebsrat ist die schriftliche Zustimmung der Betroffenen notwendig. Der folgende Abschnitt zeigt, wann eine Überwachung von Teams in Österreich transparent, zweckgebunden und verhältnismäßig zulässig ist (Stichwort: gelinderes Mittel).

• Rechtsgrundlagen: Verarbeitung von Beschäftigtendaten nach DSGVO und § 11 DSG (Umsetzung von Art. 88 DSGVO). Daraus ergeben sich unter anderem Informationspflichten, Datenminimierung, Zweckbindung und rollenbasierte Zugriffe.
• Betriebsrat und Betriebsvereinbarung: Kontrollmaßnahmen bzw. technische Systeme, die die Menschenwürde berühren, sind zustimmungspflichtig und per Betriebsvereinbarung zu regeln (§ 96 Abs. 1 Z 3 ArbVG). Beispiele hierfür sind inhaltsbezogene Chat-Auswertungen oder dauerhafte Leistungs- und Verhaltenskontrollen.
• Kein Betriebsrat: In betriebsratslosen Betrieben sind solche Maßnahmen nur mit schriftlicher Zustimmung der einzelnen Arbeitnehmer:innen zulässig (§ 10 AVRAG).
• Verhältnismäßigkeit (gelindere Mittel): Vor inhaltlichen Kontrollen ist immer zu prüfen, ob mildere Alternativen (zum Beispiel Metadaten-Checks, Pseudonymisierung oder Stichproben) genügen.

So überwachen Sie Teams-Chats: Schritt für Schritt

1. Überprüfen Sie, ob Sie die richtige Microsoft 365-Lizenz besitzen

Wenn Sie Team-Chats überwachen möchten, müssen Sie zunächst beachten, dass nicht alle Microsoft 365-Pläne die Einhaltung von Kommunikationsvorschriften als Funktion enthalten und dass Microsoft die Einhaltung von Kommunikationsvorschriften nicht als eigenständiges Abonnement anbietet. IT-Abteilungen, die Basic-, Standard- oder Premium-Lizenzen verwenden, müssen auf den E5- oder den E3-Lizenzplan mit einem E5-Compliance-Add-on upgraden, um Chats überwachen und protokollieren zu können.

Tipp: Prüfen Sie zusätzlich eDiscovery-/Audit-/Retention-Funktionen sowie Rollenvergabe (Least Privilege).

2. Aktivieren der Kommunikations-Compliance

Bevor eine Chat-Überwachung durchgeführt werden kann, muss ein Administrator, der als Kommunikations-Compliance-Administrator zugewiesen ist, zunächst die Verwendung der Kommunikations-Compliance-Funktionen auf globaler Ebene aktivieren. Sobald dieser Schritt abgeschlossen ist, können autorisierte Administratoren auf alle Konfigurationsfunktionen zugreifen, die die Überwachung einiger oder aller Benutzer ermöglichen.

Administratoren, die mit der Überwachung der Chat-Kommunikation betraut sind, können je nach ihren Aufgaben und ihrem Bedarf an Zugriff auf Chat-Protokolle einer von mehreren Rollen zugewiesen werden. Einige Beispiele für diese Rollen sind:

• Kommunikations-Compliance-Administrator: Diese Rolle kann die Kommunikations-Compliance aktivieren, untergeordnete Compliance-Administratoren definieren und die typischen Lese-/Schreib-/Aktualisierungs-/Lösch-Richtlinien durchführen, die zur Verwaltung der Chat-Überwachung erforderlich sind.
• Kommunikations-Compliance-Analyst: Diese Rolle kann erstellte Richtlinien überprüfen und Nachrichten-Metadaten anzeigen, jedoch nicht den Nachrichteninhalt.
• Kommunikations-Compliance-Prüfer: Diese Rolle kann sowohl Nachrichten-Metadaten als auch die Nachrichten selbst anzeigen. Der Prüferkann außerdem gekennzeichnete Nachrichten markieren, damit sie zu einer bestimmten E-Discovery hinzugefügt werden.

Tipp: Aktivieren Sie Audit-Logs, definieren Sie Genehmigungs-/Vier-Augen-Prozesse und halten Sie eine Zugriffs-Chronik vor.

3. Festlegen, wer überwacht werden soll

Administratoren, die für die Einhaltung von Kommunikationsrichtlinien zuständig sind, können technisch die Chats und andere Team- und E-Mail-Kommunikation bestimmter Mitarbeiter überwachen – oder alle Mitarbeiter, denen eine gültige E3- oder E5-Lizenz zugewiesen ist. Administratoren können Nutzer auch in bestimmte Überwachungsgruppen einordnen, was die Konfiguration der Kommunikationsüberwachungsrichtlinien für bestimmte Teams oder Abteilungen vereinfacht, die detailliertere Überwachungsregeln benötigen.

Der Schwerpunkt liegt zwar auf der Verwendung von Überwachungstools für Chats, doch Teams bietet auch eine Integration mit Copilot. Microsoft erweitert seine Überwachungsfunktionen um GenAI-Tools, die potenziell auch in Teams eingesetzt werden könnten.

Tipp: Vor produktivem Einsatz Betriebsrat beteiligen, Transparenzinformationen bereitstellen, Zweck unf Umfang klar definieren, Löschfristen festlegen.

4. Erstellen von Überwachungsrichtlinien

Administratoren müssen Richtlinien planen und konfigurieren, um jede Kommunikations-Compliance-Gruppe ausreichend zu überwachen. Microsoft bietet Richtlinienvorlagen oder die Möglichkeit für Administratoren, Richtlinien von Grund auf zu erstellen. Eine dritte Möglichkeit ist die Verwendung eines integrierten Richtlinienassistenten, der Administratoren durch den Prozess der Richtlinienerstellung führt. Unabhängig von der verwendeten Methode besteht der Zweck der Richtlinienerstellung darin, Folgendes zu tun:

• Anwender in Überwachungsgruppen einteilen.
• Wählen, wer die zu überwachende Richtlinie und/oder Nachrichten überprüfen kann.
• Auswählen, welche Kommunikationskanäle innerhalb von Microsoft 365 überwacht werden sollen.
• Die Bedingungen und Schlüsselwörter festlegen, bei denen das Kommunikations-Compliance-Tool Alarm schlagen soll.
• Auswählen, ob eingehende, ausgehende oder nur interne Kommunikation überwacht werden soll.
• Compliance-By-Design: Dokumentieren Sie Erforderlichkeit und Verhältnismäßigkeit je Richtlinie, definieren Sie rollenbasierte Zugriffe, aktivieren Sie Pseudonymisierung (wo möglich) und planen Sie regelmäßige Reviews inklusive DSFA-Prüfung bei erweiterten Szenarien.

Es sind zwar noch viele weitere Schritte und Details erforderlich, um Kommunikationskonformität in einem Unternehmen zum Laufen zu bringen, aber die wichtigsten Schritte wurden hier bereits behandelt. Nach der Fertigstellung beginnen die erstellten Benutzer und Gruppen mit der Überwachung und der Alarmierung bei Compliance-Verstößen, wie es die Richtlinie vorschreibt.

Fazit

Die Funktionen sind verfügbar, ihre Nutzung ist in Deutschland jedoch streng reglementiert. Zu den Erfolgsfaktoren zählen klare Regeln, Betriebsratszustimmung, Transparenz, eine tragfähige Rechtsgrundlage sowie ein nachweisbar verhältnismäßiger Zuschnitt der Maßnahmen.

Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Einzelfälle sind rechtlich zu prüfen.

Der Artikel wurde ursprünglich von Andrew Froehlich verfasst und im Oktober 2025 von der ComputerWeekly-Redaktion aktualisiert, um Branchenveränderungen widerzuspiegeln und das Leseerlebnis zu verbessern.