Enterprise Search DSGVO 2026: AVV, BetrVG & Checkliste
Ist KI-gestützte Enterprise Search DSGVO-konform?
KI-gestützte Unternehmenssuche kann DSGVO-konform eingesetzt werden, wenn der AVV mit dem Anbieter aktiviert wird, Mitarbeiter nach Art. 13/14 DSGVO informiert werden, SCCs für US-Anbieter geprüft sind und — in Deutschland — der Betriebsrat nach § 87 Abs. 1 Nr. 6 BetrVG eingebunden wurde. Dies gilt für Google Drive, SharePoint, Microsoft 365 Copilot und Confluence gleichermaßen.
- Große Enterprise-Search-Anbieter wie Microsoft und Google stellen AVVs bereit — diese müssen aktiv aktiviert werden, nicht einfach vorausgesetzt.
- Die Indexierung von Mitarbeiter-E-Mails, Dokumenten oder Chats löst Informationspflichten nach DSGVO Art. 13/14 aus.
- Deutsche Unternehmen müssen den Betriebsrat einbinden, bevor Enterprise Search auf Mitarbeiterdaten zugreift.
- Enterprise Search für Google Drive erfordert die Aktivierung des Google Workspace Datenschutznachtrags und eine Prüfung der EU-Datenspeicherungsregionen.
KI-gestützte Enterprise Search — also die KI-basierte Suche über interne Unternehmensdokumente, E-Mails, Teams-Chats und Wissensdatenbanken — lässt sich DSGVO-konform einsetzen, wenn die richtigen Voraussetzungen geschaffen werden. Ob Microsoft 365 Copilot, SharePoint Semantic Search, Enterprise Search für Google Drive oder Confluence AI: In Deutschland muss der Auftragsverarbeitungsvertrag (AVV) aktiviert, Mitarbeiter müssen informiert und der Betriebsrat muss eingebunden werden, bevor das System in Betrieb geht.
Was ist Enterprise Search — und wann wird sie DSGVO-relevant?
Enterprise Search bezeichnet KI-gestützte Suchsysteme, die über interne Unternehmensquellen suchen — Dokumente, E-Mails, Chats, Ticketsysteme und Wissensdatenbanken. Die wichtigsten Systeme im deutschen Unternehmenseinsatz sind:
- Microsoft 365 Copilot / SharePoint Semantic Search: Indiziert Teams-Chats, Outlook, SharePoint-Dokumente und OneDrive-Inhalte
- Google Workspace AI / Google Drive Enterprise Search: Suche über Gmail, Google Drive, Google Docs und Meet-Protokolle
- Confluence AI (Atlassian Intelligence): KI-gestützte Suche über interne Wissensdatenbanken und Projektdokumentation
- Elasticsearch mit AI-Plugins / Apache Solr: Für selbst gehostete oder hybrid betriebene Unternehmenssuchen
DSGVO-relevant wird Enterprise Search sobald personenbezogene Daten verarbeitet werden — also E-Mails, Chatverläufe, HR-Dokumente, Kundenkorrespondenz oder Projektdokumente mit Personenbezug. Das ist bei nahezu jedem Unternehmenseinsatz der Fall.
Vier DSGVO-Pflichten, die vor dem Go-live erfüllt sein müssen
1. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
Der Anbieter einer Enterprise-Search-Lösung ist Auftragsverarbeiter — ein AVV ist gesetzlich zwingend, nicht optional. Fehlt er, liegt eine eigenständige DSGVO-Verletzung vor, unabhängig davon, ob Daten tatsächlich unzulässig verarbeitet werden.
- Microsoft 365 / Copilot: Microsoft Products and Services Data Protection Addendum (DPA) — Akzeptanz im Microsoft Admin Center unter Einstellungen > Datenschutz und Compliance. Weitere Details: Microsoft 365 Copilot Datenschutz.
- Google Workspace: Google Cloud Data Processing Amendment — Aktivierung im Google Admin-Bereich unter Konto > Kontodaten > Datenschutz & Sicherheit.
- Atlassian (Confluence, Jira): Atlassian Data Processing Addendum — separat unter Atlassian Trust Center abrufbar.
Wichtig: EU-Datenspeicherung (Microsoft EU Data Boundary, Google Data Regions) schränkt die Datenspeicherung auf EU/EWR ein, schließt aber nicht alle Subprozessoren-Zugriffe aus. Die Subprozessoren-Kette muss gesondert geprüft und dokumentiert werden.
2. Rechtsgrundlage nach Art. 6 DSGVO
Für Mitarbeiterdaten kommt primär § 26 BDSG i.V.m. Art. 6(1)(b) DSGVO in Betracht (Durchführung des Beschäftigungsverhältnisses) — aber nur, wenn die Indexierung der Arbeitstätigkeit dient und verhältnismäßig ist.
Bei erweiterter Nutzung — z. B. Protokollierung von Suchanfragen, Auswertung von Aktivitätsdaten oder mögliche Leistungsbeurteilung — reicht § 26 BDSG allein nicht aus. Hier wird eine Betriebsvereinbarung als Rechtsgrundlage erforderlich, die Zweck, Umfang und Grenzen der Verarbeitung regelt.
Für Kundendaten gilt Art. 6(1)(b) DSGVO (Vertragserfüllung) oder bei Marketingzwecken Art. 6(1)(f) (berechtigtes Interesse mit Interessenabwägung).
Enterprise Search für Google Drive: DSGVO-Anforderungen
Enterprise Search für Google Drive bezeichnet die KI-gestützte Suche über gespeicherte Dateien, freigegebene Ablagen (Shared Drives), Gmail und Google Docs im Rahmen von Google Workspace. Für Unternehmen in Deutschland gelten folgende DSGVO-Anforderungen:
AVV und Datenschutznachtrag aktivieren
Der Google Workspace Data Processing Amendment muss im Google Admin-Bereich unter Konto > Konto-Einstellungen > Rechtliches aktiviert werden. Ohne diesen Nachtrag fehlt die vertragliche Grundlage für die Auftragsverarbeitung.
EU-Datenspeicherungsregionen konfigurieren
Google Workspace bietet Datenspeicherungsregionen (Data Regions) an, mit denen ruhende Daten auf EU/EWR-Rechenzentren beschränkt werden können. Die Konfiguration erfolgt im Admin-Bereich unter Konto > Datenspeicherungsregionen. Wichtig: Die Datenspeicherungsregion schränkt Speicherung ein, schließt aber nicht automatisch Subprozessoren-Zugriffe aus Drittländern aus — diese sind im Datenschutznachtrag gesondert zu prüfen.
Indexierungsumfang dokumentieren
Welche Google Drive-Inhalte durchsucht werden, ist im Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO zu dokumentieren:
- Persönliche Ablagen vs. freigegebene Team-Ablagen
- Gmail-Indexierung (ja/nein)
- Google Meet-Protokolle und Transkripte
- Google Chat-Verläufe
Mitarbeiterinformation und Betriebsrat
Google Workspace AI-Suchfunktionen, die über Mitarbeiter-E-Mails und persönliche Drive-Inhalte laufen, sind häufig mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG. Mitarbeiter sind vor Aktivierung nach Art. 13 DSGVO zu informieren.
Transparenzpflichten nach Art. 13/14 DSGVO
Mitarbeiter müssen vor Inbetriebnahme darüber informiert werden, dass ihre Dokumente, E-Mails und Chats durch das Enterprise-Search-System indexiert und durchsuchbar gemacht werden. Die Information muss:
- Klar und verständlich sein
- Den Verantwortlichen und ggf. AVV-Partner benennen
- Den Zweck der Verarbeitung und die Rechtsgrundlage nennen
- Kategorien der verarbeiteten Daten aufführen
- Löschfristen und Betroffenenrechte benennen
Die Datenschutzhinweise im Arbeitsvertrag oder im Onboarding-Paket sind dafür meist nicht ausreichend — eine gesonderte Mitarbeiterinformation vor Go-live ist erforderlich.
SharePoint Semantic Search: DSGVO-Compliance
SharePoint Semantic Search ist die KI-gestützte Suchfunktion innerhalb von Microsoft 365, die Inhalte aus SharePoint-Dokumentenbibliotheken, OneDrive, Teams und Outlook semantisch durchsuchbar macht — auch ohne exakte Stichwortübereinstimmungen.
Microsoft Products and Services DPA
SharePoint Semantic Search ist Teil von Microsoft 365 und unterliegt der Microsoft Products and Services DPA. Die DPA muss im Microsoft 365 Admin Center aktiviert werden. Microsoft bietet das EU Data Boundary für M365 an, das die Speicherung und Verarbeitung der meisten Kundendaten auf EU/EWR-Rechenzentren beschränkt.
Einschränkung von Suchbereichen (Scopes)
SharePoint Semantic Search kann auf bestimmte Websites, Dokumentenbibliotheken oder Content-Typen beschränkt werden. Für die DSGVO-Compliance empfiehlt sich:
- Suchbereiche auf geschäftlich notwendige Inhalte begrenzen
- Persönliche OneDrive-Bereiche von Mitarbeitern aus der Suche ausschließen, wenn keine Rechtsgrundlage besteht
- Protokollierung von Suchanfragen (Query Logs) prüfen und dokumentieren
Microsoft Purview und Zugriffssteuerung
Microsoft Purview ermöglicht die Klassifizierung und Zugriffskontrolle für SharePoint-Inhalte. Sensible Dokumentkategorien (HR, Finanzen, Vertragsunterlagen) können mit Vertraulichkeitsbezeichnungen versehen und aus Enterprise-Search-Ergebnissen ausgeschlossen werden — ein wichtiges Werkzeug für eine datenschutzkonforme Einführung.
Für eine detaillierte Prüfung empfehlen wir unseren Leitfaden zu Microsoft 365 Copilot DSGVO.
Microsoft 365 Copilot
Microsoft 365 Copilot greift auf Inhalte aus Teams, Outlook, SharePoint und OneDrive zu. Der AVV ist im Microsoft Admin Center zu aktivieren. Microsoft bietet das EU Data Boundary für M365 an — das beschränkt Speicherung und Verarbeitung auf EU/EWR, schließt aber nicht alle Support-Zugriffe aus.
Copilot indiziert standardmäßig alle Inhalte, auf die der jeweilige Nutzer Zugriff hat — das schließt E-Mails anderer Nutzer ein, auf die geteilter Zugriff besteht. Eine sorgfältige Berechtigungsstruktur ist daher Grundvoraussetzung: Nur wer auf ein Dokument zugreifen darf, sollte es auch über Copilot finden können.
Confluence AI und Atlassian Intelligence: DSGVO-Pflichten
Atlassian Intelligence (die KI-Funktionen in Confluence, Jira und anderen Atlassian-Produkten) ermöglicht semantische Suche über Confluence-Seiten, Jira-Tickets und andere Inhalte im Atlassian-Ökosystem.
Atlassian Data Processing Addendum
Das Atlassian Data Processing Addendum regelt die Auftragsverarbeitung und muss für Atlassian Cloud-Produkte aktiviert werden. Atlassian stützt Drittlandtransfers auf SCCs und führt EU-Datenspeicherungsoptionen für bestimmte Produktpläne (Enterprise Plans) an.
KI-Funktionen gezielt aktivieren
Atlassian Intelligence-Funktionen sind modulweise aktivierbar. Für die DSGVO-Compliance empfiehlt sich:
- Nur die tatsächlich benötigten KI-Funktionen aktivieren
- Prüfen, ob Confluence-Inhalte Kundendaten oder HR-relevante Inhalte enthalten
- Den Betriebsrat einbinden, wenn Jira-Tickets oder Confluence-Seiten Mitarbeiterbezug haben
Betriebsrat und § 87 Abs. 1 Nr. 6 BetrVG
KI-gestützte Enterprise Search löst in Deutschland regelmäßig Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG aus. Technische Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung von Arbeitnehmern geeignet sind, sind mitbestimmungspflichtig — unabhängig davon, ob Überwachung der erklärte Zweck des Systems ist.
KI-Suche über Mitarbeiter-E-Mails, Teams-Chats oder Arbeitsdokumente kann als Überwachungseinrichtung qualifizieren, insbesondere wenn Suchanfragen protokolliert werden oder Nutzungsauswertungen für das Management möglich sind. Dies gilt unabhängig davon, ob das System Google Drive, SharePoint, Confluence oder Outlook durchsucht.
Praktisches Vorgehen: Den Betriebsrat frühzeitig einbinden, den genauen Umfang der indexierten Datenkategorien und mögliche Analysezwecke dokumentieren und eine Betriebsvereinbarung abschließen, die Zweck, Zugriffsrechte und Löschfristen regelt. Weitere Informationen zum DSGVO-Rahmen bei KI-gestützter Mitarbeiterüberwachung finden Sie in unserem Leitfaden zu KI im Arbeitsrecht.
Drittlandtransfer: SCCs und Data Privacy Framework
US-basierte Anbieter wie Microsoft und Google stützen Datentransfers auf Standardvertragsklauseln (SCCs) und das EU-U.S. Data Privacy Framework (DPF). Unternehmen sollten im AVV prüfen, welche Subprozessoren außerhalb des EWR tätig sind, und für kritische Verarbeitungen eine Transferfolgenabschätzung (TIA) dokumentieren.
DPIA-Pflicht: Wann eine Datenschutz-Folgenabschätzung erforderlich ist
Eine Datenschutz-Folgenabschätzung (DPIA) nach Art. 35 DSGVO ist regelmäßig erforderlich, wenn Enterprise Search Mitarbeiterdaten systematisch auswertet, Leistungs- oder Verhaltensbeurteilungen ermöglichen könnte, sensible Datenkategorien indexiert oder im großen Maßstab eingesetzt wird.
Checkliste: Enterprise Search DSGVO-konform einführen
Allgemeine Pflichten (alle Systeme)
- AVV mit Anbieter aktivieren — Microsoft Products and Services DPA, Google Workspace DPA oder Atlassian DPA
- Datenkategorien definieren: Was wird indexiert? E-Mails, Chats, HR-Dokumente, Kundendaten, Google Drive-Inhalte, SharePoint-Sites?
- Rechtsgrundlage festlegen — § 26 BDSG, berechtigtes Interesse oder Betriebsvereinbarung
- Mitarbeitermitteilung vorbereiten (DSGVO Art. 13/14) — vor Inbetriebnahme versenden
- Betriebsrat einbinden — wenn Enterprise Search auf Mitarbeiterdaten zugreift
- SCCs und Transfermechanismus bestätigen — im AVV des Anbieters prüfen und bei Bedarf TIA dokumentieren
- Retention-Einstellungen konfigurieren — wie lange werden indexierte Inhalte gespeichert?
- EU-Datenspeicherung aktivieren — falls verfügbar und erforderlich
Plattformspezifische Schritte
| System | Pflichtschritt |
|---|---|
| Google Drive | Datenschutznachtrag im Google Admin aktivieren; EU-Datenspeicherungsregion konfigurieren |
| SharePoint / M365 | Microsoft Products and Services DPA im Admin Center akzeptieren; EU Data Boundary prüfen |
| Microsoft 365 Copilot | Berechtigungsstruktur prüfen; Copilot nur für Nutzer mit bereinigter Zugriffsstruktur aktivieren |
| Confluence AI | Atlassian DPA aktivieren; KI-Funktionen modular aktivieren; Jira-Inhalte auf Mitarbeiterbezug prüfen |
So hilft Compound Law
- Prüfung und Aktivierung von AVVs für Enterprise-Search-Anbieter (Microsoft, Google, Atlassian)
- Erstellung von Mitarbeiterinformationen nach Art. 13/14 DSGVO
- Unterstützung bei Betriebsratsverhandlungen zu KI-Systemen
- Transferfolgenabschätzung für US-basierte Anbieter
- Konfigurationsberatung für EU-Datenspeicherungsregionen und Zugriffssteuerung
- KI-Compliance-Roadmap für Microsoft 365, Google Workspace und Atlassian Deployments
Compound Law berät Unternehmen bei der DSGVO-konformen Einführung von Enterprise-Search-Systemen, KI-Tools und anderen KI-gestützten Dokumentenverarbeitungslösungen. Für Fragen zur KI-Dokumentenanalyse Compliance, zur Microsoft 365 Copilot AVV oder zu KI im Arbeitsrecht stehen wir zur Verfügung. Kontaktieren Sie uns für eine strukturierte Compliance-Prüfung Ihres Enterprise-Search-Vorhabens.
