Kostenlos beraten
Enterprise Search DSGVO KI-Unternehmenssuche Compliance Deutschland
compliance

Enterprise Search DSGVO: KI-Unternehmenssuche rechtssicher einsetzen

Ist KI-gestützte Enterprise Search DSGVO-konform?

KI-gestützte Unternehmenssuche kann DSGVO-konform eingesetzt werden, erfordert aber einen aktiven AVV mit dem Anbieter, Transparenz gegenüber Mitarbeitern zu den indexierten Inhalten, SCCs bei US-Anbietern und — in Deutschland — die Einbindung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG.

  • Große Enterprise-Search-Anbieter wie Microsoft und Google stellen AVVs bereit — diese müssen aktiv aktiviert werden, nicht einfach vorausgesetzt.
  • Die Indexierung von Mitarbeiter-E-Mails, Dokumenten oder Chats löst Informationspflichten nach DSGVO Art. 13/14 aus.
  • Deutsche Unternehmen müssen den Betriebsrat einbinden, bevor Enterprise Search auf Mitarbeiterdaten zugreift.

KI-gestützte Enterprise Search — also die KI-basierte Suche über interne Unternehmensdokumente, E-Mails, Teams-Chats und Wissensdatenbanken — lässt sich DSGVO-konform einsetzen, wenn die richtigen Voraussetzungen geschaffen werden. Wer Microsoft 365 Copilot, Google Workspace AI, SharePoint Semantic Search oder ähnliche Systeme einführt, muss in Deutschland insbesondere den Auftragsverarbeitungsvertrag (AVV) aktivieren, Mitarbeiter informieren und den Betriebsrat einbinden.

Enterprise Search bezeichnet KI-gestützte Suchsysteme, die über interne Unternehmensquellen suchen — Dokumente, E-Mails, Chats, Ticketsysteme und Wissensdatenbanken. Typische Systeme sind:

  • Microsoft 365 Copilot / SharePoint Semantic Search: Indiziert Teams-Chats, Outlook, SharePoint-Dokumente und OneDrive-Inhalte
  • Google Workspace AI: Suche über Gmail, Google Drive, Google Docs und Meet-Protokolle
  • Confluence AI / Elasticsearch mit AI-Plugins: Für technische Dokumentation und interne Wissensdatenbanken

DSGVO-relevant wird Enterprise Search sobald das System personenbezogene Daten verarbeitet — also Mitarbeiter-E-Mails, Kundenkorrespondenz, HR-Dokumente oder vertrauliche Vertragsunterlagen indexiert und durchsuchbar macht.

Auftragsverarbeitungsvertrag (AVV)

Der Anbieter einer Enterprise-Search-Lösung ist in aller Regel Auftragsverarbeiter nach Art. 28 DSGVO. Ein AVV ist zwingend erforderlich, bevor das System in Betrieb geht.

  • Microsoft: AVV über die Microsoft Products and Services DPA — muss im Admin Center aktiv akzeptiert werden. Details finden Sie in unserem Leitfaden zu Microsoft 365 Copilot Datenschutz.
  • Google Workspace: AVV über die Google Workspace Data Processing Amendment — im Admin-Bereich zu aktivieren.
  • EU-Datenspeicherung: Beide Anbieter bieten EU-Datenspeicherung an, aber die Subprozessoren-Kette und Support-Zugriffe aus Drittländern sind gesondert zu prüfen und zu dokumentieren.

Rechtsgrundlage

Für die Verarbeitung von Mitarbeiterdaten durch Enterprise-Search-Systeme kommt primär § 26 BDSG i.V.m. Art. 6(1)(b) DSGVO (Durchführung des Beschäftigungsverhältnisses) in Betracht — aber nur, wenn die Indexierung der Arbeitstätigkeit dient. Bei erweiterter Nutzungsanalyse oder Auswertung von Verhaltensdaten kann eine Betriebsvereinbarung als Rechtsgrundlage notwendig sein.

Transparenzpflichten (Art. 13/14 DSGVO)

Mitarbeiter müssen darüber informiert werden, dass ihre Dokumente, E-Mails und Chats durch das Enterprise-Search-System indexiert und durchsuchbar gemacht werden. Diese Information muss vor der Inbetriebnahme des Systems erfolgen — klar, verständlich und in geeigneter Form.

Drittlandtransfer

US-basierte Anbieter wie Microsoft und Google stützen Datentransfers auf Standardvertragsklauseln (SCCs) und das EU-U.S. Data Privacy Framework (DPF). Unternehmen sollten in den AVVs prüfen, welche Subprozessoren außerhalb des EWR tätig sind und welche Transfermechanismen für welche Verarbeitungsvorgänge gelten.

BetrVG und Betriebsrat

Enterprise Search ist häufig mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG: Technische Einrichtungen, die geeignet sind, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen, bedürfen der Zustimmung des Betriebsrats.

KI-Suche, die über Mitarbeiter-E-Mails, Teams-Chats oder Arbeitsfortschrittsdaten läuft, kann als Überwachungseinrichtung qualifizieren — insbesondere, wenn Suchanfragen protokolliert oder Ergebnisauswertungen möglich sind.

Praktische Empfehlung: Betriebsrat frühzeitig einbinden, den Umfang der indizierten Datenkategorien und mögliche Auswertungsszenarien offen kommunizieren und eine Betriebsvereinbarung abschließen, die Zweck, Zugriffsrechte und Löschfristen regelt. Weitere Anforderungen zu KI-Systemen mit Arbeitnehmerbezug beschreibt unser Leitfaden zur KI-Mitarbeiterüberwachung Compliance.

Spezifische Systeme

Microsoft 365 Copilot

Microsoft 365 Copilot greift auf Inhalte aus Teams, Outlook, SharePoint und OneDrive zu. Der AVV ist im Microsoft Admin Center zu aktivieren. Microsoft bietet das EU Data Boundary für M365 an — das beschränkt Speicherung und Verarbeitung auf EU/EWR, schließt aber nicht alle Support-Zugriffe aus.

Für eine detaillierte Prüfung empfehlen wir unseren Leitfaden zu Microsoft 365 Copilot DSGVO.

Google Workspace AI

Google Workspace AI-Features indizieren Google Drive, Gmail, Docs und Meet-Protokolle. Der Datenschutznachtrag ist im Admin-Bereich zu aktivieren. Google bietet Data Regions für EU-Speicherung — Subprozessoren und Support-Zugriffe sind gesondert zu dokumentieren.

Checkliste: Enterprise Search DSGVO-konform einführen

  1. AVV mit Anbieter aktivieren — Microsoft Products and Services DPA oder Google Workspace DPA
  2. Datenkategorien definieren: Was wird indexiert? E-Mails, Chats, HR-Dokumente, Kundendaten?
  3. Zugriffsrechte dokumentieren: Wer darf was suchen? Ist Suchanfragen-Protokollierung aktiv?
  4. Mitarbeitermitteilung vorbereiten (DSGVO Art. 13/14) — vor Inbetriebnahme versenden
  5. Betriebsrat einbinden — wenn Enterprise Search auf Mitarbeiterdaten zugreift
  6. SCCs und Transfermechanismus bestätigen — im AVV des Anbieters prüfen
  7. Retention-Einstellungen konfigurieren — wie lange werden indexierte Inhalte gespeichert?
  8. EU-Datenspeicherung aktivieren — falls verfügbar und erforderlich

So hilft Compound Law

  • Prüfung und Aktivierung von AVVs für Enterprise-Search-Anbieter
  • Erstellung von Mitarbeiterinformationen nach Art. 13/14 DSGVO
  • Unterstützung bei Betriebsratsverhandlungen zu KI-Systemen
  • Transferfolgenabschätzung für US-basierte Anbieter
  • KI-Compliance-Roadmap für Microsoft 365 und Google Workspace Deployments

Wenn Ihr Unternehmen Enterprise Search oder andere KI-gestützte Dokumentenverarbeitungssysteme einführt, berät Compound Law zu DSGVO, AVV, BetrVG und AI-Act-Pflichten. Für Fragen zur KI-Dokumentenanalyse Compliance oder zum Teams Copilot Datenschutz stehen wir zur Verfügung. Kontaktieren Sie uns für eine strukturierte Compliance-Prüfung.

Weitere Compliance-Guides

KI im Kundenservice Datenschutz DSGVO-Leitfaden für deutsche Unternehmen
compliance

KI im Kundenservice: Datenschutz-Leitfaden für deutsche Unternehmen

DSGVO-konformer KI-Einsatz im Kundenservice: AVV-Pflichten, Rechtsgrundlagen, Datenschutzrisiken und Checkliste für deutsche Unternehmen.
KI-Bildgenerierung Compliance in Deutschland
compliance

KI-Bildgenerierung DSGVO 2026: Compliance-Leitfaden fuer Deutschland

KI-Bildgenerierung DSGVO-konform nutzen: Midjourney, DALL-E, Adobe Firefly und Stable Diffusion im Compliance-Check fuer deutsche Unternehmen 2026.
KI-API BRAO Compliance-Guide für Kanzleien in Deutschland
compliance

KI-APIs in der Kanzlei: Was §43a BRAO und DSGVO vorschreiben

KI-APIs in der Kanzlei rechtssicher einsetzen: §43a BRAO, §43e BRAO und DSGVO-Anforderungen für ChatGPT, Claude und andere KI-Tools im anwaltlichen Betrieb.

Häufige Fragen

Brauche ich einen AVV für Enterprise Search?

Ja. Anbieter wie Microsoft und Google sind Auftragsverarbeiter — ein AVV nach Art. 28 DSGVO ist zwingend erforderlich. Microsoft stellt diesen über die Microsoft Products and Services DPA bereit, Google über die Google Workspace DPA.

Darf mein Unternehmen Mitarbeiter-E-Mails per KI durchsuchen?

Grundsätzlich ja, aber nur mit einer tragfähigen Rechtsgrundlage nach Art. 6 DSGVO, transparenter Mitarbeiterinformation und — bei Mitbestimmungsrelevanz — einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG.

Was bedeutet Enterprise Search konkret im DSGVO-Kontext?

Enterprise Search bezeichnet KI-gestützte Suche über interne Dokumente, E-Mails, Chats und Wissensdatenbanken. DSGVO-relevant wird sie, sobald personenbezogene Daten von Mitarbeitern oder Kunden indexiert werden.

Kostenlos beraten