Um Ihnen den bestmöglichen Service zu bieten, speichert diese Website Informationen über Ihren Besuch in sogenannten Cookies. Durch die Nutzung dieser Webseite erklären Sie sich mit der Verwendung von Cookies einverstanden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Beschäftigtendatenschutz

Microsoft 365: Die Cloudlösung, die es zu regeln gilt!


In Unternehmen werden vermehrt IT-Lösungen eingesetzt, die über Cloudservices betrieben werden. Ein Beispiel ist Microsoft 365 (auch als Office 365 bezeichnet), eine Produktfamilie mit schwer überschaubarem Angebot. Um Einführung und Betrieb dieser Cloudlösung im Sinne der Arbeitsverfassung zwischen Unternehmensführung und Betriebsrat zu regeln, benötigt es umfassender Anstrengungen.

Ein Projekt, das im Digitalisierungsfonds Arbeit 4.0 der AK Wien gefördert wurde, zeigt hier einen Weg auf, um die Mitbestimmung durch den Betriebsrat sicherzustellen.

„Microsoft 365, Office 365, Word, Teams, MyAnalytics“ – Vielfalt aus dem Hause Microsoft
Microsoft Produkte sind Nutzer*innen seit Jahrzehnten wohlbekannt. Word, Excel oder Outlook sind Programme, die im beruflichen wie auch privaten Umfeld täglich zur Anwendung gelangen. Während der ersten Wochen der COVID-19-Pandemie lernten viele ein weiteres Microsoft-365-Produkt kennen. Betriebe suchten nämlich verzweifelt nach Wegen, Mitarbeiter*innen aus ihren jeweiligen Home-Offices miteinander zu vernetzen. Viele fanden in Microsoft Teams eine passende Lösung und das nicht nur in Österreich. „2 Jahre digitale Transformation in zwei Monaten“, so titelte Microsoft Ende April stolz und verwies auf täglich weltweit 75 Millionen Teams-Nutzer*innen.

Teams ist aber nur eines der Microsoft-365-Softwareprodukte (heute nur kurz als App bezeichnet). Neben den bereits angeführten Office-Produkten Word, Excel, PowerPoint oder Outlook werden auch Apps angeboten, welche die soziale Interaktion im digitalen Raum (ähnlich wie es WhatsApp oder Facebook im privaten Umfeld propagiert) vorantreiben sollen. Die dabei entstehenden Daten werden durch künstliche Intelligenz aufbereitet, um personelle Netzwerke und Verhaltensweisen darzustellen (wer kommuniziert mit wem, welche E-Mails werden gelesen). Doch damit nicht genug, wer möchte (oder muss), erhält jeden Abend einen Überblick des Tages (zB über verbrauchte Zeit in Sitzungen, Zeit am PC, Aktivitäten außerhalb der vereinbarten Arbeitszeiten) und Hinweise, wie die Arbeit effizierter gestaltet werden kann, dies mittels der App „My Analytics“. Microsoft nennt das:
„Werden Sie noch produktiver, indem Sie Ihre Arbeitsmuster mit MyAnalytics in vier Kernbereichen auswerten: Fokus, Wohlbefinden, Netzwerk und Zusammenarbeit.“

Welche Apps konkret in einem Unternehmen zur Anwendung gelangen, hängt vom jeweiligen Lizenzmodell (von denen es, abhängig von Größe und Finanzkraft der Unternehmen, verschiedene gibt) ab. Aaron Dinnage, einem „Modern Workplace Specialist“ von Microsoft, gelingt es, diese unterschiedlichen – sich mitunter mehrmals jährlich ändernden – Lizenzangebote grafisch aufbereiten. Diese Darstellung stellt eine empfehlenswerte Quelle als Start einer betrieblichen Diskussion dar!

Was dabei keinesfalls übersehen werden darf: All diese bei der täglichen Arbeit erzeugten Informationen und Daten werden in Cloudlösungen von externen Dienstleistern verwaltet.

Die Cloud als neuer Ort der Datenverarbeitung
Der Siegeszug des Internets hat nicht nur das private Nutzer*innenverhalten massiv verändert. Auch in den Unternehmen wird immer mehr Software nicht mehr Vorort (on-premises) betrieben, sondern direkt über das Internet (dh in der Cloud) aufgerufen. Diese Produkte können über verschiedene Geräte (PC, Laptop, Tablet, Smartphone) und ortsungebunden genutzt werden, ohne dass dies in IT-Abteilungen für Kopfzerbrechen und hohen Aufwand sorgt.

Auch das Einspielen neuer Softwareversionen gehört somit der Vergangenheit an. Denn Apps sind in der Cloud stets am neuesten Stand (Software-as-a-Service). Das erleichtert Unternehmen auf technischer und organisatorischer Seite vieles, führt aber auf rechtlicher Seite zu neuen Herausforderungen. Dies betrifft insbesondere die Erfüllung der datenschutzrechtlichen Aufgaben, verbunden mit der Ausgestaltung der Verträge mit externen Anbietern (das Datenschutzrecht spricht in diesem Zusammenhang von Auftragsverarbeitern). Diese externen Anbieter müssen gemeinsam mit den Unternehmen für die Vertraulichkeit der hinterlegten Geschäfts- und Kundendaten Sorge tragen. Was dabei oft zu kurz kommt, und hier beginnt die eigentliche Arbeit von Betriebsräten, sind Regelungen zum innerbetrieblichen rechtskonformen Umgang mit personenbezogenen Daten der Mitarbeiter*innen. Denn bei Microsoft 365 ist viel Potenzial zu Überwachung und Kontrolle zu finden.

Microsoft und Telemetriedaten
Mit ihrer Produktfamilie Microsoft 365 verfolgt das US-Unternehmen den Weg, der schon Google und Facebook erfolgreich gemacht hat: Das Sammeln umfassender Nutzer*innendaten und ein darauf aufgebautes Geschäftsmodell. Das müsste vielen privaten Anwender*innen bekannt sein, die nach der letzten Änderung des Betriebssystems auf Windows 10 über die geänderten Nutzungsbedingungen und das Verwenden ihrer jeweiligen persönlichen Daten „zur Verbesserung der Services“ informiert wurden. Insbesondere die Telemetriedaten, das sind Informationen, die beim Nutzen der Apps im Hintergrund verarbeitet werden, stieß dabei auf Kritik von Datenschützer*innen. Denn je mehr Arbeitsschritte mit Apps aus derselben Produktfamilie durchgeführt werden (die dann im Hintergrund alle gemeinsam analysiert werden), desto höher die Gefahr der daraus möglichen individuellen Analyse. „Verhaltensüberschuss“ nennt es Shoshana Zuboff in ihrem Werk „Das Zeitalter des Überwachungskapitalismus“.

Doch bevor eine datenschutz- und arbeitsrechtliche Beurteilung erfolgen kann, ist ein Blick auf die Vielfalt des Angebotes von Microsoft 365 zu werfen.

Microsoft 365 im betrieblichen Umfeld: Versuch einer Strukturierung
Um Daten informationsgestützt verarbeiten zu können, bedarf es vereinfacht dargestellt unterschiedlicher Komponenten: einer Infrastruktur (Netzwerk, Cloud), in der unterschiedliche Endgeräte (PC, Laptop, Smartphone) und Anwendungsprogramme (Apps) genutzt werden können. Und schlussendlich sorgt ein Betriebssystem für die Schnittstelle zwischen Endgeräten und Anwendungsprogrammen.

Microsoft strukturiert dies in drei Rubriken:

  • Office 365: Hier sind alle Apps, die betriebliche Aufgaben unterstützen, subsummiert. Zum einen die altbekannten Office-Lösungen (Word, Excel, PowerPoint) oder E-Mailprogramme (Exchange, Outlook), aber auch Kollaborationslösungen, die Chats, (Video-)Telefonie, das gemeinsame Bearbeiten von Dokumenten und somit digitale Zusammenarbeit ermöglichen (wie Skype oder Teams). Um den „Social media“-Gedanken auch in der Microsoft-Welt abzubilden, visualisiert die App Delve, wie intensiv Nutzer*innen zusammenarbeiten oder welche Dokumente sie gerade gemeinsam bearbeiten. Jede menschliche Interaktion kann abgebildet und analysiert werden.
  • Enterprise Mobility + Security (EMS): Beschäftigte arbeiten in der Regel nicht mehr ausschließlich am PC, mobiles Arbeiten, mitunter auch abseits geregelter Arbeitszeiten, gehört zur betrieblichen Wirklichkeit. Da der Großteil der dabei genutzten Daten in der Cloud (Microsoft bietet dazu die Cloud-Computing-Plattform Azure an) liegt, können Beschäftigte jederzeit von unterschiedlichen Orten und unabhängig des verwendeten Gerätes auf Informationen zugreifen. Damit dies jedoch auch den Ansprüchen der IT- und Datensicherheit genügt, müssen Datenverkehr und verwendete Geräte laufend überwacht werden. Für genau diesen Zweck bietet Microsoft Sicherheitsmaßnahmen an. Das beginnt bei der Kategorisierung von Dokumenten (zB öffentlich, intern, vertraulich), dem Kontrollieren des E-Mailverkehrs mit der Möglichkeit, die Übertragung sensibler Daten zu blockieren bis hin zu nachträglichen – auch forensischen – Untersuchungen. Diese Überwachung ist aus Sicht der Datensicherheit in einer digital vernetzten Welt mit hoher Bedrohungslage (Cyberkriminalität) sehr sinnvoll. Aber dazu muss es klare Regeln geben, wie mit den dabei gewonnen Informationen, die auf den Aktivitäten einzelner Benutzer*innen beruhen, umgegangen werden darf. Technische Auffälligkeiten dürfen nicht sofort zu einer Kriminalisierung der Mitarbeiter*innen führen.
  • Windows 10: das - auch vielen Privatnutzer*innen bekannte - Betriebssystem von Microsoft, für Unternehmen mit erweiterbarer Funktionalität. So ist zB Windows Hello eine sichere Methode, um mittels Fingerabdrucks, Gesichts- oder Iriserkennung Zugriff auf ein Gerät zu erhalten.

Microsoft 365 bietet somit eine Vielzahl an Optionen personenbezogene Daten der Nutzer*innen zu verarbeiten. Personenbezogen sind lauf Definition der Datenschutz-Grundverordnung (DSGVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Datenschutz und Mitbestimmung nicht vergessen!
Bei der Verarbeitung personenbezogener Daten in Microsoft 365 hat eine rechtliche Beurteilung stattzufinden. Einerseits ist das Datenschutzrecht zu beachten und anderseits das Arbeitsverfassungsgesetz (letzteres normiert die Notwendigkeit des Abschlusses von Betriebsvereinbarungen beim Einsatz technischer Systeme).

Datenschutzrechtliche Probleme in Bezug zu Microsoft 365 (insbesondere Office 365) wurden erstmals 2018 nach Wirksamwerden der EU-Datenschutz-Grundverordnung (DSGVO) breit diskutiert. Das niederländische Justizministerium ließ vor Einführung von Microsoft Cloudprodukten deren Rechtskonformität im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) prüfen.

Vor der Einführung neuer Software, die personenbezogene Daten verarbeitet, müssen Unternehmen, in ihrer Rolle als datenschutzrechtliche Verantwortliche, das Risiko abwägen, das dieses Produkt für die von der Verarbeitung betroffenen Personen birgt. Wird ein hohes Risiko attestiert, ist eine Datenschutzfolgeabschätzung (DSFA) durchzuführen, um mögliche Risiken einzudämmen. Die DSFA des niederländischen Justizministeriums brachte im Fall von Office 365 ein eindeutiges Resultat: Office 365 kann nicht DSGVO-konform betrieben werden. Ein für Microsoft damals mehr als beunruhigendes Resultat, da dadurch der EU-Markt als Kundensegment bedroht schien. Microsoft verbesserte seine Prozesse und adaptierte die Vertragsbestimmungen für europäische Kunden (Microsoft Online Services Terms mit einem Datenschutz-Zusatz - Data Protection Addendum).

Folgeuntersuchungen des niederländischen Justizministeriums und des Europäischen Datenschutzbeauftragten erkennen zwar Verbesserungen, aber immer noch den Bedarf einer kritischen Auseinandersetzung.

Neben den somit weiterhin bestehenbleibenden datenschutzrechtlichen Fragen, ist jedenfalls die betriebliche Nutzung von Microsoft 365 in einer Betriebsvereinbarung zu regeln. Denn – trotz der hier geäußerten Bedenken – steht zumindest eines außer Frage: Microsoft 365 wird – vor allem wohl aufgrund seiner globalen Marktmacht – im Großteil der Unternehmen auch weiterhin genutzt werden.

Mitbestimmung durch den Betriebsrat
Im Rahmen eines vom Digitalisierungsfonds Arbeit 4.0 der AK Wien geförderten Projektes wurde in Zusammenarbeit von FORBA und einer Betriebsratskörperschaft, die sich mit der Einführung von Microsoft 365 konfrontiert sah, eine Muster-Betriebsvereinbarung entwickelt. Basis bildet dabei eine Checkliste, die von den betrieblichen Verantwortlichen auszufüllen ist und Antworten auf wesentliche technische, organisatorische und (datenschutz-)rechtliche Fragen zur Einführung und Anwendung von Microsoft 365 erfordert. Somit kann ein gemeinsames betriebliches Verständnis über den derzeitigen Ausbaugrad und den weiteren Prozess der Einführung erreicht werden. Darüber hinaus definiert diese Muster-Betriebsvereinbarung „Spielregeln“, die den datenschutzfreundlichen Umgang mit Mitarbeiter*innendaten festschreiben. Der Einsatz von konkreten Apps, die ein hohes Kontrollpotenzial besitzen, wird dann in Folge als Zusatzvereinbarung festgeschrieben.

Dieses Muster steht zum Download zur Verfügung.

Fazit
Cloudlösungen wie Microsoft 365 verändern das Arbeiten in und außerhalb des Unternehmens. Unterschiedlichste Programme (Apps) unterstützen Beschäftigte und Verantwortliche in ihrem Arbeitsalltag. Das Arbeiten in der Cloud erleichtert dabei die Zusammenarbeit, erfordert aber auch Anstrengungen, Systeme vor Angriffen Dritter zu schützen.

Bei der Verarbeitung personenbezogener Daten sind von den betrieblichen Verantwortlichen auch die Bestimmungen des Datenschutzrechts, insbesondere der Datenschutz-Grundverordnung (DSGVO), einzuhalten. Bei der Vielfalt der Apps in Microsoft 365 kein leichtes Unterfangen.

Nicht zuletzt unterliegt die Verarbeitung von personenbezogenen Mitarbeiter*innen-Daten, die in Microsoft 365 in großem Umfang erzeugt werden, der Mitbestimmung durch den Betriebsrat und erfordert den Abschluss einer Betriebsvereinbarung.

Thomas Riesenecker-Caba, Forschungs- und Beratungsstelle Arbeitswelt (FORBA)

Weiterempfehlen