Wo werden in Office 365 Verhalten oder Leistung überwacht?

Hier möchte ich einen Überblick über die Vielzahl der Instrumente geben, die im Rahmen von Office 365 eine Möglichkeit der Verhaltens- oder Leistungskontrolle eröffnen. Vermutlich wird es mir nicht gelingen, vollständig aufzuzählen, welche Elemente und Funktionen von O365 geeignet sind, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen. Aber ich versuche es mal.

Solche Instrumente, die ich für besonders kritisch und deshalb besonders regelungswürdig halte, habe ich farblich gekennzeichnet. Orange bedeutet: Regelung über Umfang und Zweckbestimmung notwendig; Rot bedeutet: Sollte ausgeschlossen oder zumindest sehr restriktiv geregelt werden. Wenn ich in den Zwecken schreibe „Allgemeine ‚operative Zwecke‘“ bedeutet das: Es gibt keinen spezifischen Zweck hinsichtlich Sicherheit, Datenschutz, technischem Betrieb oder dergleichen, aber für die Benutzer kann es jeweils Gründe geben, die es für die operative Arbeit sinnvoll machen, die Informationen zu kennen.

Dienst/Programm/App

Art der Verhaltens- oder Leistungskontrolle

Beispiele für mögliche Zwecke

SharePoint und OneDrive – Dateiablage

Urheber und Bearbeiter von Dateien sowie Zeitpunkte der Bearbeitung werden angezeigt

Allgemeine „operative Zwecke“

SharePoint und OneDrive – Versionierung

Frühere Versionen einer Datei werden mit Zeitpunkt und Urheber vorgehalten

Wiederherstellung verlorener Änderungen bzw. Daten

SharePoint und OneDrive – Papierkorb

Benutzer, der eine Datei gelöscht hat, wird angezeigt

Allgemeine „operative Zwecke“

Exchange, SharePoint und OneDrive – Permanentes Dokumentenarchiv

Sämtliche Objekte werden für einen bestimmten Zeitraum zusätzlich vorgehalten

Sicherheit vor einem Verlust von Daten

Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten

SharePoint und OneDrive – Benachrichtigung über Änderungen

Benutzer kann sich benachrichtigen lassen, wenn eine Datei verändert wurde

Um z. B. in Projektgruppen oder Teams nicht alle Änderungen verfolgen zu müssen, kann man sich auf die Dokumente konzentrieren, die besonders wichtig sind

Graph und Delve

Alle Aktivitäten der Benutzer werden beobachtet, bewertet und in einen Zusammenhang gestellt. Einem Benutzer werden in Delve die Dateien angeboten, die möglicherweise für ihn besonders wichtig sind

Unterstützung bei der Team- oder Projektarbeit: Benutzer erhalten einfacheren Zugriff für die für sie wichtigen Dateien

Unterstützung bei der Suche nach Daten

Graph und MyAnalytics

Alle Aktivitäten der Benutzer werden beobachtet, bewertet und in einen Zusammenhang gestellt. Einem Benutzer werden in MyAnalytics Informationen darüber angeboten, die sein Arbeitsverhalten beschreiben

Möglicherweise können die Informationen den Benutzer darin unterstützen, effektiver und effizienter zu arbeiten

Graph und Workplace Analytics

Alle Aktivitäten der Benutzer werden beobachtet, bewertet und in einen Zusammenhang gestellt. Einem Vorgesetzten werden Informationen über das Arbeitsverhalten und die Zusammenarbeit seiner Mitarbeiter angezeigt

Reine Verhaltens- und Leistungskontrolle, Überwachung der Mitarbeiter

Verwendung sollte ausgeschlossen werden

Graph und Produkte außerhalb Office 365

Durch Zugriff auf die Graph-API können unterschiedlichste Produkte Informationen über die Aktivitäten der Benutzer erhalten

Abhängig von der Funktion des jeweiligen Produkts

Security & Compliance – Überwachungsprotokoll

Sämtliche Aktivitäten aller Benutzer werden protokolliert; das Protokoll wird für 90 Tage aufbewahrt. In der Überwachungsprotokollsuche kann gezielt nach bestimmten Aktivitäten gesucht werden

Suche nach technischen Fehlern, Sicherheitsrisiken oder Fehlverhalten von Benutzern

Security & Compliance – Data Loss Prevention

Wenn ein Ereignis eintritt, das einen Abfluss schützenswerter Daten zur Folge haben kann, kann ein Alarm ausgelöst werden

Schutz personenbezogener und anderer schützenswerter Daten

Security & Compliance – Benachrichtigungsrichtlinien

Verschiedene sicherheitsrelevante Arten von Ereignissen werden den dafür bestimmten Personen mitgeteilt (z. B. per E-Mail)

Schutz personenbezogener und anderer schützenswerter Daten

Datensicherheit

Security & Compliance – Aufsicht

Protokollierung der Kommunikation mit Dritten

Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten

Security & Compliance – Bedrohungsmanagement

Sicherheitsrelevante Ereignisse wie Phishing-Mails, Spam oder Mails mit Schadsoftware werden gesperrt und ggf. Administratoren informiert

Schutz personenbezogener und anderer schützenswerter Daten

Datensicherheit

Security & Compliance – E-Mail-Fluss

Jeder Versand und Empfang von E-Mails wird mit Absender, Empfänger, Betreffzeile, Zeitpunkt und Status protokolliert

Suche nach und Beseitigung von technischen Problemen

Security & Compliance – Inhaltssuche

In allen Datenbeständen kann nach bestimmten Begriffen gesucht werden

Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten

Schutz personenbezogener und anderer schützenswerter Daten

Datensicherheit

Security & Compliance – eDiscovery

In allen Datenbeständen kann nach bestimmten Begriffen gesucht werden

Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten

Schutz personenbezogener und anderer schützenswerter Daten

Datensicherheit

Word, Excel, PowerPoint – Metadaten

In jedem Dokument werden Urheber, Bearbeiter und weitere Informationen gespeichert

Allgemeine „operative Zwecke“

Word, Excel, PowerPoint – Überarbeitungen

Jede Änderung im Überarbeitungsmodus und jeder Kommentar werden mit Urheber und Zeitpunkt gespeichert und angezeigt

Allgemeine „operative Zwecke“

Excel oder Access – einzelne Dateien mit Inhalt über Verhalten oder Leistung

Jeder Benutzer kann beliebige Inhalte über Verhalten oder Leistung von Arbeitnehmern in Dateien verarbeiten

Nur, wenn es dafür eine gesonderte Regelung gibt, weil dies zusätzliche Mitbestimmungsrechte auslöst

Exchange und Outlook – E-Mails

Jedes E-Mail wird mit Absender, Empfänger(n), Betreff, Zeitpunkt und Inhalt gespeichert

Allgemeine „operative Zwecke“


Zugriffe auf die E-Mails durch andere als den eigentlichen Empfänger oder Absender

Exchange und Outlook – Termine und Besprechungen

Jeder Termin und jede Besprechung wird mit Absender, Empfänger(n), Betreff, Zeitpunkt und Inhalt gespeichert

Allgemeine „operative Zwecke“

Exchange und Outlook sowie ToDo – Aktivitäten

Jede Aktivität wird mit Betreff, Text, Zeitpunkt der Erledigung gespeichert

Allgemeine „operative Zwecke“

Teams – Aufzeichnung von Chats

Alle Chats werden in Teams und zusätzlich in Exchange gespeichert und können über Teams und Outlook abgerufen werden

Allgemeine „operative Zwecke“

Teams – Aufzeichnung von Audio-/Videokonferenzen

Audio- und Videogespräche können aufgezeichnet werden und in Teams, Exchange/Outlook oder z. B. auch Stream verfügbar gemacht werden

Schulungszwecke

Möglichkeit, die Besprechungen nachzuvollziehen, wenn man an ihnen nicht teilnehmen konnte

Forms – Ausfüllen von Fragebogen

Wenn ein Fragebogen nicht für eine anonyme Auswertung eingerichtet wurde, wird das Ausfüllen personenbezogen dokumentiert

Tests, die personenbezogen durchgeführt werden müssen

Planner – Erledigung von Aufgaben

Die Zuweisung, der Status und die Erledigung von Aufgaben werden mit Zeitpunkt und Benutzer dokumentiert

Allgemeine „operative Zwecke“

Steuerung von Projekten und Aufgaben

StaffHub – Erfassung der Arbeitszeiten

Mit StaffHub können Dienstpläne erstellt und Ist-Arbeitszeiten erfasst werden

Dokumentation der Arbeitszeiten

Stream

Es kann nachvollzogen werden, wer welche Videos wann hochgeladen und kommentiert hat

Fraglich

Yammer

Die Aktivitäten aller Benutzer werden protokolliert und – im Rahmen der jeweiligen Berechtigungen – allen Benutzern angezeigt

Benutzung von Yammer

PowerApps

Die Verwendung von bereitgestellten Apps wird protokolliert

Administrative Zwecke

Power BI

Power BI protokolliert die Benutzung und erlaubt Auswertungen darüber, welcher Benutzer welche Daten verwendet, Reports erstellt und/oder abgerufen hat

Fraglich

Telemetriedaten

Je nach Einstellung können sehr umfangreiche Datensammlungen über die Verwendung der Apps erzeugt und an Microsoft übermittelt werden

Im Betrieb: Keine

Durch Microsoft: Fraglich

Sie sehen also: Es gibt eine Fülle von Möglichkeiten der Verhaltens- und Leistungskontrolle in Office 365. Die alle in einer Betriebsvereinbarung ausführlich zu regeln ist eine echte Herausforderung. Hinzu kommt, dass es kaum möglich sein wird, die jeweiligen Zweckbestimmungen für die unterschiedlichen Instrumente und Möglichkeiten der Arbeitnehmerüberwachung hinreichend konkret und abschließend zu bestimmen. Und schließlich kommt erschwerend hinzu, dass O365 ja eine „SaaS“ („Software as a Service“) ist, Microsoft also ständig daran arbeitet, das Produkt zu erweitern, Funktionen hinzuzuführen, zu erweitern oder zu ändern. Da wird man kaum hinterherkommen, die Fragen zu Möglichkeiten der Arbeitnehmerüberwachung jeweils abschließend zu regeln.

Mancher Leser wird jetzt sagen „Ja, Office macht das, aber wir wollen das ja nicht nutzen – dann wird das Verhalten ja auch gar nicht überwacht.“ Das ist ein Irrtum: Allein der Umstand, dass Verhalten protokolliert wird, ist schon eine Verhaltenskontrolle. Ob der Arbeitgeber oder ein sonstiger Dienstvorgesetzter die Absicht hat, diese Kontrollmöglichkeit für sich auch zu nutzen, ist unerheblich. Allein durch den Umstand, dass Daten über das Verhalten von Arbeitnehmern protokolliert werden, werden ihre Persönlichkeitsrechte beeinträchtigt – mehr kann man hier nachlesen.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Office® 365 in der Cloud

Vorheriges Thema Nächstes Thema