Delve und MyAnalytics – der Graph

Delve ist – zusammen mit Graph – die wohl umstrittenste Funktion von O365. Schauen wir uns zunächst an, was Graph macht, um dann zu schauen, welche Funktion Delve dabei erfüllt. Das, was bis vor kurzem „Office Graph“ hieß, wird von Microsoft übrigens inzwischen „Microsoft Graph“ genannt.

Was tut Graph?

Graph „beobachtet“ das Tun der Nutzer eines Tenants. Jede Form der Nutzung wird als sog. „Signal“ von Graph interpretiert und mit Merkmalen versehen in einem Index gespeichert. Signale können z. B.

  • das Speichern einer Datei in SharePoint oder OneDrive,
  • das Ändern einer Datei in SharePoint oder OneDrive,
  • die Freigabe einer Datei in SharePoint oder OneDrive,
  • der Versand eines E-Mails,
  • das Lesen eines E-Mails,
  • der Eintrag einer Besprechung im Terminkalender,
  • ein Chat in Teams,
  • die Teilnahme an einer Online-Besprechung in S4B oder Teams

und vieles andere mehr sein. Graph beurteilt und bewertet diese Signale und gewinnt daraus z. B. die Erkenntnis, wer mit wem besonders viel zusammenarbeitet, kommuniziert, Dateien gemeinsam bearbeitet etc. Das Programm versucht also, das Netz der Beziehungen zwischen den Benutzern zu erkennen und zu verstehen, in welcher Weise und welcher Intensität die unterschiedlichen Benutzer interagieren.

Funktion von Graph

Im Ergebnis wird für jeden Benutzer ermittelt,

  • welche anderen Benutzer für ihn besonders wichtig sind (weil er viele Dateien bearbeitet, die auch diese anderen Benutzer bearbeiten, weil er viel mit ihnen kommuniziert etc.),
  • welche Dateien in SharePoint für ihn besonders wichtig sind (weil sie von Personen bearbeitet wurden, mit denen er besonders häufig interagiert),
  • an welchen Tagen er viel und an welchen anderen er weniger tut,
  • wie sein „Arbeitsverhalten“ insgesamt ist

und einiges mehr. Wie genau Graph die Informationen zusammenträgt und bewertet, verrät Microsoft nicht. In den Veröffentlichungen ist etwas geheimniskrämerisch von einer „KI-Engine“ die Rede. Diese lernt selbst, was die Benutzer tun und was in welcher Weise wichtig ist.

Das ist natürlich Verhaltens- und Leistungskontrolle in Reinkultur. Deshalb sind die meisten Betriebsräte ausgesprochen skeptisch, ob das wirklich akzeptabel ist.

Nutzung der Daten aus Graph

Auf die Daten, die Graph erzeugt, kann auf unterschiedliche Arten zugegriffen werden:

  • Delve zeigt die Dokumente an, mit denen die anderen Anwender, die für den Benutzer besonders wichtig zu sein scheinen, zuletzt bzw. besonders häufig gearbeitet haben.
  • Auf der Homepage von O365, aber auch auf den Startseiten einiger Web-Anwendungen werden in der Rubrik „Entdecken“ ebenfalls die zuletzt bzw. besonders häufig verwendeten Dokumente der wichtigsten anderen Anwender gezeigt.
  • Mit dem Produkt „MyAnalytics“ werden dem Benutzer mehr oder minder nützliche Informationen über sein persönliches Arbeitsverhalten, das Netzwerk mit anderen Personen und einiges mehr angezeigt (MyAnalytics ist inzwischen in den gängigen Abo- bzw. Lizenzmodellen enthalten).
  • Mit dem Produkt „Workplace Analytics“ kann auch ein Vorgesetzter Einblick in das Arbeitsverhalten, die Intensität der Zusammenarbeit, also das Netzwerk seiner Mitarbeiter erhalten. Das ist aber in keinem Abo-Modell enthalten und muss in jedem Fall zusätzlich lizensiert werden. Auf europäischen Tenants ist Workplace Analytics aber nach meinem Kenntnisstand grundsätzlich nicht lizensierbar.
  • Mit einer zusätzlichen Schnittstelle kann auf die Daten, die Graph bereitstellt, auch durch andere Programme zugegriffen werden. Man kann auch eigene Anwendungen entwickeln, die auf diese Daten zugreifen.

Der durchsichtige Anwender

Graph und Delve sind natürlich problematische Einrichtungen. Mit ihnen kann sehr genau nachvollzogen werden, was Anwender mit O365 jeweils getan haben. Zur Klarstellung muss man sagen: Es werden jeweils nur solche Dateien angezeigt, auf die man ohnehin Zugriff hat. Es werden also keine Dateien verfügbar gemacht, die man nicht auch auf andere Art öffnen könnte. Aber es macht natürlich einen Unterschied, ob man danach suchen muss, welcher Anwender welche Dateien bearbeitet hat, oder ob diese Informationen präsentiert werden.

Zugriff einschränken von Delve

Allerdings kann auch jeder Benutzer für sich entscheiden, dass er die Informationen über die vom ihm bearbeiteten Daten nicht bereitstellen lassen möchte. In Delve sind es nur wenige Klicks („Einstellungen“ – „Featureeinstellungen“ – „Zeigen Sie Dokumente in Delve und in der Ansicht ‚\Entdecken\‘ in OneDrive for Business an“ auf „aus“ – mit „OK“ abschließen), um zu verhindern, dass anderen Benutzern angezeigt wird, mit welchen Dokumenten man zuletzt gearbeitet hat. Ganz so dramatisch ist es also nicht. Und in SharePoint wird ja auch die Möglichkeit angeboten, z. B. nach Dateien zu suchen, die ein bestimmter Benutzer zuletzt bearbeitet hat.

Graph analysiert die Zusammenarbeit der Anwender

Allerdings wertet Graph ja nicht nur Zugriffe auf Dateien aus, sondern auch die Kommunikation mit anderen, gemeinsame Termine, die Schnelligkeit, mit der E-Mails nach ihrem Eintreffen geöfffnet werden und anderes. Er soll ja das Netzwerk der Beziehungen zwischen den Benutzern (und auch Externen) und das Arbeitsverhalten der Benutzer analysieren, und das ist deutlich mehr, als nur darauf hinzuweisen, mit welchen Dateien jemand zuletzt gearbeitet hat.

Erfahren Sie mehr!

Die passenden Seminare zu diesem Thema:

Office 365®/Microsoft 365® in der Cloud

Graph und Datenschutz

Es gibt hier ein datenschutzrechtliches Problem. Man kann als Benutzer zwar einstellen, dass die Informationen über die zuletzt bearbeiteten Daten niemandem angezeigt werden. Doch Graph die verarbeitet Signale weiterhin. Wenn man die Anzeige der Dateien in Delve wieder einschaltet, sind Informationen über die Nutzung von Dateien innerhalb weniger Minuten wieder verfügbar – auch über den Zeitraum, in dem die Anzeige der Dateien ausgeschaltet war. Das bedeutet, dass diese Informationen die ganze Zeit über erzeugt und nur ihre Anzeige unterdrückt wurde. Das wäre allerdings eine Verarbeitung personenbezogener Daten, ohne dass es dafür einen Zweck gibt, und somit ein Verstoß gegen Art. 5 Abs. 1 lit b der DSGVO.

Danennutzuntg durch Delve für den Tenant ausschalten

Man kann die Verfügbarkeit von Delve für den gesamten Tenant ausschalten. Das müsste der Administrator in den Einstellungen zu SharePoint tun („Delve und verwandte Funktionen deaktivieren“). Auch hier wird allerdings nicht die Datensammlung durch Graph ausgeschaltet, sondern nur die Anzeige in Delve. Auch das wäre demnach ein Verstoß gegen o.g. DSGVO, denn Graph sammelt weiter Daten, die aber in Delve gar nicht mehr verwendet werden (können), weil Delve ja nicht mehr angeboten wird.

Delve hilft bei Suche an allen Speicherorten

Andererseits bietet Delve zumindest eine Funktion, die für Anwender ausgesprochen nützlich ist: Es gibt ja verschiedene Dienste (SharePoint, OneDrive und Exchange), die jeweils Dateien und andere Daten speichern. Möchte man nach einer bestimmten Information suchen (z. B. einem bestimmten Dateiinhalt, einem Begriff, einem Kontaktpartner etc.), muss man im jeweiligen Dienst suchen, bei SharePoint ggf. sogar in jeder einzelnen Website. Das einzige Instrument, mit dem man an allen potentiellen Speicherorten gleichzeitig suchen kann, ist Delve. Das setzt allerdings voraus, dass Delve auch eingeschaltet ist.

Keine einfache Entscheidung also, ob man „für“ oder „gegen“ Graph und Delve sein soll.

Erfahren Sie mehr!

Die passenden Seminare zu diesem Thema:

Office 365®/Microsoft 365® in der Cloud

Mitbestimmung über Graph und Delve

Grundsätzlich kann man sich zwei Varianten der Regelung vorstellen:

  • Delve wird komplett und für den gesamten Tenant deaktiviert oder
  • Delve wird aktiviert, und jeder Benutzer kann für sich entscheiden, ob er es für sich deaktivieren oder aktivieren will.

Ich persönlich empfehle die zweite Variante. Delve erfüllt ja nützliche Funktionen, und es ist vielleicht keine gute Idee, diese Funktionen allen vorzuenthalten. Allerdings muss dann sichergestellt sein, dass auch wirklich jeder Anwender für sich allein entscheiden kann, ob er Delve deaktivieren will. Das bedeutet, dass Vorgesetzte z. B. keine anderslautende Weisung erteilen dürfen. Man könnte als Voreinstellung für neu eingerichtete Benutzer auch vorgeben, dass Delve deaktiviert ist. Jeder Benutzer müsste es dann ggf. selbst aktiv für sich einschalten.

Graph ist vermutlich nicht DSGVO-konform

Das Argument, dass damit gegen Datenschutzbestimmungen verstoßen wird, überzeugt nicht: Graph ist nach meiner Einschätzung insgesamt nicht DSGVO-konform (jedenfalls dann, wenn er auch im deaktivierten Zustand Signale sammelt und verarbeitet, wovon auszugehen ist). Da hilft es auch nichts, den Zugriff auf die Daten zu deaktivieren.

Im Gegenteil: Wenn man die Zugriffe auf Graph und Delve komplett deaktiviert, schafft man damit einen Verstoß gegen die DSGVO: Dann würde Graph nämlich personenbezogene Daten verarbeiten, für die es gar keinen Nutzungszweck gibt. Es wäre aus Sicht des Datenschutzes sogar richtiger, die Möglichkeit offenzulassen, Delve zu nutzen. Dann hätten die verarbeiteten Daten wenigstens einen Zweck.

Weitere Regelungen zu Graph sollten lauten:

  • Workplace Analytics wird nicht genutzt
  • Zugriffe auf die Daten von Graph mit anderen Instrumenten werden nur dann ermöglicht, wenn der Betriebsrat über das jeweilige Instrument mitbestimmt und den Zugriff zugelassen hat.

Graph „ausschalten“?

Ich werde oft gefragt, ob man Graph nicht einfach ausschalten könne. Nein, kann man nicht. Graph ist nicht nur dazu da, Daten bereitszustellen, die dann von Delve oder MyAnalytics genutzt werden. Vielmehr ist Graph die Sammlung von Funktionen, die benötigt wird, damit die Office-365-Dienste untereinander kommunizieren können. Und auch Anwendungen, die man selbst entwickelt, benutzen Funktionen von Graph – auch, wenn man gar keine Verhaltenskontrolle damit anstrebt. Wir verwenden z. B. „Planner“, um bestimmte Prozessschritte bei der Vorbereitung von Seminaren damit zu steuern. Weil aber Planner keine Vorlagen kennt, müsste man jeden Prozessschritt immer wieder einzeln manuell eingeben – eine unzumutbare Klickorgie. Mit einem PowerShell-Script lässt sich so etwas lösen. Das aber verwendet Funktionen von Graph, um mit dem Planner (genau genommen SharePoint) zu kommunizieren. Fazit: Ohne Graph funktioniert Office 365 nicht.

Erfahren Sie mehr!

Die passenden Seminare zu diesem Thema:

Office 365®/Microsoft 365® in der Cloud

Und „MyAnalytics“?

Ein Suchbegriff, der viele Interessenten auf unsere Website führt, ist „MyAnalytics ausschalten“. Es besteht also der Wunsch, MyAnalytics zu deaktivieren. Mein Vorschlag: Einfach nicht benutzen. MyAnalytics kann vom Admin im Admin-Portal für jeden Benutzer deaktiviert werden, aber die Daten sind dennoch da – sie werden ja von Graph bereitgestellt. Insofern ist es aus rechtlicher Sicht egal, ob MyAnalytics zur Verfügung steht oder nicht. Entscheidend ist, dass die Daten, die in MyAnalytics präsentiert werden, ohnehin vorhanden sind. Ob sie nun mit MyAnalytics präsentiert werden oder der Admin den Zugriff auf MyAnalytics verhindert.

Nur Nutzer selbst sollte Zugriff haben

Ob MyAnalytics wertvolle Informationen liefert, muss jeder für sich entscheiden. Ich habe dort bisher noch keine nützliche Anregung erhalten. Es ist auch vermessen von Microsoft, zu glauben, mein gesamtes Arbeitsverhalten ließe sich mit Graph und MyAnalytics analysieren. Denn ich verwende natürlich auch noch andere Tools als die aus Office 365, und deren Benutzung wird von Graph ja gar nicht bemerkt. Wichtig ist vielmehr, dass man eine entsprechende Regelung in einer Betriebsvereinbarung festhält: Es solle jedem Benutzer überlassen sein, ob er sich die Informationen aus MyAnalytics anschaut, und nur er selbst hat Zugriff darauf. Den Vorgesetzten gehen die Daten aus MyAnalytics nichts an.

Erfahren Sie mehr!

Die passenden Seminare zu diesem Thema:

Office 365®/Microsoft 365® in der Cloud

Vorheriges Thema Nächstes Thema
Scroll to Top