Wo ist in Microsoft 365 Verhaltenskontrolle möglich?
Hier möchte ich einen Überblick über die Vielzahl der Instrumente geben, die im Rahmen von Microsoft 365 eine Möglichkeit der Verhaltenskontrolle eröffnen und damit Mitbestimmungsrechte des Betriebsrats auslösen. Vermutlich wird es mir nicht gelingen, alle Elemente und Funktionen von MS 365 vollständig aufzuzählen, die dazu geeignet sind. Aber ich versuche es mal.
Einschätzung der Verhaltens- oder Leistungskontrolle von MS 365
Instrumente, die ich für besonders kritisch und deshalb besonders regelungswürdig halte, habe ich farblich gekennzeichnet.
Orange bedeutet: Regelung über Umfang und Zweckbestimmung notwendig.
Rot bedeutet: Sollte ausgeschlossen oder zumindest sehr restriktiv geregelt werden.
Wenn ich schreibe „Allgemeine ‚operative Zwecke'“ bedeutet das: Es gibt keinen spezifischen Zweck hinsichtlich Sicherheit, Datenschutz, technischem Betrieb oder dergleichen. Für die Benutzer kann es aber durchaus Gründe geben, die es für die operative Arbeit sinnvoll machen, die Informationen zu kennen.
Dienst/Programm/App | Art der Verhaltens- oder Leistungskontrolle | Beispiele für mögliche Zwecke |
SharePoint und OneDrive – Dateiablage | Urheber und Bearbeiter von Dateien sowie Zeitpunkte der Bearbeitung werden angezeigt. | Allgemeine „operative Zwecke“ |
SharePoint und OneDrive – Versionierung | Frühere Versionen einer Datei werden mit Zeitpunkt und Urheber vorgehalten. | Wiederherstellung verlorener Änderungen bzw. Daten |
SharePoint und OneDrive – Papierkorb | Benutzer, der eine Datei gelöscht hat, wird angezeigt. | Allgemeine „operative Zwecke“ |
Exchange, SharePoint und OneDrive – Permanentes Dokumentenarchiv | Sämtliche Objekte werden für einen bestimmten Zeitraum zusätzlich vorgehalten. | Sicherheit vor einem Verlust von Daten Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten |
SharePoint und OneDrive – Benachrichtigung über Änderungen | Benutzer kann sich benachrichtigen lassen, wenn eine Datei verändert wurde. | Um z. B. in Projektgruppen oder Teams nicht alle Änderungen verfolgen zu müssen, kann man sich auf die Dokumente konzentrieren, die besonders wichtig sind. |
Graph und Delve | Alle Aktivitäten der Benutzer werden beobachtet, bewertet und in einen Zusammenhang gestellt. Einem Benutzer werden in Delve die Dateien angeboten, die möglicherweise für ihn besonders wichtig sind. | Unterstützung bei der Team- oder Projektarbeit: Benutzer erhalten einfacheren Zugriff für die für sie wichtigen Dateien. Unterstützung bei der Suche nach Daten |
Graph und Elementeinblicke | Alle Aktivitäten der Benutzer werden beobachtet, bewertet und in einen Zusammenhang gestellt. Einem Benutzer werden in Viva Insights Informationen darüber angeboten, die sein Arbeitsverhalten beschreiben. | Möglicherweise können die Informationen den Benutzer darin unterstützen, effektiver und effizienter zu arbeiten. |
Graph und Produkte außerhalb Office 365 | Durch Zugriff auf die Graph-API können unterschiedlichste Produkte Informationen über die Aktivitäten der Benutzer erhalten | Abhängig von der Funktion des jeweiligen Produkts |
Security & Compliance – Überwachungsprotokoll | Sämtliche Aktivitäten aller Benutzer werden protokolliert; das Protokoll wird für 90 Tage aufbewahrt. In der Überwachungsprotokollsuche kann gezielt nach bestimmten Aktivitäten gesucht werden. | Suche nach technischen Fehlern, Sicherheitsrisiken oder Fehlverhalten von Benutzern |
Security & Compliance – Data Loss Prevention | Wenn ein Ereignis eintritt, das einen Abfluss schützenswerter Daten zur Folge haben kann, kann ein Alarm ausgelöst werden. | Schutz personenbezogener und anderer schützenswerter Daten |
Security & Compliance – Benachrichtigungsrichtlinien | Verschiedene sicherheitsrelevante Arten von Ereignissen werden den dafür bestimmten Personen mitgeteilt (z. B. per E-Mail) | Schutz personenbezogener und anderer schützenswerter Daten
Datensicherheit |
Security & Compliance – Aufsicht | Protokollierung der Kommunikation mit Dritten | Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten |
Security & Compliance – Bedrohungsmanagement | Sicherheitsrelevante Ereignisse wie Phishing-Mails, Spam oder Mails mit Schadsoftware werden gesperrt und ggf. Administratoren informiert | Schutz personenbezogener und anderer schützenswerter Daten
Datensicherheit |
Security & Compliance – E-Mail-Fluss | Jeder Versand und Empfang von E-Mails wird mit Absender, Empfänger, Betreffzeile, Zeitpunkt und Status protokolliert | Suche nach und Beseitigung von technischen Problemen |
Security & Compliance – Inhaltssuche | In allen Datenbeständen kann nach bestimmten Begriffen gesucht werden | Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten
Schutz personenbezogener und anderer schützenswerter Daten Datensicherheit |
Security & Compliance – eDiscovery | In allen Datenbeständen kann nach bestimmten Begriffen gesucht werden | Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten
Schutz personenbezogener und anderer schützenswerter Daten Datensicherheit |
Word, Excel, PowerPoint – Metadaten | In jedem Dokument werden Urheber, Bearbeiter und weitere Informationen gespeichert | Allgemeine „operative Zwecke“ |
Word, Excel, PowerPoint – Überarbeitungen | Jede Änderung im Überarbeitungsmodus und jeder Kommentar werden mit Urheber und Zeitpunkt gespeichert und angezeigt | Allgemeine „operative Zwecke“ |
Excel oder Access – einzelne Dateien mit Inhalt über Verhalten oder Leistung | Jeder Benutzer kann beliebige Inhalte über Verhalten oder Leistung von Arbeitnehmern in Dateien verarbeiten | Nur, wenn es dafür eine gesonderte Regelung gibt, weil dies zusätzliche Mitbestimmungsrechte auslöst |
Exchange und Outlook – E-Mails | Jedes E-Mail wird mit Absender, Empfänger(n), Betreff, Zeitpunkt und Inhalt gespeichert | Allgemeine „operative Zwecke“
Zugriffe auf die E-Mails durch andere als den eigentlichen Empfänger oder Absender |
Exchange und Outlook – Termine und Besprechungen | Jeder Termin und jede Besprechung wird mit Absender, Empfänger(n), Betreff, Zeitpunkt und Inhalt gespeichert | Allgemeine „operative Zwecke“ |
Exchange und Outlook sowie ToDo – Aktivitäten | Jede Aktivität wird mit Betreff, Text, Zeitpunkt der Erledigung gespeichert | Allgemeine „operative Zwecke“ |
Teams – Aufzeichnung von Chats | Alle Chats werden in Teams und zusätzlich in Exchange gespeichert und können über Teams und Outlook abgerufen werden | Allgemeine „operative Zwecke“ |
Teams – Aufzeichnung von Audio-/Videokonferenzen | Audio- und Videogespräche können aufgezeichnet werden und in Teams, Exchange/Outlook oder z. B. auch Stream verfügbar gemacht werden | Schulungszwecke
Möglichkeit, die Besprechungen nachzuvollziehen, wenn man an ihnen nicht teilnehmen konnte |
Forms – Ausfüllen von Fragebogen | Wenn ein Fragebogen nicht für eine anonyme Auswertung eingerichtet wurde, wird das Ausfüllen personenbezogen dokumentiert | Tests, die personenbezogen durchgeführt werden müssen |
Planner – Erledigung von Aufgaben | Die Zuweisung, der Status und die Erledigung von Aufgaben werden mit Zeitpunkt und Benutzer dokumentiert | Allgemeine „operative Zwecke“
Steuerung von Projekten und Aufgaben |
Stream | Es kann nachvollzogen werden, wer welche Videos wann hochgeladen und kommentiert hat | Fraglich |
Yammer | Die Aktivitäten aller Benutzer werden protokolliert und – im Rahmen der jeweiligen Berechtigungen – allen Benutzern angezeigt | Benutzung von Yammer |
PowerApps | Die Verwendung von bereitgestellten Apps wird protokolliert | Administrative Zwecke |
Power BI | Power BI protokolliert die Benutzung und erlaubt Auswertungen darüber, welcher Benutzer welche Daten verwendet, Reports erstellt und/oder abgerufen hat | Fraglich |
Telemetriedaten | Je nach Einstellung können sehr umfangreiche Datensammlungen über die Verwendung der Apps erzeugt und an Microsoft übermittelt werden | Im Betrieb: Keine
Durch Microsoft: Fraglich |
Fazit
Hier wird deutlich: Es gibt eine Fülle von Möglichkeiten der Verhaltens- und Leistungskontrolle in Microsoft 365. Die alle in einer Betriebsvereinbarung ausführlich zu regeln, ist eine echte Herausforderung. Es wird auch kaum möglich sein, die jeweiligen Zweckbestimmungen für die unterschiedlichen Instrumente und Möglichkeiten der Arbeitnehmerüberwachung hinreichend konkret und abschließend zu bestimmen. Und schließlich kommt erschwerend hinzu, dass O365 ja eine „SaaS“ („Software as a Service“) ist. Microsoft arbeitet also ständig daran, das Produkt zu erweitern, Funktionen hinzuzuführen oder zu ändern. Daher ist es schwierig, die Fragen zu Möglichkeiten der Arbeitnehmerüberwachung jeweils abschließend zu regeln.
Kontrolle beginnt schon bei Protokollierung
Mancher Leser wird jetzt sagen „Ja, Office macht das, aber wir wollen das ja nicht nutzen – dann wird das Verhalten ja auch gar nicht überwacht.“ Das ist ein Irrtum: Allein der Umstand, dass Verhalten protokolliert wird, ist schon eine Verhaltenskontrolle. Ob der Arbeitgeber oder ein sonstiger Dienstvorgesetzter die Absicht hat, diese Kontrollmöglichkeit für sich auch zu nutzen, ist unerheblich. Allein durch den Umstand, dass Daten über das Verhalten von Arbeitnehmern protokolliert werden, werden ihre Persönlichkeitsrechte beeinträchtigt – mehr kann man hier nachlesen.
Unsere Seminare
Neben unserer umfangreichen Beratungs-Seite, bieten wir natürlich auch Seminare für Betriebs- und Personalräte an. Auch zu vielen anderen Themen. Hier ein Überblick, über passende Seminare zu dem hier genannten Thema Office 365.
Microsoft 365®/Office 365® in der Cloud
Mitbestimmung und Betriebsvereinbarung
Dieses Seminar richtet sich an Mitglieder von Betriebs- und Personalräten, in deren Betrieben bzw. Dienststellen Office 365® / Microsoft 365® eingeführt werden soll oder bereits genutzt wird.