Delve und MyAnalytics – der Graph

Delve ist – zusammen mit Graph – die wohl umstrittenste Funktion von O365. Schauen wir uns zunächst an, was Graph macht, um dann zu schauen, welche Funktion Delve dabei erfüllt. Das, was bis vor kurzem „Office Graph“ hieß, wird von Microsoft übrigens inzwischen „Microsoft Graph“ genannt.

Graph „beobachtet“ das Tun der Nutzer eines Tenants. Jede Form der Nutzung wird als sog. „Signal“ von Graph interpretiert und mit Merkmalen versehen in einem Index gespeichert. Signale können z. B. sein

  • das Speichern einer Datei in SharePoint oder OneDrive,
  • das Ändern einer Datei in SharePoint oder OneDrive,
  • die Freigabe einer Datei in SharePoint oder OneDrive,
  • der Versand eines E-Mails,
  • das Lesen eines E-Mails,
  • der Eintrag einer Besprechung im Terminkalender,
  • ein Chat in Teams,
  • die Teilnahme an einer Online-Besprechung in S4B oder Teams

und vieles andere mehr. Graph beurteilt und bewertet diese Signale und gewinnt daraus z. B. die Erkenntnis, wer mit wem besonders viel zusammenarbeitet, kommuniziert, Dateien gemeinsam bearbeitet etc. Das Programm versucht also, das Netz der Beziehungen zwischen den Benutzern zu erkennen und zu verstehen und zu erkennen, in welcher Weise und welcher Intensität die unterschiedlichen Benutzer miteinander interagieren.

 

Funktion von Graph

Im Ergebnis wird für jeden Benutzer ermittelt,

  • welche anderen Benutzer für ihn besonders wichtig sind (weil er viele Dateien bearbeitet, die auch diese anderen Benutzer bearbeiten, weil er viel mit ihnen kommuniziert etc.),
  • welche Dateien in SharePoint für ihn besonders wichtig sind (weil sie von Personen bearbeitet wurden, mit denen er besonders häufig interagiert),
  • an welchen Tagen er viel und an welchen anderen er weniger tut,
  • wie sein „Arbeitsverhalten“ insgesamt ist

und einiges mehr. Wie genau Graph die Informationen zusammenträgt und bewertet, verrät Microsoft nicht. In den Veröffentlichungen ist etwas geheimniskrämerisch von einer „KI-Engine“ die Rede, die selbst lernt, was die Benutzer tun und was in welcher Weise wichtig ist.

Das ist natürlich Verhaltens- und Leistungskontrolle in Reinkultur, und deshalb sind die meisten Betriebsräte ausgesprochen skeptisch, ob das wirklich akzeptabel ist.

Nutzung der Daten aus Graph

Auf die Daten, die Graph erzeugt, kann auf unterschiedliche Arten zugegriffen werden:

  • Delve zeigt die Dokumente an, mit denen die anderen Anwender, die für den Benutzer besonders wichtig zu sein scheinen, zuletzt bzw. besonders häufig gearbeitet haben.
  • Auf der Homepage von O365, aber auch auf den Startseiten einiger Web-Anwendungen werden in der Rubrik „Entdecken“ ebenfalls die zuletzt bzw. besonders häufig verwendeten Dokumente der wichtigsten anderen Anwender gezeigt.
  • Mit dem Produkt „MyAnalytics“ werden dem Benutzer mehr oder minder nützliche Informationen über sein persönliches Arbeitsverhalten, das Netzwerk mit anderen Personen und einiges mehr angezeigt (MyAnalytics ist inzwischen in den gängigen Abo- bzw. Lizenzmodellen enthalten).
  • Mit dem Produkt „Workplace Analytics“ kann auch ein Vorgesetzter Einblick in das Arbeitsverhalten, die Intensität der Zusammenarbeit, also das Netzwerk seiner Mitarbeiter erhalten. Das ist aber in keinem Abo-Modell enthalten und muss in jedem Fall zusätzlich lizensiert werden. Auf europäischen Tenants ist Workplace Analytics aber nach meinem Kenntnisstand grundsätzlich nicht lizensierbar.
  • Mit einer zusätzlichen Schnittstelle kann auf die Daten, die Graph bereitstellt, auch durch andere Programme zugegriffen werden. Man kann auch eigene Anwendungen entwickeln, die auf diese Daten zugreifen.

Graph und Delve sind natürlich problematische Einrichtungen. Mit ihnen kann sehr genau nachvollzogen werden, was Anwender mit O365 jeweils getan haben. Zur Klarstellung muss man sagen: Es werden jeweils nur solche Dateien angezeigt, auf die man ohnehin Zugriff hat. Es werden also keine Dateien verfügbar gemacht, die man nicht auch auf andere Art öffnen könnte. Aber es macht natürlich einen Unterschied, ob man danach suchen muss, welcher Anwender welche Dateien bearbeitet hat, oder ob diese Informationen präsentiert werden.

Allerdings kann auch jeder Benutzer für sich entscheiden, dass er die Informationen über die vom ihm bearbeiteten Daten nicht bereitstellen lassen möchte. In Delve sind es nur wenige Klicks („Einstellungen“ – „Featureeinstellungen“ – „Zeigen Sie Dokumente in Delve und in der Ansicht ‚\Entdecken\‘ in OneDrive for Business an“ auf „aus“ – mit „OK“ abschließen), um zu verhindern, dass anderen Benutzern angezeigt wird, mit welchen Dokumenten man zuletzt gearbeitet hat. Ganz so dramatisch ist es also nicht. Und in SharePoint wird ja auch die Möglichkeit angeboten, z. B. nach Dateien zu suchen, die ein bestimmter Benutzer zuletzt bearbeitet hat.

Allerdings wertet Graph ja nicht nur Zugriffe auf Dateien aus, sondern auch die Kommunikation mit anderen, gemeinsame Termine, die Schnelligkeit, mit der E-Mails nach ihrem Eintreffen geöfffnet werden und anderes. Er soll ja das Netzwerk der Beziehungen zwischen den Benutzern (und auch Externen) und das Arbeitsverhalten der Benutzer analysieren, und das ist deutlich mehr, als nur darauf hinzuweisen, mit welchen Dateien jemand zuletzt gearbeitet hat.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Office® 365 in der Cloud

Graph und Datenschutz

Es gibt hier ein datenschutzrechtliches Problem. Man kann zwar als Benutzer dafür sorgen, dass die Informationen über die zuletzt bearbeiteten Daten niemandem angezeigt werden. Allerdings wird Graph (vermutlich) dennoch weiter die Signale auch über die Benutzer verarbeiten, die die Anzeige der Dateien in Delve ausgeschaltet haben. „Vermutlich“ deshalb, weil Microsoft nicht dokumentiert, ob der Graph dennoch weiter analysiert, oder ob damit auch die Analyse in Graph deaktiviert wird. Ich vermute jedoch, dass der Graph weiter Signale auswertet, denn wenn man die Anzeige der Dateien in Delve wieder einschaltet, sind Informationen über die Nutzung von Dateien innerhalb weniger Minuten wieder verfügbar – auch über den Zeitraum, in dem die Anzeige der Dateien ausgeschaltet war. Das deutet darauf hin, dass diese Informationen die ganze Zeit über erzeugt und nur ihre Anzeige unterdrückt wurde. Das wäre allerdings eine Verarbeitung personenbezogener Daten, ohne dass es dafür einen Zweck gibt, und das wäre ein Verstoß gegen Art. 5 Abs. 1 lit b der DSGVO.

Man kann auch für den gesamten Tenant ausschalten, dass die Daten über die Verwendung von Dateien angezeigt werden – das müsste der Administrator in den Einstellungen zu SharePoint tun („Delve und verwandte Funktionen deaktivieren“). Auch hier habe ich allerdings den Verdacht, dass damit nicht die Datensammlung durch Graph ausgeschaltet wird, sondern nur die Anzeige in Delve. Auch das wäre demnach ein Verstoß gegen Art. 5 Abs. 1 lit b DSGVO. Ich habe bei einigen deutschen Datenschutz-Aufsichtsbehörden gefragt, wie sie das einschätzen, und sie haben mich in dieser Einschätzung bestätigt – allerdings auch mitgeteilt, dass sie selbst keine Erkenntnis haben, ob es sich so verhält, wie ich vermute.

Andererseits bietet Delve zumindest eine Funktion, die für Anwender ausgesprochen nützlich ist: Es gibt ja verschiedene Dienste (SharePoint, OneDrive und Exchange), die jeweils Dateien und andere Daten speichern. Möchte man nach einer bestimmten Information suchen (z. B. einem bestimmte Dateiinhalt, einem Begriff, einem Kontaktpartner etc.), muss man im jeweiligen Dienst suchen, bei SharePoint ggf. sogar in jeder einzelnen Website. Das einzige Instrument, mit dem man in allen Diensten und allen Websites, auf die man zugreifen kann, also an allen potentiellen Speicherorten gleichzeitig suchen kann, ist Delve. Das setzt allerdings voraus, dass Delve auch eingeschaltet ist.

Keine einfache Entscheidung also, ob man „für“ oder „gegen“ Graph und Delve sein soll.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Office® 365 in der Cloud

Mitbestimmung über Graph und Delve

Grundsätzlich kann man sich zwei Varianten der Regelung vorstellen:

  • Graph und Delve werden komplett deaktiviert oder
  • Graph wird aktiviert, und jeder Benutzer kann für sich entscheiden, ob er ihn mit Delve aktivieren oder deaktivieren will.

Ich persönlich empfehle die zweite Variante, weil Delve ja auch nützliche Funktionen erfüllt, und es vielleicht keine gute Idee ist, diese Funktionen allen vorzuenthalten. Dann allerdings muss sichergestellt sein, dass auch wirklich jeder Anwender für sich allein entscheiden kann, ob er Delve deaktivieren will. Das bedeutet, dass Vorgesetzte z. B. keine anderslautende Weisung erteilen dürfen. Man könnte als Voreinstellung für neu eingerichtete Benutzer auch vorgeben, dass Delve deaktiviert ist, und sie es selbst aktiv einschalten müssen, falls sie sich dafür entscheiden.

Das Argument, dass damit ja gegen Datenschutzbestimmungen verstoßen wird, überzeugt nicht: Graph ist nach meiner Einschätzung insgesamt nicht DSGVO-konform (jedenfalls dann, wenn er auch im deaktivierten Zustand Signale sammelt und verarbeitet, wovon auszugehen ist), da hilft es auch nichts, den Zugriff auf die Daten zu deaktivieren.

Im Gegenteil: Wenn man die Zugriffe auf Graph und Delve komplett deaktiviert, schafft man damit geradezu einen Verstoß gegen die DSGVO: Dann würde Graph ja personenbezogene Daten verarbeiten, für die es gar keinen Nutzungszweck gibt. Es wäre aus Sicht des Datenschutzes sogar richtiger, die Möglichkeit offenzulassen, Delve zu nutzen. Dann hätten die verarbeiteten Daten wenigstens einen Zweck.

Weitere Regelungen zu Graph sollten lauten:

  • Workplace Analytics wird nicht genutzt
  • Zugriffe auf die Daten von Graph mit anderen Instrumenten werden nur dann ermöglicht, wenn der Betriebsrat über das jeweilige Instrument mitbestimmt und den Zugriff zugelassen hat.

Graph „ausschalten“?

Ich werde oft gefragt, ob man Graph nicht einfach ausschalten könne. Nein, kann man nicht. Graph ist nicht nur dazu da, Daten bereitszustellen, die dann von Delve oder MyAnalytics genutzt werden. Vielmehr ist Graph die Sammlung von Funktionen, die benötigt wird, damit die Office-365-Dienste untereinander kommunizieren können. Und auch Anwendungen, die man selbst entwickelt, benutzen Funktionen von Graph – auch, wenn man gar keine Verhaltenskontrolle damit anstrebt. Wir verwenden z. B. „Planner“, um bestimmte Prozessschritte bei der Vorbereitung von Seminaren damit zu steuern. Weil aber Planner keine Vorlagen kennt, müsste man jeden Prozessschritt immer wieder einzeln manuell eingeben – eine unzumutbare Klickorgie. Mit einem PowerShell-Script lässt sich so etwas lösen. Das aber verwendet Funktionen von Graph, um mit dem Planner (genau genommen SharePoint) zu kommunizieren. Fazit: Ohne Graph funktioniert Office 365 nicht.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Office® 365 in der Cloud

Und „MyAnalytics“?

Ein Suchbegriff, der viele Interessenten auf unsere Website führt, ist „MyAnalytics ausschalten“. Es besteht also der Wunsch, MyAnalytics zu deaktivieren. Mein einfachster Vorschlag: Einfach nicht benutzen. MyAnalytics kann vom Admin im Admin-Portal für jeden Benutzer deaktiviert werden, aber die Daten sind dennoch da – sie werden ja von Graph bereitgestellt. Insofern ist es aus rechtlicher Sicht egal, ob MyAnalytics zur Verfügung steht oder nicht. Entscheident ist, dass die Daten, die in MyAnalytics präsentiert werden, ohnehin vorhanden sind, ob sie nun mit MyAnalytics präsentiert werden oder der Admin den Zugriff auf MyAnalytics verhindert.

Ob MyAnalytics wertvolle Informationen liefert, muss jeder für sich entscheiden. Ich habe dort bisher noch keine nützliche Anregung erhalten. Es ist auch vermessen von Microsoft, zu glauben, mein gesamtes Arbeitsverhalten ließe sich mit Graph und MyAnalytics analysieren – ich verwende natürlich auch noch andere Tools als die aus Office 365, und deren Benutzung wird von Graph ja gar nicht bemerkt. Wichtig ist vielmehr, dass man in einer Betriebsvereinbarung klarstellt, dass es jedem Benutzer überlassen ist, ob er sich die Informationen aus MyAnalytics anschaut, und dass nur der Benutzer selbst Zugriff darauf hat. Den Vorgesetzten gehen die Daten aus MyAnalytics nichts an.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Office® 365 in der Cloud

Vorheriges Thema Nächstes Thema