Wo ist in Office 365 Verhaltenskontrolle möglich?

Hier möchte ich einen Überblick über die Vielzahl der Instrumente geben, die im Rahmen von Office 365 eine Möglichkeit der Verhaltenskontrolle eröffnen und damit Mitbestimmungsrechte des Betriebsrats auslösen. Vermutlich wird es mir nicht gelingen, alle Elemente und Funktionen von O365 vollständig aufzuzählen, die dazu geeignet sind. Aber ich versuche es mal.

Einschätzung der Verhaltens- oder Leistungskontrolle

Instrumente, die ich für besonders kritisch und deshalb besonders regelungswürdig halte, habe ich farblich gekennzeichnet. Orange bedeutet: Regelung über Umfang und Zweckbestimmung notwendig. Rot bedeutet: Sollte ausgeschlossen oder zumindest sehr restriktiv geregelt werden. Wenn ich schreibe „Allgemeine ‚operative Zwecke'“ bedeutet das: Es gibt keinen spezifischen Zweck hinsichtlich Sicherheit, Datenschutz, technischem Betrieb oder dergleichen. Für die Benutzer kann es aber durchaus Gründe geben, die es für die operative Arbeit sinnvoll machen, die Informationen zu kennen.

Erfahren Sie mehr!

Die passenden Seminare zu diesem Thema:

Office 365®/Microsoft 365® in der Cloud
Schnell Bescheid wissen: Mitbestimmung bei Office 365 – Teams als UCC-Plattform
Schnell Bescheid wissen: Mitbestimmung bei Office 365 – SharePoint, Delve, MyAnalytics und Graph

Dienst/Programm/App Art der Verhaltens- oder Leistungskontrolle Beispiele für mögliche Zwecke
SharePoint und OneDrive – Dateiablage Urheber und Bearbeiter von Dateien sowie Zeitpunkte der Bearbeitung werden angezeigt. Allgemeine „operative Zwecke“
SharePoint und OneDrive – Versionierung Frühere Versionen einer Datei werden mit Zeitpunkt und Urheber vorgehalten. Wiederherstellung verlorener Änderungen bzw. Daten
SharePoint und OneDrive – Papierkorb Benutzer, der eine Datei gelöscht hat, wird angezeigt. Allgemeine „operative Zwecke“
Exchange, SharePoint und OneDrive – Permanentes Dokumentenarchiv Sämtliche Objekte werden für einen bestimmten Zeitraum zusätzlich vorgehalten. Sicherheit vor einem Verlust von Daten

Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten

SharePoint und OneDrive – Benachrichtigung über Änderungen Benutzer kann sich benachrichtigen lassen, wenn eine Datei verändert wurde. Um z. B. in Projektgruppen oder Teams nicht alle Änderungen verfolgen zu müssen, kann man sich auf die Dokumente konzentrieren, die besonders wichtig sind.
Graph und Delve Alle Aktivitäten der Benutzer werden beobachtet, bewertet und in einen Zusammenhang gestellt. Einem Benutzer werden in Delve die Dateien angeboten, die möglicherweise für ihn besonders wichtig sind. Unterstützung bei der Team- oder Projektarbeit: Benutzer erhalten einfacheren Zugriff für die für sie wichtigen Dateien.

Unterstützung bei der Suche nach Daten

Graph und MyAnalytics Alle Aktivitäten der Benutzer werden beobachtet, bewertet und in einen Zusammenhang gestellt. Einem Benutzer werden in MyAnalytics Informationen darüber angeboten, die sein Arbeitsverhalten beschreiben. Möglicherweise können die Informationen den Benutzer darin unterstützen, effektiver und effizienter zu arbeiten.
Graph und Workplace Analytics Alle Aktivitäten der Benutzer werden beobachtet, bewertet und in einen Zusammenhang gestellt. Einem Vorgesetzten werden Informationen über das Arbeitsverhalten und die Zusammenarbeit seiner Mitarbeiter angezeigt. Reine Verhaltens- und Leistungskontrolle, Überwachung der Mitarbeiter

Verwendung sollte ausgeschlossen werden

Graph und Produkte außerhalb Office 365 Durch Zugriff auf die Graph-API können unterschiedlichste Produkte Informationen über die Aktivitäten der Benutzer erhalten Abhängig von der Funktion des jeweiligen Produkts
Security & Compliance – Überwachungsprotokoll Sämtliche Aktivitäten aller Benutzer werden protokolliert; das Protokoll wird für 90 Tage aufbewahrt. In der Überwachungsprotokollsuche kann gezielt nach bestimmten Aktivitäten gesucht werden. Suche nach technischen Fehlern, Sicherheitsrisiken oder Fehlverhalten von Benutzern
Security & Compliance – Data Loss Prevention Wenn ein Ereignis eintritt, das einen Abfluss schützenswerter Daten zur Folge haben kann, kann ein Alarm ausgelöst werden. Schutz personenbezogener und anderer schützenswerter Daten
Security & Compliance – Benachrichtigungsrichtlinien Verschiedene sicherheitsrelevante Arten von Ereignissen werden den dafür bestimmten Personen mitgeteilt (z. B. per E-Mail) Schutz personenbezogener und anderer schützenswerter Daten

Datensicherheit

Security & Compliance – Aufsicht Protokollierung der Kommunikation mit Dritten Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten
Security & Compliance – Bedrohungsmanagement Sicherheitsrelevante Ereignisse wie Phishing-Mails, Spam oder Mails mit Schadsoftware werden gesperrt und ggf. Administratoren informiert Schutz personenbezogener und anderer schützenswerter Daten

Datensicherheit

Security & Compliance – E-Mail-Fluss Jeder Versand und Empfang von E-Mails wird mit Absender, Empfänger, Betreffzeile, Zeitpunkt und Status protokolliert Suche nach und Beseitigung von technischen Problemen
Security & Compliance – Inhaltssuche In allen Datenbeständen kann nach bestimmten Begriffen gesucht werden Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten

Schutz personenbezogener und anderer schützenswerter Daten

Datensicherheit

Security & Compliance – eDiscovery In allen Datenbeständen kann nach bestimmten Begriffen gesucht werden Erfüllung gesetzlicher Offenlegungs- und Nachweispflichten

Schutz personenbezogener und anderer schützenswerter Daten

Datensicherheit

Word, Excel, PowerPoint – Metadaten In jedem Dokument werden Urheber, Bearbeiter und weitere Informationen gespeichert Allgemeine „operative Zwecke“
Word, Excel, PowerPoint – Überarbeitungen Jede Änderung im Überarbeitungsmodus und jeder Kommentar werden mit Urheber und Zeitpunkt gespeichert und angezeigt Allgemeine „operative Zwecke“
Excel oder Access – einzelne Dateien mit Inhalt über Verhalten oder Leistung Jeder Benutzer kann beliebige Inhalte über Verhalten oder Leistung von Arbeitnehmern in Dateien verarbeiten Nur, wenn es dafür eine gesonderte Regelung gibt, weil dies zusätzliche Mitbestimmungsrechte auslöst
Exchange und Outlook – E-Mails Jedes E-Mail wird mit Absender, Empfänger(n), Betreff, Zeitpunkt und Inhalt gespeichert Allgemeine „operative Zwecke“

Zugriffe auf die E-Mails durch andere als den eigentlichen Empfänger oder Absender

Exchange und Outlook – Termine und Besprechungen Jeder Termin und jede Besprechung wird mit Absender, Empfänger(n), Betreff, Zeitpunkt und Inhalt gespeichert Allgemeine „operative Zwecke“
Exchange und Outlook sowie ToDo – Aktivitäten Jede Aktivität wird mit Betreff, Text, Zeitpunkt der Erledigung gespeichert Allgemeine „operative Zwecke“
Teams – Aufzeichnung von Chats Alle Chats werden in Teams und zusätzlich in Exchange gespeichert und können über Teams und Outlook abgerufen werden Allgemeine „operative Zwecke“
Teams – Aufzeichnung von Audio-/Videokonferenzen Audio- und Videogespräche können aufgezeichnet werden und in Teams, Exchange/Outlook oder z. B. auch Stream verfügbar gemacht werden Schulungszwecke

Möglichkeit, die Besprechungen nachzuvollziehen, wenn man an ihnen nicht teilnehmen konnte

Forms – Ausfüllen von Fragebogen Wenn ein Fragebogen nicht für eine anonyme Auswertung eingerichtet wurde, wird das Ausfüllen personenbezogen dokumentiert Tests, die personenbezogen durchgeführt werden müssen
Planner – Erledigung von Aufgaben Die Zuweisung, der Status und die Erledigung von Aufgaben werden mit Zeitpunkt und Benutzer dokumentiert Allgemeine „operative Zwecke“

Steuerung von Projekten und Aufgaben

Stream Es kann nachvollzogen werden, wer welche Videos wann hochgeladen und kommentiert hat Fraglich
Yammer Die Aktivitäten aller Benutzer werden protokolliert und – im Rahmen der jeweiligen Berechtigungen – allen Benutzern angezeigt Benutzung von Yammer
PowerApps Die Verwendung von bereitgestellten Apps wird protokolliert Administrative Zwecke
Power BI Power BI protokolliert die Benutzung und erlaubt Auswertungen darüber, welcher Benutzer welche Daten verwendet, Reports erstellt und/oder abgerufen hat Fraglich
Telemetriedaten Je nach Einstellung können sehr umfangreiche Datensammlungen über die Verwendung der Apps erzeugt und an Microsoft übermittelt werden Im Betrieb: Keine

Durch Microsoft: Fraglich

Fazit

Hier wird deutlich: Es gibt eine Fülle von Möglichkeiten der Verhaltens- und Leistungskontrolle in Office 365. Die alle in einer Betriebsvereinbarung ausführlich zu regeln, ist eine echte Herausforderung. Es wird auch kaum möglich sein, die jeweiligen Zweckbestimmungen für die unterschiedlichen Instrumente und Möglichkeiten der Arbeitnehmerüberwachung hinreichend konkret und abschließend zu bestimmen. Und schließlich kommt erschwerend hinzu, dass O365 ja eine „SaaS“ („Software as a Service“) ist. Microsoft arbeitet also ständig daran, das Produkt zu erweitern, Funktionen hinzuzuführen oder zu ändern. Daher ist es schwierig, die Fragen zu Möglichkeiten der Arbeitnehmerüberwachung jeweils abschließend zu regeln.

Kontrolle beginnt schon bei Protokollierung

Mancher Leser wird jetzt sagen „Ja, Office macht das, aber wir wollen das ja nicht nutzen – dann wird das Verhalten ja auch gar nicht überwacht.“ Das ist ein Irrtum: Allein der Umstand, dass Verhalten protokolliert wird, ist schon eine Verhaltenskontrolle. Ob der Arbeitgeber oder ein sonstiger Dienstvorgesetzter die Absicht hat, diese Kontrollmöglichkeit für sich auch zu nutzen, ist unerheblich. Allein durch den Umstand, dass Daten über das Verhalten von Arbeitnehmern protokolliert werden, werden ihre Persönlichkeitsrechte beeinträchtigt – mehr kann man hier nachlesen.

Erfahren Sie mehr!

Die passenden Seminare zu diesem Thema:

Office 365®/Microsoft 365® in der Cloud
Schnell Bescheid wissen: Mitbestimmung bei Office 365 – Teams als UCC-Plattform
Schnell Bescheid wissen: Mitbestimmung bei Office 365 – SharePoint, Delve, MyAnalytics und Graph

Vorheriges Thema Nächstes Thema