INFORMATIONEN

Mitarbeiterüberwachung mit Office 365? MyAnalytics & Datenschutz

Office 365 scheint ein Datensicherheitsproblem zu haben: Das Analysetool MyAnalytics ist in die Kritik geraten. Ist es möglich, die von diesem Programm gesammelten Informationen zum Ausspionieren von Mitarbeitern zu nutzen?

Die Funktion MyAnalytics in Microsoft Office 365 analysiert das Benutzerverhalten und erstellt auf der Grundlage dieser Informationen eine Produktivitätsbewertung. Microsoft wurde vorgeworfen, dass es Kunden erlaubt, dagegen zu protestieren und Teamleitern den Zugriff auf die Daten zu ermöglichen.

Immerhin wurden die erfassten Daten anonymisiert, so dass die Teamleiter keine persönlichen Informationen einsehen können. Dies geschah jedoch erst, nachdem die Datenschutzbehörden Bedenken geäußert hatten. Was genau ist MyAnalytics und wie funktioniert es? Und was sollte beim Einsatz am Arbeitsplatz beachtet werden?

Welche Daten sammelt MyAnalytics?

Wenn es um die Sicherheit von Daten geht, steht Microsoft immer wieder in der Kritik. Immer wieder werden Datenschutzmängel bei Microsoft aufgedeckt, die mal schnell, mal gar nicht behoben werden. MyAnalytics, ein Tool zur Datenanalyse, steht derzeit in der Kritik. Worum geht es dabei genau?

Nach Angaben von Microsoft verwendet MyAnalytics:

  • Informationen aus E-Mail-Elementen (wie Metadaten, z. B. Zeitstempel, Absender, Empfänger, Lesesignal),
  • Anweisungen von Personen im Text der E-Mail.
  • Aktionen anderer Nutzer, die Ihre E-Mail erhalten (z. B. das Öffnen von E-Mails in zusammengefasster Form).
  • Informationen aus Kalendereinträgen (z. B. Informationen über einen Termin, z. B. Betreff, Dauer, Teilnehmer),
  • Informationen von Teams und von Skype for Business (z. B. Chat- und Anrufaktivitäten und Chat als „Kooperationsaktivität“)
  • OneDrive SharePoint-Daten (Dokumente, die bearbeitet wurden)
  • und bei der Registrierung auch Daten, die aus Aktivitäten auf dem Computer stammen, wie z. B. verwendete Anwendungen und besuchte Websites.
  • MyAnalytics analysiert die von den Nutzern erfassten Daten in Bezug auf Produktivität und Konzentration, Zusammenarbeit und Netzwerke sowie Wohlbefinden. Ein Dashboard ermöglicht es dem Nutzer, die Ergebnisse der Bewertung zu sehen.

    Mit diesem Ansatz soll der Nutzer Einblick in seine eigenen Arbeitsgewohnheiten erhalten und seine eigene Arbeitsweise mit Hilfe von Empfehlungen und verschiedenen MyAnalytics-Funktionen verbessern können.

    So werden z. B. „Fokusmomente“ identifiziert, in denen der Nutzer ungestört von Terminen, Nachrichten oder Telefonaten arbeitet, und daraufhin Hinweise für konzentriertes Arbeiten gegeben. MyAnalytics ermöglicht es dem Nutzer, einen persönlichen „Fokusplan“ zu erstellen und seinen Erfolg zu verfolgen.

    MyAnalytics und Datenschutz

    Da die Funktion standardmäßig aktiviert ist und Nutzerdaten „unaufgefordert“ verarbeitet werden, löst MyAnalytics bei einzelnen Nutzern zunächst Bedenken aus. Aus Sicht des Datenschutzes sollte dies unter Berücksichtigung von datenschutzfreundlichen Voreinstellungen oder „privacy by default“ (Artikel 25 (2) DSGVO) hinterfragt werden. Einzelne Personen und die gesamte Organisation können MyAnalytics deaktivieren, was unter dem Gesichtspunkt der Datensicherheit zu empfehlen ist.

    In der Arbeitswelt schließt sich daran häufig die Frage an, ob automatische Hintergrundauswertungen eine Kontrolle der Arbeitsleistung ermöglichen, indem sie den Vorgesetzten Informationen über die Produktivität ihrer Mitarbeiter zur Verfügung stellen.

    Außerdem können Informationen über interne persönliche Netzwerke und das Wohlbefinden dazu verwendet werden, einzelne Mitarbeiter „sichtbar“ zu machen. Daher weist Microsoft in seinem „Datenschutzhandbuch für MyAnalytics“ ausdrücklich darauf hin, dass das Tool nicht zur Überwachung und Bewertung von Mitarbeitern eingesetzt wird. Laut Microsoft haben nur die Nutzer selbst, nicht aber Vorgesetzte oder Systemadministratoren, Zugriff auf die Auswertungen ihrer persönlichen Arbeitsweise.

    Schließlich bleibt, wie bei allen fice365-Anwendungen, die grundsätzliche Frage, ob die Datenverarbeitung durch Microsoft den Kriterien der Allgemeinen Datenschutzverordnung (DSGVO) entspricht. Microsoft arbeitet als Auftragsverarbeiter, was bedeutet, dass die personenbezogenen Daten unter anderem nicht für Microsofts eigene Zwecke verwendet werden dürfen.

    Wenn es um das „Schrems II“-Urteil des Europäischen Gerichtshofs geht, kann man manchmal viel Raum für Verbesserungen im Datenschutzrecht sehen.

    Wie wird der Datenschutz gewährleistet?

    Was bedeutet das für Unternehmen, die den Dienst Office 365 von Microsoft nutzen? Sind die Nutzung von Microsoft-Produkten oder Office 365 und das Thema Datenschutz unüberbrückbare Gegensätze? Das muss nicht sein, wenn man sich ein paar wichtige Punkte merkt:

    Neben der Unterzeichnung eines Auftragsverarbeitungsvertrags mit Microsoft und der Zustimmung zu den üblichen Vertragsklauseln können die folgenden Schritte durchgeführt werden (Office ProPlus Version 1905 ist erforderlich):

  • Die Telemetrie- und Diagnosedatenübertragungsebene von Windows 10 Enterprise muss auf „Sicher“ eingestellt sein. Die Windows 10 Timeline-Funktion erlaubt es Benutzern nicht, ihre Aktivitäten zu synchronisieren.
  • Programm zur Verbesserung der Kundenzufriedenheit: Es ist erforderlich, die Möglichkeit zu deaktivieren, Daten an das Microsoft-Programm zur Verbesserung der Kundenzufriedenheit zu übermitteln.
  • Beschränkung der Übertragung von Diagnosedaten: Die Übertragung von Diagnosedaten muss auf das absolute Minimum beschränkt werden („Keine“).
  • Connected Experiences: Die Datenverarbeitung für das „Connected Experiences Improvement Program“ muss deaktiviert werden.
  • Linked-In-Integration: Eine Integration von Linked-In-Konten der Mitarbeiter muss verhindert werden.
  • Wenn Sie Office 365 nutzen, um hochsensible Dokumente zu bearbeiten, sollten Sie über die Verwendung der Microsoft-Funktion „Kundenschließfach“ nachdenken. Damit wird sichergestellt, dass der Kunde die Dokumente verschlüsselt.
  • Office Online und Office Mobile: Keine Nutzung der Office 365 Webanwendung und der Office Apps.
  • Führen Sie vor der Implementierung der Funktionen MyAnalytics, Delve, Workplace Analytics und Activity Reports eine Datenschutzfolgenabschätzung durch.