Original-URL des Artikels: https://www.golem.de/news/datenschutz-bei-myanalytics-microsoft-weiss-wo-deine-freie-zeit-bleibt-2003-146761.html    Veröffentlicht: 02.03.2020 11:59    Kurz-URL: https://glm.io/146761

Datenschutz bei MyAnalytics

Microsoft weiß, wo deine freie Zeit bleibt

Mit dem Analytics-Modul kann das Verhalten von Office-365-Nutzern ausgewertet werden. Den Einsatz müssen Unternehmen bereits vor dem Rollout mit Betriebsrat und Datenschutzbeauftragen abklären - wenn sie davon wissen.

Für die Redaktionsarbeit hat Golem.de eine Lizenz für Microsoft 365 erworben. In dem Paket für Unternehmenskunden sind enthalten: Office 365 und mehrere Module, darunter ein Analytics-Werkzeug. Einige Wochen nach dem Umstieg erhielt ein Redakteur eine E-Mail mit dem Betreff "MyAnalytics | Wohlbefinden-Ausgabe". Darin warb Microsoft: "Ihre Gewohnheiten erkunden. Intelligenter arbeiten" und raunte: "Nur für Sie bestimmt". Dann ging es sofort ans Eingemachte: Unter der Rubrik "Ihr Monat im Rückblick: Wohlbefinden" wies Microsoft darauf hin, dass der Redakteur im vergangenen Monat gerade mal "1 ruhigen Tag" hatte.

Warum wusste der Konzern das? Er hatte schlicht die "Besprechungs-, E-Mail-, Chat- und Anrufaktivitäten außerhalb der Arbeitszeit, wie sie in Outlook festgelegt ist", ausgewertet. Auf einem Kalenderblatt zeigte er übersichtlich an, dass der ruhige Tag an einem Freitag war. Folgerichtig beantwortete er in seiner Wohlbefinden-Mail auch gleich die naheliegende Frage: "Herausfinden, wo Ihre Zeit bleibt". Ein Wechsel zum persönlichen Dashboard genüge, um zu sehen, "wer sich in Ihrem Netzwerk befindet, wie viel Sie nach Feierabend arbeiten und mehr".

Die Benachrichtigungen ließen sich sofort deaktivieren. Doch wie war es überhaupt dazu gekommen? Der Systemadministrator hatte die Funktion nicht aktiviert. Microsoft hatte im vergangenen Jahr lediglich in einigen Newslettern angekündigt, zuletzt am 23. Juli, dass dieses Feature für alle Nutzer mit Exchange-Online-Lizenz ausgerollt werden soll. Die Funktionen waren nach dem Rollout automatisch aktiv.

Für Thilo Weichert, der sich als ehemaliger schleswig-holsteinischer Datenschutzbeauftragter schon früh mit Office 365 und der Frage von Datenschutz in Unternehmen auseinandergesetzt hat, ist klar: "Das geht so gar nicht." Denn für den Betroffenen sei es nicht nachvollziehbar, wie das System zu seinen Ergebnissen komme. Die Datenverarbeitung gehe weit über das Erforderliche hinaus, dabei müssten die Grundeinstellungen des Systems eine datensparsame Verarbeitung vorsehen.

"Die Vermessung der Belegschaft"

"Die Vermessung der Belegschaft" ist bereits seit Jahren ein Thema bei Betriebsräten und Gewerkschaften. Sie haben ein Wörtchen mitzureden, wenn es um die Erfassung von Arbeitnehmerdaten geht. Alle Daten, die der Verhaltens- oder Leistungskontrolle dienen, sind nämlich mitbestimmungspflichtig. Wie weit diese gehen darf, kann in einer Betriebsvereinbarung festgeschrieben werden.

Die Hans-Böckler-Stiftung hat deshalb dazu eine eigene Handreichung (PDF) veröffentlicht, in der sie unter anderem das Office-Paket von Microsoft für die Cloud unter die Lupe nimmt. Aktualisiert und weitergeführt wurde diese mit dem am 2. März 2020 veröffentlichten Dossier Automatisiertes Personalmanagement und Mitbestimmung der Nichtregierungsorganisation Algorithm Watch, das von der Stiftung finanziert wurde.

"Was welcher Nutzer mit welchem Softwaretool an welchem Dokument macht oder was er wem schickt, alles wird aufgezeichnet", stellen hier der Informatiker Hein-Peter Höller und der Arbeitsrechtler Peter Wedde fest. Damit bilde sich ein sozialer Graph "gigantischen Ausmaßes". Und das nicht nur für ein Unternehmen, sondern für alle, die Office 365 nutzen.

Geht das überhaupt nach der DSGVO? Und was sagt Microsoft dazu?

Microsoft: Unternehmen hat volle Kontrolle

Stratos Komotoglou von Microsoft Deutschland ist für Datenschutz- und die Sicherheitslösungen innerhalb von Microsoft 365 zuständig. Er stellt zunächst klar: "Für Microsoft ist es besonders wichtig sicherzustellen, dass alle unsere Produkte und Dienstleistungen geltendem Recht entsprechen, einschließlich der Datenschutz-Grundverordnung (DSGVO). Ein Unternehmen hat die volle Kontrolle darüber, welche Funktionen ausgerollt werden." Wenn sich ein Unternehmen also für den Einsatz von MyAnalytics entscheidet und dieses Modul einschaltet und lizenziert, dann ist dieses erst einmal für alle Mitarbeiter verfügbar. In diesem Fall erhalten Mitarbeiter auch die Wohlbefinden-Analytics. "Das ist so gestaltet, dass der Mitarbeiter allein die Mail sehen kann", versichert Komotoglou.

MyAnalytics wertet den Kalender und die E-Mails statistisch aus. "Die Idee dahinter ist, dass Mitarbeiter, die heutzutage auch oft von zu Hause arbeiten, auf einen Blick sehen können, wie viel sie arbeiten und wie sie ihre Zeit organisieren", sagt Ralf Wigand, National IT Compliance Officer bei Microsoft Deutschland. Denn oft ist es in der modernen Arbeitswelt so, dass Mitarbeiter aufgrund der flexiblen Arbeitswerkzeuge viel mehr arbeiten als früher.

Opt-in oder Opt-out?

"Wir empfehlen, dass zum Beispiel in einer Betriebsvereinbarung aufgenommen wird, welche Module genutzt und eingeschaltet werden dürfen", sagt Ralf Wigand. Er betont auch, dass die MyAnalytics-Daten allein dem Mitarbeiter zur Verfügung stünden. Lehne dieser die Auswertung ab, gebe es in Office 365 keine Schnittstellen, die das Unternehmen für eigene Statistikauswertungen nutzen könnte. Und nur der Mitarbeiter selbst kann auf die eigenen Analysedaten zugreifen. Somit wird eine Kontrolle durch das Unternehmen ausgeschlossen.

Microsoft weist darauf hin, dass im Unternehmenskontext das Unternehmen über die Einführung von Produkten entscheidet und nicht die Nutzer. Daher könne man hier auch nicht von einem typischen "Opt-in"- beziehungsweise "Opt-out"-Szenario sprechen. Gleichwohl gebe es die Möglichkeit eines "klassischen" Opt-in, wenn der Administrator etwas Vorarbeit leiste.

Betriebsvereinbarung vorab erforderlich

Für die schleswig-holsteinische Landesdatenschutzbeauftragte und Informatikerin Marit Hansen steht damit fest: "Wenn das Unternehmen die Lizenz erwirbt und einem Mitarbeiter zuordnet, ist MyAnalytics per Default aktiv. Bereits hier sollte also die Betriebsvereinbarung geschlossen sein." Und Stefan Brink, Leiter der Datenschutzaufsichtsbehörde in Baden-Württemberg, stellt gegenüber Golem.de klar: "Der Verantwortliche muss wissen, was er einsetzt. Er kann sich nicht darauf berufen, dass der Hersteller nicht ausreichend informiert hat." Aus seiner Sicht werde hier von den Herstellern eine Regelungslücke in der Datenschutz-Grundverordnung ausgenutzt.

Damit bestehe das praktische Problem darin, dass im Unternehmen die verschiedenen Sichtweisen zusammengebracht werden müssen, sagt Hansen: "Die Administratoren verhandeln ja nicht über Betriebsvereinbarungen - das macht die Leitung mit dem Betriebsrat. Und Betriebsräte finden oft schon eine Situation vor, in der bereits entschieden ist, dass ein Dienst eingesetzt werden soll." Damit verlange man den Betriebsräten und auch den Administratoren "ziemlich viel ab, wenn alle verstehen sollen, was es für Konfigurationsmöglichkeiten gibt und was sie jeweils für Konsequenzen haben." Für Hansen ist es daher nicht nachvollziehbar, dass der MyAnalytics-Dienst seitens des Herstellers nicht vollständig auf Opt-in aufgesetzt ist, "wenn doch alle Akteure betonen, dass die Nutzung freiwillig sein soll."

Profiling für Arbeitnehmer?

Bisher hat sich die Datenschutzkonferenz der Aufsichtsbehörden von Bund und Ländern zur Analytics-Thematik noch nicht offiziell geäußert. Marit Hansen hat sich für Golem.de die "Wohlbefinden"-Analyse näher angesehen. Sie sieht einen Personenbezug gegeben, "denn das System kennt beispielsweise nicht nur einen Zähler für die Zugriffe für ein Dokument, sondern auch, wer zugegriffen hat, selbst wenn später diese Information für eine Analytics-Auswertung nicht dem Arbeitgeber, der Teamleitung oder den Beschäftigten dargestellt wird."

Marit Hansen sieht darin ein "Profiling" nach der DSGVO: "Es findet ein Profiling im Hintergrund statt, das den Nutzern erst einmal gar nicht bewusst ist." Dass jeder Klick, jede Interaktion mit anderen und auch jede Nicht-Interaktion gemessen und interpretiert werden kann, hält sie für "bedenklich". Für sie ist klar: "Das verstößt gegen den Datenschutzgrundsatz, dass nur die erforderlichen Daten verarbeitet werden dürfen." Hier müsse dargelegt werden, warum diese Analysen in ihrem Umfang und ihrer Ausführlichkeit notwendig sein sollen.

Datenschutzfolgenabschätzung erforderlich

"Ein Profiling findet nicht statt", sagt hingegen der Microsoft-Compliance-Experte Ralf Wigand, "denn dem Unternehmen stehen die Daten aus MyAnalytics nicht zur Verfügung". Der Mitarbeiter könnte überdies frei über die Nutzung entscheiden, weil es sich um keine geschäftskritische Anwendung handle. Microsofts Sicherheitsexperte Komotoglou stellt klar: "Die Standardeinstellung von MyAnalytics besteht darin, dass der Nutzer als einziger Zugriff auf seine eigenen Daten hat." Selbst ein Admin hat keinen Zugriff auf diese Daten, das System ist entsprechend abgesichert.

Marit Hansen weist allerdings darauf hin, dass bei einem KI-Einsatz durch einen globalen Dienstleister im Beschäftigtenverhältnis ein "voraussichtliches hohes Risiko für die betroffenen Personen" nicht fern liege. Daher müsste eine Datenschutz-Folgenabschätzung durchgeführt werden. "Die Datenschutzfolgen-Abschätzung ist Sache des Unternehmens, das Office 365 einsetzt", betont Wigand. Microsoft hat Hilfestellungen für die Datenschutz-Folgenabschätzung entwickelt, die sich allerdings nicht auf die MyAnalytics-Funktion, sondern auf den verwandten, sehr viel mächtigeren Auswertedienst "Workspace Analytics" bezieht, der Analysen für den Arbeitgeber bereitstellt.

Hier wünscht sich Marit Hansen klarere Informationen: "Wie hängen diese verschiedenen Analytics-Auswertungen zusammen?" Hier sei Transparenz für Betriebsräte und Datenschutzbeauftragte nötig. Doch ein Grundproblem bleibe, so Hansen: "Wir haben es mit einem komplexen System zu tun, das sich ständig verändern kann. Schon deswegen stoßen Personalvertretungen und Datenschutzbeauftragte, die solche Verfahren prüfen sollen, an Grenzen."

Nachdem weitere Mitarbeiter bei Golem.de die E-Mail von MyAnalytics bekommen hatten, hat der Systemadministrator inzwischen das Tool firmenweit deaktiviert. Nun müssen die Redakteure auch ohne Microsofts Hilfe merken, ob sie mal einen ruhigen Tag hatten.  (csh)


Verwandte Artikel:
Trotz Cloud Act: Telefónica/O2 vertraut sein 5G-Kernnetz Amazon an   
(02.09.2020, https://glm.io/150632 )
Windows 10: Die tickende DSGVO-Zeitbombe von Microsoft   
(19.11.2019, https://glm.io/145067 )
Windows 10 Enterprise: Microsoft gibt mehr Kontrolle über Telemetriedaten   
(26.07.2020, https://glm.io/149879 )
Konferenzsystem: Microsoft verrät Maße und Gewicht des 85-Zoll-Surface-Hub   
(24.09.2020, https://glm.io/151084 )
Windows XP Leak: XP hatte eine geheime MacOS-ähnliche Oberfläche   
(26.09.2020, https://glm.io/151129 )

© 1997–2021 Golem.de, https://www.golem.de/