DIE WUNDERBARE WELT VON MICROSOFT - und wie der Betriebsrat sie mitgestalten kann - Gewerkschaft ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DIE WUNDERBARE WELT VON MICROSOFT und wie der Betriebsrat sie mitgestalten kann Aus der Broschürenserie Gewerkschaft GPA – Abteilung Arbeit & Technik 1
„Esoterische Kennzahlen auf
Basis extensiver Verhaltens-
analyse von Beschäftigten.“
Wolfie Christl, tweet im Dezember 2020
„Der Kunde ist allein verantwortlich
für alle Körperverletzungen oder
Todesfälle, die durch den Einsatz vom
Microsoft Teams und Anwendungen
entstehen können.“
Microsoft Volumenlizenzierung Online-Services-Bedingungen, November 2020, Seite 22
IMPRESSUM:
Herausgeber: Gewerkschaft GPA, 1030 Wien, Alfred-Dallinger-Platz 1
Redaktion: Clara Fritsch, Gewerkschaft GPA – Abteilung Arbeit & Technik
Layout: Christina Schier, Gewerkschaft GPA – GB Organisierung und Marketing
ÖGB ZVR-Nr.: 576439352
Stand: Februar 2021
2AUTORIN
© Edgar Ketzer
Clara Fritsch
Gewerkschaft GPA – Abteilung
„Arbeit und Technik“
Die Inhalte sind nach bestem Wissen erstellt und sorgfältig geprüft. Es besteht jedoch keine Haftung seitens der Autorin oder der
Gewerkschaft GPA. Bildmaterial stammt ausschließlich aus eigener Herstellung/eigenem Besitz bzw. sind die Urheber jeweils angegeben.
Inhalte dürfen unter Angabe der Autorin weiterverbreitet werden (CC-Urheberrecht).
3Besonderheiten in der Welt von MS 365
Zitate aus bestehenden (Muster-)Betriebsvereinbarungen zu MS 365
Wichtige Hinweise zur Verwendung von MS 365
4VORWORT
Der „Alleskönner“ unter den Software-Giganten bietet Betriebssystem, Dokumentenverarbeitung, Kooperations-
und Kommunikationstool – ob privat oder im Betrieb, in der Schule oder im Krankenhaus. Software von Microsoft ist
aus den meisten Organisationen nicht mehr wegzudenken. Microsoft übernimmt immer mehr Aufgaben und wird
immer leistungsstärker.
Gar viele Fragen stellen sich im Zusammenhang mit Microsoft 365 in der Cloud. Wer kann die höchst umfangreiche
Software-Palette noch überblicken? Wer hat noch das notwendige Knowhow, um die unzähligen Apps, Features,
Funktionen und Einstellungen von MS 365 kritisch zu begutachten? Unterscheiden sich die Microsoft-Anwendungen
grundlegend von denen anderer Firmen? Gelten in der Cloud, also bei Software, die nicht direkt auf den betriebs-
eigenen Servern liegt, andere Regeln als sonst? Warum sollte man sich überhaupt mit einem einzigen Unternehmen
so ausführlich beschäftigen? Warum ändert sich ständig etwas bei Microsoft 365? Braucht es ein eigenes Wörter-
buch, um MS 365 zu verstehen? Und was geht das die Gewerkschaft an?
Die Marktmacht von Microsoft hat dazu geführt, dass sich auch die Gewerkschaft näher als ursprünglich gewünscht
mit dem Konzern und seinen Produkten auseinandersetzen muss. Der Bedarf nach mehr Information, Auskunft und
Erklärung zur Produktpalette „365“ von Microsoft hat sich in den zunehmenden Anfragen der BetriebsrätInnen zu
dem Thema gezeigt. Die Anfragen konnten mit Hilfe unserer bestehenden Unterlagen (z. B. Muster-Betriebsverein-
barungen, Broschüren, Rechtseinschätzungen) immer nur in Ausschnitten beantwortet werden. Eine neue Herange-
hensweise ist gefragt um BetriebsrätInnen der Gewerkschaft GPA bei der betrieblichen Verwendung von Microsoft-
Produkten in der Cloud zu unterstützen. Es war an der Zeit, das vorliegende Werk in Angriff zu nehmen – wissend,
dass es nie vollständig, geschweige denn abgeschlossen sein wird.
Hier liegt nun der Versuch einer Auskunft zum betrieblichen Einsatz von Microsoft 365 (MS 365) vor, der auch mit sei-
nen vielen Querverweisen und den stark miteinander verzahnten Kapiteln die Welt von MS widerspiegelt und daher
eine Struktur aufweist, die die alten Lesegewohnheiten über Bord wirft:
Folgende Kapitel geben einen generellen Ein- und Überblick zu MS 365: „Die Welt von Microsoft – was ist das Beson-
dere an MS 365?“ [S. 8], die „Interpretation von Beschäftigten-Daten – was macht MS 365?“ [S. 11] und das Kapitel
„Kritikpunkte aus Datenschutzsicht im Überblick“ [S. 12].
Die nach unserer Erfahrung am meisten eingesetzten Produkte werden in den jeweiligen Unterkapiteln von
„Die häufigsten Anwendungen von MS 365“ [S. 30] dargestellt und die wichtigsten in einer Betriebsvereinbarung zu
regelnden Punkte zu den einzelnen Anwendungen am Ende zusammengefasst.
Die grauen Kästchen enthalten – je nach Symbol (Legende auf der linken Seite) – wichtige Tipps und Hinweise für
die Verwendung vom MS 365 beziehungsweise Zitate aus bestehenden Betriebsvereinbarungen.
Die Checklisten zum Schluss sollen dabei unterstützen, den Überblick bei der konkreten Gestaltung einer Betriebs-
vereinbarung (BV) zu behalten.
Viel Spaß beim Schmökern, Informationen sammeln und Umsetzen der Vorschläge in Betriebsvereinbarungen!
5INHALT
Die Welt von Microsoft – was ist das Besondere an MS 365? . . . . . . . . . . . . . . . . . . . . . . . . 8
Interpretation von Beschäftigten-Daten – was macht MS 365? . . . . . . . . . . . . . . . . . . . . . . 11
Kritikpunkte aus Datenschutzsicht im Überblick. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Handlungsmöglichkeiten des Betriebsrates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Die Arbeitsverfassungsrechtliche Einordnung im Detail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Datenschutzrechtliche Fragestellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Die Erstellung einer Betriebsvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Die Entscheidung des Betriebsrates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Allgemeine Gestaltung – wie sollte MS 365 geregelt werden? . . . . . . . . . . . . . . . . . . . . . . 22
Die häufigsten Anwendungen von MS 365 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Office (= Word, Excel, Powerpoint, etc.) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Outlook (= E-Mail, Kalender, Kontakte, Clutter, etc.). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Teams. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Delve. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Graph. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
My Analytics/Workplace Analytics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Stream . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
SharePoint. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
6Exchange und Advanced Threat Protection (ATP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
eDiscovery. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
MS Security and Compliance (z. B. Windows Hello, Threat Explorer, Bitlocker, etc.). . . . . 44
Azure Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Azure Information Protection (AIP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Security Information and Event Management (SIEM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Data Loss Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Intune. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
OneDrive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Visio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Skype . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Yammer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Cortana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Checkliste: Wird MS 365 in Einklang mit der DSGVO gebracht?. . . . . . . . . . . . . . . . . . . . . . . 50
Checkliste: Was in einer (Basis-)Betriebsvereinbarung zu regeln ist. . . . . . . . . . . . . . . . . . . 51
Technische Checkliste zum Einsatz von Microsoft 365. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Weiterführende Unterlagen der Gewerkschaft GPA
und anderer Interessenvertretungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
7DIE WELT VON
MICROSOFT
WAS IST DAS BESONDERE AN MS 365?
D
er Konzern Microsoft (MS) ist derzeit Markt- Möglichkeiten zur Einbindung externer Apps/Pro-
führer in Sachen Unternehmens-Software und gramme/Anwendungen, wodurch die Sache noch un-
Betriebssysteme. Microsoft hat in den letzten übersichtlicher wird.4 MS 365 ist immer in Bewegung.
Jahren besonders durch den Ausbau und den hohen
Marktanteil von Büro-Software wie Office [S. 30] oder MS 365 kann auf unterschiedliche Art betrieben wer-
Outlook [S. 32] sowie durch sein Betriebssystem Win- den. NutzerInnen können die Anwendungen auf firme-
dows einen Monopolstatus erreicht1. Besonders seit neigenen Servern laufen lassen. Es gibt „Apps“, also
dem Corona-bedingten Shutdown im März 2020 und Programme, die aus der Cloud heruntergeladen und
dem damit einhergehenden Arbeiten im Home-Office auch dort betrieben werden und es gibt Anwendun-
sind die diversen (lizenzfreien also gratis verfügbaren) gen, die auch ohne Installation auf lokal betriebenen
Microsoft-Produkte deutlich häufiger im Einsatz. oder mobilen Geräten, ausschließlich über das Inter-
net, zur Verfügung stehen. MS 365 kann verwendet
MS 365 (ehemals „Office 365“) ist seit Oktober 2010 auf werden, ohne dass firmeneigene Systemadministra-
dem Markt und umfasst ein sehr breites Angebot. MS torInnen tätig werden oder firmeneigene Server erfor-
365 enthält unzählige einzelne Anwendungen, Apps, derlich sind.
Funktionalitäten (z. B. Kalender, Kommunikation, Kolla-
boration, Security, Mobility, HR, Logistic, Finance, Mar- Unternehmen, die erstmals in die Welt von MS 365 ein-
keting-Kampagnen, u.v.m.). Die meisten Ressourcen steigen, lassen anfangs die eigenen Server oft zusätz-
steckt Microsoft derzeit in den Ausbau der Kollabora- lich zu denen in der Cloud mitlaufen. Bei der Cloud-
tions-Software Teams [S. 34]. Die Nachfrage ist hoch. Variante von MS 365 werden alle Daten auf Servern von
MS gespeichert, wobei die verschiedenen NutzerInnen/
Die einzelnen Anwendungen werden permanent Organisationen/Unternehmen/KundInnen nur auf ihre
optimiert, verändert oder miteinander kombiniert. eigenen Datenbestände Zugriff haben (sollten). Die MS
Anwendungen werden von anderen Unternehmen Server sind an unterschiedlichen Standorte verstreut
aufgekauft2 oder neu erfunden und in die bestehen- und es ist nicht immer möglich, den tatsächlichen
den integriert. Anwendungen werden mit anderen Speicherort ausfindig zu machen. Wenn Daten durch
zusammengespielt oder auch nicht mehr weiterentwi- die NutzerInnen selbstständig verschlüsselt werden,
ckelt und „versickern“3. Außerdem beinhaltet MS 365 kann es sein, dass auch MS nicht mehr feststellen kann,
1 https://netzpolitik.org/2018/wie-microsoft-europa-kolonialisiert/ ; 4.12.2020
2 https://www.derstandard.at/story/2000080902825/microsoft-kauft-github-fuer-7-5-milliarden-dollar
https://www.heise.de/news/Spieleindustrie-Microsoft-kauft-Bethesda-und-id-Software-4907190.html
3 https://www.heise.de/newsticker/meldung/Diese-Microsoft-Produkte-erreichen-am-14-Januar-das-Supportende-eine-Uebersicht-4636238.html; 16.12.2020
4 Eine aktuelle Übersicht über die vielfältige Produktpalette von MS 365 findet hier: https://github.com/AaronDinnage/Licensing ; 16.12.2020
8DIE WELT VON MICROSOFT
© istockphoto.com
auf welchen Servern die Daten physisch liegen. MS AdministratorInnen haben in den Einstellungen zwar
stellt daher ausschließlich organisatorisch sicher, dass die Möglichkeit, ausschließlich Speicherorte innerhalb
andere NutzerInnen nicht auf fremde Datenbestände der EU auszuwählen, jedoch funktionieren dann einige
zugreifen – technisch ist es kaum zu kontrollieren. Das Dienste nicht mehr (z. B. Sprachsteuerung für inner-
führte insbesondere aufgrund des In-Kraft-Tretens der halb der EU wenig gebräuchliche Sprachen).
Europäischen Datenschutzgrundverordnung (DSGVO)
zu massiver Kritik, da Speicherorte auch außerhalb der Bei MS Cloud-Anwendungen wird die verwendete Soft-
EU lagen. ware nicht mehr im eigenen Unternehmen installiert,
gewartet, aktualisiert, repariert, ausgetauscht, ergänzt,
Um der Kritik entgegenzuwirken, werden seit Februar Back-Ups erstellt, etc. Für die meisten Unternehmen liegt
2020 die Daten kommerzieller KundInnen von MS auf darin ein großer Vorteil, da viele zeit- und ressourcen-
zahlreichen Serverfarmen innerhalb der EU-Grenzen intensive Aufgaben wegfallen; Personal, Speicherka-
gelagert, was allerdings nicht für alle Dienste gilt. Das pazitäten, IT-Knowhow, Updates, das alles stellt MS von
Nachrichtenportal Heise hat recherchiert: „Demnach lie- sich aus zur Verfügung. Auch die Verfügbarkeit dürfte
gen alle Daten zu Office Online (= Word, Excel, Powerpoint) bei Cloud-Diensten verlässlicher und durchschnittlich
einschließlich Teams, Exchange und Advanced Threat Pro- besser gegeben sein, als bei den meisten firmenintern
tection (ATP) und SharePoint, Outlook, Mobile sowie Delve betriebenen Systemen. Gleiches gilt für die technische
in Deutschland, Daten zum Chatdienst Yammer sowie fürs Sicherheit und Gefahrenabwehr („safety and security“),
Azure Active Directory also Konto- und Konfigurations- in die MS Kapazitäten investiert, die einer/m einzelnen
daten) jedoch unverändert auf Servern irgendwo im EU- NutzerIn im Regelfall nicht zur Verfügung stehen.
Gebiet (vermutlich in Dublin oder Amsterdam). Lediglich
bei Daten für My Analytics/Workplace Analytics und Sway
bekennt Microsoft eine Speicherung in den USA.“5
5 https://www.heise.de/newsticker/meldung/Microsoft-erweitert-sein-deutsches-Cloud-Angebot-4665168.html ; 04.12.2020
9DIE WELT VON MICROSOFT
Natürlich fallen mit dem gebotenen Komfort Gestal- Fast alle Anwendungen von MS 365 können auch auf
tungsmöglichkeiten weg. Eine MS-Software, die vom mobilen Geräten installiert und ortsunabhängig ver-
Hersteller verwaltet wird, enthält maßgeschneiderte, wendet werden, was zu der großen Beliebtheit von MS
vom Standard abweichende Einstellungen nur dann, 365 beiträgt. Die Apps, die mobil verwendbar sind, ha-
wenn dafür – in Geld oder mit Daten – gezahlt wird. ben allerdings weniger Anwendungen (z. B. kein „Publis-
her“, womit Druckpublikationen, E-Mail-Headlines und
Dass sämtliche Anwendungen in der Cloud laufen, hat Präsentationen erstellt werden können; kein „Forms“,
den Nebeneffekt, dass sämtliche Nutzungsdaten (Me- womit Umfragen und Quizze erstellt werden können)
tadaten, Telemetriedaten) bei MS landen. MS kann da- und einen geringeren Funktionsumfang als jene, die
mit Vergleiche anstellen, Benchmarks erzeugen, alte man in der Desktop-Version erhält (z. B. bieten weniger
Anwendungen „verbessern“ und den Bedarf an neu- Schriftarten, erkennen Textbausteine von „Word“ nicht,
en Anwendungsmöglichkeiten analysieren. Man kann etc.). Die Apps, die ausschließlich über das Internet
davon ausgehen, dass dieser Datenschatz auch – im funktionieren, sind wenig nutzerfreundlich und für die
Rahmen geltender Gesetze – weiterverkauft wird. berufliche Kooperation nicht so gut geeignet.
Die Vorteile, die MS 365 den NutzerInnen bietet, liegen Je nachdem, welches MS-Abonnement ein Unterneh-
auf der Hand. men gebucht hat, beziehungsweise, welche Lizenzen
ein Unternehmen gekauft hat, unterscheidet sich das
Angebot an verfügbaren Anwendungen und Erweite-
rungen. Es ist also sehr geräte- und betriebsabhängig,
Die guten Eigenschaften von MS 3655 auf welche Art (wie), zu welchem Zweck (wozu), in wel-
chem Ausmaß (wieviel) MS 365 jeweils verwendet wird.
● MS funktioniert weitgehend stabil, weil sich die Es bestehen vielfältigste Kombinations- und Erweite-
über den gesamten Erdball verteilten Serverfar- rungsmöglichkeiten.
men bei Problemen gegenseitig ersetzen können.
● MS bietet ortsunabhängiges Arbeiten, indem die
Server rund um die Uhr und von jedem Standort
aus erreichbar sind und permanent gewartet
werden.
● Raubkopien und unbefugte Lizenznutzungen
sind kaum problematisch, weil alles auf MS-ei-
genen Rechnern betrieben wird und vieles oh-
nehin gratis angeboten wird.
● Kontinuierliche Zahlungen mittels Lizenzgebüh-
ren sind für Unternehmen besser planbar, als
bei einmaligem Kauf (neuer) Software.
● Die KundInnen nutzen „maßgeschneiderte“ Lö-
sungen, weil der Bedarf ohnehin aufgezeichnet
wird und aufgrund des genutzten Leistungsum-
fangs bekannt sind.
● Und nicht zuletzt profitiert MS auch von den vie-
len Metadaten, die ihnen NutzerInnen „zur Ver-
besserung der Dienste“ zur Verfügung stellen.
10DIE WELT VON MICROSOFT
INTERPRETATION VON BESCHÄFTIGTEN- Sind einem Termin keine weiteren TeilnehmerInnen zu-
DATEN – WAS MACHT MS 365? geordnet, die aus den MS 365 Kontakten bekannt sind,
wird der Termin als potentielle „Fokuszeit“ gewertet.
MS 365 bietet eine riesige Menge an Anwendungen und Das ist Zeit, die MS vorschlägt, um ungestört und kon-
Einstellungen. Alle Anwendungen sind im Hintergrund zentriert arbeiten zu können. Um die Fokuszeit festzu-
miteinander über das Tool Graph [S. 38] verknüpft. stellen wird ausgewertet, wie „aktiv“ jemand über ei-
Jede Anwendung von MS kreiert – egal ob von den nen bestimmten Zeitraum in einer Office-Anwendung
NutzerInnen gewollt oder nicht – im Hintergrund Ver- gearbeitet hat. Dazu werden beispielsweise Tastenan-
bindungs- und Verhaltensdaten (sogenannte Metada- schläge gemessen und mit der „Verweildauer“ in ei-
ten oder Telemetriedaten). Dabei handelt es sich nicht ner bestimmten Anwendung in Beziehung gesetzt.8 So
nur um die Nutzungsdaten Einzelner (z. B. persönliche schlägt MS auch Termine als potentielle „Fokuszeiten“
Einstellungen, individuelle Nutzungshäufigkeit, Präfe- vor, bei denen es sich beispielsweise um ein Webinar
renzen von Kommunikationszeitpunkten, etc.) sondern oder einen Arzttermin handelt.
auch um die Beziehungen der einzelnen NutzerInnen
untereinander (z. B. Reaktionsgeschwindigkeit anhand Outlook [S. 32] nimmt eine durchschnittliche Zeit für
von Durchschnittswerten, Netzwerk an und Präferenzen das Verfassen eines E-Mails an, die nicht variabel ist
zu KommunikationspartnerInnen, Position innerhalb und die nicht mit den realen Zeiten übereinstimmt.
einer Gruppe, etc.). So kann nicht nur zu jedem Nut- Weicht jemand von dieser Annahme ab, wird dies als
zer und jeder Nutzerin, sondern auch zu jeder Gruppe, ineffizient bewertet. Es wird also keinerlei Rücksicht da-
jedem Team, jeder Abteilung ein vergleichendes Profil rauf genommen, ob es sich um ein kurzes E-Mail mit
zusammengestellt werden.6 dem Inhalt „Hallo, da bin ich“ handelt oder um die
Stellungnahme zu einem komplexen Sachverhalt.
MS 365 in der Cloud ist permanent online und
übermittelt damit auch permanent bestimmte Da- Bestehen viele Interaktionen mit anderen Personen aus
ten an Microsoft, die „zur Verbesserung der Services“ den MS Kontakten wird dieser Umstand positiv beurteilt.
oder „zur technischen Sicherheit“ erforderlich sind. KollegInnen mit hohem „Vernetzungsgrad“ werden als
Die Geschäftsführung bzw. die IT-Abteilung könnte „erfolgreicher“ bewertet; wer kein ausgedehntes Netz-
(über sogenannte „man-in-the-middle-proxy“) auf werk hat, gilt als weniger erfolgreich. In der beruflichen
die übermittelten Daten zugreifen. Der Verwendungs- Praxis könnte ein hoher Interaktionsgrad aber genauso
zweck dieser Daten „zur Verbesserung der Produkte gut für einen hohen Grad an nicht-beruflicher Koope-
und Dienstleistungen“ kann und wird von MS umfas- ration oder Unselbstständigkeit stehen. Die quantitati-
send interpretiert. ve Menge an E-Mails sagt nicht unbedingt etwas über
deren Qualität aus; viele unklar formulierte E-Mails
Beispiele von Interpretationen, die MS 365 vornimmt, sind nicht zwangsläufig besser als ein verständliches.
die durchaus kritisch zu sehen sind7: Im Gegensatz zu der Erfolgsdefinition von MS, die vor-
rangig auf viel Vernetzung beruht, stehen Arbeitneh-
Werden während eines Meetings E-Mails von den Teil- merInnen, die permanent privat chatten, ebenso wie
nehmenden versendet (über Outlook [S. 32] werden eigenständig arbeitende Fach-ExpertInnen, die wenig
diese Daten protokolliert), führt das zu Auffälligkei- Schnittstellen zu anderen Beschäftigten oder Berei-
ten (sog. „Findings“) und wird als Treffen mit geringer chen haben.
Qualität („Low Quality Meeting“) interpretiert.
Theoretische Verlustrechnungen werden in Euro an-
Haben NutzerInnen Terminkollisionen in ihren Kalen- geführt, ohne dass die genaue Berechnungsmethode
dern eingetragen (z. B., weil ein abgesagter Termin offengelegt wird – ein Parameter dürften „uneffektive
nicht gelöscht wurde), geht man in der MS-Logik von Meetings“ sein (wie diese berechnet werden ist oben
„abgelenkten Teilnehmern“ aus. beschrieben).
6 Näher auseinandergesetzt mit dem Thema hat sich die Böckler Stiftung in ihrer Publikation aus der Reihe Mitbestimmungspraxis „Die Vermessung der
Belegschaft“.
7 Unter anderem zusammengestellt aus einer Präsentation von TIBAY (https://www.bildungswerk-bayern.de/tibay ; 09.12.2020) 2019
und einem Seminar von JES (https://www.jes-seminar.de/wir-sind-jes/ ; 09.12.2020).
8 https://www.boeckler.de/pdf/mbf_bvd_praxis_office_365.pdf
11DIE WELT VON MICROSOFT
Mittels Künstlicher Intelligenz berechnet „My Analytics/ Berechnungen jederzeit rückholbar sein müssen).
Workplace Analytics“ [S. 39] seit 2020, wann die indi- Ebenso unklar ist, ob die Berechnungen statistisch wis-
viduell besten Zeitfenster für „well-being“ oder „focus senschaftlichen Grundprinzipien folgen.
time“ bestehen9,,wobei die Berechnungsgrundlagen
weitgehend im Dunkeln bleiben. My Analytics errech- Es entsteht ein pseudostatistischer Zusammenhang,
net Ratschläge, wie beispielsweise „deaktivieren sie Ar- den das Beratungsunternehmen TIBY wie folgt zusam-
beit außerhalb der Arbeitszeit“. In der MS 365-Welt ist menfasst: „Jenseits der grundsätzlichen Problematik der
es sehr einfach, Arbeit außerhalb der Arbeitszeit zu er- Leistungs- und Verhaltenskontrolle besteht ein immenses
ledigen, weshalb ein solcher Ratschlag durchaus pas- Potential für fragwürdige Interpretationen der Analyse-
send sein kann. Gleichzeitig kann er aber auch sehr parameter.“
unpassend sein, wenn beispielsweise diese Trennung
ohnehin erfolgt, von MS 365 aber ein privates E-Mail
an ein/e KollegIn als „Arbeit“ gewertet wird. Ohne die KRITIKPUNKTE AUS DATENSCHUTZSICHT IM
Berechnungsgrundlagen zu kennen, sind diese Emp- ÜBERBLICK
fehlungen folglich wenig aufschlussreich.
Immer wieder wird MS dafür kritisiert, sich nicht an die
Die Benutzeranmeldung über „Azure Active Directory“ Europäische Rechtslage zum Datenschutz, die Daten-
[S. 44] schätzt ein, wo man sich gerade befindet, was schutzgrundverordnung (DSGVO), zu halten. Mehrere
dazu führt, dass der Aufenthalt im Zug-WLAN der Deut- Umstände lassen tatsächlich daran zweifeln, dass MS
schen Bahn tendenziell eher dem Standort Berlin zu- 365 als DSGVO-konform zu bezeichnen wäre.
geordnet wird, mobile Datennutzung generell jedoch
eher dem Standort Frankfurt am Main. Speicherfristen können nicht selbst definiert
und somit nicht unmittelbar an den Zweck der
MS 365 kann natürlich nur jene (Verbindungs-)Da- Datenverarbeitung gebunden werden. Gemäß
ten verarbeiten, die auf mit MS-eigenen oder mit MS DSGVO dürfen personenbezogene Daten jedoch nur
verknüpften Apps erstellt werden. Arbeitet jemand so lange aufbewahrt werden, als sie einem legitimen
mit einer Suchmaschine (z. B. duckduckgo), schreibt Zweck dienen. Verwendet ein Unternehmen MS 365,
Nachrichten auf einer App (z. B. signal), benutzt einen ist es hingegen in vielen Belangen an die von MS
Kalender (z. B. google calendar), postet auf Social- vordefinierten Aufbewahrungsfristen gebunden (z. B.
Media-Kanälen (z. B. Vero), leitet eine Videokonferenz Speichern von Emails in Outlook [S. 30] oder von Auf-
(z. B. zoom), die nicht von MS stammt, können diese nahmen in Teams [S. 34]).
Aktivitäten auch nicht in die Interpretationen von MS
einfließen. Arbeitszeit, die nicht mit MS Anwendungen Datenschutzfreundliche Voreinstellungen bzw. die
verbracht wird, wird von MS als Inaktivität, Freizeit, oder Möglichkeit selbst definierte Einstellungen zum Da-
Langsamkeit interpretiert. MS geht davon aus, dass tenschutz zu treffen, sogenannte „Datenschutz durch
sämtliche Arbeitsaktivitäten innerhalb der Welt der Technikgestaltung und datenschutzfreundlichen Vor-
MS-Produktpalette laufen. einstellungen“, wie sie gemäß Artikel 25 DSGVO vorge-
schrieben sind, bietet MS 365 nur in begrenztem Maße
MS 365 errechnet also Zusammenhänge (Korrelatio- an.
nen), die nicht unbedingt sinnvoll sind und trifft damit
Aussagen über – mitunter auch zukünftiges – Sozial- MS behauptet, Auftragsdatenverarbeiter zu sein
verhalten, zeiteffizientes Verhalten, oder finanzielle Ef- und somit seine Dienstleistungen ausschließlich für
fekte. Nachdem die Rechenvorgänge im Hintergrund die Interessen der für die Datenverarbeitung Ver-
aber nicht offengelegt werden, ist nicht ersichtlich, antwortlichen, KundInnen und Unternehmen, zur
ob die Grundannahmen sinnvoll sind. Genauso un- Verfügung zu stellen (gemäß Art. 4 Z 8 DSGVO). MS
klar bleibt, ob ethische Grundprinzipien mit einfließen betreibt aber gleichzeitig Auswertungen im eige-
(z. B., dass Entscheidungen aufgrund von maschinellen nen Interesse, mitunter „selbstlernende“ Systeme, die
9 https://www.microsoft.com/de-de/microsoft-365/blog/2019/05/06/minimize-distractions-stay-focused-ai-powered-updates-in-microsoft-365/
12DIE WELT VON MICROSOFT
personenbezogene Daten der NutzerInnen verwenden Immer wieder macht MS ungewollt Schlagzeilen mit
(z. B. Bewertung von Telemetrie-Daten in Delve [S. 37] seinem Geschäftsmodell und den darin auftretenden
gesammelt in Graph [S. 38]; Beispiel zur Rechtschreib- Sicherheitslücken. 2018 erhielt MS Deutschland den
prüfung im MS-Programm Word siehe weiter unten). „BigBrotherAward“10. Die Fachzeitschrift „Computer &
Arbeit“ widmete sich den Problemen bei MS 365 aus-
Mit MS 365 ist es möglich, Profile über einzelne Nut- führlich in der Ausgabe 10/201911. Bei der Übertra-
zerInnen zu erstellen. MS 365 erstellt diese Profile auf gung von Telemetriedaten (das sind Verbindungs- und
Basis intransparenter Parameter (z. B. My Analytics/ Nutzungsdaten) kommt es immer wieder zu Unge-
Workplace Analytics [S. 39]). Die Erstellung von Profilen reimtheiten12.
erfolgt, ohne dass ausreichende Informationen an die
Betroffenen erteilt werden. Zudem besteht die Gefahr, Beispiele für Sicherheitslücken, wenn MS Anwendun-
dass ArbeitgeberInnen auf der Grundlage der von MS gen nicht auf firmeneigenen Rechnern laufen, sondern
verarbeiteten Daten, Entscheidungen gegenüber Be- in der Cloud (als sogenannte „SaaS; Software as a
schäftigten treffen könnten (z. B. Karriereschritte oder Service“) betrieben wird:
auch Karrierehemmnisse). Sollten derartige schwer-
wiegende Entscheidungen rein auf den automatisier- ● Es werden Meta-Daten an Microsoft übertragen, be-
ten Profilen von MS beruhen, wäre das profiling (ge- vor noch nach einer Einverständniserklärung beim
mäß Art. 4 Z 5 DSGVO) und unzulässig (Artikel 22 Abs Kunden /der Kundin gefragt wird.13
1 DSGVO).
● Auch wurde festgestellt, dass das Login-Passwort im
Es fehlt meistens eine Datenschutzfolgenabschätzung Klartext übermittelt wird (ebd.).
(DSFA), die aber gemäß Art. 35 DSGVO für bestimmte
Anwendungen vom Verantwortlichen, also dem Unter- ● Arbeitet man mit Office 365 Business Premium
nehmen, vorgenommen werden müsste. werden von IT-AdministratorInnen erstellte Grup-
pensicherheitsrichtlinien von MS nicht beachtet.14
Es wurden und werden Sicherheitslücken festgestellt. Beim teureren Lizenzvertrag „MS Enterprise“ treten
So sind beispielsweise Daten unterschiedlicher Unter- diese Mängel nicht auf, wie der IT-Journalist Jürgen
nehmen (Clients) auf denselben Servern gespeichert Schmidt herausgefunden hat (ebd.).
und nur unzureichend voneinander getrennt (siehe
weiter unten). Eigentlich müsste es aber geeignete ● Innerbetrieblich könnte man auf sämtliche Daten
Maßnahmen geben, um derartiges zu unterbinden zugreifen, die in MS 365-Anwendungen erstellt wer-
(Art. 23 DSGVO). den, weil die Software permanent online ist und an
Microsoft Daten übermittelt. Das haben IT-Experten
Um die Kommunikation über MS 365 zu nutzen, müssen mittels einer so genannten man-in-the-middle-Atta-
die Betroffenen Datenschutzerklärungen von Microsoft cke ausprobiert und es ist ihnen „gelungen“.15
hinnehmen und in die Verarbeitung ihrer Daten ein-
willigen. Insbesondere im Arbeitsverhältnis mangelt es ● Außerdem konnte es nicht ganz ausgeschlossen wer-
solchen Zustimmungserklärungen, wegen des Macht- den, dass andere ZertifikatsbesitzerInnen, also Un-
gefälles zwischen ArbeitgeberIn und ArbeitnehmerIn, ternehmen/KundenInnen bei Übertragungen mit-
an echter Freiwilligkeit. Die Freiwilligkeit ist aber we- lesen können.
sentlicher Bestandteil einer Zustimmung zur Datenver-
wendung gemäß Artikel 4 Z 11 DSGVO.
10 https://bigbrotherawards.de/2018/technik-microsoft-deutschland ; 15.12.2020
11 https://www.bund-verlag.de/zeitschriften/computer-und-arbeit/archiv/2019_10 ; 15.12.2020
12 https://www.heise.de/select/ix/2019/5/1907710505118147453 ; 15.12.2020
13 https://www.datenschutz.saarland.de/ueber-uns/oeffentlichkeitsarbeit/detail/pressemitteilung-vom-02102020-
stuttgart-muenchen-ansbach-wiesbaden-saarbruecken
14 https://www.heise.de/newsticker/meldung/Emotet-Sicherheitsrisiko-Microsoft-Office-365-4665197.html
15 https://www.heise.de/select/ix/2019/6/1911508530519573645
13DIE WELT VON MICROSOFT
Die deutschen Datenschutzaufsichtsbehörden sind Gewerkschaftsbundes23 und die Österreichische Ar-
2020 mehrheitlich übereingekommen, dass MS 365 beiterkammer24 sind davon überzeugt, dass einige
an sich gar nicht DSGVO-konform16 eingesetzt werden Werkzeuge von MS 365, insbesondere Workplace Ana-
kann.17 Einige Datenschutzbeauftragte aus deutschen lytics [S. 39], nicht DSGVO-konform sind. Bertold Brü-
Bundesländern haben dem Bericht allerdings nicht zu- cher, Rechtsexperte beim DGB, erklärte gegenüber
gestimmt. Sie vertreten die Meinung, dass man MS 365 dem Magazin „c’t“25 im November 2020: „Funktionen,
nicht generell beurteilen könne, da es ein komplexes mit denen Unternehmen die Arbeitsgepflogenheiten
System, zusammensetzt aus vielen unterschiedlichen ihrer Bürobelegschaft detailliert durchleuchten kön-
Anwendungen, sei.18 Stefan Brink, der Landesbeauf- nen, widersprechen und verstoßen gegen Persönlich-
tragte für Datenschutz und Informationsfreiheit in keitsrechte der Mitarbeiter, Datenschutz und – wenn
Baden-Württemberg, kritisierte bereits vor dem Be- vorhanden – den Beteiligungsrechten und -pflichten
schluss der deutschen Behörden die Kommunikations- der Betriebs- oder Personalräte.“ MS hat sich kurz nach
möglichkeiten von MS 365, da er die Datenschutzfol- dem medial äußerst hohen Interesse für das kritisierte
genabschätzung19 des Kultusministeriums zur Nutzung Feature entschuldigt26, sich bei Wolfie Christl für seine
von Microsoft Office 365 an Schulen, gelesen hatte: „Es Aktivitäten bedankt und lässt nun nur mehr zusam-
scheinen derzeit strukturelle Merkmale der ins Auge mengefasste Auswertungen auf Analytics zu, bei denen
gefassten Verarbeitung vorzuliegen, welche die Mög- die Namen der einzelnen Beschäftigten anonymisiert
lichkeit eines datenschutzkonformen Einsatzes ohne sind. Der „Produktivitätsscore“ ist aber nach wie vor im
wesentliche Anpassung der Datenverarbeitung durch Einsatz und die dahinterliegenden Datensammlungen
Microsoft fraglich erscheinen lassen (…) Datenschutz- ebenso.
rechtlich stellt der Abfluss personenbezogener Daten
zu Microsoft zu eigenen Zwecken des Anbieters eine Ein weiterer Kritikpunkt ist die Sache mit dem „Auf-
Übermittlung dar, für die eine Rechtsgrundlage nicht tragsdatenverarbeitervertrag“. Wenn ein Unterneh-
ersichtlich ist.“20 Welche konkreten Folgen aus der Dis- men oder eine Person Produkte von MS 365 verwenden
kussion abgeleitet werden, ob Strafen verhängt wer- möchte, braucht es einen Vertrag mit MS, der klarstellt,
den oder ob es zu eindeutigen Empfehlungen kommen zu welchen Bedingungen die MS-Programme genutzt
wird, ist zum Zeitpunkt der Fertigstellung dieser Publi- werden dürfen, einen Auftragsdatenverarbeitervertrag
kation im Dezember 2020 noch nicht entschieden. (AVV). MS stellt einen solchen Vertrag unter dem Titel
„Office Service Terms, OST“27 online zur Verfügung und
MS bemüht sich laufend um Verbesserungen21. In den aktualisiert ihn fortwährend28. MS sieht sich in diesem
letzten beiden Jahren wurde beispielsweise das Tool Vertragsverhältnis als reiner Auftragsdatenverarbeiter
„Diagnosedatenanzeige“ erstellt, mittels dem Nutze- im Sinne der DSGVO, was bedeutet, dass Programme
rInnen wenigstens prüfen können, welche Telemetrie- nur bereitgestellt und Daten ausschließlich für andere
Daten an MS weitergegeben werden. verarbeitet würden. MS stünde demnach ausschließ-
lich im Auftrag der „Verantwortlichen“ (also rein für
Allerdings waren nicht alle Bemühungen um mehr die KundInnen/Unternehmen/Lizenzvertragsinhabe-
Privatsphäre und Datenschutz von Erfolg gekrönt. rInnen) und deren Verwendungszwecke zur Verfügung
Der Programmierer, Forscher und Netzaktivist Wolfie und würde die Daten nicht für eigene Zwecke verarbei-
Christl22 sowie der Datenschutz-Experte des Deutschen ten (Artikel 29 DSGVO).
16 https://www.heise.de/news/Microsoft-Office-365-Die-Gruende-fuer-das-Nein-der-Datenschuetzer-4919847.html ; 15.12.2020
17 https://www.heise.de/news/Microsoft-Office-365-Die-Gruende-fuer-das-Nein-der-Datenschuetzer-4919847.html
18 https://www.golem.de/news/office-365-warum-microsoft-die-datenschuetzer-spaltet-2010-151315-2.html
19 https://www.baden-wuerttemberg.datenschutz.de/lfdi-begleitet-pilotprojekt-des-kultusministeriums-zur-nutzung-von-microsoft-office-365-an-schulen/;
15.12.2020
20 https://www.badische-zeitung.de/eisenmann-setzt-auf-microsoft-plattform-fuer-schulen-und-erntet-kritik--189022089.html
21 https://www.microsoft.com/en-us/microsoft-365/blog/2019/05/01/microsoft-office-new-privacy-controls/ ; 15.12.2020
22 https://twitter.com/WolfieChristl/status/1331221942850949121 ; 15.12.2020
23 https://www.heise.de/news/Anwenderueberwachung-durch-Microsofts-Office-Software-4968615.html ; 15.12.2020
24 https://apps.derstandard.at/privacywall/story/2000121939043/microsoft-365-gibt-firmen-umfassende-moeglichkeiten-zur-ueberwachung-
ihrer- mitarbeiter ; 15.12.2020
25 https://www.heise.de/news/Anwenderueberwachung-durch-Microsofts-Office-Software-4968615.html ; 15.12.2020
26 https://www.theguardian.com/technology/2020/dec/02/microsoft-apologises-productivity-score-critics-derided-workplace-surveillance ; 15.12.2020
27 https://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=18335 ; 15.12.2020
28 https://www.microsoft.com/licensing/terms/product/changes/EAEAS ; 15.12.2020
14DIE WELT VON MICROSOFT
© istockphoto.com
Die niederländische Datenschutzbehörde29
wollte über solche Datenverwendungen im eigenen Interes-
2018 Office 365 ProPlus, Windows 10 Enterprise und se informieren, was nicht erfolgt ist. Eine Speicherung
Office 365 online zur Datenverarbeitung einsetzen sämtlicher IP-Adressen zum Mitlernen bei Autokorrek-
und prüfte daher vorab mittels einer Datenschutzfol- turen steht wohl kaum im direkten Interesse der Unter-
genabschätzung. Sie kam zu dem Schluss, dass diese nehmen, die MS-Lizenzen gekauft haben, geschweige
Anwendungen von MS nicht der DSGVO entsprechen. denn der NutzerInnen. Da hat MS wohl bei Office 365
Die Datenschutzfolgenabschätzung der niederlän- die Daten im eigenen Interesse weiterverarbeitet.
dischen Behörden30 zu Office 365 hat ergeben, dass
MS bis zu 23.000 „Ereignisse“ ohne nähere Zweckbe- MS 365 beinhaltet also auch Funktionen, die die Akti-
stimmung, ohne Information an die Betroffenen und vitäten von NutzerInnen permanent überwachen und
ohne Auftragsverarbeitervertrag in die USA übermit- die personenbezogene Daten beim Mutterkonzern in
telt hat. Ein solches „Ereignis“ war beispielsweise die den USA speichern.
Autokorrekturfunktion des Rechtschreibprogramms
von „Word“, die automatisch „mitlernt“ und alle vorge- Zusammengefasst ist also Skepsis angebracht, ob die
nommenen Korrekturen samt IP-Adresse speichert. Als Bestimmungen der DSGVO in vollem Umfang einge-
Rechtsgrundlage im Sinne der DSGVO wurde von MS halten werden: Es mangelt an transparenten Informa-
ein „berechtigtes Interesse“ angegeben. Abgesehen tionen. Es mangelt an klaren Vertragsverhältnissen. Es
davon, dass es fragwürdig ist, wozu IP-Adressen-Spei- besteht bei vielen Funktionen keine Möglichkeit, selber
cherung hier benötigt wird, steht ein solches Interesse zu gestalten („Privacy by default“) bzw. sie effektiv ab-
einem Auftragsverarbeiter aber nicht zu. Der Auftrags- zuschalten („Opt-Out“) – es fehlen also datenschutz-
verarbeiter verarbeitet Daten schließlich nur im Auf- freundliche Einstellungen.
trag. Ein Auftragsverarbeiter müsste die NutzerInnen
29 https://www.rijksoverheid.nl/documenten/rapporten/2019/06/11/data-protection-impact-assessment-windows-10-enterprise : 15.12.2020
30 https://www.privacycompany.de/datenschutz-folgenabschatzung-zeigt-risiken-bei-microsoft-office-proplus-enterprise/ ; 15.12.2020
15DIE WELT VON MICROSOFT
HANDLUNGS-
MÖGLICHKEITEN
DES BETRIEBSRATES
A
us dem Arbeitsverfassungsgesetz ergeben (z. B. welche Anwendungen in Betrieb sind, wer
sich für den Betriebsrat viele Möglichkeiten, Einsichtsrechte hat, welche Daten miteinander ver-
wie er sich bei der Gestaltung von MS 365 ein- knüpft werden, wo Daten gespeichert werden, etc.
bringen kann. Hilfestellung dazu geben die Technische Check-
liste zum Einsatz von Microsoft 365 [S. 50] und die
● Der Betriebsrat kann ins Feld führen, dass die Ein- Checkliste, was in einer (Basis-)Betriebsvereinba-
haltung von gesetzlichen Vorgaben überwacht rung zu regeln ist [S. 51]).
werden muss (z. B., wenn er/sie Einsicht in Auswer-
tungen nehmen will). ● Er kann den Abschluss einer Betriebsvereinbarung
durchsetzen.
● Er kann eine Anhörung verlangen, bei der Vor-
schläge zur Gestaltung einzelner Anwendungen Es stehen dem Betriebsrat einige rechtliche Bestim-
gemacht werden (z. B. Präsenzstatus ausschalten). mungen zur Verfügung, mit denen die Interessen der
Belegschaft vertreten und durchgesetzt werden kön-
● Er kann eine umfassende Information verlangen nen.
INSTRUMENTE DES BETRIEBSRATS
Quelle: Gewerkschaft GPA
16GESTALTUNGSMÖGLICHKEITEN DES BETRIEBSRATES
DIE ARBEITSVERFASSUNGSRECHTLICHE onsunterstützten Ermittlung, Verarbeitung und Übermitt-
EINORDNUNG IM DETAIL lung von personenbezogenen Daten des Arbeitnehmers,
die über die Ermittlung von allgemeinen Angaben zur
Das österreichische Arbeitsverfassungsrecht sieht hin- Person und fachlichen Voraussetzungen hinausgehen“
sichtlich zahlreicher Fragen Mitwirkungsrechte des (§ 96a Abs 1 ArbVG), sowie die „Einführung von Syste-
Betriebsrats vor. So gibt die zentrale Bestimmung des men zur Beurteilung von Arbeitnehmern des Betriebes,
§ 96 Abs 1 Z 3 ArbVG vor, dass „die Einführung von Kon- sofern mit diesen Daten erhoben werden, die nicht durch
trollmaßnahmen und technischen Systemen zur Kontrolle die betriebliche Verwendung gerechtfertigt sind“ ((§ 96a
der Arbeitnehmer, sofern diese Maßnahmen (Systeme) Abs 1 ArbVG) der Zustimmung des Betriebsrates.
die Menschenwürde berühren“, zu ihrer Rechtswirk-
samkeit der Zustimmung des Betriebsrates bedürfen. Stimmt der Betriebsrat nicht zu, kann die Zustimmung
Man spricht diesbezüglich von einer „notwendigen zu einer Betriebsvereinbarung auf Grundlage des §
Betriebsvereinbarung“. 96a ArbVG durch eine Entscheidung der Schlichtungs-
stelle ersetzt werden („ersetzbare Zustimmung“).
Besteht in einem Unternehmen kein Betriebsrat, so
schreibt § 10 AVRAG vor, dass in diesem Fall die Einfüh- Obwohl das Gesetz jeweils von der „Einführung“ be-
rung (und Nutzung) von Kontrollmaßnahmen und tech- stimmter Maßnahmen oder Systeme spricht, ist dar-
nischen Kontrollsystemen, welche die Menschenwürde unter auch die Erweiterung, Weiterentwicklung bzw.
berühren, von der Zustimmung des betroffenen Arbeit- teilweise Rücknahme bereits bestehender Maßnahmen
nehmers/der betroffenen Arbeitnehmerin abhängig ist. oder Systeme zu verstehen. Werden beim Einsatz von
Es muss also jeder/jede MitarbeiterIn, die einer derarti- MS 365 also substantielle Updates vorgenommen, so
gen Kontrolle unterworfen werden soll, zustimmen. darf dies jeweils nur nach Zustimmung des Betriebs-
rates geschehen.
Die Begriffe der „Kontrollmaßnahme“ bzw. des „tech-
nischen Systems zur Kontrolle der Arbeitnehmer“ sind Ist sowohl nach § 96, als auch nach § 96a ArbVG eine
im weiten Sinne zu verstehen. Es kommt dabei nicht Betriebsvereinbarung abzuschließen, geht die stärkere
auf eine subjektive Absicht zur Überwachung durch Mitbestimmungsvorschrift vor, also § 96 ArbVG. In der-
den/die ArbeitgeberIn an, sondern auf eine objektive artigen Fällen kann die Zustimmung des Betriebsrates
Eignung der Maßnahme bzw. des Systems zur Kontrol- nicht durch eine Entscheidung der Schlichtungsstelle
le. Die bloße Möglichkeit zur Kontrolle reicht also aus. ersetzt werden.
Von einem Berühren der Menschenwürde ist jedenfalls
dann auszugehen, wenn bei den überwachten Perso- Angesichts der geradezu lückenlosen Aufzeich-
nen das Gefühl einer laufenden Überwachung ent- nung des persönlichen Nutzungsverhaltens durch MS
steht, die Kontrolle also über das für die Arbeitserbrin- 365-Produkte, in die teilweise auch Vorgesetzte Ein-
gung unbedingt nötige Maß hinausgeht. sicht haben können, ist tendenziell davon auszugehen,
dass eine Betriebsvereinbarung gemäß § 96 Abs 1 Z
Daneben bietet das ArbVG eine weitere Grundlage für 3 ArbVG abzuschließen ist. Darüber hinaus werden in
den Abschluss einer Betriebsvereinbarung. Danach vielen Fällen personenbezogene Daten ermittelt bzw.
bedürfen die „Einführung von Systemen zur automati- an Microsoft übermittelt.
17GESTALTUNGSMÖGLICHKEITEN DES BETRIEBSRATES
DATENSCHUTZRECHTLICHE Aufbewahrung & Löschung
FRAGESTELLUNGEN
Ganz grundsätzlich dürfen Verantwortliche die perso-
Neben arbeitsverfassungsrechtlichen Aspekten spielt nenbezogenen Daten Anderer nicht ewig aufbewahren.
auch das Datenschutzrecht eine wesentliche Rolle beim Stets müssen eine Rechtsgrundlage und ein konkreter
Einsatz von MS 365. Das Bestehen einer Betriebsverein- (Verarbeitungs-)Zweck gegeben sein. Liegt etwa der
barung ändert nichts daran, dass die Bestimmungen Zweck nicht mehr vor bzw. ist er bereits erfüllt, so sind
der EU-Datenschutzgrundverordnung und des Daten- die Daten unabhängig von einem entsprechenden Be-
schutzgesetzes (DSG) zur Anwendung gelangen. gehren der betroffenen Person regelmäßig zu löschen.
Um dieser Pflicht nachzukommen empfiehlt es sich in
Betroffenenrechte – Auskunft, Berichtigung, regelmäßigen Abständen automatisierte Löschvorgän-
Löschung ge einzurichten bzw. Löschroutinen zu etablieren.
Personen, deren persönliche Daten von Anderen ver- Übermittlung von Daten (in einen Drittstaat) und
arbeitet werden, haben eine Reihe von individuellen Auftragsdatenverarbeitervertrag
Rechten zur Durchsetzung des Grundrechts auf Daten-
schutz (§ 1 DSG), welches sich u.a. aus dem Recht auf Unternehmen müssen personenbezogene Daten nicht
Schutz der Privatsphäre (Art. 8 EMRK) ergibt, darunter zwangsläufig selbst verarbeiten, sondern können auch
insbesondere die Rechte auf Auskunft, Berichtigung auf (Sub-)Unternehmen zurückgreifen, die Datenver-
und Löschung (Art. 15 ff DSGVO). arbeitungen in ihrem Auftrag für sie vornehmen. Der-
artige beauftragte Unternehmen werden in der Ter-
Betroffene, also auch Beschäftigte, die MS-Anwendun- minologie der DSGVO als „Auftragsdatenverarbeiter“
gen nutzen, haben Anspruch auf Auskunft darüber, wer bezeichnet. Die Übermittlung von personenbezogene
welche (Kategorien) ihrer personenbezogenen Daten Daten an externe Auftragsdatenverarbeiter bedarf
zu welchem Zweck und auf welcher Rechtsgrundlage, (ebenso wie jeder andere Verarbeitungsvorgang) einer
für welchen Zeitraum aufbewahrt bzw. speichert und Rechtsgrundlage, in diesem Fall eines Auftragsdaten-
gegebenenfalls auf welchem Wege die Daten an den/ verarbeitungsvertrages (AVV). Dieser dient dazu, die
die Verantwortliche/n gelangt sind sowie an welche Rechte und Freiheiten der von der Datenverarbeitung
Empfängerkreise die Daten weitergegeben werden betroffenen Personen zu schützen und muss daher Art
bzw. worden sind. Der/die Verantwortliche hat auf ein und Zweck, Speicherdauer sowie die Pflichten des/der
solches Auskunftsbegehren binnen vier Wochen Aus- Verantwortlichen sowie des/der Auftragsdatenverar-
kunft zu geben. beiterIn festlegen. Im Hinblick auf den Einsatz von MS
365 erscheint es wohl geboten, zwischen dem/der Ar-
Bewahrt der/die Verantwortliche unrichtige bzw. nicht beitgeberIn und Microsoft einen AVV zu schließen, um
aktuelle Daten auf, so hat die betroffene Person das die an Microsoft übermittelten personenbezogenen
Recht, eine Berichtigung der vorhandenen Daten zu Daten der Beschäftigten angemessen zu schützen.
verlangen.
Problematisch ist die Tatsache, dass Microsoft die
Zudem kann die betroffene Person verlangen, dass die umfangreich erhobenen personenbezogenen Daten
sie betreffenden personenbezogenen Daten unver- österreichischer NutzerInnen in die USA übermittelt.
züglich gelöscht werden, soweit dem keine rechtliche Eine Grundlage dafür bildete seit 2016 das „Privacy
Verpflichtung zur Aufbewahrung entgegensteht und Shield-Abkommen“ zwischen den USA und der EU,
die Aufbewahrung für die Zwecke, für die sie erhoben welches den USA ein mit der EU vergleichbares Daten-
wurden, nicht mehr zutreffen oder die Rechtsgrundla- schutzniveau bescheinigte. Mit einer weitreichenden
ge der Verarbeitung fehlt oder die Daten von Beginn Entscheidung des Europäischen Gerichtshofes (EuGH
an unrechtmäßig verarbeitet wurden. 16.07.2020, C-311/18, Rechtsache Schrems II) wurde
diese Praxis für unzulässig erklärt.
18GESTALTUNGSMÖGLICHKEITEN DES BETRIEBSRATES
Sollen personenbezogene Daten in den Drittstaat USA Bei der DSFA ist der/die betriebliche Datenschutz-
übermittelt werden, kann alternativ nun insbesondere beauftragte beizuziehen. Zusätzlich sind die Stand-
auf die sogenannte „Standarddatenschutzklauseln“ punkte der Betroffenen und ihrer Vertretung anzuhö-
der EU-Kommission zurückgegriffen werden. Wie der ren. Dem Betriebsrat kommt im Rahmen der DSFA also
EuGH in seinem Urteil andeutet, kann jedoch, auch un- eine wichtige Rolle zu. Rechtlich verantwortlich für die
ter Nutzung der Standarddatenschutzklauseln, nicht Durchführung der DSFA ist dennoch der/die Arbeit-
schon von vornherein davon ausgegangen werden, geberIn.
dass den Grundsätzen der DSGVO genüge getan ist.
Der/Die ÜbermittlerIn hat jedenfalls im Einzelfall (mit Gerade künstliche Intelligenz, systematische Auswer-
Unterstützung der Datenschutzbehörden) zu prüfen, tung des persönlichen Verhaltens der NutzerInnen und
ob im Zielstaat ein angemessenes Datenschutzniveau die Verknüpfung großer Mengen von Daten, wie sie bei
gewährleistet ist. Die Datenübermittlung in die USA ist MS 365 typischerweise Bestandteile des Systems sind,
damit nun erheblich erschwert und mit einem recht- setzen eine DSFA voraus.
lichen Risiko behaftet, was auch bei der Nutzung von
Microsoft-Produkten, bei denen eine solche Übermitt- Die Gewerkschaft GPA hat Tipps zusammengestellt,
lung stattfindet (z. B. Sway und MyAnalytics [S. 39]) im welche Prüfschritte und Fragestellungen für die Da-
Arbeitskontext berücksichtigt werden sollte. tenschutzfolgenabschätzung und die Beteiligung des
Betriebsrates relevant sind.31
Datenschutzfolgenabschätzung (DSFA)
Um MS 365 in Betrieben einsetzen zu können, braucht
Zusätzlich zum Mitbestimmen bei einer Betriebsverein- es also eine Betriebsvereinbarung gemäß Arbeitsver-
barung ist der Betriebsrat auch bei der Datenschutz- fassungsgesetz. Die DSGVO ermöglicht ebenso, dass
folgenabschätzung einzubeziehen (Art. 35 DSGVO). eine BV abgeschlossen wird „zur Gewährleistung des
Dabei sollte vorab in einer so genannten „Schwellen- Schutzes der Rechte und Freiheiten hinsichtlich der Ver-
wertanalyse“ das Risiko, das den Anwendungen inne- arbeitung personenbezogener Beschäftigtendaten (…),
wohnt, eingeschätzt werden. „Wird bei der Nutzung der der Organisation der Arbeit (…), der Gesundheit und Si-
Systeme in die Privatsphäre der Beschäftigten einge- cherheit am Arbeitsplatz…“ (Artikel 88 DSGVO). ArbVG
griffen?“, lautet die maßgebliche Frage bei einer sol- und DSGVO ergänzen einander diesbezüglich.
chen Risikoanalyse.
Keine BV kann aber die datenschutzrechtlichen Män-
Ist das Risiko hoch, dass die Privatsphäre der Beschäf- gel beseitigen. Selbst wenn sich die BV darauf beruft,
tigten beeinträchtigt wird, muss der/die ArbeitgeberIn gemäß Artikel 88 der DSGVO eine Rechtsgrundlage
eine Datenschutzfolgenabschätzung durchführen. Da- für Datenverwendung in einem Produkt von MS 365 zu
bei kann sich herausstellen, dass bestimmte Systeman- sein, so kann dennoch nicht im Umkehrschluss mittels BV
passungen zur Risikominimierung beitragen können. „beschlossen“ werden, dass MS 365 gänzlich DSGVO-
„Gibt es Einstellungen, die die Privatsphäre besser konform sei. Die BV kann jedoch durch geeignete Maß-
schützen würden?“, lautet die maßgebliche Frage um nahmen die (technischen) Unzulänglichkeiten in An-
Abhilfemaßnahmen zu finden. wendungen von MS 365 so gut als möglich korrigieren.
Die DSFA soll dazu dienen, bereits im Vorfeld einer Da-
tenverarbeitung Risiken für die Betroffen zu erkennen,
Gegenmaßnahmen zu ergreifen und nicht zuletzt das
durch Datenschutzverletzungen entstehende wirt-
schaftliche Risiko zu minimieren. Eine rückblickende
Regulierung ist im Datenschutz schwer möglich – pas-
siert eine Rechtsverletzung, ist es bereits zu spät.
31 Diese erhaltet ihr bei den betriebsbetreuenden RegionalsekretärInnen.
19GESTALTUNGSMÖGLICHKEITEN DES BETRIEBSRATES
DIE ERSTELLUNG EINER DIE ENTSCHEIDUNG
BETRIEBSVEREINBARUNG DES BETRIEBSRATES
Nahezu alle Anwendungen von MS 365 bedürfen einer Der BR muss abwägen, ob er den betrieblichen Einsatz
Betriebsvereinbarung. Die vielen Kombinations- und einer MS 365 Anwendung unterbinden möchte, indem
Auswertungsmöglichkeiten (siehe Graph [S. 38]) und er den Abschluss einer BV verweigert. Damit ist in der
Interpretation von Beschäftigten-Daten [S. 11]) ma- Regel der Einsatz der jeweiligen Anwendung rechts-
chen eine oder mehrere maßgeschneiderte Betriebs- konform nicht mehr möglich. Dabei kann sich der Be-
vereinbarungen erforderlich. triebsrat auf die Argumentation aus den Kapiteln In-
terpretation von Beschäftigten-Daten – Was macht MS
Die Empfehlung an BetriebsrätInnen lautet daher, 365? [S. 11] und Kritikpunkte aus Datenschutzsicht im
sich genau anzusehen, welche Teile von MS 365 kon- Überblick [S. 12] stützen.
kret verwendet werden (siehe Technische Checkliste
zum Einsatz von Microsoft 365 [S. 52]) und dann gezielt Die andere Variante ist, dass der Betriebsrat mit dem
zu den Anwendungen, die im Betrieb im Einsatz sind, Abschluss einer Betriebsvereinbarung bestmöglich auf
die jeweils passende Musterbetriebsvereinbarung der die Verwendung von MS 365 Einfluss nimmt. In der BV
Gewerkschaft GPA als Inspirationsquelle für konkrete können durch Festlegungen und klare Regeln Auswer-
Formulierungen heranzuziehen. Die Gewerkschaft GPA tungen minimiert werden und eine überschießende
bietet zahlreiche Muster-BV zu einzelnen Systemen wie Leistungskontrolle der Beschäftigten zumindest teilwei-
E-Mail/Internet, Telefonsysteme, Videokonferenzsyste- se unterbunden werden, kurzum, es kann das Durch-
me, Mobile Device Management, etc. leuchten der Beschäftigten hintangehalten werden.
Die Verwendung vieler unterschiedlicher Systeme und
mannigfaltiger Beschäftigtendaten generell „unter
einen Hut zu bringen“ könnte am besten mit Hilfe der Selbst, wenn eine BV zustande kommt, so verrin-
„Rahmen-Muster-BV Datenschutz“ klappen. Diese Rah- gert diese nicht die grundsätzliche datenschutz-
men-BV der Gewerkschaft GPA enthält Datenschutz- rechtliche Verantwortlichkeit, die bei dem/der
regelungen, die für sämtliche Systeme gelten (z. B. ArbeitgeberIn liegt. Das Bestehen einer Be-
der Umgang mit Protokolldaten, die in allen Systemen triebsvereinbarung ändert nichts daran, dass
anfallen und rein technisch eine umfangreiche Ver- die EU-Datenschutzgrundverordnung (DSGVO)
haltensüberwachung ermöglichen). Man wird sich die und das Datenschutzgesetz (DSG) angewendet
jeweils zum Betrieb passende Betriebsvereinbarung werden müssen. Eine BV kann die datenschutz-
selbst zusammenstellen müssen – so wie auch jeder rechtlichen Mängel von MS 365 nicht beseitigen.
Betrieb aus den unterschiedlichsten MS 365 Anwen-
dungen ein eigenes System „zusammenpuzzelt“.
20Sie können auch lesen
