Datenschutz

Pure Leistungskontrolle

Risiken der Bürosoftware Microsoft 365: Überwachung und Kontrolle der Beschäftigten | Verstoß gegen den Datenschutz und gegen Rechte der Betriebsräte

Erst kürzlich erhielt Microsoft den »Big Brother Award« für sein Lebenswerk. Mit dem Negativpreis werden alljährlich Unternehmen ausgezeichnet, die den Datenschutz nach Ansicht von Digitalaktivist*innen, vorsichtig ausgedrückt, eher für lästig halten. Die Datenschutzbeauftragten in Bund und Ländern befanden im vergangenen Jahr sogar: Das Softwarepaket Microsoft 365 »datenschutzrechtskonform zu betreiben«, sei nicht möglich. Der US-amerikanische IT-Riese lege nicht hinreichend offen, welche Daten er zu welchem Zweck sammelt und verarbeitet, und verstoße damit gegen die europäische Datenschutzgrundverordnung. Eigentlich ein vernichtendes Urteil. Den Siegeszug von MS 365 aber hat es nicht gestoppt.

Wer kennt schon alle Funktionen

Auch in Deutschland setzen immer mehr Unternehmen auf die cloudbasierte Software, die von Microsoft als Rundum-sorglos-Paket für die Arbeit am Bildschirm angepriesen wird. Neben klassischen Office-Anwendungen wie Word, Excel, PowerPoint oder dem Mailprogramm Outlook gehört die seit der Corona-Pandemie häufig genutzte Software Microsoft Teams dazu. Teams dient nicht nur zum Videokonferieren, Chatten und Telefonieren, sondern wird zur umfassenden Plattform für die Zusammenarbeit ausgebaut. Hinzu kommen Tools zum Beispiel für ein firmeninternes soziales Netzwerk, für Terminabsprachen, für Umfragen. Fortlaufend werden neue Apps entwickelt, zunehmend auch unter Einsatz von Künstlicher Intelligenz (KI).

»Ich kann mir nicht vorstellen, dass jemand alle Funktionalitäten von MS 365 kennt«, sagt der IT-Experte eines großen deutschen Medienunternehmens. Zumal sich ständig etwas ändere: »Funktionalitäten werden von A nach B verschoben oder umbenannt.« Das mache es schwierig, die Kontrolle zu behalten. Funktionen, die man gestern noch bewusst abgeschaltet habe, könnten heute an anderer Stelle plötzlich wieder aktiv sein.

Microsoft 365 läuft komplett über das Internet. Programme, alle Daten und Dokumente liegen in der Cloud, auf Servern des US-Konzerns. Vorteil: Die Software ist stets auf dem neuesten Stand und muss nicht aufwendig auf jedem Firmenrechner einzeln aktualisiert werden. Außerdem können Beschäftigte von überall auf Apps und Daten zugreifen. Doch der Preis dafür ist hoch. Unternehmen, die sich für MS 365 entscheiden, geben die Herrschaft über wesentliche Teile ihrer IT-Landschaft aus der Hand. Wenn sich etwas verändert, erfahren sie das, wenn überhaupt, erst im Nachhinein.

»Das kann gegen geltende Gesetze verstoßen«, sagt der Berliner Rechtsanwalt Helmut Platow. Denn wenn Software zur Verhaltens- und Leistungskontrolle der Beschäftigten genutzt werden kann, dann muss der Betriebsrat dem Einsatz zustimmen. »Und zwar vor der Einführung.« Wie lässt sich das in Einklang bringen mit Updates, die automatisch eingespielt werden?

Für den Extremfall vorgesorgt

Als der Medienkonzern Axel Springer als eines der ersten deutschen Großunternehmen auf Microsoft 365 umsteigen wollte, beriet Platow den Konzernbetriebsrat und trug dazu bei, dass 2016 nach langem Ringen eine Lösung gefunden wurde, die der Arbeitsrechtler wegweisend nennt. Die automatischen Updates wurden nicht untersagt, aber es wurde eine Art Notbremse vereinbart: Wenn sich Neuerungen als mitbestimmungspflichtig erweisen und sich die Unternehmensführung nicht mit der Beschäftigtenvertretung einigen kann, dann droht im Extremfall sogar der Rückbau des gesamten Systems. »Das würde Axel Springer Millionen kosten«, sagt Platow. Der festgelegte Prozess, so ist zu hören, habe sich bewährt: Bislang konnte man sich immer einigen.

Jeder Klick wird registriert

Ähnliche Betriebsvereinbarungen, die die Nutzung von Microsoft 365 detailliert regeln, gibt es mittlerweile in vielen Unternehmen. Zentral ist dabei stets, die Verhaltens- und Leistungskontrolle der Beschäftigten zu verhindern. Für eine solche Überwachung bietet die Software ungeahnte Möglichkeiten. Jeder Klick auf ein Dokument in der Cloud, jedes Absenden oder Lesen einer Mail, jede Teilnahme an einem Chat oder einer Videokonferenz, jeder Eintrag im Terminkalender fließt ein in den Microsoft Graph – einen Algorithmus, der die Beziehungsnetzwerke im Betrieb entschlüsseln soll.

Per Betriebsvereinbarung lässt sich die Auswertung dieser Daten durch Analysetools wie Viva Insights oder Workplace Analytics verbieten. Der Graph selbst allerdings lässt sich nicht abschalten. Und auch sonst stößt der Kampf gegen Überwachung am Arbeitsplatz bei MS 365 immer wieder an Grenzen. Elke Schanz, Vorsitzende des Gruppenbetriebsrats der DDV-Mediengruppe in Dresden, nennt als Beispiel die roten, gelben und grünen Punkte, die bei MS Teams die Verfügbarkeit der Beschäftigten anzeigen. Eine Funktion, die nicht pauschal deaktiviert werden kann. »Da passiert es schon mal, dass sich ein Kollege gegenüber seinem Teamleiter rechtfertigen muss, warum bei ihm immer rot ist.«

Sensibler Umgang mit Daten

Neben einer guten Betriebsvereinbarung, findet Jens Ehrlinger, brauche es deshalb noch etwas anderes: mehr Problembewusstsein, was den freigiebigen Umgang mit Daten, aber auch die negativen Folgen ständiger Erreichbarkeit angehe. »Wir müssen uns alle an die eigene Nase fassen: Nicht alles, was technisch möglich und ach-so-praktisch ist, muss auch gemacht werden«, sagt der Betriebsratsvorsitzende der Süddeutschen Zeitung in München. »Diese Diskussionen führen wir auch mit der Belegschaft rauf und runter.«

Den »Big Brother Award« hat Microsoft übrigens abgelehnt: Man habe sich in puncto Datenschutz nichts vorzuwerfen.