MyAnalytics Report am PC

MyAnalytics & Datenschutz: Mitarbeiterüberwachung mit Office 365?

Office 365 scheint ein Problem mit dem Datenschutz zu haben: Im Fokus der Kritik steht das Analysetool MyAnalytics. Können die durch dieses Tool erhobenen Daten wirklich genutzt werden, um Mitarbeiter:innen auszuspionieren?

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2021-03-18

Logo
  • Autorin: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Das in Microsoft Office 365 integrierte Tool MyAnalytics wertet das Nutzerverhalten der Anwender:innen aus und erstellt aus den Daten eine Art Produktivitätsscore. Microsoft wurde vorgeworfen, dass die Nutzer:innen dem nicht widersprechen können und die Daten von Teamleiter:innen eingesehen werden können. Immerhin werden die erhobenen Daten mittlerweile anonymisiert, sodass Teamleiter:innen keine persönlichen Daten mehr einsehen können, aber erst, seitdem Datenschützer:innen lautstark Bedenken angemeldet hatten. Wie arbeitet MyAnalytics genau? Und was ist beim Einsatz im Unternehmen zu beachten?
 

Welche Daten sammelt MyAnalytics?

Microsoft stand beim Thema Datenschutz schon öfter in der Kritik. Immer wieder wurden und werden Datenschutzmängel bei Microsoft bekannt, die mal schneller, mal weniger schnell behoben werden. Momentan ist das Analysetool MyAnalytics in der Kritik. Wie funktioniert es genau?

MyAnalytics nutzt nach eigener Aussage von Microsoft:

  • Informationen aus E-Mail-Elementen (wie Metadaten, z.B. Zeitstempel, Absender, Empfänger, Lesesignal),

  • Anweisungen, die von Personen im E-Mail-Körpertext gemacht wurden,

  • Aktionen anderer Benutzer:innen, die Ihre E-Mail erhalten (wie das Öffnen von E-Mails in zusammengefasster Form),

  • Informationen aus Kalenderelementen (wie Informationen zu einem Termin, z.B. Betreff, Dauer, Teilnehmer),

  • Informationen aus Teams und aus Skype for Business (wie Chat- und Anrufaktivitäten, Chats als „Aktivität der Zusammenarbeit“),

  • OneDrive SharePoint-Daten (Dokumente, die bearbeitet wurden)

  • und bei Anmeldung auch Daten, die aus Aktivitäten auf dem Computer stammen, wie z. B. verwendete Anwendungen und besuchte Websites.

MyAnalytics wertet die erfassten Daten der User:innen hinsichtlich Produktivität und Fokus, Zusammenarbeit und Netzwerke sowie Wohlbefinden aus. Die Ergebnisse der Auswertung kann der / die User:in über ein Dashboard einsehen. Auf diese Weise soll der / die User:in Einblicke in eigene Arbeitsmuster erhalten und – mithilfe von Tipps und verschiedenen myAnalytics-Funktionalitäten – die eigene Arbeitsweise verbessern können.

So werden beispielsweise „Fokuszeiten“, in denen der / die Anwender:in von Terminen, Nachrichten und Anrufen ungestört arbeitet, erkannt und darauf basierend Tipps für fokussiertes Arbeiten erteilt. Der / die User:in kann mithilfe von MyAnalytics einen persönlichen „Fokusplan“ erstellen und den eigenen Fortschritt überprüfen.
 

MyAnalytics & Datenschutz

Bei den einzelnen User:innen stößt MyAnalytics zunächst auf kritische Fragen, da die Funktion standardmäßig aktiviert ist und Daten der Anwender:innen „ungefragt“ verarbeitet werden. Dies ist aus Datenschutz-Sicht unter dem Aspekt der datenschutzfreundlichen Voreinstellungen oder „Privacy by default“ (Art. 25 Abs. 2 DSGVO) durchaus kritisch zu betrachten. MyAnalytics kann sowohl durch einzelne Anwender:innen als auch für die gesamte Organisation deaktiviert werden, wovon aus Datenschutzsicht Gebrauch gemacht werden sollte.

Darauf folgt im Arbeitsumfeld häufig die Frage, inwiefern durch die automatischen Auswertungen im Hintergrund eine Überwachung der Arbeitsleistung ermöglicht wird, indem vorgesetzten Personen Informationen zur Produktivität ihrer Mitarbeiter:innen zugänglich gemacht werden.
Zusätzlich können Daten über interne persönliche Netzwerke und das Wohlbefinden einzelne Mitarbeiter:innen „gläsern“ machen. Microsoft stellt deshalb in seinem „Datenschutzhandbuch für MyAnalytics“ gleich zu Beginn klar, dass die Anwendung nicht der Mitarbeiterüberwachung und -bewertung dient. Zugriff auf die Auswertungen der persönlichen Arbeitsweise haben laut Microsoft nur die User:innen selbst und keine anderen Personen wie Vorgesetzte oder Systemadministrator:innen.

Schließlich bleibt – wie bei allen Office365-Anwendungen – die grundsätzliche Frage, ob die Datenverarbeitung durch den US-Konzern Microsoft den Anforderungen der Datenschutz Grundverordnung (DSGVO) entspricht. Microsoft wird als Auftragsverarbeiter tätig, was u.a. bedeutet, dass die personenbezogenen Daten nicht zu eigenen Zwecken von Microsoft verwendet werden dürfen. Der Vertrag zur Auftragsverarbeitung, den Microsoft im Rahmen der „Microsoft Online Service Terms“ bereitstellt, stand zuletzt in der Kritik der deutschen Aufsichtsbehörden. Sie sehen mitunter im Hinblick auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs erhebliche datenschutzrechtliche Verbesserungspotenziale.
 

Office 365 im Unternehmen: So wahren Sie den Datenschutz

Was heißen diese Erkenntnisse nun für Unternehmen, die das Microsoft-Produkt Office 365 nutzen? Sind der Einsatz von Microsoft-Produkten bzw. Office 365 und das Thema Datenschutz zwei unüberbrückbare Gegensätze? Nicht unbedingt, wenn Sie ein paar grundlegende Punkte beachten:

Neben dem Abschluss eines Vertrags zur Auftragsverarbeitung und der Standardvertragsklauseln mit Microsoft können folgende Maßnahmen ergriffen werden (hierfür ist die Office ProPlus-Version 1905 notwendig):

  • Windows Einstellung: Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer:innen dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.

  • Programm zur Verbesserung der Benutzerfreundlichkeit: Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

  • Beschränkung der Diagnosedaten: Die Übermittlung der Diagnosedaten muss auf die geringste Stufe („Keine“) eingestellt werden.

  • Connected Experiences: Datenverarbeitungen für das Connected Experiences Improvement Program sind zu deaktivieren.

  • Linked-In-Integration: Eine Integration von Linked-In Accounts der Mitarbeiter:innen muss unterbunden werden.

  • Kund:innen-Lockbox: Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kund:innen-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.

  • Office-Online und Office-Mobile: Keine Verwendung der Office 365 Webanwendung und der Office Apps.

  • Durchführung einer Datenschutz-Folgenabschätzung vor Gebrauch der Funktionalitäten MyAnalytics, Delve, Workplace Analytics und Activity Reports.


Autorinnen: Kathrin Strauß und Katharina Schreiner
Artikel veröffentlicht am: 17.03.2021
Artikel geändert am: 06.10.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr