Nicht über­ra­schend, aber dann doch ohne wei­te­re Ankün­di­gung des genau­en Start­ter­mins hat Micro­soft vor kur­zem den Dienst “MyAna­ly­tics” in Office 365 in Deutsch­land frei­ge­schal­tet. Und wie zu erwar­ten war, begann sogleich der gro­ße Auf­schrei der Arbeit­neh­mer­ver­tre­ter und auch eini­ger Daten­schutz-Auf­sich­ten. Vom “glä­ser­nen Mit­ar­bei­ter” ist die Rede. Es fän­de voll­stän­di­ges Pro­filing aller nut­zen­den Mit­ar­bei­ter durch den Arbeit­ge­ber statt. Zeit­nah wur­de auch die Not­wen­dig­keit einer Daten­schutz-Fol­gen­ab­schät­zung nach Art. 35 DSGVO betont.

Was ist Micro­softs “MyAna­ly­tics”?

MyAna­ly­tics ist ein Micro­soft-Dienst, der im Rah­men bestimm­ter Office 365 bzw. Exchan­ge 365-Lizen­zen zur Ver­fü­gung steht. Stan­dard­mä­ßig ist die Funk­ti­on ein­ge­schal­tet. Weder der Arbeit­ge­ber noch der Mit­ar­bei­ter müs­sen bzw. muss­ten in die Nut­zung die­ses Ser­vices ein­wil­li­gen. Das erscheint auf den ers­ten Blick zumin­dest sehr unge­schickt, da doch bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch­aus ein Opt In statt­fin­den muss, wenn kei­ne ande­re Rechts­grund­la­ge aus Art. 6 Abs. 1 DSGVO her­an­ge­zo­gen wer­den kann.

Micro­soft selbst beschreibt MyAna­ly­tics dahin­ge­hend “Wer­den Sie pro­duk­ti­ver durch Ein­bli­cke in Ihre per­sön­li­che Arbeits­wei­se in Micro­soft 365. Wer­den Sie noch pro­duk­ti­ver, indem Sie Ihre Arbeits­mus­ter mit MyAna­ly­tics in vier Kern­be­rei­chen aus­wer­ten: Fokus, Wohl­be­fin­den, Netz­werk und Zusam­men­ar­beit. Direkt in Out­look macht MyAna­ly­tics intel­li­gen­te Vor­schlä­ge, damit Sie recht­zei­tig Zeit für kon­zen­trier­tes Arbei­ten reser­vie­ren, Auf­ga­ben und E‑Mails im Blick behal­ten und wich­ti­ge Kon­tak­te pfle­gen kön­nen.” Die Aus­wer­tung der eige­nen Arbeits­wei­se wird jedem ein­zel­nen Nut­zer mit akti­vem MyAna­ly­tics wöchent­lich zusam­men­ge­stellt und per Email zugeschickt.

Mit “Sie” ist daher nicht der Arbeit­ge­ber, son­dern der jewei­li­ge Ein­zel­nut­zer gemeint. Das ist im Eifer des Gefechts dem einen oder ande­ren auf­ge­reg­ten Daten- und Mit­ar­bei­ter­schüt­zer entgangen.

Micro­soft führt wei­ter­hin aus, dass die­se Aus­wer­tun­gen für jeden Mit­ar­bei­ter indi­vi­du­ell erstellt wer­den und weder einem Admi­nis­tra­tor noch dem Arbeit­ge­ber in irgend­ei­ner Wei­se zur Ver­fü­gung oder Ein­sicht ste­hen. Bei unse­ren Tests als Admi­nis­tra­to­ren ist es uns auch nicht gelun­gen, an eine die­ser Aus­wer­tun­gen zu gelan­gen. Aus­nah­me wäre gewe­sen, wir hät­ten uns als Admi­nis­tra­tor Zugang zum Post­fach eines Mit­ar­bei­ter ver­schafft und des­sen Ana­ly­tics-Bericht gele­sen, der als Email direkt an den Mit­ar­bei­ter zuge­stellt wird.

Wozu “MyAna­ly­tics”?

MyAna­ly­tics wer­tet den Kalen­der und die E‑Mails sta­tis­tisch aus. Micro­soft sieht den Nut­zen des Diens­tes in der Mög­lich­keit für den ein­zel­nen Mit­ar­bei­ter zu sehen, auf einen Blick sehen kön­nen, wie viel sie arbei­ten und wie sie ihre Zeit orga­ni­sie­ren. That’s it. Kei­ne Kon­trol­le durch den Arbeit­ge­ber oder ein “Ver­mes­sen der Beleg­schaft” durch den ach so bösen Arbeit­ge­ber. Wer das mag, war­um nicht.

Zu hin­ter­fra­gen wäre sicher­lich, was macht Micro­soft mit den gesam­mel­ten Daten. Wann wer­den die­se wie­der gelöscht? Wer hat außer­halb des Office365 Ten­ants Zugriff dar­auf und vor allem war­um? Die Dis­kus­si­on hier­zu wird noch geführt bzw. wei­ter zu füh­ren sein.

Wie kann ich Micro­soft “MyAna­ly­tics” deaktivieren?

Ob ein Mit­ar­bei­ter den Dienst nut­zen möch­te, kann durch jeden Nut­zer selbst ent­schie­den wer­den. Sobald Sie eine Sta­tus-Email von MyAna­ly­tics erhal­ten (zumeist wöchent­lich als Zusam­men­fas­sung), befin­det sich dar­in der Link zum Deak­ti­vie­ren der Funk­ti­on. Alter­na­tiv kann der Office 365 Nut­zer dies auch direkt über das Dash­board in Office 365 (exter­ner Link zur Anlei­tung) erledigen.

Orga­ni­sa­tio­nen kön­nen “MyAna­ly­tics” jedoch auch gene­rell abschal­ten. Micro­soft stellt dazu eine ein­fa­che Anlei­tung zur Ver­fü­gung. In der Office 365 Admi­nis­tra­ti­on fin­det man links die Opti­on “Ein­stel­lun­gen”. Unter Ein­stel­lun­gen scrollt man run­ter zum Dienst “MyAna­ly­tics” und deak­ti­viert die 3 ange­kreuz­ten Check­bo­xen, die auf der rech­ten Sei­te erscheinen:

Damit steht der Ser­vice für kei­nen Nut­zer auf dem Ten­ant mehr zur Verfügung.

Emp­feh­lung, wenn Sie MyAna­ly­tics für Ihre Mit­ar­bei­ter zulas­sen wollen

  1. Sich mit dem Tool und des­sen Umfang ver­traut machen. Micro­soft bie­tet dazu eine ers­te gute Über­sicht an. Auch die FAQ sind eine gute Grund­la­ge für den Einstieg.
  2. Den Daten­schutz­be­auf­trag­ten und den Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten einbinden.
  3. Mit­ar­bei­ter­ver­tre­tung mit ins Boot neh­men. Auch die­se aus­führ­lich über das Modul infor­mie­ren, Ver­ständ­nis­pro­ble­me klä­ren, damit eine ein­heit­li­che Dis­kus­si­ons­ba­sis vor­han­den ist.
  4. Bei Bedarf vor­han­de­ne Rah­men­be­triebs­ver­ein­ba­rung Office 365 um MyAna­ly­tics ergän­zen bzw. eine Betriebs­ver­ein­ba­rung dazu erstellen.
  5. Wir gehen mal davon aus, die daten­schutz­recht­li­chen Ver­ein­ba­run­gen mit Micro­soft vorliegen? 🙂
  6. Abwar­ten und Tee trin­ken, bis sich die Auf­re­gung wie­der etwas gelegt hat und kla­re, prag­ma­ti­sche Vor­ge­hens­wei­sen vorliegen.

 

Meerschweinchen Geburtstag

Als aktu­el­le Kurz­in­for­ma­ti­on zum Daten­schutz unter der DSGVO hat der BayLfD jetzt die Num­mer 26 ver­öf­fent­licht, Thema

“Beschäf­tig­ten-Geburts­tags­lis­ten bei baye­ri­schen öffent­li­chen Stellen.”

Jetzt könn­te man als Unter­neh­men oder Ver­ein ver­sucht sein, dar­über hin­weg­zu­le­sen. Schließ­lich han­delt es sich bei die­sen Orga­ni­sa­tio­nen um sog. nicht-öffent­li­che Stel­len. Doch der Inhalt betrifft durch­aus bei­de Berei­che. Ob das The­ma Geburts­tags­lis­te aktu­ell einer der Brenn­punk­te der DSGVO ist, steht auf einem ande­ren Blatt. Aber zur Auf­fri­schung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zei­ten gab es dazu immer wie­der Nachfragen.

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Nun, das ist recht ein­fach erklärt. Wenn abtei­lungs­be­zo­gen oder für die gesam­te Orga­ni­sa­ti­on eine öffent­lich ein­seh­ba­re Lis­te der Geburts­ta­ge der Mit­ar­bei­ter  durch den Arbeit­ge­ber ver­öf­fent­licht wird, dann ver­ar­bei­tet die­ser per­so­nen­be­zo­ge­ne Daten sei­ner Mit­ar­bei­ter und gibt die­se an Drit­te (alle ande­ren Mit­ar­bei­ter) wei­ter. Wie wir nun hin­läng­lich wis­sen, ist dafür einer der Erlaub­nis­tat­be­stän­de aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Ein­wil­li­gung: liegt im Zwei­fel kei­ne vor, sofern es hier­zu kei­nen gere­gel­ten Pro­zess im Rah­men der Ein­stel­lung gibt.
  • b) Not­wen­dig­keit für die Durch­füh­rung, in die­sem Fall des Arbeits­ver­tra­ges: Für das eigent­li­che Beschäf­tig­ten­ver­hält­nis sicher­lich, für die Ver­öf­fent­li­chung an alle Mit­ar­bei­ter sicher nicht.
  • c) Rechts­vor­schrift: Uns ist zumin­dest kei­ne Rechts­vor­schrift bekannt, wel­che das Ver­öf­fent­li­chen von Geburts­tags­lis­ten der Mit­ar­bei­ter vor­schreibt. Kann ja aber noch kom­men im Zuge der aktu­el­len Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebens­wich­ti­ge Inter­es­sen zum Schutz der Mit­ar­bei­ter wird man hier nicht anneh­men können.
  • e) Wahr­neh­mung öffent­li­ches Inter­es­se oder Aus­übung öffent­li­cher Gewalt schei­det aus.
  • f) Ob das sog. berech­tig­te Inter­es­se anwend­bar ist, wird aktu­ell kon­tro­vers dis­ku­tiert. Eine Mehr­heit fin­det sich hier­für kei­ne. Für öffent­li­che Stel­len in Bay­ern ist Buch­sta­be f zumin­dest in der Aus­übung der öffent­li­chen Auf­ga­ben ausgeschlossen.

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

Am Ende des Tages wird es wohl wie frü­her dar­auf hin­aus­lau­fen. Doch ist das Ein­ho­len von schrift­li­chen Ein­wil­li­gun­gen samt deren Abla­ge in der Per­so­nal­ak­te und regel­mä­ßi­gen Prü­fung und Bear­bei­tung von Wider­ru­fen wirk­lich jetzt der Königs­weg. Nein, war es nie und wird es nach unse­rem Dafür­hal­ten auch nie sein. Auch wenn dies durch die oben genann­te Kurz­in­for­ma­ti­on sug­ge­riert wird. Klar kann man die­ses The­ma nun mit viel Papier im Rah­men des Ein­stel­lungs­pro­zes­ses für neue Mit­ar­bei­ter lösen. Allei­ne von den bereits vor­han­de­nen Mit­ar­bei­tern die Ein­wil­li­gung nach­träg­lich ein­zu­ho­len und zu doku­men­tie­ren, ist sicher auch kein zu unter­schät­zen­der Auf­wand. Selbst wenn man die Ein­wil­li­gung mitt­ler­wei­le auch elek­tro­nisch ein­ho­len und doku­men­tie­ren kann. Es geht auch einfacher:

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Egal, ob orga­ni­sa­ti­ons­weit oder nur abtei­lungs­be­zo­gen: Wenn sich ein Mit­ar­bei­ter frei­wil­lig in einen Geburts­tags­ka­len­der (zen­tral in Out­look oder in Papier­form in der Tee­kü­che) ein­trägt, jeder­zeit die Mög­lich­keit des Wie­der­aus­tra­gens besteht, dann kön­nen Sie sich das gan­ze Klim­bim spa­ren. Aber auch das ist nun nichts Neu­es aus der DSGVO, son­dern wur­de schon frü­her so prag­ma­tisch gehandhabt.

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Soll­ten Sie sich als Arbeit­ge­ber das Pro­ce­de­re mit schrift­li­cher Ein­wil­li­gung den­noch antun wol­len, dann ach­ten Sie dar­auf, dass in Ihren Anga­ben zu den Infor­ma­ti­ons­pflich­ten gem. Art. 13 DSGVO für Mit­ar­bei­ter die Geburts­tags­lis­te Erwäh­nung fin­det. Der dazu­ge­hö­ri­ge Ein­trag in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten darf eben­falls nicht fehlen.

Übri­gens zwei Punk­te, die Sie sich durch den Geburts­tags­lis­te-Self-Ser­vice eben­falls je nach Umset­zung erüb­ri­gen kön­nen. Zumin­dest wenn nicht sei­tens der Orga­ni­sa­ti­on der Anstoß für die­se Geburts­tags­lis­ten und deren Ver­wal­tung /​ Durch­füh­rung kommt, also die Mit­ar­bei­ter den Kalen­der in der Tee­kü­che selbst auf­hän­gen (wäre aber sicher im Detail zu dis­ku­tie­ren). Stellt die Orga­ni­sa­ti­on den Geburts­tags­ka­len­der zen­tral in Out­look o.ä. Pro­gram­men zur Ver­fü­gung, macht es Sinn, einen Ein­trag im VVT und in den Infopflich­ten vor­zu­hal­ten (dan­ke für den Hin­weis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrie­den und das The­ma Daten­schutz wird nicht erneut als Stör­fak­tor wahr­ge­nom­men (was es eigent­lich auch gar nicht ist, ent­spre­chend prag­ma­ti­sche Umset­zung vor­aus­ge­setzt). So und jetzt “KUCHEN”

aboutpixel.de / Vorsicht in s/w © Peter Ehmann

Wer kennt das nicht? Im Unter­neh­men hängt direkt über der Kaf­fee­ma­schi­ne eine Geburtsta­g­lis­te mit den Daten aller Mit­ar­bei­ter. Oder in Out­look ist der Kalen­der “Geburts­ta­ge der Mit­ar­bei­ter” öffent­lich für alle ver­füg­bar. Bei­de Ein­rich­tun­gen selbst­ver­ständ­lich top aktu­ell und zen­tral gepflegt durch die Per­so­nal­ab­tei­lung. Ein­ge­stellt, ein­ge­tra­gen, aus­ge­han­gen 🙂 Nett gemeint, doch nicht ganz ohne.

Der thü­rin­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te hält die­se Vor­ge­hens­wei­se ohne gül­ti­ge Ein­wil­li­gung für nicht rechts­kon­form. Dies äußert er in sei­nem Jah­res­be­richt (Zeit­raum 12/11–12/13) für den nicht-öffent­li­chen Bereich (also Unter­neh­men und Ver­ei­ne) auf Sei­te 81.

Geburts­tags­da­ten von Mit­ar­bei­tern sind Arbeit­neh­mer­da­ten. Daher ist sei­ner Mei­nung nach § 32 BDSG Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses anzu­wen­den. Die dar­in genann­ten Nut­zungs­zwe­cke Begrün­dung, Durch­füh­rung und Been­di­gung des Arbeits­ver­hält­nis­ses geben eine Legi­ti­ma­ti­on der Daten­nut­zung für eine öffent­li­che Geburts­tags­lis­te nicht her. Von daher ist nach sei­nem Dafür­hal­ten die aus­drück­li­che Ein­wil­li­gung jedes ein­zel­nen Mit­ar­bei­ters erfor­der­lich. Dabei ist es uner­heb­lich, ob die Anga­be mit oder ohne Geburts­jahr erfolgt.

Für die kor­rek­te For­mu­lie­rung einer Ein­wil­li­gung fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Viel Zeit und Mühe wird in das Abschir­men und Absi­chern von IT Netz­wer­ken gegen Angrif­fe von außen inves­tiert. Dabei über­sieht man schnell die Gefah­ren, die Unter­neh­mens­da­ten von innen dro­hen kön­nen. Unab­hän­gig ob Fahr­läs­sig­keit oder Absicht, so soll­ten Sie als Unter­neh­mer und Unter­neh­men die­se Bedro­hung nicht aus dem Blick ver­lie­ren. In fast einem Vier­tel aller Fäl­le sind Mit­ar­bei­ter der Grund für Daten­ab­fluss aus dem Unternehmen.

In Zei­ten von Spei­cher­sticks mit immer grö­ße­rer Spei­cher­ka­pa­zi­tät und Foto­han­dys mit meh­re­ren Mega­pi­xeln Auf­lö­sung erschreckt es teil­wei­se, wie lax der inter­ne Umgang in Unter­neh­men sein kann.

  • Nut­zungs­richt­li­ni­en und Pro­fil­sper­ren für die Nut­zung von USB Sticks sind oft Fehl­an­zei­ge. Daten kön­nen in gro­ßen Men­gen kopiert und unauf­fäl­lig in der Hosen­ta­sche aus­ser Haus gebracht werden.
  • Foto­han­dys wer­den teil­wei­se sogar vom Unter­neh­men den Mit­ar­bei­tern zur Ver­fü­gung gestellt. Die hohen Auf­lö­sun­gen erlau­ben detail­ge­treue Wie­der­ga­ben beim Abfo­to­gra­fie­ren wich­ti­ger und gehei­mer Doku­men­te. Nütz­lich ist die oft­mals zusätz­lich ein­ge­rich­te­te Inter­net­flat, um die Foto­do­ku­men­ta­ti­on gleich noch unauf­fäl­lig  zu versenden.

Doch dies sind nur zwei aus­ge­wähl­te Mög­lich­kei­ten, wie schüt­zens­wer­te Daten das Unter­neh­men ver­las­sen kön­nen. Die­se set­zen selbst­ver­ständ­lich noch ein gewis­ses Maß an kri­mi­nel­ler Ener­gie bei Ihren Mit­ar­bei­tern vor­aus. Aber wer kennt schon den genau­en Preis, ab dem Loya­li­tät in den Hin­ter­grund tritt?

Auch unbe­wuß­te Gefah­ren kön­nen von Mit­ar­bei­tern aus­ge­hen: Ver­tei­len Sie USB Sticks auf dem Park­platz eines Unter­neh­mens vor Arbeits­be­ginn, wie zufäl­lig ver­lo­ren. Zuvor prä­pa­rie­ren Sie die­se mit einer klei­nen, ein­deu­ti­gen und unge­fähr­li­chen Ping Rou­ti­ne im Auto­start. Sie wer­den stau­nen, wie vie­le die­ser Sticks sich bis zum Abend aus dem Unter­neh­mens­netz­werk auf dem bereit­ge­stell­ten Ping Ser­ver gemel­det haben. Stel­len Sie sich vor, die­se Sticks wären mit Schad­soft­ware prä­pa­riert gewe­sen (Back­doors, Lösch­funk­tio­nen etc.) !! Hor­ror­vor­stel­lung, aber bedau­er­li­cher­wei­se Realität.

Eine belieb­te Metho­de ist das Aus­spä­hen von Daten und Geheim­nis­sen über die Abfall­be­häl­ter. Sei es direkt aus den Papier­kör­ben an den Schreib­ti­schen oder aus den Con­tai­nern im Hof. Etwas Unter­stüt­zung vom Rei­ni­gungs­per­so­nal und Sie wer­den stau­nen, an wel­che Infor­ma­tio­nen man bei der “Müll”-Auswertung so alles gelan­gen kann. Zahl­rei­chen Unter­su­chun­gen zufol­ge fin­den fast 50% der Spio­na­ge-Angrif­fe nicht auf elek­tro­ni­schem Weg statt, son­dern durch ein­fa­ches Durch­su­chen der Abfall­be­häl­ter, auch “Bin Rai­ding” genannt.

100%ige Sicher­heit und Schutz vor die­sen und ähn­li­chen Gefah­ren gibt es nicht. Als Bera­ter für Daten­schutz und Daten­si­cher­heit unter­stüt­ze ich Sie jedoch bei der Mini­mie­rung die­ser Risi­ken durch kon­kre­te Maß­nah­men im Bereich der IT Sicher­heit und durch Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch Schu­lung und Auf­klä­rung. Sie kön­nen Ihre Mit­ar­bei­ter zu den regel­mä­ßi­gen Schu­lun­gen “Daten­schutz und Daten­si­cher­heit” schi­cken oder ange­pass­te Schu­lun­gen auf Basis Ihrer vor­han­de­nen (oder noch zu erstel­len­den) Nut­zungs­richt­li­ni­en durch mich bei Ihnen vor Ort durch­füh­ren las­sen. Spre­chen Sie mich an.

Lesen Sie aktu­el­le Aus­sa­gen (07.07.2014) zu die­sem The­ma vom Ver­fas­sungs­schutz-Prä­si­dent H.-G. Maaßen auf unse­rer Bera­tungs-Web­page.

[wpfi­le­ba­se tag=‘file’ id=‘2’]

Ver­geb­li­che Mühe

Seit Jah­ren bemüht sich die Deut­sche Tele­kom um Ver­bes­se­run­gen im Umgang mit per­so­nen­be­zo­ge­nen Daten, nicht nur auf­grund zahl­rei­cher Skan­da­le. Wie zahl­rei­che Medi­en wie n‑tv nun berich­ten, hat es beim Beschäf­ti­gen­da­ten­schutz nicht ganz gereicht.

120.000 Mit­ar­bei­ter betroffen

Eine inter­ne Daten­bank mit Anga­ben zu fast allen Mit­ar­bei­tern des Unter­neh­mens samt Name, Anschrift und Gehalt stand einem grö­ße­ren Mit­ar­bei­ter­kreis zur Ein­sicht zur Ver­fü­gung, als eigent­lich zuläs­sig gewe­sen wäre. Die ursprüng­lich vor­ge­se­he­ne Anony­mi­sie­rung war nicht erfolgt.

Seit 2002 soll die Daten­bank in die­ser Form ver­füg­bar gewe­sen sein. Mitt­ler­wei­le wur­de sie vom Netz genom­men. Ein exter­ner Wirt­schafts­prü­fer soll die Ursa­chen und Fol­gen nun ermit­teln. Der Betriebs­rat läßt die Unter­su­chung durch einen eige­nen Anwalt begleiten.

Nach Unter­neh­mens­an­ga­ben hat man von einem Miß­brauch der Daten bis­her kei­ne Kenntnis.