Nicht überraschend, aber dann doch ohne weitere Ankündigung des genauen Starttermins hat Microsoft vor kurzem den Dienst „MyAnalytics“ in Office 365 in Deutschland freigeschaltet. Und wie zu erwarten war, begann sogleich der große Aufschrei der Arbeitnehmervertreter und auch einiger Datenschutz-Aufsichten. Vom „gläsernen Mitarbeiter“ ist die Rede. Es fände vollständiges Profiling aller nutzenden Mitarbeiter durch den Arbeitgeber statt. Zeitnah wurde auch die Notwendigkeit einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO betont.

Was ist Microsofts „MyAnalytics“?

MyAnalytics ist ein Microsoft-Dienst, der im Rahmen bestimmter Office 365 bzw. Exchange 365-Lizenzen zur Verfügung steht. Standardmäßig ist die Funktion eingeschaltet. Weder der Arbeitgeber noch der Mitarbeiter müssen bzw. mussten in die Nutzung dieses Services einwilligen. Das erscheint auf den ersten Blick zumindest sehr ungeschickt, da doch bei der Verarbeitung personenbezogener Daten durchaus ein Opt In stattfinden muss, wenn keine andere Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO herangezogen werden kann.

Microsoft selbst beschreibt MyAnalytics dahingehend „Werden Sie produktiver durch Einblicke in Ihre persönliche Arbeitsweise in Microsoft 365. Werden Sie noch produktiver, indem Sie Ihre Arbeitsmuster mit MyAnalytics in vier Kernbereichen auswerten: Fokus, Wohlbefinden, Netzwerk und Zusammenarbeit. Direkt in Outlook macht MyAnalytics intelligente Vorschläge, damit Sie rechtzeitig Zeit für konzentriertes Arbeiten reservieren, Aufgaben und E-Mails im Blick behalten und wichtige Kontakte pflegen können.“ Die Auswertung der eigenen Arbeitsweise wird jedem einzelnen Nutzer mit aktivem MyAnalytics wöchentlich zusammengestellt und per Email zugeschickt.

Mit „Sie“ ist daher nicht der Arbeitgeber, sondern der jeweilige Einzelnutzer gemeint. Das ist im Eifer des Gefechts dem einen oder anderen aufgeregten Daten- und Mitarbeiterschützer entgangen.

Microsoft führt weiterhin aus, dass diese Auswertungen für jeden Mitarbeiter individuell erstellt werden und weder einem Administrator noch dem Arbeitgeber in irgendeiner Weise zur Verfügung oder Einsicht stehen. Bei unseren Tests als Administratoren ist es uns auch nicht gelungen, an eine dieser Auswertungen zu gelangen. Ausnahme wäre gewesen, wir hätten uns als Administrator Zugang zum Postfach eines Mitarbeiter verschafft und dessen Analytics-Bericht gelesen, der als Email direkt an den Mitarbeiter zugestellt wird.

Wozu „MyAnalytics“?

MyAnalytics wertet den Kalender und die E-Mails statistisch aus. Microsoft sieht den Nutzen des Dienstes in der Möglichkeit für den einzelnen Mitarbeiter zu sehen, auf einen Blick sehen können, wie viel sie arbeiten und wie sie ihre Zeit organisieren. That’s it. Keine Kontrolle durch den Arbeitgeber oder ein „Vermessen der Belegschaft“ durch den ach so bösen Arbeitgeber. Wer das mag, warum nicht.

Zu hinterfragen wäre sicherlich, was macht Microsoft mit den gesammelten Daten. Wann werden diese wieder gelöscht? Wer hat außerhalb des Office365 Tenants Zugriff darauf und vor allem warum? Die Diskussion hierzu wird noch geführt bzw. weiter zu führen sein.

Wie kann ich Microsoft „MyAnalytics“ deaktivieren?

Ob ein Mitarbeiter den Dienst nutzen möchte, kann durch jeden Nutzer selbst entschieden werden. Sobald Sie eine Status-Email von MyAnalytics erhalten (zumeist wöchentlich als Zusammenfassung), befindet sich darin der Link zum Deaktivieren der Funktion. Alternativ kann der Office 365 Nutzer dies auch direkt über das Dashboard in Office 365 (externer Link zur Anleitung) erledigen.

Organisationen können „MyAnalytics“ jedoch auch generell abschalten. Microsoft stellt dazu eine einfache Anleitung zur Verfügung. In der Office 365 Administration findet man links die Option „Einstellungen“. Unter Einstellungen scrollt man runter zum Dienst „MyAnalytics“ und deaktiviert die 3 angekreuzten Checkboxen, die auf der rechten Seite erscheinen:

Damit steht der Service für keinen Nutzer auf dem Tenant mehr zur Verfügung.

Empfehlung, wenn Sie MyAnalytics für Ihre Mitarbeiter zulassen wollen

  1. Sich mit dem Tool und dessen Umfang vertraut machen. Microsoft bietet dazu eine erste gute Übersicht an. Auch die FAQ sind eine gute Grundlage für den Einstieg.
  2. Den Datenschutzbeauftragten und den Informationssicherheitsbeauftragten einbinden.
  3. Mitarbeitervertretung mit ins Boot nehmen. Auch diese ausführlich über das Modul informieren, Verständnisprobleme klären, damit eine einheitliche Diskussionsbasis vorhanden ist.
  4. Bei Bedarf vorhandene Rahmenbetriebsvereinbarung Office 365 um MyAnalytics ergänzen bzw. eine Betriebsvereinbarung dazu erstellen.
  5. Wir gehen mal davon aus, die datenschutzrechtlichen Vereinbarungen mit Microsoft vorliegen? 🙂
  6. Abwarten und Tee trinken, bis sich die Aufregung wieder etwas gelegt hat und klare, pragmatische Vorgehensweisen vorliegen.

 

Meerschweinchen Geburtstag

Als aktuelle Kurzinformation zum Datenschutz unter der DSGVO hat der BayLfD jetzt die Nummer 26 veröffentlicht, Thema

„Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen.“

Jetzt könnte man als Unternehmen oder Verein versucht sein, darüber hinwegzulesen. Schließlich handelt es sich bei diesen Organisationen um sog. nicht-öffentliche Stellen. Doch der Inhalt betrifft durchaus beide Bereiche. Ob das Thema Geburtstagsliste aktuell einer der Brennpunkte der DSGVO ist, steht auf einem anderen Blatt. Aber zur Auffrischung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zeiten gab es dazu immer wieder Nachfragen.

Warum interessiert sich der Datenschutz für Geburtstagslisten von Mitarbeitern?

Nun, das ist recht einfach erklärt. Wenn abteilungsbezogen oder für die gesamte Organisation eine öffentlich einsehbare Liste der Geburtstage der Mitarbeiter  durch den Arbeitgeber veröffentlicht wird, dann verarbeitet dieser personenbezogene Daten seiner Mitarbeiter und gibt diese an Dritte (alle anderen Mitarbeiter) weiter. Wie wir nun hinlänglich wissen, ist dafür einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Einwilligung: liegt im Zweifel keine vor, sofern es hierzu keinen geregelten Prozess im Rahmen der Einstellung gibt.
  • b) Notwendigkeit für die Durchführung, in diesem Fall des Arbeitsvertrages: Für das eigentliche Beschäftigtenverhältnis sicherlich, für die Veröffentlichung an alle Mitarbeiter sicher nicht.
  • c) Rechtsvorschrift: Uns ist zumindest keine Rechtsvorschrift bekannt, welche das Veröffentlichen von Geburtstagslisten der Mitarbeiter vorschreibt. Kann ja aber noch kommen im Zuge der aktuellen Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebenswichtige Interessen zum Schutz der Mitarbeiter wird man hier nicht annehmen können.
  • e) Wahrnehmung öffentliches Interesse oder Ausübung öffentlicher Gewalt scheidet aus.
  • f) Ob das sog. berechtigte Interesse anwendbar ist, wird aktuell kontrovers diskutiert. Eine Mehrheit findet sich hierfür keine. Für öffentliche Stellen in Bayern ist Buchstabe f zumindest in der Ausübung der öffentlichen Aufgaben ausgeschlossen.

Bleibt wohl nur die Einwilligung für Geburtstagslisten von Mitarbeitern?

Am Ende des Tages wird es wohl wie früher darauf hinauslaufen. Doch ist das Einholen von schriftlichen Einwilligungen samt deren Ablage in der Personalakte und regelmäßigen Prüfung und Bearbeitung von Widerrufen wirklich jetzt der Königsweg. Nein, war es nie und wird es nach unserem Dafürhalten auch nie sein. Auch wenn dies durch die oben genannte Kurzinformation suggeriert wird. Klar kann man dieses Thema nun mit viel Papier im Rahmen des Einstellungsprozesses für neue Mitarbeiter lösen. Alleine von den bereits vorhandenen Mitarbeitern die Einwilligung nachträglich einzuholen und zu dokumentieren, ist sicher auch kein zu unterschätzender Aufwand. Selbst wenn man die Einwilligung mittlerweile auch elektronisch einholen und dokumentieren kann. Es geht auch einfacher:

KISS – keep it short and simple: Der Geburtstagsliste-Self-Service

Egal, ob organisationsweit oder nur abteilungsbezogen: Wenn sich ein Mitarbeiter freiwillig in einen Geburtstagskalender (zentral in Outlook oder in Papierform in der Teeküche) einträgt, jederzeit die Möglichkeit des Wiederaustragens besteht, dann können Sie sich das ganze Klimbim sparen. Aber auch das ist nun nichts Neues aus der DSGVO, sondern wurde schon früher so pragmatisch gehandhabt.

Besonderheiten bei Geburtstagslisten per zentraler Einwilligung durch den Arbeitgeber

Sollten Sie sich als Arbeitgeber das Procedere mit schriftlicher Einwilligung dennoch antun wollen, dann achten Sie darauf, dass in Ihren Angaben zu den Informationspflichten gem. Art. 13 DSGVO für Mitarbeiter die Geburtstagsliste Erwähnung findet. Der dazugehörige Eintrag in Ihrem Verzeichnis für Verarbeitungstätigkeiten darf ebenfalls nicht fehlen.

Übrigens zwei Punkte, die Sie sich durch den Geburtstagsliste-Self-Service ebenfalls je nach Umsetzung erübrigen können. Zumindest wenn nicht seitens der Organisation der Anstoß für diese Geburtstagslisten und deren Verwaltung / Durchführung kommt, also die Mitarbeiter den Kalender in der Teeküche selbst aufhängen (wäre aber sicher im Detail zu diskutieren). Stellt die Organisation den Geburtstagskalender zentral in Outlook o.ä. Programmen zur Verfügung, macht es Sinn, einen Eintrag im VVT und in den Infopflichten vorzuhalten (danke für den Hinweis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrieden und das Thema Datenschutz wird nicht erneut als Störfaktor wahrgenommen (was es eigentlich auch gar nicht ist, entsprechend pragmatische Umsetzung vorausgesetzt). So und jetzt „KUCHEN“

aboutpixel.de / Vorsicht in s/w © Peter Ehmann

Wer kennt das nicht? Im Unternehmen hängt direkt über der Kaffeemaschine eine Geburtstagliste mit den Daten aller Mitarbeiter. Oder in Outlook ist der Kalender „Geburtstage der Mitarbeiter“ öffentlich für alle verfügbar. Beide Einrichtungen selbstverständlich top aktuell und zentral gepflegt durch die Personalabteilung. Eingestellt, eingetragen, ausgehangen 🙂 Nett gemeint, doch nicht ganz ohne.

Der thüringische Landesdatenschutzbeauftragte hält diese Vorgehensweise ohne gültige Einwilligung für nicht rechtskonform. Dies äußert er in seinem Jahresbericht (Zeitraum 12/11-12/13) für den nicht-öffentlichen Bereich (also Unternehmen und Vereine) auf Seite 81.

Geburtstagsdaten von Mitarbeitern sind Arbeitnehmerdaten. Daher ist seiner Meinung nach § 32 BDSG Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses anzuwenden. Die darin genannten Nutzungszwecke Begründung, Durchführung und Beendigung des Arbeitsverhältnisses geben eine Legitimation der Datennutzung für eine öffentliche Geburtstagsliste nicht her. Von daher ist nach seinem Dafürhalten die ausdrückliche Einwilligung jedes einzelnen Mitarbeiters erforderlich. Dabei ist es unerheblich, ob die Angabe mit oder ohne Geburtsjahr erfolgt.

Für die korrekte Formulierung einer Einwilligung fragen Sie doch einfach Ihren Datenschutzbeauftragten. Sie haben keinen? Sprechen Sie uns an.

Viel Zeit und Mühe wird in das Abschirmen und Absichern von IT Netzwerken gegen Angriffe von außen investiert. Dabei übersieht man schnell die Gefahren, die Unternehmensdaten von innen drohen können. Unabhängig ob Fahrlässigkeit oder Absicht, so sollten Sie als Unternehmer und Unternehmen diese Bedrohung nicht aus dem Blick verlieren. In fast einem Viertel aller Fälle sind Mitarbeiter der Grund für Datenabfluss aus dem Unternehmen.

In Zeiten von Speichersticks mit immer größerer Speicherkapazität und Fotohandys mit mehreren Megapixeln Auflösung erschreckt es teilweise, wie lax der interne Umgang in Unternehmen sein kann.

  • Nutzungsrichtlinien und Profilsperren für die Nutzung von USB Sticks sind oft Fehlanzeige. Daten können in großen Mengen kopiert und unauffällig in der Hosentasche ausser Haus gebracht werden.
  • Fotohandys werden teilweise sogar vom Unternehmen den Mitarbeitern zur Verfügung gestellt. Die hohen Auflösungen erlauben detailgetreue Wiedergaben beim Abfotografieren wichtiger und geheimer Dokumente. Nützlich ist die oftmals zusätzlich eingerichtete Internetflat, um die Fotodokumentation gleich noch unauffällig  zu versenden.

Doch dies sind nur zwei ausgewählte Möglichkeiten, wie schützenswerte Daten das Unternehmen verlassen können. Diese setzen selbstverständlich noch ein gewisses Maß an krimineller Energie bei Ihren Mitarbeitern voraus. Aber wer kennt schon den genauen Preis, ab dem Loyalität in den Hintergrund tritt?

Auch unbewußte Gefahren können von Mitarbeitern ausgehen: Verteilen Sie USB Sticks auf dem Parkplatz eines Unternehmens vor Arbeitsbeginn, wie zufällig verloren. Zuvor präparieren Sie diese mit einer kleinen, eindeutigen und ungefährlichen Ping Routine im Autostart. Sie werden staunen, wie viele dieser Sticks sich bis zum Abend aus dem Unternehmensnetzwerk auf dem bereitgestellten Ping Server gemeldet haben. Stellen Sie sich vor, diese Sticks wären mit Schadsoftware präpariert gewesen (Backdoors, Löschfunktionen etc.) !! Horrorvorstellung, aber bedauerlicherweise Realität.

Eine beliebte Methode ist das Ausspähen von Daten und Geheimnissen über die Abfallbehälter. Sei es direkt aus den Papierkörben an den Schreibtischen oder aus den Containern im Hof. Etwas Unterstützung vom Reinigungspersonal und Sie werden staunen, an welche Informationen man bei der „Müll“-Auswertung so alles gelangen kann. Zahlreichen Untersuchungen zufolge finden fast 50% der Spionage-Angriffe nicht auf elektronischem Weg statt, sondern durch einfaches Durchsuchen der Abfallbehälter, auch „Bin Raiding“ genannt.

100%ige Sicherheit und Schutz vor diesen und ähnlichen Gefahren gibt es nicht. Als Berater für Datenschutz und Datensicherheit unterstütze ich Sie jedoch bei der Minimierung dieser Risiken durch konkrete Maßnahmen im Bereich der IT Sicherheit und durch Sensibilisierung Ihrer Mitarbeiter durch Schulung und Aufklärung. Sie können Ihre Mitarbeiter zu den regelmäßigen Schulungen „Datenschutz und Datensicherheit“ schicken oder angepasste Schulungen auf Basis Ihrer vorhandenen (oder noch zu erstellenden) Nutzungsrichtlinien durch mich bei Ihnen vor Ort durchführen lassen. Sprechen Sie mich an.

Lesen Sie aktuelle Aussagen (07.07.2014) zu diesem Thema vom Verfassungsschutz-Präsident H.-G. Maaßen auf unserer Beratungs-Webpage.

[wpfilebase tag=’file‘ id=’2′]

Vergebliche Mühe

Seit Jahren bemüht sich die Deutsche Telekom um Verbesserungen im Umgang mit personenbezogenen Daten, nicht nur aufgrund zahlreicher Skandale. Wie zahlreiche Medien wie n-tv nun berichten, hat es beim Beschäftigendatenschutz nicht ganz gereicht.

120.000 Mitarbeiter betroffen

Eine interne Datenbank mit Angaben zu fast allen Mitarbeitern des Unternehmens samt Name, Anschrift und Gehalt stand einem größeren Mitarbeiterkreis zur Einsicht zur Verfügung, als eigentlich zulässig gewesen wäre. Die ursprünglich vorgesehene Anonymisierung war nicht erfolgt.

Seit 2002 soll die Datenbank in dieser Form verfügbar gewesen sein. Mittlerweile wurde sie vom Netz genommen. Ein externer Wirtschaftsprüfer soll die Ursachen und Folgen nun ermitteln. Der Betriebsrat läßt die Untersuchung durch einen eigenen Anwalt begleiten.

Nach Unternehmensangaben hat man von einem Mißbrauch der Daten bisher keine Kenntnis.