Microsoft 365 und der Betriebsrat
Der Schutz vor Überwachung durch den Arbeitgeber ist eine der Aufgaben des Betriebsrates. Aus diesem Grund müssen sich der Betriebsrat im Bereich Datenschutz gut auskennen und mit dem Arbeitgeber Betriebsvereinbarungen für bestimmte Software-Produkte schließen. Das betrifft auch die Produkte, die unter der Marke Microsoft 365 zusammengefasst sind.
text
Was ist Microsoft 365?
Die Marke Microsoft 365 umfasst eine Vielzahl an Software-Produkten, die in der Cloud oder lokal und für die private oder geschäftliche Nutzung bereitgestellt werden. Bekanntestes Beispiel ist das Microsoft Office-Paket mit den Programmen Word, Excel und PowerPoint. Für Unternehmen sind die Cloud-Dienste wie SharePoint und der E-Mail-Client Outlook häufige Anwendungsfälle. Während der Coronapandemie wurde in vielen Unternehmen und Schulen Microsoft Teams eingerichtet – eine Kollaborationssoftware, die ebenfalls im Rahmen einer Microsoft 365-Lizenz genutzt werden kann.
Warum ist Microsoft 365 Mitbestimmungspflichtig?
Es gibt zwei Gründe dafür, warum Microsoft 365 nur dann in einem Unternehmen eingeführt werden kann, wenn der Betriebsrat zustimmt. Beide haben damit zu tun, dass sensible Informationen in falsche Hände geraten könnten.
1. Überwachung durch den Arbeitgeber
Der Betriebsrat muss dafür Sorge tragen, dass die Angestellten nicht durch den Arbeitgeber überwacht werden. Das Stichwort lautet: Verhaltens- und Leistungskontrolle. Doch Software wie Microsoft 365, die Stück für Stück die Büros erobert, schafft dazu immer neue Möglichkeiten durch die Aufzeichnung von Uhrzeiten und Kontakten oder die Dokumentation von Zugriffen und Speichervorgängen. Die Logfiles, die so entstehen, sind bestens dafür geeignet, einzelne Personen im Unternehmen nahezu lückenlos zu überwachen – ob man das nun möchte oder nicht. Es geht darum, dass die Möglichkeit theoretisch besteht.
Eine ausführliche Recherche dazu hat das Netzwerk Privacy International (PI) im Juni 2022 veröffentlicht: WFH - Watched from Home: Office 365 and workplace surveillance creep (englischsprachig)
2. Datenzugriff durch ausländische Behörden
Überwachung der Mitarbeiterinnen und Mitarbeiter droht auch von außerhalb. Viele große Software-Anbieter wie Microsoft haben Ihren Hauptsitz in den USA. Dort sorgt ein weitreichendes Gesetz, der CLOUD Act, dafür, dass Behörden fast uneingeschränkt auf Dateien zugreifen können, die in einem Cloud-Speicher liegen. Das widerspricht den Standards, die durch die DSGVO gesetzt wurden und unserem europäischen Verständnis von Datenschutz fundamental.
Erfahren Sie mehr zum Thema CLOUD Act in unserem Blogpost: Der CLOUD Act der USA
Personen- und Verhaltenskontrolle durch Microsoft 365
Die Kontrolle darüber, wer am Ende die sensiblen, personenbezogenen oder geheimen Informationen einsehen kann, die eine Angestellte innerhalb von Microsoft Teams an einen Kollegen schickt, ist also nicht möglich. Das Gleiche gilt für alle Dokumente, die in einer Cloud, wie Microsoft OneDrive und SharePoint, abgelegt werden.
Verschärft wird das Problem durch Dienste wie Delve, die Datenvisualisierung vornehmen und Dateien innerhalb von Microsoft Office 365 durchsuchen. Nur durch zusätzliche Sicherheitsvorkehrungen können die Angestellten die Veröffentlichung ihrer Datei-Inhalte durch Delve verhindern. Analysen mögen für den Arbeitgeber hilfreich sein, auf der individuellen Ebene greifen sie oft in das Persönlichkeitsrecht ein.
Zusammenfassend kann man sagen, dass Microsoft 365 deshalb mitbestimmungspflichtig ist, weil eine Überwachung der Mitarbeiterinnen und Mitarbeiter mithilfe dieser Software theoretisch möglich ist.
Betriebsvereinbarung zu Microsoft 365
Für mitbestimmungspflichtige Angelegenheiten nach § 87 BetrVG kann eine Betriebsvereinbarung getroffen werden. Darin legt der Betriebsrat mit der Unternehmensleitung fest, welche Voraussetzungen und Kontrollinstanzen geschaffen werden müssen, um eine bestimmte Software im Unternehmen einzuführen.
Für Betriebsvereinbarungen zur Nutzung von Microsoft 365 gibt es Vorlagen im Internet, die man sich zur Vorbereitung ansehen kann. Wichtig ist, dass der Arbeitgeber vor der Installation der Software an den Betriebsrat herantritt und detailliert Auskunft gibt. Das Kernthema: Ob und wie sollen die erfassen Daten genutzt werden.
Der Betriebsrat stimmt dann der Nutzung im Rahmen einer Betriebsvereinbarung zu oder lehnt sie ab. Er entscheidet dabei im Sinne des Persönlichkeitsrechts der Arbeitnehmerinnen und Arbeitnehmer.
Updates bedenken
Es ist wichtig, eine Betriebsvereinbarung im Software-Bereich nicht als etwas Statisches zu sehen, das einmal geschlossen wurde und für immer „erledigt“ ist. Gerade bei Software-Paketen wie Microsoft 365 gibt es oft Updates. Das bedeutet, dass sich die Voraussetzungen für den Datenschutz und die Einhaltung des Persönlichkeitsrechts ändern können.
Deshalb muss die Nutzung von Microsoft 365 laufend reguliert und begleitet werden. So vermeidet man, dass sich die Betriebsvereinbarung und die Nutzung der Software im Arbeitsalltag auseinanderentwickeln. Vermeiden lässt sich das Aufweichen der Regelung, indem eine Prozessvereinbarung abschließt, die laufend angepasst wird. Spezialisierte Dienstleister informieren automatisiert über mitbestimmungspflichtige Änderungen in Microsoft 365.