Header für Microsoft365 und den Betriebsrat

Microsoft 365 und der Betriebsrat

Der Schutz vor Überwachung durch den Arbeitgeber ist eine der Aufgaben des Betriebsrates. Aus diesem Grund müssen sich der Betriebsrat im Bereich Datenschutz gut auskennen und mit dem Arbeitgeber Betriebsvereinbarungen für bestimmte Software-Produkte schließen. Das betrifft auch die Produkte, die unter der Marke Microsoft 365 zusammengefasst sind.

text

Was ist Microsoft 365?

Die Marke Microsoft 365 umfasst eine Vielzahl an Software-Produkten, die in der Cloud oder lokal und für die private oder geschäftliche Nutzung bereitgestellt werden. Bekanntestes Beispiel ist das Microsoft Office-Paket mit den Programmen Word, Excel und PowerPoint. Für Unternehmen sind die Cloud-Dienste wie SharePoint und der E-Mail-Client Outlook häufige Anwendungsfälle. Während der Coronapandemie wurde in vielen Unternehmen und Schulen Microsoft Teams eingerichtet – eine Kollaborationssoftware, die ebenfalls im Rahmen einer Microsoft 365-Lizenz genutzt werden kann.

Warum ist Microsoft 365 Mitbestimmungspflichtig?

Es gibt zwei Gründe dafür, warum Microsoft 365 nur dann in einem Unternehmen eingeführt werden kann, wenn der Betriebsrat zustimmt. Beide haben damit zu tun, dass sensible Informationen in falsche Hände geraten könnten.

1. Überwachung durch den Arbeitgeber

Der Betriebsrat muss dafür Sorge tragen, dass die Angestellten nicht durch den Arbeitgeber überwacht werden. Das Stichwort lautet: Verhaltens- und Leistungskontrolle. Doch Software wie Microsoft 365, die Stück für Stück die Büros erobert, schafft dazu immer neue Möglichkeiten durch die Aufzeichnung von Uhrzeiten und Kontakten oder die Dokumentation von Zugriffen und Speichervorgängen. Die Logfiles, die so entstehen, sind bestens dafür geeignet, einzelne Personen im Unternehmen nahezu lückenlos zu überwachen – ob man das nun möchte oder nicht. Es geht darum, dass die Möglichkeit theoretisch besteht.

Eine ausführliche Recherche dazu hat das Netzwerk Privacy International (PI) im Juni 2022 veröffentlicht: WFH - Watched from Home: Office 365 and workplace surveillance creep (englischsprachig)

2. Datenzugriff durch ausländische Behörden

Überwachung der Mitarbeiterinnen und Mitarbeiter droht auch von außerhalb. Viele große Software-Anbieter wie Microsoft haben Ihren Hauptsitz in den USA. Dort sorgt ein weitreichendes Gesetz, der CLOUD Act, dafür, dass Behörden fast uneingeschränkt auf Dateien zugreifen können, die in einem Cloud-Speicher liegen. Das widerspricht den Standards, die durch die DSGVO gesetzt wurden und unserem europäischen Verständnis von Datenschutz fundamental.

Erfahren Sie mehr zum Thema CLOUD Act in unserem Blogpost: Der CLOUD Act der USA

Personen- und Verhaltenskontrolle durch Microsoft 365

Die Kontrolle darüber, wer am Ende die sensiblen, personenbezogenen oder geheimen Informationen einsehen kann, die eine Angestellte innerhalb von Microsoft Teams an einen Kollegen schickt, ist also nicht möglich. Das Gleiche gilt für alle Dokumente, die in einer Cloud, wie Microsoft OneDrive und SharePoint, abgelegt werden.

Verschärft wird das Problem durch Dienste wie Delve, die Datenvisualisierung vornehmen und Dateien innerhalb von Microsoft Office 365 durchsuchen. Nur durch zusätzliche Sicherheitsvorkehrungen können die Angestellten die Veröffentlichung ihrer Datei-Inhalte durch Delve verhindern. Analysen mögen für den Arbeitgeber hilfreich sein, auf der individuellen Ebene greifen sie oft in das Persönlichkeitsrecht ein.

Zusammenfassend kann man sagen, dass Microsoft 365 deshalb mitbestimmungspflichtig ist, weil eine Überwachung der Mitarbeiterinnen und Mitarbeiter mithilfe dieser Software theoretisch möglich ist.

Betriebsvereinbarung zu Microsoft 365

Für mitbestimmungspflichtige Angelegenheiten nach § 87 BetrVG kann eine Betriebsvereinbarung getroffen werden. Darin legt der Betriebsrat mit der Unternehmensleitung fest, welche Voraussetzungen und Kontrollinstanzen geschaffen werden müssen, um eine bestimmte Software im Unternehmen einzuführen.

Für Betriebsvereinbarungen zur Nutzung von Microsoft 365 gibt es Vorlagen im Internet, die man sich zur Vorbereitung ansehen kann. Wichtig ist, dass der Arbeitgeber vor der Installation der Software an den Betriebsrat herantritt und detailliert Auskunft gibt. Das Kernthema: Ob und wie sollen die erfassen Daten genutzt werden.

Der Betriebsrat stimmt dann der Nutzung im Rahmen einer Betriebsvereinbarung zu oder lehnt sie ab. Er entscheidet dabei im Sinne des Persönlichkeitsrechts der Arbeitnehmerinnen und Arbeitnehmer.

Updates bedenken

Es ist wichtig, eine Betriebsvereinbarung im Software-Bereich nicht als etwas Statisches zu sehen, das einmal geschlossen wurde und für immer „erledigt“ ist. Gerade bei Software-Paketen wie Microsoft 365 gibt es oft Updates. Das bedeutet, dass sich die Voraussetzungen für den Datenschutz und die Einhaltung des Persönlichkeitsrechts ändern können.

Deshalb muss die Nutzung von Microsoft 365 laufend reguliert und begleitet werden. So vermeidet man, dass sich die Betriebsvereinbarung und die Nutzung der Software im Arbeitsalltag auseinanderentwickeln. Vermeiden lässt sich das Aufweichen der Regelung, indem eine Prozessvereinbarung abschließt, die laufend angepasst wird. Spezialisierte Dienstleister informieren automatisiert über mitbestimmungspflichtige Änderungen in Microsoft 365.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

Ransomware 2

Die jüngsten Datenlecks bei Uber und Rockstar Games' GTA6

Eine weitere Serie von Cyberangriffen auf große Unternehmen hat im September für Aufsehen gesorgt. Lesen Sie weiter, um zu erfahren, was schief gelaufen ist und was Sie aus den Fehlern dieser Unternehmen lernen können.

Das neue Boxcryptor für macOS

Die neue Boxcryptor-App für macOS ist da

Das neue Boxcryptor für macOS ist endlich da – und es hat sich eine Menge getan! Lesen Sie über unsere Beweggründe, die Vorteile dieser neuen Version und warum sie Boxcryptor in eine hervorragende Position für die Zukunft bringt.

Microsoft 365 Checker

Microsoft 365 – behalten Sie die Kontrolle!

Für Betriebsräte: Automatischer Check der TOMs zum Schutz personenbezogener Daten durch den Microsoft 365 Checker von Konverion. Jetzt kostenlos 30 Tage lang testen.