Datenschutz bei Microsoft 365 – Teil 4: Delve, MyAnalytics und Produktivitätsbewertung

Was sind Microsoft Delve, MyAnalytics und die Produktivitätsbewertung?

Microsoft Delve (kurz „Delve“) und Microsoft MyAnalytics (kurz „MyAnalytics“) dienen dazu, den Anwendern Hinweise zur eigenen Arbeitsweise sowie zur Zusammenarbeit mit anderen Kollegen zu geben. Auf Basis von Auswertungen erfahren Anwender, an welchen Dokumenten sie selbst und andere Personen arbeiten. Delve unterstützt beim Suchen nach Dokumenten und MyAnalytics soll die Anwender dabei unterstützen, Hinweise zur Optimierung der eigenen Arbeitsweise zu erhalten. Beide Module werten das Verhalten von Anwendern im Umgang mit Dateien, E-Mails und Kalender aus, so dass verschiedene Datenschutzaspekte zu beachten sind.

Im November 2020 führte Microsoft die Produktivitätsbewertung ein. Diese analysiert das Arbeitsverhalten des einzelnen Anwenders, erzeugt auf Basis aller Kollegen Durchschnittswerte und setzt dann das eigene Arbeitsverhalten in Relation zu diesen. Dabei gibt es zum einen die „Mitarbeitererfahrung“ und die „Technologieerfahrung“. Die Mitarbeitererfahrung vergleicht das eigene Verhalten in der Kommunikation, für Meetings und der Zusammenarbeit mit anderen sowie mit Dokumenten mit Kollegen. Microsoft misst z.B. wie lange die Videokamera beim Einsatz von MS Teams aktiviert ist oder ob Dateien in OneDrive oder Sharepoint gespeichert werden und ob Dateien nur intern oder auch mit Externen geteilt werden. Die Technologieerfahrung soll Hinweise darauf geben, wie verschiedene Anwender unterschiedliche Anwendungen nutzen oder ob sie von zu Hause aus oder am Arbeitsplatz im Unternehmen arbeiten.

Welche Datenschutzrisiken bestehen beim Einsatz von Microsoft Delve und MyAnalytics?

Da die beiden Module das Arbeitsverhalten von Anwendern auswerten, ist eine genaue Prüfung erforderlich. Diese ist jedoch nur möglich, wenn klar ist, welche Daten die Module analysieren und was mit den Ergebnissen passiert. Mit Hilfe des Office Graph wertet Microsoft das Nutzungs- und Arbeitsverhalten der Anwender aus, so erfasst dieser die folgenden Aktionen: Klicken, Öffnen, Ändern oder Speichern von Objekten; Interaktionen mit E-Mails; Suche nach Dokumenten und Informationen; soziale Interaktionen wie Liken von Dokumenten. Als Auswertungsquellen nutzen die Module sämtliche anderen Module von Microsoft 365. Insbesondere folgende Risiken sind bei einem Einsatz zu betrachten:

  • Delve und MyAnalytics sind standardmäßig aktiviert. Das ist ein klarer Widerspruch zu datenschutzfreundlichen Voreinstellungen der Datenschutz-Grundverordnung (DS-GVO). Die Produktivitätsbewertung ist dagegen standardmäßig deaktiviert.
  • Delve stellt dem Anwender und Kollegen dar, woran diese zuletzt gearbeitet haben und könnte Dokumente offenlegen, die normalerweise nicht zugänglich sind. Diese Möglichkeit besteht, sofern der Anwender diese Dokumente mit Kollegen geteilt hat. Beim unbedachten Teilen von Dokumenten mit allen Kollegen, können bestehende Berechtigungskonzepte umgangen werden. Konkret: Aus Versehen teilt eine Personalverantwortliche Bewerbungsunterlagen mit Personen, die gar nicht am Auswahlprozess beteiligt sind.
  • Delve bewertet welche Kollegen relevant für einen Anwender sind und mit wem diese häufig zusammenarbeiten. Dabei nutzt der Office Graph die häufigsten E-Mail-Kontakte, die Organisationstruktur und Informationen aus dem Active Directory. In vielen Fällen dürften die Risiken überschaubar sein. Es ist jedoch möglich, dass bestimmte Personen an geheimhaltungspflichtigen Projekten arbeiten, die auch nach innen (noch) nicht kommuniziert werden dürfen, und Delve die Zusammenarbeit offenlegt.
  • Kollegen könnten von Vorgesetzten aufgefordert werden, private Daten von sich zugänglich zu machen oder dies aus Versehen selbst veranlassen. Jeder Anwender kann sein eigenes Profil mit den folgenden Daten pflegen: Geburtsdatum, Mobiltelefonnummer, private Telefonnummer, eigene Beschreibung, Projekte, Qualifikationen und Fachkenntnisse, Schulen und Ausbildung, Interessen und Hobbys.
  • MyAnalytics bewertet das eigene Arbeitsverhalten ohne dass dies zuvor bekannt war, z.B. Verwendung der Arbeitszeit für Besprechungen, für E-Mails, Pausen zwischen Terminen, Interaktionen mit Kollegen oder Arbeit nach Feierabend. Grundsätzlich sind diese Daten nur durch den Anwender selbst und nicht durch Vorgesetzte oder Administratorinnen einsehbar. Bei einigen Kunden waren Mitarbeiter unangenehm überrascht, als sie plötzlich von Microsoft MyAnalytics über ihr Arbeitsverhalten informiert wurden ohne dass sie jemals im Vorfeld darüber informiert waren, dass das überhaupt passiert.

Hilfreiche organisatorische Regelungen für Microsoft Delve und MyAnalytics

  • Administrative Regelungen treffen, ob die Module überhaupt zum Einsatz kommen sollen. Bei der Bewertung sind die Datenschutzbeauftragten mit einzubeziehen.
  • Für Beschäftigte sollten klare Nutzungs- und Verhaltensvorgaben erstellt werden, um den Umgang mit Microsoft Delve, MyAnalytics und der Produktivitätsbewertung zu regeln:
    • Information über die Funktionsweise von Delve, MyAnalytics und der Produktivitätsbewertung, die Zwecke der Verarbeitungen und wozu diese dienen.
    • Festlegung wie Delve, MyAnalytics und die Produktivitätsbewertung zu verwenden sind, z.B. welche Dokumente mit anderen geteilt werden dürfen und dass dabei die bestehenden Berechtigungsstrukturen einzuhalten sind.
    • Regelung welche Daten in den Profilen Pflichtangaben sind, z.B. die geschäftlichen Kontaktdaten und welche Daten freiwillige Angaben sind und wer diese üblicherweise einsehen können soll.

Datenschutzfreundliche Voreinstellungen für Microsoft Delve und MyAnalytics

  • Zu allererst sind Delve und MyAnalytics bei jedem Rollout von Microsoft 365 standardmäßig durch das Administrationspersonal zu deaktivieren. Es gilt die Devise: Erst prüfen und dann (ggf.) nutzen!
  • Administratoren können auch den Office Graph unter Einstellungen im SharePoint Admin Center (Delve und verwandte Funktionen deaktivieren) deaktivieren.
  • Grundsätzlich gelten die gewählten Einstellungen. Wenn ein Dokument in Delve als Privat gekennzeichnet ist, dann kann nur der Anwender selbst eine Auswertung dazu sehen. Auch die Favoritenliste ist nur durch den Anwender selbst einsehbar.
  • Sensible und besonders schützenswerte Dokumente von der Anzeige in Delve ausschließen. Dies ist über die Einstellungen der Bibliothek (erweiterte Einstellungen) möglich.
  • Delve kann auch individuell von jedem Beschäftigten selbst deaktiviert werden. Die Einstellung kann jeder Anwender unter den Einstellungen vornehmen. So ist nicht mehr erkennbar, welche Dokument sich jemand angesehen hat, der Benutzer ist nach wie vor einsehbar.
  • Auch unter MyAnalytics kann jede Beschäftigte die Auswertungen selbständig deaktivieren. Unter den Einstellungen lässt sich MyAnalytics grundsätzlich oder auch die einzelnen Funktionen (Dashboard, Wöchentlicher Digest, Outlook-Add-In „Insights) deaktivieren.

Sollten Sie noch Fragen zum Datenschutz, Microsoft 365 oder Microsoft Delve und MyAnalytics haben, wenden Sie sich gerne an uns. Schauen Sie demnächst gerne wieder vorbei für den nächsten Teil unserer Microsoft 365-Reihe.

Sie benötigen professionelle Unterstützung zum Thema Datenschutz bei Microsoft 365? Lassen Sie sich jetzt von erfahrenen Datenschutzexperten bei ENSECUR beraten!
Zur Office 365 Datenschutz Beratung

Links zu weiteren Beiträgen der Reihe:

Teil 1: Grundlagen
Teil 2: Microsoft Forms
Teil 3: Microsoft Teams
Teil 5: Compliance
Teil 6: Yammer
Teil 7: OneDrive
Teil 8: Office Online – Word, Excel, PowerPoint, OneNote
Teil 9: Exchange
Teil 10: Intune
Teil 11: Admin Center

Link zu unserem White Paper Microsoft 365

Hilfreiche Links:

Aktualisierung: 30.01.21

Autor: Julian Häcker
Bild von mohamed Hassan auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.