Was ist Yammer?
Yammer ist ein Dienst in Office 365. Er soll ähnlich eines sozialen Netzwerks die Kommunikation unterschiedlicher Personen um einen zusätzlichen Kommunikationskanal erweitern. Unterschiedliche Funktionen ermöglichen es den Nutzern, Informationen oder bestimmte Aussagen über eine Übersichtsseite anderen Nutzern wie bei Twitter oder Facebook mitzuteilen. Interessierte Kollegen können diese Informationen „liken“, kommentieren oder verteilen. Außerdem gibt es die Möglichkeit, anderen Nutzern zu folgen. So kann man deren Nachrichten regelmäßig folgen. Es ist auch möglich, Gruppen zu bestimmten Themen zu eröffnen. Einfacher formuliert: Yammer ist ein soziales Netzwerk für Unternehmen. Da Yammer auch Auswertungsmöglichkeiten zum Nutzungsverhalten ermöglicht, stellen sich verschiedene Fragen zum Datenschutz.
Welche Datenschutzrisiken bestehen beim Einsatz von Yammer?
Wie auch bei privaten sozialen Netzwerken sollten Nutzer bestimmte Gesichtspunkte beim Einsatz von Yammer berücksichtigen. Yammer steht allen Mitarbeiterinnen und Mitarbeitern zur Verfügung steht. Daher stellt sich die Frage, für welche Art von Kommunikation das soziale Netzwerk geeignet ist und welche Datenschutzrisiken es geben kann:
- Ist die Nachricht für Yammer geeignet? Je nach Inhalt kann Yammer als Kommunikationsmedium ungeeignet sein. Ergebnisse eines Personalgesprächs oder Inhalte eines vertraulichen Gesprächs gehören selbstverständlich nicht in ein soziales Netzwerk.
- Sind die Berechtigungen für Yammer Gruppen sorgfältig vergeben? Öffentlichen Gruppen kann jeder beitreten, für private Gruppen ist eine Einladung erforderlich. Je nach thematischem Schwerpunkt ist sicherzustellen, dass die Vergabeberechtigten nur die erforderlichen bzw. berechtigten Personen in eine bestimmte Gruppe aufnehmen. Dies gilt speziell bei externen Gruppen, da in diese auch unternehmensfremde Personen aufgenommen werden können.
- Ist die Nutzung von Anwenderprofilen freiwillig? Nutzer in Yammer können ein Profil mit Fähigkeiten pflegen. Vorgesetzte könnten unwissend das Befüllen dieses Profils als verpflichtend vorgeben und dabei vergessen, dass diese Datenverarbeitung nicht erforderlich für die Durchführung des Beschäftigungsverhältnisses ist.
- Welche Auswertungen sind im Einsatz? Yammer bietet Auswertungsmöglichkeiten zum Nutzungsverhalten an. Wie bei allen Auswertungen ist der Zweck gemäß DS-GVO zu definieren. Dazu gehört auch zu prüfen, ob die Auswertungen erforderlich und angemessen sind.
Hilfreiche organisatorische Regelungen für Yammer unter Office 365
- Für Beschäftigte sollten klare Nutzungs- und Verhaltensvorgaben erstellt werden, um den Umgang mit Microsoft Yammer zu regeln:
- Information über die Funktionsweise von Yammer, die Zwecke der Verarbeitungen und wozu diese dienen.
- Festlegung, wie Yammer zu verwenden ist, z.B. welche Dokumente mit anderen geteilt werden dürfen und dass dabei die bestehenden Berechtigungsstrukturen einzuhalten sind. Zudem ist zu überprüfen, welche Inhalte für Yammer geeignet sind und welche nicht. Personalthemen, Krankmeldungen, Sachverhalte mit besonders schützenswerten Daten oder Daten, die Schweigepflichten unterliegen, sind grundsätzlich für Yammer ungeeignet. Sie können die Vorgaben in der Nutzungsrichtlinie in den Administrationseinstellungen hinterlegen.
- Regelung darüber,
- welche Daten in den Profilen Pflichtangaben sind, z.B. die geschäftlichen Kontaktdaten,
- welche Daten freiwillige Angaben sind,
Beim Pflegen ihrer Profile sollten alle darauf achten, dass sie keine Geheimnisse aus Versehen offenbaren.
- Hinweise für die Nutzer von Yammer zur Vergabe von Berechtigungen: Generell sind Berechtigungen nur nach Erforderlichkeit zu vergeben. Definieren Sie diese Hinweise in der Nutzungsrichtlinie.
- Auf administrativer Ebene sollten Sie Regelungen treffen, ob Auswertungsmöglichkeiten überhaupt zum Einsatz kommen. Bei dieser Bewertung sind die Datenschutzbeauftragten einzubinden.
Datenschutzfreundliche Voreinstellungen für Yammer nach DS-GVO
- Achten Sie bei der Administration bei Berechtigungsvergaben auf das Erforderlichkeitsprinzip und die Schutzwürdigkeit der Inhalte. Generell sollten nur die Personen in einer Gruppe sein, die zu einem bestimmten Thema zusammenarbeiten. Richtet sich eine Gruppe an alle Beschäftigten, wie z.B. der Speiseplan der Kantine, so dürfen selbstverständlich sämtliche Mitarbeitenden Mitglied der Gruppe sein.
- Deaktivieren Sie als Administrator Auswertungsmöglichkeiten der Benutzeraktivitäten standardmäßig. Es gilt die Devise: Erst prüfen und dann (ggf.) nutzen!
- Administratoren können Dateiuploads durch Regeln verhindern und einschränken.
- Eine Protokollierung ermöglicht die Eingabekontrolle und kann dabei helfen, Änderungen an Benutzern, Gruppen und Administratoren nachzuvollziehen. Selbstverständlich muss die Konfiguration der Protokollierung wieder datensparsam und erforderlich sein.
- Für den Zugriff auf Yammer mit mobilen Endgeräten können Administratoren mittels Microsoft Intune Einstellungen zu Sicherheit und Zugriffsmöglichkeiten vornehmen.
- Über die Sicherheitseinstellungen kann die Kommunikation zu externen Teilnehmer unterbunden werden, indem IP-Bereiche eingeschränkt werden können.
- Sie können die ausfüllbaren Profilfelder auf das erforderliche Maß reduzieren.
Sollten Sie noch Fragen zum Datenschutz, Microsoft 365 oder dem DS-GVO-konformen Einsatz von Yammer haben, freuen wir uns über Ihre Nachricht. Schauen Sie demnächst gerne wieder vorbei für den nächsten Teil unserer Microsoft 365-Reihe.
Sie benötigen professionelle Unterstützung zum Thema Datenschutz bei Microsoft 365? Lassen Sie sich jetzt von erfahrenen Datenschutzexperten bei ENSECUR beraten!
Zur Office 365 Datenschutz Beratung
Links zu weiteren Beiträgen der Reihe:
Teil 1: Grundlagen
Teil 2: Microsoft Forms
Teil 3: Microsoft Teams
Teil 4: Delve, MyAnalytics und Produktivitätsbewertung
Teil 5: Compliance
Teil 7: OneDrive
Teil 8: Office Online – Word, Excel, PowerPoint, OneNote
Teil 9: Exchange
Teil 10: Intune
Teil 11: Admin Center
Link zu unserem White Paper Microsoft 365
Hilfreiche Links: