Tiefe Blicke in personenbezogene Daten
Entwickelt aus Microsoft Office, beinhaltet Microsoft 365 außer Programm-Klassikern wie Word, Excel, Outlook oder PowerPoint nun unter anderem auch Teams, Planner, OneDrive und diverse Security-Apps rund um die Bezeichnung „Purview“ – kurz: eine unüberschaubare Anzahl an Apps. Als Gesamtpakete werden sie etwa für die Zielgruppen Studierende, Familien, Kleinunternehmen und Großunternehmen verkauft. Selbst wenn nur Teile davon benötigt werden, finden sich stets weitere Apps und zusätzliche Funktionen mit im Paket. „Microsoft 365 bietet zahlreiche Schnittstellen und ist mit vielen Systemen kompatibel“, sagt Clara Fritsch. Sie arbeitet als Expertin in der Abteilung Arbeit und Technik der Gewerkschaft GPA und hat die Broschüre „Die wunderbare Welt von Microsoft – und wie der Betriebsrat sie mitgestalten kann“ verfasst. Rund 400 Millionen Abonnent:innen nutzen Microsoft 365 weltweit. Die Anwendungen sind cloudbasiert, die Komponenten der IT-Infrastruktur werden in ein Netzwerk von physischen und virtuellen Servern verlagert.
Neben der Software, die ein Unternehmen für seine Aufgaben tatsächlich benötigt, ergeben sich durch die Nutzung von Microsoft 365 eine Reihe von Verhaltens- und Leistungsdaten. Sie wurden im Paket mit eingekauft und stehen der Firma damit auch zur Verfügung. Da kann es bisweilen technisch oder aus Sicherheitsgründen durchaus sinnvoll sein, tiefer zu blicken und personenbezogene Daten zu verifizieren. Wenn etwa manche Arbeitnehmer:innen im Homeoffice öfters aus der Leitung fallen, müssen vielleicht Netzkapazitäten ausgebaut werden. Taucht ein Virus auf, ist es wichtig herauszufinden, auf welchem Gerät sich das Virus eingenistet hat.
Doch gerade bei personenbezogenen Daten, dazu zählen auch die IP-Adresse des PC und sämtlicher mobilen Geräte, müssen Grenzen gezogen werden. „Auszuwerten, wer im letzten Monat den Laptop erst nach 9 Uhr aufgedreht hat, um die Pünktlichkeit oder die Arbeitsleistung zu kontrollieren, sollte ein No-Go sein“, macht Clara Fritsch deutlich. „Ein derart komplexes und umfassend zur Überwachung der Beschäftigten geeignetes System wie Microsoft 365 muss natürlich mit einer Betriebsvereinbarung geregelt werden. Das ist im Arbeitsverfassungsgesetz festgeschrieben.“
Grenzwächter Betriebsvereinbarung
Denn die Versuchung, Grenzen zu überschreiten, ist mitunter verlockend. Die App Microsoft Forms beispielsweise hilft dabei, Online-Umfragen zu erstellen: „Es ist aber ein großer Unterschied, ob das Thema der nächste Betriebsausflug oder die Führungsqualität meines Chefs ist und ob die Umfrage sachlich oder wertend ist“, erklärt der Betriebsinformatiker Thomas Riesenecker von der Forschungs- und Beratungsstelle Arbeitswelt (FORBA). Natürlich könnten die Vorgesetzten bei Fragen zu ihrer Führungsqualität Interesse daran haben, wer wie geantwortet hat. „Das wäre technisch leicht herauszufinden, deshalb ist es wichtig, in der Betriebsvereinbarung Spielregeln dafür festzulegen.“
Ein derart komplexes und zur Überwachung
der Beschäftigten geeignetes System wie
Microsoft 365 muss natürlich mit einer
Betriebsvereinbarung geregelt werden.
Clara Fritsch, Abteilung Arbeit & Technik in der GPA
Ein erster Schritt dabei wäre, festzuschreiben, welche Software für welchen Zweck eingesetzt wird und wer im Unternehmen die Ansprechpartner:innen sind. Zumindest eine grobe Übersicht über die verwendeten Programme von Microsoft 365 ist empfehlenswert – jeder einzelnen App und Einstellung samt tagesaktueller Updates können Betriebsrät:innen nicht nachlaufen. Clara Fritsch: „Für das Betriebsrats-Gremium ist es einerseits wichtig, zentrale Eckpunkte zur App-Nutzung in einer Rahmenbetriebsvereinbarung zu regeln, dazu bietet die GPA ein Muster an. Zusätzlich braucht es im Betrieb Kooperationspartner:innen mit technischer Expertise – Leute, die sich mit der App gut auskennen oder in der IT-Abteilung arbeiten und dabei helfen können, dranzubleiben.“
Abhängig von Microsoft
Denn Microsoft kann einfach die App ändern, Funktionen abschalten oder neue hinzufügen. Weder das Unternehmen noch die Arbeitnehmer:innen können diesen Vorgang beeinflussen: „Eine Besonderheit der Cloudtechnologie ist, dass viele nicht wissen, wie das Produkt nächste Woche aussieht. Das stellt Unternehmen vor Herausforderungen“, so Riesenecker. Früher wurden Produkt-Lizenzen gekauft, die Software wurde im Unternehmen installiert. Jedes halbe Jahr wurden Erneuerungen, sogenannte Releases, geliefert und die IT-Abteilungen konnten sich noch aktiv in die Unternehmen einbringen. Durch die Nutzung der Cloud macht das jetzt der Hersteller selbst.
KI ist auch hier dabei
Diese Programme setzen seit geraumer Zeit auf künstliche Intelligenz. „Zum derzeitigen Hype um den Chatbot ChatGPT hat Microsoft höchstselbst beigetragen. Es ist am Unternehmen OpenAI, das den ChatBot entwickelt hat, beteiligt“, erklärt Clara Fritsch. Die Technologie von ChatGPT kommt nun in Microsoft 365 Copilot zum Einsatz. Durch die Verknüpfung mit diversen Apps von Microsoft 365 soll der Copilot dabei helfen, die Kreativität und Produktivität zu steigern und Aufgaben schneller und effizienter zu erledigen.
Wer beispielsweise das E-Mail-Programm Outlook von Microsoft 365 nutzt, mag sich fragen, woher die guten Antwortvorschläge auf E-Mails kommen – auch hier ist ein mitlernender Algorithmus, also eine KI, eingebaut. Und der ist nicht immer neutral. Die KI sorgte etwa dafür, dass Nutzer:innen, die nach dem Browser Google Chrome suchten, vor allem Antworten erhielten, in der die Vorzüge der Microsoft-Suchmaschine beworben wurden. Als Medien dies kritisch aufgriffen, reagierte Microsoft etwas kleinlaut: Es handle sich nur um ein Experiment, das man infolge des negativen Feedbacks auch schon wieder beendet habe.
Der Versuchung einen Riegel vorschieben
Keine einfache Angelegenheit, bei Microsoft 365 den Überblick zu bewahren: Durch ständige Änderungen und Innovationen ist es schwierig, eine Betriebsvereinbarung auf dem neuesten Stand zu halten. Die Möglichkeiten, die Microsoft Teams bietet, wurden nicht zuletzt während der Corona-Pandemie massiv erweitert. Teams ist mittlerweile weit mehr als bloß ein Tool für Videokonferenzen. Es ermöglicht die Auswertung von Online-Meetings und kann dabei unter anderem die Dauer der Redebeiträge protokollieren – neue Möglichkeiten, von denen auch Vorgesetzte selten wissen.
Der Betriebsrat sollte bei der Einführung von KI-Systemen
möglichst frühzeitig eingebunden werden.
Sebastian Klocker, Datenschutzexperte
Und weil sie viele dieser Möglichkeiten nicht kennen, wollen sie deren Nutzung auch datenschutzrechtlich nicht regeln, nach dem Motto: „Was wollen wir da regeln? Die Funktion wird ja nicht genutzt!“ So einfach ist das nicht. Damit allen Versuchungen ein Riegel vorgeschoben wird, meint Fritsch, müsse in der Betriebsvereinbarung formuliert werden, diese Daten nicht zu verwenden. Im Laufe der Zeit können sich nicht nur die App-Funktionen ändern, sondern auch die Arbeitsinhalte verschieben. Daher ist es sinnvoll, die Regeln immer wieder zu überprüfen. „Einmal im Jahr sollte man sich im Unternehmen zusammensetzen und evaluieren, ob die Betriebsvereinbarung nach wie vor passt“, so Clara Fritsch.
Ebenso wichtig: Speicherfristen, Zweckbindung und eine Folgenabschätzung in der Betriebsvereinbarung zu regeln. Auch Schulungen für Arbeitnehmer:innen, die klarmachen, was im Hintergrund von Microsoft 365 passiert, wären sinnvoll. Wie der Betriebsrat bei Microsoft 365 mitgestalten kann, erklärt Fritsch unter anderem in GPA-Workshops. Außerdem berät die GPA auch beim Erarbeiten einer maßgeschneiderten Betriebsvereinbarung. Fritsch betreut etwa ein Industrieunternehmen aus der Sicherheitstechnik, das international tätig ist. Eine Rahmenbetriebsvereinbarung zu Microsoft 365 ist in Deutschland bereits in Kraft, sie enthält viele Regelungen, die sich bewährt haben. Mithilfe der GPA wurden für Österreich relevante Punkte eingefügt und an die österreichische Gesetzgebung angepasst. 80 Seiten haben GPA und Betriebsrat gemeinsam durchgeackert, erinnert sich Fritsch.
Nicht immer gesetzestreu
Dabei ist unklar, was Microsoft detailliert mit dem riesigen Datenfluss macht. Offiziell entnimmt das Unternehmen nur Daten, um das sogenannte Nutzer:innen-Erlebnis zu optimieren. Dabei wird nicht immer um die gesetzlich vorgesehene Erlaubnis gefragt. Die erste Version des Rechtschreibprogramms von Word wurde beispielsweise in den USA einfach mitgetrackt, ohne dass Nutzer:innen dem zugestimmt hätten. Da aus den Geschäftsbedingungen und Verträgen mit den Kund:innen nicht klar ersichtlich ist, welche Daten seiner Kund:innen Microsoft 365 verwendet und wofür, verstößt die Software gegen die europäische Datenschutzgrundverordnung. Darüber ist sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands einig.
Auch das niederländische Justizministerium hatte bereits 2019 rechtliche Bedenken: „Die sind aber damals durch Nachbesserungen von Microsoft ausgeräumt worden“, sagt Thomas Riesenecker von FORBA. Eine unerlaubte Verwendung oder Weitergabe von Firmendaten durch Microsoft würde, so glaubt er, dem Unternehmen mehr schaden als nutzen. „Es wäre für das Geschäftsmodell von Microsoft existenziell gefährdend, wenn kolportiert werden würde, sie hätten Zugriff auf Daten von fremden Unternehmen und würden diese für unlautere Zwecke verwenden.“
Drei Fragen zur Einführung von KI-System an …
… Sebastian Klocker, Datenschutzexperte und Leiter des neuen Kompetenzzentrums Arbeit und Technik im ÖGB
Das Kompetenzzentrum Arbeit und Technik (KAT) ist eine neue Initiative des ÖGB. Durch Grundlagenarbeit will es die Mitbestimmung der Arbeitnehmer:innen bei der Einführung von neuer betrieblicher Software unterstützen. Sebastian Klocker leitet das Kompetenzzentrum und berät Gewerkschaften bei Fragen zu Digitalisierung und Einführung von KI-Systemen.
1 / Was muss der Betriebsrat bei der Einführung von KI-Systemen beachten?
Der Betriebsrat sollte möglichst frühzeitig eingebunden werden. Ein Großteil dieser Systeme bedarf bei der Einführung der Zustimmung des Betriebsrats. Diese Prozesse gestalten sich oft sehr komplex. Das betrifft ethische Fragen, Datenschutz und rechtliche Rahmenbedingungen ebenso wie die Frage der Qualifizierung von Beschäftigten und die Auswirkungen auf deren Arbeitsplätze.
2 / Wie unterstützt das Kompetenzzentrum Arbeit und Technik (KAT) dabei?
Das KAT begleitet diese Prozesse durch kontinuierliche Grundlagenarbeit und steht den Gewerkschaften mit Rat und Tat zur Seite. Die Gewerkschaften beraten dann Betriebsrät:innen.
3 / Welche Schwerpunkte stehen im KAT an?
Neben der betrieblichen Mitbestimmung wird zukünftig ein Schwerpunkt auf Beschäftigtendatenschutz liegen. Es geht aber auch um Austausch und Vernetzung zwischen Gewerkschaften und Arbeiterkammern im Bereich Datenschutz und Digitalisierung.
Kontakt sebastian.klocker@oegb.at