»Solche Anfragen kommen häufig. Der Betriebsrat besteht aus wenigen Mitgliedern, niemand ist freigestellt, das Gremium fühlt sich überfordert mit der Beurteilung von Microsoft 365. Der Arbeitgeber macht zusätzlich Druck – das Roll-out soll bald starten. Schnell will er noch die Zustimmung des Betriebsrats einholen. Ein typischer Fall*.

Der Betriebsrat könnte auf § 90, Abs. 2 Betriebsverfassungsgesetz hinweisen, wonach der Arbeitgeber mit dem Betriebsrat die vorgesehenen Maßnahmen und ihre Auswirkungen auf die Beschäftigten, insbesondere auf die Art ihrer Arbeit, so rechtzeitig zu beraten hat, dass Vorschläge und Bedenken des Betriebsrats bei der Planung berücksichtigt werden können. Vier Wochen sind nicht ausreichend. Der Arbeitgeber muss sich also noch gedulden. Das mindert den Stress für den Betriebsrat und man hat Zeit, sich den wichtigen Fragen zu widmen.

Erste Frage: Welche Informationen hat der Arbeitgeber dem Betriebsrat übermittelt? Der Arbeitgeber kommt seiner gesetzlichen Informationspflicht nicht nach, indem er dem Betriebsrat lediglich einen Link zur Microsoft-Dokumentations-Website schickt. Es kann nicht sein, dass sich der Betriebsrat stundenlang durch die für Laien unverständlichen Seiten des US-amerikanischen Technologieunternehmens klicken muss. Und welche Lizenz hat das Unternehmen von Microsoft erworben? Auch das hat der Arbeitgeber dem Betriebsrat nicht mitgeteilt.

Nächste Frage: Wieso wird Microsoft 365 eingeführt? Was ist das Ziel des Betriebs? Wenn es dem Betrieb nur um ein Kommunikations- und Textverarbeitungsprogramm geht, genügt eventuell ein weniger invasives Programm? Also eines, das darauf ausgelegt ist, sich den Bedürfnissen von Unternehmen, Prozessen und Mitarbeitern anzupassen?

Denn Microsoft ist nicht ganz frei von Problemen: Da ist zunächst der ungeklärte und intransparente  Zweck, für den Microsoft 365 Daten verarbeitet. Artikel 5 der Datenschutzgrundverordnung verpflichtet aber, dass für jeden Verarbeitungsvorgang von personenbezogenen Daten ein Zweck definiert und klar ersichtlich sein muss.

Keine Frage. Microsoft 365 ist praktisch. Alles läuft übers Internet; Daten und Dokumente liegen in der Cloud auf den Servern des US-Konzerns. Die Software ist immer auf dem neuesten Stand. Eine Aktualisierung auf jedem einzelnen Firmenrechner ist nicht nötig. Die Software ist sogar preiswert. Allerdings hat Microsoft angekündigt, seine Preise halbjährlich zu erhöhen.

Überdies bietet MS 365 viele Anwendungen – von klassischen Büroanwendungen bis zu Plattformen zum gemeinsamen, ortunabhängigen Arbeiten an Dokumenten und Projekten, zum Videokonferieren und Chatten. MS 365 liefert das Handwerkszeug für einen modernen, digitalen Büroarbeitsplatz.

Jeder Klick wird registriert

In diesem Fall versichert der Arbeitgeber dem Betriebsrat, mit MS 365 keine Verhaltens- und Leistungskontrolle anzustreben. Das Problem: Microsoft 365 ist eine permanente Verhaltens- und Leistungskontrolle. Der Microsoft Graph – ein Algorithmus –  ist ein Datenschlund, der sämtliche Verarbeitungsvorgänge schluckt und je nach Analyse und Anwendung wieder ausspuckt.

Konkret: Jede E-Mail, die geöffnet wird, jede Suchanfrage bei Outlook, jede Notiz in OneNote, jede Zahl in der Excel-Tabelle, jedes Dokument, jeder Chat, jede angenommene und abgelehnte Teilnahme an der Videokonferenz wird registriert und gespeichert. Den Graph kann man laut Microsoft nicht abschalten. Er sei für die Funktionalität der Software wichtig und diene darüber hinaus der Qualitätskontrolle, sagt das Unternehmen. Und über Anwendungen, die zum Beispiel mithilfe von Power Apps erstellt wurden, lassen sich doch Möglichkeiten finden. Darum ist es wichtig, hier genau zu regeln, was gemacht werden darf und was nicht.

Einzelne Anwendungen abschalten

Was tun? Ich empfehle einzelne Anwendungen abzuschalten, etwa Microsoft Viva, die Produktivitäts- und Analyseplattform, in die Workplace Analytics eingebunden wurde. Bei Viva Insights gibt es nach Aussage des Unternehmens unter anderem Feedbacks zu Besprechungen und Lob für sogenannte Erfolge. Die Dauer der wöchentlichen Meetings, fürs E-Mail-Verfassen und vieles mehr werden erfasst. Tatsächlich hat Microsoft willkürliche Messgrößen definiert. Ist jemand produktiv, der viele Mails schreibt, und ein anderer unproduktiv, weil er für das mehrseitige Gutachten nur eine einzige E-Mail verschickt? Das ist nicht nachzuvollziehen und widerspricht überdies dem Transparenzgrundsatz nach Artikel 5 Datenschutzgrundverordnung. Was passiert, wenn solche sogenannten Produktivitätsergebnisse für ein Prämiensystem relevant werden?

Auch das soziale Beziehungsgeflecht der Belegschaft kann abgebildet werden: Wer teilt die Dokumente mit wem? Wer öffnet die E-Mails von wem nie? Wer ist mit wem häufig in Videokonferenzen?

Mit der eDiscovery von MS 365 ist es dem Arbeitgeber möglich, auf sämtliche Inhalte zuzugreifen – er kann E-Mails, alle unverschlüsselten Dokumente auf dem Sharepoint oder im OneDrive sowie alle Chats und Videoaufzeichnungen aus Teams lesen. Kurzum: Kein geschriebenes und gesprochenes Wort ist mehr anonym.

Datenschutzkonformität umstritten

An der Stelle wird häufig eingewendet, dass ein Arbeitgeber weder die Zeit noch das Interesse hat, solche Datenmengen zu nutzen. Das mag für den Augenblick richtig sein. Doch vielleicht sucht der Arbeitgeber nach Gründen, um einen speziellen Beschäftigten loszuwerden oder ein Betriebsratsmitglied auszuspionieren. Ein Arbeitgeber, der kein Interesse an Verhaltens- und Leistungskontrolle hat, wird dem Abschalten dieser Anwendungen zustimmen.

Ist MS 365 datenschutzkonform? Das ist umstritten. Die Datenschutzbeauftragten der Länder kommen zu dem Urteil, dass die Software nicht vereinbar ist mit der Datenschutzgrundverordnung. Das Unternehmen widerspricht.

Ich empfehle Betriebsräten, eine Rahmenbetriebsvereinbarung abzuschließen. Darin sollte genau festgelegt werden, welche Anwendungen für welche Zwecke verwendet werden dürfen. Daraus ergibt sich: Alles andere ist verboten. Alle Analysetools müssen abgeschaltet werden, mit denen Beschäftigte überwacht werden können oder deren Leistung gemessen werden kann. Auch die Aufzeichnung von Teams-Konferenzen muss ausgeschlossen werden. Der Betriebsrat braucht umfassende Leserechte, damit Einstellungen nicht ohne sein Wissen verändert werden können.

Auch Sanktionsmechanismen zu integrieren bietet sich an, damit die Vereinbarung nicht nur auf dem Papier bedeutend ist.

Updates regeln

Außerdem muss der Umgang mit Updates geregelt werden. Bewährt hat sich, wenn Vertreter*innen des Betriebsrats und des Arbeitgebers regelmäßig über die Updates beratschlagen. Was sind unproblematische Updates und was sind zwingend mitbestimmungspflichtige Updates, weil sie etwa eine Zweckänderung in der Datenverarbeitung mit sich bringen?

In einer Betriebsvereinbarung gehört auch der Gesundheitsschutz geregelt. Beschäftigte sollten vor digitaler Überforderung durch Chats, E-Mails, Anrufe per Teams und Telefon geschützt werden. Wichtig ist, die Erreichbarkeit zu regeln und Schulungs- und Qualifizierungskonzepte zu entwickeln. Wer sich auskennt, hat weniger Stress.

Meine Rolle als Technologieberater besteht darin, Betriebs-, Personalräte oder Mitarbeitervertretungen über mögliche Risiken zu informieren, die Microsoft 365 für alle Beschäftigten mit sich bringt. Und zu sensibilisieren, welche Datenmengen anfallen, welche Gefährdungen das birgt und welche Möglichkeiten der Analyse und Auswertung sich für den Arbeitgeber ergeben.

Mein Fazit: Es ist unbedingt notwendig, dass die Interessenvertretungen ihre Mitbestimmung bei Microsoft 365 zum Schutz der Beschäftigten wahrnehmen. Ein Tipp: Nach § 80 Abs. 3 Betriebsverfassungsgesetz kann der Betriebsrat einen Sachverständigen hinzuziehen. Unbedingt tun!«

* Der Fall wurde anonymisiert.