08.12.2020

Productivity Score & Workplace Analytics: Mehrwert und Datenschutz

Ist es legitim, Daten zur Nutzung von Microsoft 365 Komponenten auszuwerten und weiter zu nutzen?

Aktuell wird verstärkt öffentlich über die Funktionen innerhalb von Microsoft 365 diskutiert, die es ermöglichen, Arbeitsgewohnheiten von Mitarbeitern zu analysieren. Im Fokus stehen dabei folgende Fragen: Ist es legitim, Daten zur Nutzung von Microsoft 365 Komponenten auszuwerten? Und dürfen diese Auswertungen Administratoren und anderen Benutzergruppen gestellt werden? In diesem Kontext wird mit entsprechenden Aspekten wie der DSGVO und betrieblicher Mitbestimmung argumentiert, und auch eventuell eingeschränkte Persönlichkeitsrechte werden angeführt. 

Auf Basis unserer langjährigen Erfahrung in der Einführung von Microsoft 365 Lösungen möchten wir dieses Thema von der Praxisseite beleuchten.

Um welche Produkte geht es?

In der Presse wurden in den letzten Tagen vor allem die Produkte „Workplace Analytics“ und „Productivity Score“ in den Vordergrund gestellt. Bei beiden Lösungen steht die Auswertung von Nutzungsdaten für die Optimierung der Zusammenarbeit im Vordergrund. Wichtig vorweg zu nehmen: Beide Komponenten können komplett deaktiviert werden bzw. sind nicht vom Start weg aktiv.

Microsoft Workplace Analytics

Dieses Tool verfolgt das Ziel, ein besseres Verständnis der Arten der Zusammenarbeit im Unternehmen zu bekommen. Gleichzeitig wird auf Basis von teils vorgefertigten, teils konfigurierbaren Metriken eine Bewertung vorgenommen.

Productivity Score

Der Productivity Score hat einen breiteren Scope. Es geht darum, mittels Metriken eine Vergleichbarkeit, auch zu anderen Unternehmen herzustellen. Hier fließen neben typischen Produktivitätsszenarien wie „Zusammenarbeit“ auch infrastrukturelle Aspekte wie „Netzwerkkonnektivität“ ein.

Die initiale Entscheidung: Mehrwert oder nicht?

Funktionen, die nicht genutzt werden, stiften weder einen Mehrwert, noch können sie etwa für den Verstoß gegen Persönlichkeitsrechte verantwortlich sein. Deshalb sollte genau hier der erste Fokus liegen: Haben die Informationen, die „Workplace Analytics“ oder der „Productivity Score“ liefern, Potenzial? Können und sollten sie Basis für zukünftige Aktionen, Kommunikationen oder Entscheidungen sein? 

Aktuelle Gespräche mit unseren Kunden geben das Feedback, das speziell der Productivity Score bereits jetzt „auf dem richtigen Weg“ sei. Allerdings ist man sich einig, dass die bewusst sehr definitiven Reports auf einer teilweise dünnen Datenbasis aufbauen – unabhängig von der Nutzeranzahl. Und auch die gleichverteilte Bewertung aller Faktoren im Productivity Score (jedes Themengebiet wird mit 100 Punkten bewertet, Nutzer haben keine Möglichkeit diese Gewichtung nach eigenen Anforderungen anzupassen) wird nicht als optimaler Ansatz angesehen.

Warum Nutzungsdaten auswerten?

Hinter der Diskussion um Auswertungen von Nutzungsdaten steht immer die Frage, ob und in welcher Art dies notwendig ist. Aus unserer Sicht ist aber eine solche Auswertung zwingend notwendig – mit jeweils sehr konkreten Nutzungsszenarien die natürlich entsprechend im Unternehmen abgestimmt und freigegeben werden müssen:

  • Mit Blick auf die Sicherheit ist es notwendig, genaue Logs zu haben, in denen ein Security Spezialist erkennen kann, was ein Nutzer wann/wie gemacht hat. Auf diese Weise können Angriffe erkannt und Bedrohungen bereinigt werden.
  • Mit Blick auf den Erfolg einer Einführung (Change-Management) und die Verankerung (Adoption) eines Tools ist es wichtig, Informationen zum tatsächlichen Nutzungsgrad zu haben - genau hier will der Productivity Score unterstützen. Hier sind sicherlich aggregierte Informationen ohne Bezug auf einzelne Anwender mehr als ausreichend.
  • Auch im täglichen Betrieb benötigt die IT genaue Informationen zu Nutzung. Ohne Dashboards, die z.B. die Qualität von Telefonaten mit Teams auswertbar machen, ist ein guter Support etwa im Fall von schlechter Qualität einzelner Anrufe schwer bis unmöglich.
  • Auch aus Compliance-Gründen ist eine Datenerhebung notwendig: Ein Produkt kann zum Beispiel ein Recht auf Vergessenwerden nur dann adressieren, wenn Administratoren bestimmte Aktionen/ Informationen auf bestimmte Nutzer zuordnen können. Und für den Fall einer Auditierung müssen Unternehmen in der Lage sein, bestimmte Informationen, die sonst unzugänglich sind, zugänglich zu machen.
Nutzung verfügbarer Daten: Schärfung der Zielgruppe

Microsoft kann auf eine sehr umfangreiche Datenbasis zurückgreifen, die für oben beschrieben für viele sinnvolle und notwendige Zwecke genutzt wird. Für einige dieser Zwecke werden personenbezogene, nicht anonymisierte Daten zwingend benötigt. Diese werden aber entweder direkt den jeweiligen Endanwendern zur Verfügung gestellt (wie etwa im Produkt „My Analytics“), oder sind ausschließlich durch Personen mit administrativen Berechtigungen zugänglich.

In diesem Fall hat Microsoft erkannt, dass nicht-anonymisierte Daten potenziell einer weiteren Zielgruppe zugutekommen könnten: Den Team-Managern/ Vorgesetzen der einzelnen Mitarbeiter. Und genau deshalb hat man sich aktuell dazu entschlossen, diese Daten gänzlich zu entfernen (Referenz: Our commitment to privacy in Microsoft Productivity Score - Microsoft 365 Blog).

Aus der Praxis: Proaktive Zusammenarbeit mit Betriebsräten und Datenschutzbeauftragten

In den vergangenen Tagen haben wir vermehrt mit Anfragen zu tun gehabt, die einfach nur sicherstellen wollten, dass die – gerade in der deutschen Presse – sehr dramatisierten Szenarien im eigenen Unternehmen nicht stattfinden („Bei uns ist das doch hoffentlich deaktiviert“). Bereits hier lässt sich ein erster Handlungsbedarf ableiten. Die Zusammenarbeit mit Datenschutzbeauftragten und Betriebsräten sollte nicht auf einer Holschuld aufbauen, bei der nachträglich festgestellt wird, dass etwa Persönlichkeitsrechte verletzt werden. Vielmehr sollte eine Vertrauensbeziehung etabliert werden. Diese kann nur mit ständiger Einbeziehung und absoluter Transparenz gestärkt werden. Wir haben hiermit in der Vergangenheit sehr gute Erfahrungen gemacht, da die Lernkurve auf beiden Seiten dafür sorgt, dass Entscheidungen schneller und objektiver getroffen werden: IT-Teams verstehen die Bedürfnisse in Sachen Mitarbeiterschutz während Betriebsräte und Datenschutzbeauftragte die Bedürfnisse der Produkte kennen. Mit Bezug auf die oben dargestellten Use Cases für die Auswertung von detaillierten Nutzungsdaten haben wir bei einem solchen Vorgehen bei unseren Kunden am Ende immer eine Einigung und entsprechende Freigabe der Nutzung – jeweils für entsprechende definierte Szenarien - erreichen können.

Unsere Empfehlung: Transparenz – dort wo sie Sinn macht

Tatsächlich ist das Erheben von Nutzeraktionen auch auf administrativer Seite von Vorteil: Sämtliche – auch von Administratoren ausgeführten – Aktionen werden in entsprechenden Logs festgehalten – unlöschbar. Damit entsteht im Zweifelsfall eine schonungslose Transparenz, die auch teilweise gesetzlich gefordert wird.

Im Betrieb und der Weiterentwicklung des digitalen Arbeitsplatzes sollte aus unserer Sicht allerdings eher das Prinzip: „Kontrolle ist gut – Vertrauen ist besser“ gelten. Ein stetiger und transparenter Austausch zwischen Business, IT, Betriebsräten und Datenschutzbeauftragten sorgt unserer Erfahrung nach immer dafür, dass der Fokus da bleibt, wo er sein sollte: Auf dem Mehrwert für Ihre Mitarbeiter und für Ihr Unternehmen.