Microsoft 365 und Betriebsrat

Normalerweise sind die IT-Abteilungen von Firmen meine Auftraggeber und Ansprechpartner. Der Einsatz von IT bedeutet aber nicht nur in Deutschland auch eine Einbeziehung von Betriebsräten und die Berücksichtigung von Mitbestimmungsrechten. Die folgende Mail habe ich im Anschluss an ein Telefonat mit einem Betriebsrat zusammengefasst und hier ohne Nennung der Namen oder Firmen bereitgestellt. Ich gehe nicht speziell auf die Belange von bestimmen Branchen, z.B. Schulen, Banken, Chemie, Energie o.ä. ein und die Ausführungen ersetzen keine juristische Beratung. Mit dem Blick aus der IT und dem Wissen, was technisch möglich und inwieweit es notwendig oder praktikabel ist, lässt sich oft ein Kompromiss schließen.

Frage

Die ursprüngliche Frage war in etwa:

"Meine Firma möchte nun auch Microsoft 365 einführen und Lotus Notes ablösen und als Betriebsrat fühle ich mich nicht ausreichend informiert. Was ist eigentlich Microsoft 365?"

Ich kann und will hier nicht das komplette Telefonat wiedergeben aber im Anschluss habe ich die wesentlichen Punkte noch einmal als Mail geschrieben und um weiterführende Links ergänzt.

Auch wenn das keine juristische Antwort oder Beratung darstellt, können sie sich vielleicht ein paar Ansatzpunkte mitnehmen. Ich würde mich ja freuen, wenn verschiedene Betriebsräte ihre getroffenen Vereinbarungen z.B. in anonymisierter Form veröffentlichen würden. So scheint es, dass jede Firma sich selbst etwas mit juristischer Unterstützung zusammensetzt.

Antwort

Hallo, <Name>

Ich wusste schon aus anderen Quellen, das eure Firma den Weg von Notes zu einem anderen System gehen wollen und warum sollten sie nicht auch den Weg gehen, die schon ganz viele Firmen gegangen sind und ihre Mails der Microsoft Cloud und Exchange Online anvertrauen. Schließlich verspricht Microsoft ja einen zuverlässigen und stabilen Services zu einem günstigen Preis. (meist stimmt das auch)

Wer nur „Mail“ nutzen will, kann schon mit einem „Exchange Plan“ (https://www.microsoft.com/de-de/microsoft-365/exchange/compare-microsoft-exchange-online-plans?market=de) starten. Wer allerdings dann seine Mails nicht im Browser lesen sondern mit „Outlook“ nutzen will, braucht dann schon noch Office 365 App (https://www.microsoft.com/de-de/microsoft-365/enterprise/microsoft-365-apps-for-enterprise) . Da vergleicht Microsoft auch das „Mietangebot“ gegenüber der Kaufsoftware (Office 2021). „Natürlich“ kann die Kaufsoftware etwas weniger. Ein Schelm der Böses dabei denkt.

Identität

Damit man die Cloud-Dienste nutzen kann, muss für jeden Anwender von der Firma ein Konto in der Cloud angelegt werden. Der Mensch muss sich ja „anmelden“ und die Cloud muss den Zugang prüfen. Insofern ist das Thema der „Identität in der Cloud“ schon der erste Aspekt, wenn man dem Anbieter nicht vertraut. Bei Firmen ist das meist einfacher aber bei Schulen ist es z.B. ein Thema. Schüler haben ja keine „Wahl“, da die Schulpflicht zur Teilnahme zwingt und damit noch einmal strengere Regeln gelten.

Aber technische Gründe sind nun mal auch da, warum eine Schule nicht mal eben selbst einen „Konferenzdienst“ aufbauen konnte.

Daher nutzen z.B. die Schulen in <Ort> auch Microsoft 365, während andere Schulen in <Ort> z.B. die Google-Cloud mit Google Meet nutzen. Das Problem der Schulen ist ja noch kniffliger, da die Bezirksregierung die Lehrer einstellt und bezahlt, die Gemeinde die Räume und IT-Ausstattung aber der Schulleiter für den Datenschutz zuständig ist.

So hat jeder sein Päckchen zu tragen. Bei Firmen rate ich den IT-Abteilungen immer den Betriebsrat direkt mit einzubeziehen. Zwar vertreten Betriebsräte und Arbeitgeber unterschiedliche Standpunkte und haben eigene Ziele, die sicher nicht immer deckungsgleich sind, aber letztlich muss es beiden daran liegen, die Firma zu erhalten und voran zu bringen. Daher sollte beiden Parteien mit „offenen Karten“ spielen. Als IT sollte man insbesondere auch Betriebsräte zu den Piloten einer Cloud-Lösung mit einzuladen. Ich würde das Wissen um Zusammenhänge und Befindlichkeiten von Menschen immer nutzen und nicht ignorieren. Besser man spricht offen über die verschiedenen Aspekte, denn irgendwann wird eh bekannt, was möglich ist.

Update als Auslöser

Ich habe aber auch schon Firmen erlebt, bei denen das Thema „bis nach dem nächsten Tarifvertrag“ vertagt wurde. Das bremst und nervt dann auch, denn es gibt durchaus auch technische Aspekte, z.B. dass vorhandene Server nicht mehr aktualisiert werden können. Das Supportende von z.B. Windows 2012R2 am 10. Okt 2023 (https://learn.microsoft.com/de-de/lifecycle/products/windows-server-2012-r2) bedeutet, dass es danach keine Sicherheitsupdates mehr gibt und so eine System besser nicht mehr "erreichbar" ist. Das bedeutet nicht, dass es abgeschaltet oder migriert sein muss. Sehr viele Firmen nutzen immer noch Windows XP oder Windows 2008, aber dann in veränderter und insbesondere stark abgesicherter Konfiguration. Aber warum sollte man z.B. von Exchange 2016 auf Windows 2012R2 erst noch auf Exchange 2019/Windows 2019 mit neuer Hardware aktualisieren, wenn der Weg in die Cloud vorgesehen ist?

Wer von Drittprodukten wie Lotus Notes kommt, müsste für den Aufbau eines neuen alternativen lokalen Services sogar neben der Hardware und Software auch erst das Know-How für den Betrieb aufbauen. Nicht jeder Notes-Admin lässt sich einfach zu einem Exchange Admin umschulen, zumal Exchange intensiv das Active Directory nutzt und damit ganz neue Schnittstellen für eine Zusammenarbeit definiert werden müssen.

Bandbreite

Cloud bedeutet ja auch nicht "immer alles". Vielleicht ist es sogar eine Option, nur eine Teilmenge umzusetzen. Die wenigsten dürften noch wissen, dass die Microsoft 365 früher einmal Office 365 und davor BPOS (Business Productivity Online Suite) benannt war und im wesentlichen aus "Exchange Online", damals noch auf dem Code von Exchange 2007 bestand. Da hat noch niemand von Intune, Teams, SharePoint etc. gesprochen. Damals waren aber auch die Bandbreiten noch lange nicht so hoch. Outlook und Exchange übertragen durch den Cache-Mode und der Nutzung für Mail, Termine und Kontakte sehr viel weniger Daten als z.B. eine Video-Konferenz oder kontinuierliche Arbeit an einem Word-Dokument oder PowerPoint-Folien.

Kundendaten

Wenn wir mal das Thema „Identität in der Cloud“ einmal als unkritisch ansehen, dann gibt es ja immer noch Aspekte wie die Datenablage in der Cloud, d.h. Word, Excel, PowerPoint-Dateien mit Kundeninformationen, die in der Cloud gespeichert und verarbeitet werden. Das muss natürlich primär die Geschäftsführung klären, wem Sie die Daten der Firma anvertraut. Das ist nicht unkritisch, da dort auch Kunden-Namen enthalten sind. Also wenn ich z.B.: Kunde einer Bank bin, darf diese dann meinen „Namen“ und andere personenbezogene Daten in der Cloud ablegen? Das ist dann eine Fragestellung der „Auftragsdatenverarbeitung“ und ob Microsoft da geeignet ist. Da es viele andere Firmen auch machen, kann man davon ausgehen aber letztlich klärt das dann auch wieder ein Gericht. Und Urteile wie Schrems 1 und Schrems 2 (https://de.wikipedia.org/wiki/Max_Schremszeigen), dass es durchaus unterschiedliche Auffassungen und Einschätzungen gibt.

Das betrifft dann natürlich alle „gespeicherten Daten“, also Mails aber auch Dokumente, Konferenzaufzeichnungen und was die Cloud noch alles bietet (Yammer, Lists, Planner, Tasks, Kontakte, Chats Präsenz). Diese Anforderungen möchte Microsoft mit „lokalen Datenzentren“ und speziellen Informationen für Betriebsräte gerecht werden.

Device Management

Um die Sicherheit zu erhöhen, kommen weitere Aspekte dazu, z.B. die Verwaltung der Endgeräte mit Intune. Der Cloud-Service ermöglicht eine Inventarisierung der Endgeräte, um z.B. alte Versionen zu erkennen und Updates zu verteilen und den Erfolg zu kontrollieren. Zudem kann man die Anmeldung an das Gerät koppeln und damit die Nutzung privater (unsicherer) Geräte unterbinden. Das ist aber meist unkritisch, da es eh Geräte der Firma sind und private Geräte eh keinen Zugriff haben.

Anmeldeprotokolle

Aber ein Schutz gegen Missbrauch und vor allem zur Analyse nach einem vermuteten Missbrauch ist die Protokollierung der Nutzung. Und da gibt es mehrere Ebenen. Natürlich protokolliert die Cloud (wie auch ein lokales System), wer sich wann und wo anmeldet. Das ist essentiell um Missbrauch und gehackte Zugangsdaten zu erkennen, z.B. ungewöhnliche Anmeldungen außerhalb der Arbeitszeit oder von anderen Standorten oder unüblichen Geräten. Da gibt es zweifelsohne ein „berechtigtes“ Interesse. Zudem sind das schon recht viele Protokolle, die kaum jemand manuell auswertet, sondern über ein Regelwerk zu Alarmen führen und dann eine gezielte Analyse durch spezielle Personen auslösen. Das ist dann ein sogenanntes SIEM (Security Information and Event Management). Ich bin sicher und hoffe, dass es solche Systeme bei jeder Bank gibt.

Aktivitätsprotokolle

Ein Stück weiter geht dann natürlich die Erfassung von Aktivitäten. So wird jede Telefonanlage einen Einzelverbindungsnachweis nachhalten, um Kostenverrechnung machen zu können. Auch ein Mailserver wird natürlich alle Mails mit Datum/Absender/Empfänger/Größe/Betreff/Zustellstatus erfassen. Damit kann ein Admin im Fehlerfall dann einfach erkennen, ob die Mail zugestellt wurde oder nicht.

Aber anonym kann man auch „Mail/Zeit“ erfassen und damit das System auf die Belastung anpassen. Wenn aber ein Benutzer z.B. sehr viele Daten versendet, was er vorher nicht getan hat, dann kann das ein „Informationsabfluss“ durch den Benutzer sein oder sein Konto wurde gehackt und wird von einem Spammer missbraucht. Aber auch hier sind das automatische Regeln. Aber natürlich könnte ein berechtigter Admin solche Auswertungen auch selbst anstellen. Nicht alles, was er „kann“, darf er auch machen. Hier sind dann entsprechende Regelungen zu treffen.

Aus Anmeldeprotokollen, Telefonverbindungen, Mailübertragungen bekommt man „Metadaten“, mit denen man auch ohne Zugriff auf Details eine Person oder Gruppe durchaus profilieren kann. Das hat David Kriesel z.B. anhand des Spiegel oder der DB mal aufgezeigt:

Das ist zwar alles recht lustig erzählt aber zugleich auch eine Sensibilisierung, was Daten so alles liefern können. Und dann denken wir mal an all die Smartphones, die in Google-Maps die Staus anzeigen, weil sie selbst immer wieder Positionsdaten übermitteln. Auch Mobilfunkprovider kennen in etwas den Standort und über all die „kostenfreien“ Apps, die im Hintergrund das und noch mehr unbemerkt tun, reden wir besser nicht. Alles hat einen Preis und wenn man nicht in Euro bezahlt, dann eben mit Daten.

Detail-Auditierung

Die Protokollierung kann aber noch höher gestellt werden. So kann man z.B.: bei Mailsystem „Exchange“ ein Auditlog aktivieren. Es gibt mehrere Einstellungen:

Ich würde erst einmal keiner Firma empfehlen, so genaue Logs zu generieren. Dabei ist nicht nur "der Betriebsrat" zu fragen sondern auch einfach die praktische Nutzung zu betrachten. Natürlich kann ich erfassen, wann ein PC "eingeschaltet" wurde, indem der Netzwerkswitch mir sagen, an welchem Port welche Netzwerkkarte (MAC-Adresse) wachgeworden ist. Vom Radius-Server erhalte ich die 802.1x-Identität des Geräts und später der Anwenders und der DHCP-Server oder Router steuert die IP-Adresse für den Client zu. Aus dem Windows Eventlog des Domain Controllers sehe ich ebenfalls die Anmeldung und über die Protokolldateien der Webserver, Proxy-Server etc. kann ich sehen, auf welche Dienste der Benutzer zugegriffen hat.

Aufbewahrungsfristen

Das werden aber sehr schnell sehr große Datenmengen, die irgendwo auch zusammengeführt und analysiert werden müssen. Ich denke nicht, dass ein Admin sich hinsetzt und Gigabytes an Text-Protokollen durchstöbert. Zumal viele Dienste diese Protokolle nur eine kurze Zeit aufbewahren. AzureAD Anmelde-Protokolle werden nur 30 Tage vorgehalten.

Wer hier länger Daten halten möchte, muss eigene Lösungen umsetzen oder z.B. Azure Sentinel, Splunk oder andere Logging-Tools integrieren. Die Kosten steigen dann aber nach der Datenmenge sehr schnell an. Hier muss dann schon zur Kostenrechtfertigung eine schlüssige Argumentation erfolgen, warum etwas in welchem Umfang erforderlich ist und wo der Mehrwert liegt.

Es ist in dem Zuge immer wieder interessant, dass viele Webserver in Firmen (z.B.: der IIS) jeden Zugriff protokolliert aber diese Protokolle vermutlich aus Unwissenheit nie gelöscht werden. Der IIS hat keine eingebaute Funktion, um Logs nach Ablauf einer Zeitspanne selbst zu löschen.

Und so sammeln viele Firmen vermutlich viele tote Daten auf ihren Servern in C:\Inetpub\logfiles und wissen gar nicht, dass Sie diese Dateien besser löschen sollten.

Telemetrie

Zuletzt muss ich natürlich auch ein Wort zur„Telemetrie des Arbeitsplatzes" verlieren. Als Kunde möchte man ein möglichst fehlerarmes Produkt und auch der Hersteller hat ja ein Interesse an einer qualifizierten Fehlermeldung. Durch die einfache Verbindung über das Internet kann ein Programm ohne Mithilfe des Anwender seine Sorgen und Nöte an den Hersteller übermitteln und Korrekturen nachladen. Über den Weg sind natürlich z.B. auch neue Lizenzverfahren (pay per Use, Abo-Modelle) möglich. Die Frage ist nun natürlich, wie weit diese "Kommunikation" gehen darf.

Die Anbieter unterscheiden dabei zwar nach "unbedingt notwendigen" und "optionalen" Daten. Das erinnert stark an die "Cookie-Banner", die nach notwendigen, funktionalen und optionalen Daten unterscheiden und der Webseitenanbieter sein "berechtigtes Interesse" mehr oder weniger breit auslegt und die Zustimmung durch geschickte Wahl von Antwortmöglichkeiten fördert. In der Microsoft Welt liefert sowohl das Betriebssystem "Windows" als auch die Applikationen wie Word, Excel etc. Daten an den Anbieter

Das Ziel dabei ist, dass der Hersteller seine Produkte verbessern kann, z.B. indem Fehlermeldungen und Abbrüche mit der Information der Stelle berichtet werden. Ich würde nicht davon ausgehen, dass beim Hersteller ein Mensch sich die Daten anschaut, denn das sind Millionen Meldungen pro Tag. Der Hersteller kann aber die „Probleme“ auf einzelne Programmteile und damit den Quellcode und sogar den zuständigen Entwickler herunterbrechen. Korrekturen wird ein Hersteller dann wohl an den Stellen priorisieren, von denen viele Personen betroffen sind. Das ist manchmal natürlich unschön, weil damit schnell zu korrigierende Fehler vielleicht lange bestehen bleiben. Letztlich wird das Produkt damit aber besser.

Aber umgekehrt habe ich habe auch erfahren, dass z.B. Word, Excel, Outlook und Co durchaus protokollieren, welche Menüs und Funktionen von Anwendern angeklickt werden. Würde das Programm nicht nur die "Klickaktionen" sondern auch den Benutzername speichern, wäre das sicher unerwünscht. Solange aber ohne Rückverfolgung auf die Person nur statistische Werte erhoben werden, sehe ich da kein Problem. Diese Werte waren wohl auch ein Grund, dass die „erweiterte Suche“ in Outlook wieder entfernt wurde. Sie wurde quasi nicht genutzt es kostet nun mal Geld, diese weiter zu pflegen, zu dokumentieren etc. Die Anwender wissen einfach nicht, wie man komplexe Suchen macht. Sie verwenden immer nur das einfache Suchfeld ähnlich wie die Suchmaske von Google oder Bing.

Solche Telemetrie-Daten gibt es natürlich auch bei der Nutzung von Webseiten und für einen IT-Fachmann ist es relativ einfach zu erkennen, ob eine Software solche Telemetriedaten erfasst und sendet. Viel kritischer sehe ich da die Datenerfassung von mobilen Apps auf Smartphones, da diese ganz andere Möglichkeiten aufgrund der verbauten Sensoren (GPS, Bluetooth, Gyrometer, Barometer etc) haben und hier gilt der Satz "Zu bezahlst mit deinen Daten" für die Unmenge an kostenfreien Apps umso mehr. Auch bei der Einblendung von Werbung bekommt die Werbeplattform weitere Daten.

Bei einem "gekauften" Angebot wie Office 365 oder Microsoft 365 ist die Situation besser zu steuern, denn die Leistung wird ja an einen Vertrag und eine Bezahlung gekoppelt. Der Anbieter muss also nicht durch die "Daten" oder "Werbung" seinen Gewinn steigern. Daher kann die Telemetrie und Datenerfassung an verschiedenen Stellen eingeschränkt oder konfiguriert werden. Dies sollte aber ein Arbeitgeber auch in Abstimmung mit Datenschutz und Betriebsrat machen.

Für Programme wie Teams gibt es sogar zusätzliche Einstellungen und eigene Microsoft Seiten zum Datenschutz

Augen auf bei der Recherche in der Suchmaschinen nach "Datenschutz, Betriebsrat, Microsoft 365", denn natürlich finden Sie viele Seiten, die einen Einstieg geben aber letztlich Werbung für ein kommerzielles Angebot sind. Es gibt auch Zusatzprodukte wie z.B. Boxcryptor, die ursprünglich die Daten in "Dropbox" verschlüsselt haben und nun auch andere Cloud-Dienste unterstützen. Dies betrifft aber nur die Daten selbst, die die Anwender ablegen.

Dies kann im privaten Sektor beruhigend sein aber bei Firmen ist das eher eine Fragestellung für die Geschäftsführer und ihrer genereller Cloud-Strategie und der Auftragsdatenverarbeitung. So eine Datenverschlüsselung behandelt nicht die Aspekte wie Telemetrie, AdminLogs, AuditLogs etc. die für Betriebsräte wichtiger sind.

Cloud hat auch Vorteile

Cloud hat aber auch Vorteile, weil in vielen Firmen der Betrieb nicht so professionell organisiert haben. Wenn der Hersteller (Microsoft) zugleich Betreiber ist, dann kann er Fehler natürlich schnell analysieren und umgehend korrigieren. Wenn eine Firma die Server selbst betreibt, dann müssen die Administratoren erst einmal von einer Lücke erfahren, die Aktualisierungen besorgen, prüfen und installieren. Das kann manchmal auch zu lange dauern und es gibt viele Beispiele, dass solche „Zero-Day-Exploits“ verschiedenster Hersteller ein echtes Risiko sind, z.B.

Insofern wage ich mal die Aussage, dass viele Firmen mit Cloud-Diensten unterm Strich sogar sicherer sind, als einem schlecht gepflegten lokalen Server. Es ist aber natürlich der Einstieg in ein Mietmodell und neue Verträgen mit Cloud-Anbietern.

Weitere Links