vectorfusionart - stock.adobe.co

Microsoft Viva Insights: Wohlbefinden und der Datenschutz

Tools wie Microsoft Viva Insights sollen Effektivität und Wohlbefinden mit datenbasierten Tipps optimieren. Der Beschäftigtendatenschutz begrenzt die Analysen von Mitarbeiterdaten.

Im Februar 2021 hatte Microsoft mit Microsoft Viva eine Employee Experience Platform vorgestellt, die die Kommunikation, die Förderung des Wohlbefindens und den Zugang zu Lerninhalten in die täglichen Arbeitsabläufe einbinden soll. Microsoft Viva wird als Teil von Microsoft 356 hauptsächlich in Microsoft Teams genutzt.

Inzwischen verwenden laut Microsoft weltweit rund zehn Millionen Menschen jeden Monat Microsoft Viva. Bereits über 1.000 Kunden sollen in Microsoft Viva investiert haben und damit einen Fokus auf die Employee Experience legen, um Weiterbildung zu fördern, den Arbeitsalltag der Mitarbeiterinnen und Mitarbeiter zu erleichtern und eine Unternehmenskultur zu schaffen, die alle Beschäftigten aktiv mit einbindet.

„Unter der Bezeichnung Employee Experience machen es sich Unternehmen zur Aufgabe, den Arbeitsalltag und die Bindung der Mitarbeiterinnen und Mitarbeiter an den Arbeitsplatz positiv zu gestalten“, erklärt Martin Weinhardt, verantwortlich für Employee Experience beim Microsoft Lösungspartner Campana & Schott. „Aus unserer Sicht ist das kein kurzfristiger Trend, sondern zentraler Bestandteil zukünftiger Unternehmensstrategien“.

Datengestützte Erkenntnisse und Empfehlungen am Arbeitsplatz

Damit Mitarbeitende eine Balance zwischen Arbeit und Wohlbefinden finden, braucht es die richtigen Voraussetzungen für eine gesunde Unternehmenskultur, so Microsoft. Viva Insights soll Einzelpersonen und Unternehmen dabei mit datengestützten Erkenntnissen und Empfehlungen unterstützen.

Persönliche Einblicke sollen Mitarbeitenden helfen, regelmäßige Pausenzeiten wahrzunehmen, sich Fokuszeiten für konzentriertes Arbeiten einzurichten und die Beziehung zu Kolleginnen und Kollegen zu stärken. Diese Einblicke sind nur für die jeweilige Person sichtbar, nicht für Führungskräfte und auch nicht für die IT, erklärt Microsoft.

Damit berührt Microsoft einen wichtigen Bereich, den Beschäftigtendatenschutz. So erklärt Microsoft weiter: Die für Viva Insights genutzten Daten sollen genauso umfassend geschützt sein wie Informationen in E-Mails, im Kalender oder Microsoft Teams und dabei weder Text, noch Anhänge oder identifizierende E-Mail-Adressen enthalten.

Zudem sollen keine als privat, vertraulich oder rechteverwaltet gekennzeichneten E-Mails verarbeitet werden, Dashboards zeigen laut Microsoft keine persönlichen Daten an.

Viva Insights ermöglicht demnach Führungskräften, Entwicklungen auf der Team- und Organisationsebene zu erkennen und bessere Arbeitsbedingungen zu schaffen, indem aus aggregierten und anonymisierten Daten entsprechende Informationen gewonnen, die Privatsphäre der Mitarbeiterinnen und Mitarbeiter geschützt und keine Rückschlüsse auf einzelne Personen ermöglicht werden. Zudem ist für eine Datenanalyse, die Führungskräfte für ihr Team durchführen möchten, eine Mindestgröße von zehn Personen notwendig, wie Microsoft erläutert.

Die Frage nach Datenschutz und Datenübermittlung

Bekanntlich befassen sich die Datenschutzaufsichtsbehörden schon länger mit Microsoft 365 und Teams. So erklärt zum Beispiel der Landesdatenschutzbeauftragte von Rheinland-Pfalz:

Die mit der Nutzung außereuropäischer Softwareprodukte wie Microsoft 365 verbundene Problematik gründet auf technischen und rechtlichen Gegebenheiten. So lässt sich bei der Nutzung eine Übermittlung bestimmter Nutzungsdaten, wie zum Beispiel der IP-Adresse, in der Regel nicht vermeiden. Auch kann nicht ausgeschlossen werden, dass der Anbieter bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt.

Ein grundsätzliches Problem liegt darin, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.

Hinsichtlich Microsoft 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) beziehungsweise den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.

Die Lage bei Viva Insights

Die Viva-Insights-App erfüllt die Anforderungen der DSGVO, so Microsoft. Explizit nennt Microsoft Maßnahmen zum Schutz der Daten, das Benachrichtigen von Benutzern für den Fall, dass eine Verletzung des Datenschutzes erkannt wird, und das Berücksichtigen von Benutzeranforderungen zum Exportieren, Löschen oder Einschränken der Verarbeitung personenbezogener Daten.

Im Mai 2022 erklärte Microsoft zudem: „Während die Mehrheit der Microsoft Viva-Dienste aus deutschen oder europäischen Rechenzentren genutzt werden konnte, fand für einen Teil der Dienste in Viva Insights ein Datentransfer in die USA statt. Unsere Kunden haben sich von uns gewünscht, auch diese Daten in Europa speichern zu können. Das ist nun ab sofort möglich“.

Für neue Kunden von Viva Insights ist seit dem 1. Mai 2022 eine Speicherung der Daten aller Funktionen in der Europäischen Union möglich, so Microsoft. Die Daten bestehender Kunden werden bis 31. Dezember 2022 in ein europäisches Rechenzentrum in den Niederlanden transferiert.

Trotzdem bleiben Fragen des Datenschutzes bestehen, wie die Datenschutzaufsichtsbehörden für Microsoft 365 betont haben: So trägt die Möglichkeit der Datenspeicherung auf europäischen Servern dem Problem eines dem europäischen Recht nicht entsprechenden Zugriffs durch US-amerikanische Stellen nur bedingt Rechnung, da über den amerikanischen Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) vom 23. März 2018 für US-Unternehmen eine Herausgabeverpflichtung auch dann besteht, wenn die Daten außerhalb der USA gespeichert werden.

Aus den Niederlanden kommt zudem der Hinweis, dass auch für Viva Insights eine Datenschutzfolgenabschätzung durchgeführt werden sollte. Mit Stand Februar 2022 hat das Justizministerium der Niederlande eine entsprechende Untersuchung durchgeführt (PDF) ungültig.

Dabei lautet die Empfehlung aus den Niederlanden: „Deaktivieren Sie die meisten Funktionen in Teams Analytics & Reports, und aktivieren Sie die Pseudonymisierungsoption: Aktivieren Sie nicht Viva Advanced Insight.“

Die Aufsichtsbehörde „Der Datenschutzbeauftragte für Kirche und Diakonie“ kam Ende 2021 zu dem Schluss: Viva Insights muss organisationsweit deaktiviert werden, wenn dessen Verwendung im Microsoft Tenant des Verantwortlichen nicht gemäß den Anforderungen auf einen zulässigen und datenschutzkonformen Einsatz hin überprüft und freigegeben wurde. Die Mitbestimmungsrechte der Beschäftigten sind zu berücksichtigen.

Microsoft selbst gibt eine Reihe von Datenschutzempfehlungen zu Viva Insights.

Dazu gehören:

  • Entwickeln eines klaren Analyseplans,
  • Ermitteln, ob eine Datenschutz-Folgenabschätzung (DATA Protection Impact Assessment, DPIA) abgeschlossen werden soll,
  • Wann immer möglich aggregierte oder nicht identifizierte Daten verwenden und
  • Entscheiden, welche Daten verwendet werden und wer sie sehen kann

Wichtig ist auch dieser Hinweis von Microsoft:

  • Wenden Sie sich an die Personal-, Datenschutz- und Rechtsexperten Ihrer Organisation in den Ländern, in denen Sie Viva Insights verwenden möchten. Analysen, die in einem Land akzeptabel sein könnten, unterliegen möglicherweise mehr Anforderungen (zum Beispiel Kündigungs- und Zustimmungspflichten) oder sind sogar illegal in anderen Ländern. Due Diligence ist besonders wichtig in stark regulierten Rechtsordnungen wie der Europäischen Union.

Es zeigt sich: Auch wenn Wohlbefinden am Arbeitsplatz ein wichtiges Ziel ist, müssen die Folgen für den Datenschutz bedacht werden. Hier haben Aufsichtsbehörden beziehungsweise das Justizministerium der Niederlande wichtige Hinweise gegeben, auf welche Einstellungen und Schutzmaßnahmen Unternehmen achten sollten, bei Microsoft 365, bei Teams und bei Viva Insights.

Erfahren Sie mehr über Datenschutz und Compliance