Microsoft 365 ist viel mehr als nur die Cloud-basierte Version von Word, Excel, PowerPoint und Outlook. Unter Microsoft 365 ist vielmehr eine sehr umfangreiche Suite von Büro- und Kollaborationsanwendungen zu verstehen. Dazu zählen beispielsweise SharePoint Online, OneDrive for Business Online, Exchange Online, Teams, Planner, Forms, Yammer, Stream, Power Platform etc. pp. Alles läuft auf Servern von Microsoft, der Kunde hat mit Installation und Administration nichts oder nur wenig zu tun. Microsoft 365 besteht aus einer großen Menge einzelner Anwendungen, mit vielfältigen Wechselwirkungen. Dazu kommen immer wieder neue Anwendungen hinzu, oder bestehende Anwendungen werden in wichtigen Aspekten verändert. Gerade die Komplexität des Gesamtsystems und die laufenden Updates bzw. Upgrades durch den Anbieter Microsoft machen die Umsetzung des Datenschutzes ebenso wie die Wahrnehmung der Mitbestimmungsrechte durch Betriebsräte sehr schwierig und anspruchsvoll.
Aus Sicht des Beschäftigtendatenschutzes werden oft die Tools Office Graph und Delve kritisiert, da sie eine weitreichende Leistungs- bzw. Verhaltenskontrolle ermöglichen, die einer Rechtsgrundlage entbehren. Es gibt aber viele weitere gute Gründe für Betriebsräte (bzw. Personalräte), sich mit einer Betriebsvereinbarung (bzw. Dienstvereinbarung) zu Microsoft 365 zu beschäftigen. Es empfiehlt sich, eine Rahmenvereinbarung abzuschließen, die die wesentlichen Regelungen enthält, die alle Microsoft 365-Anwendungen betreffen und die den Prozess der laufenden Änderungen und Erweiterungen strukturieren. Detaillierte Regelungen zu einzelnen Microsoft 365-Anwendungen wie Exchange Online, SharePoint Online oder Teams werden dann als Anlagen zu dieser BV angeschlossen.
Wir bieten dazu ein Papier mit Eckpunkten für eine Rahmen-BV zu Microsoft 365 an:
- Zum Download hier klicken! (überarbeitete Fassung v. 06.05.2022)
Auch die Datenschutzaufsichtsbehörden haben sich mit einigen Aspekten von Microsoft 365 beschäftigt. Hier einige Links dazu, die insbesondere Aktivitäten der niederländischen Aufsichtsbehörde beschreiben:
- Ein Artikel bei activeMind.AG
- Ein Artikel bei datenschutzbeauftragter-info.de
- Handreichung: Vereinbarung zur Auftragsverarbeitung für den Einsatz von Microsoft 365
(Hess. Beauftragter für Datenschutz und Informationsfreiheit)