Microsoft 365 für Betriebsräte

Ein Leitfaden zur Betriebsvereinbarung

Microsoft 365 besteht aus verschiedenen Apps.

Dazu gehören bekannte Anwendungen wie Word, Excel, Outlook oder Teams. Aber auch zahlreiche weitere.

Diese verarbeiten die unterschiedlichsten Daten: Inhalte (z.B. Word-Dokumente), Benutzerdaten (z.B. Namen) und Metadaten (z.B. Erstellt am).

Die Steuerung von Microsoft 365 erfolgt in mehreren Admin-Centern.

Was genau löst Mitbestimmung aus? Und wie können Betriebsräte Microsoft 365 in einer Betriebsvereinbarung regeln?

In diesem Artikel fasse ich meine Erfahrungen als technischer Sachverständiger für Betriebsräte zusammen.

Zur Vorbereitung
Fragen an den Arbeitgeber
Wie heißt der Tenant?
Nutzungsumfang
Datenschutz
Live-Demonstration
Die Betriebsvereinbarung
Der Geltungsbereich
Die Systembeschreibung
Die Administration
Leistungs- und Verhaltenskontrolle
Updates
Besondere Regelungen
Rechte der Beschäftigten
Rechte des Betriebsrats

Fragen an den Arbeitgeber

Die Basis für eine Betriebsvereinbarung sind Informationen. Wie genau verwendet das Unternehmen die Software?

Wie heißt der Tenant?

Der Tenant, ist das Gesamtpaket, das ein Unternehmen mietet.

Er umfasst sämtliche Apps, Daten und Einstellungen. In der Regel bezieht sich eine Betriebsvereinbarung speziell auf diesen einen Tenant.

Bei seiner Erstellung wird ein eindeutiger Name vergeben: name.onmicrosoft.com.

Der Name des Tenants ist eindeutig und gehört in den sachlichen Geltungsbereich einer Betriebsvereinbarung.

Der Nutzungsumfang

Welche Apps möchte der Arbeitgeber nutzen?

Eine Auflistung der Apps wird üblicherweise als Positivliste in den Anhang zur Betriebsvereinbarung aufgenommen.

Das bedeutet, dass ausschließlich die Nutzung der aufgeführten Apps erlaubt ist.

Welche Beschäftigtendaten werden verarbeitet?

Unter Beschäftigtendaten fallen nicht nur grundlegende Informationen wie Name und E-Mail-Adresse, sondern sämtliche Daten, die einem bestimmten Beschäftigten zugeordnet werden können (gemäß Artikel 4 Nr. 1 DSGVO).

Zu personenbezogenen Daten gehören daher auch Inhalts- und Metadaten.

Die Daten können in Kategorien zusammengefasst werden (Beispiel: Benutzerdaten - Name, E-Mail, Telefon etc.).

Wie lautet die Zweckbestimmung der Datenverarbeitung?

Die Festlegung der Zweckbestimmung dient dazu, spätere Unklarheiten bei der Verwendung dieser Daten zu vermeiden.

Gemäß Artikel 5 Abs. 1 lit. b dürfen Daten nur für den ursprünglich festgelegten Zweck verwendet werden.

Zum Beispiel dürfen Daten, die zur Rechnungserstellung erhoben wurden, später nicht zur Leistungs- und Verhaltenskontrolle verwendet werden.

Die Kategorien der verarbeiteten Daten und deren Zweckbestimmung können ebenfalls als Anhang der Betriebsvereinbarung hinzugefügt werden.

Datenschutz

Die Stellungnahme des Datenschutzbeauftragten ist in der Regel sowohl informativ als auch verbindlich.

Das Dokument sollte eine umfassende Beschreibung des Projekts enthalten, einschließlich einer Darstellung der Risiken für die Rechte der Beschäftigten.

Beispiele hierfür sind die Aufzeichnung von Teams-Sitzungen oder die Verarbeitung von BEM-Daten.

Für solche Risiken können spezifische Regelungen in der Betriebsvereinbarung festgelegt werden. Sie dienen dazu, den Datenschutz zu gewährleisten und potenzielle Gefahren für die Mitarbeiter zu minimieren.

Datenschutzbeauftragte haben auch eine beratende Funktion (Artikel 38 Abs. 4 DSGVO).

Betriebsräte können sich an sie wenden, um Ratschläge und Unterstützung im Zusammenhang mit Datenschutzfragen zu bekommen.

Administration

Einige Administrationsrollen haben umfassenden Zugriff auf Beschäftigtendaten.

Mit ihnen können erhebliche Leistungs- und Verhaltenskontrollen durchgeführt werden.

Das berührt die Mitbestimmung.

Daher ist es für Betriebsräte wichtig zu wissen, welche Personen über die Rollen verfügen.

Besonders interessant ist die Rolle des "Global Admin". Inhaber dieser Rolle haben sämtliche Zugriffsrechte im Tenant und damit umfassenden Einblick in Daten.

Eine detaillierte Beschreibung aller Administrationsrollen gibt es bei Microsoft.

Zumindest eine Berechtigungsmatrix gehört in die Betriebsvereinbarung.

Live-Demonstration

Die Administration des Tenants erfolgt in den sogenannten Admin-Centern.

Dort wird nicht nur die Verwaltung, sondern auch die Sicherheitsüberwachung durchgeführt.

Deshalb sollten sich Betriebsräte persönlich ein Bild von den Admin-Centern machen:

  • Compliance
  • Sicherheit
  • Purview
  • Defender

Das geht nur zusammen mit der Administration. Es ist zu beachten, dass die Bezeichnungen der Admin-Center je nach Lizenzplan variieren können.

Besonders interessant sind Funktionen wie die Überwachungsprotokollsuche, die Inhaltssuche und eDiscovery.

Sie ermöglichen die gezielte Kontrolle und Auswertung von Daten und sollten in einer Betriebsvereinbarung geregelt werden.

Die Betriebsvereinbarung

Betriebsvereinbarungen zu Microsoft 365 ähneln anderen IT-Regelungen.

Dennoch gibt es spezifische Merkmale, die für Betriebsvereinbarungen zu Microsoft 365 typisch sind:

Der Geltungsbereich

In der Regel werden der persönliche und der sachliche Geltungsbereich definiert.

Für den sachlichen Geltungsbereich sollte die ursprüngliche Bezeichnung des Tenants name.onmicrosoft.com verwendet werden.

Die Systembeschreibung

In Betriebsvereinbarungen wird üblicherweise das System zum Zeitpunkt des Abschlusses beschrieben.

Die Beschreibung sollte in Anhängen zur eigentlichen Betriebsvereinbarung erfolgen.

Dadurch müssen bei späteren Änderungen nur die Anhänge aktualisiert werden.

Typischerweise werden folgende Punkte dokumentiert:

  • Der Nutzungsumfang: Festlegung der Apps, die verwendet werden dürfen.
  • Die Zweckbestimmung: Beschreibung aller Zwecke, für die Beschäftigtendaten verarbeitet werden.
  • Die Administrationsrollen: Inhaber von Administrationsrollen, entweder namentlich, stellenbezogen oder als Kontingent.

Häufig wird ein Zusatz hinzugefügt, der besagt, dass die Anhänge Bestandteil der Betriebsvereinbarung sind und nur mit Zustimmung des Betriebsrats geändert werden können.

Die Administration

Administrationsrollen sind oft mit Möglichkeiten zur Leistungs- und Verhaltenskontrolle verbunden.

Das ergibt sich schon aus den zahlreichen Funktionen zur Verwaltung des Tenants.

Um damit umzugehen, können Schulungen und Verpflichtungserklärungen genutzt werden.

In diesen wird beispielsweise festgelegt, dass Administratoren Benutzerstatistiken und Auswertungen nicht an Vorgesetzte außerhalb der IT weitergegeben dürfen.

Eine solche Klarstellung dient auch dem Schutz der Administratoren.

Ein Muster für die Verpflichtungserklärung kann als Anhang in die Betriebsvereinbarung aufgenommen werden.

Darüber hinaus kann es im Interesse des Betriebsrats liegen, die Vergabe von Administrationsberechtigungen lückenlos nachvollziehen zu können oder sogar einen Zustimmungsvorbehalt bei deren Vergabe zu formulieren.

Leistungs- und Verhaltenskontrolle

Die Formulierungen orientieren sich in der Regel am §26 Abs.1 Satz 2 BDSG.

Er regelt den Zugriff auf Beschäftigtendaten beim Verdacht auf eine Straftat.

Die betriebliche Vorgehensweise wird dann in der Betriebsvereinbarung geregelt.

Betriebsräte fordern oft eine Benachrichtigung über einen bevorstehenden oder bereits erfolgten Zugriff.

Einige Gremien wollen keine Zugriffe ohne ihre vorherige Zustimmung.

Updates

Microsoft entwickelt Microsoft 365 kontinuierlich weiter.

Das führt erfahrungsgemäß zu Problemen in zwei Bereichen:

Informationsweitergabe an den Betriebsrat:

Der Betriebsrat braucht Informationen über Updates.

Er muss im Zweifel auch beurteilen können, welches Update keine Mitbestimmungsrechte berührt.

Eine vollständige Übersicht über alle Änderungen gibt es im Nachrichtencenter

Zugang erhält der Betriebsrat über eine eigene Admin-Rolle oder durch manuelle Weiterleitung der einzelnen Meldungen.

Das Verfahren wird in der Betriebsvereinbarung beschrieben.

Rechtzeitige Durchführung der Mitbestimmung:

Die Durchführung der Mitbestimmung vor Aktivierung der Änderungen kann schwierig werden.

Manchmal werden (halb-)jährliche Inrformationstreffen zwischen Betriebsrat und Arbeitgeber vereinbart.

An dem Termin informiert der Arbeitgeber den Betriebsrat über alle anstehende Änderungen.

Unproblematische Änderungen können dann bevorzugt freigegeben werden.

Problematische Änderungen werden nach Möglichkeit nicht vor dem Treffen aktiviert.

Diese Vorgehensweise setzt ein gewisses Vertrauensverhältnis voraus.

Besondere Regelungen

Jeder Betrieb ist einzigartig. Was in einem Unternehmen selbstverständlich ist, ist in einem anderen hoch umstritten.

Beispiele dafür sind:

  • Der unbeschränkte Einsatz von PowerBI
  • Die Aufzeichnung von Teams-Meetings
  • Die Speicherung von BEM-Daten im OneDrive

Es bietet sich an, für solche Themen eigene Absätze in die Betriebsvereinbarung einzufügen.

Rechte der Beschäftigten

In dem Bereich geht es häufig um die Ausgestaltung der Betroffenenrechte, insbesondere das Recht auf Auskunft gemäß (Artikel 15 DSGVO) der DSGVO.

Festgelegt wird dann:

  • An wen Anfragen gerichtet werden
  • Die Frist zur Beantwortung

Rechte des Betriebsrates

In diesem Abschnitt können die Kontrollrechte des Betriebsrats näher beschrieben werden.

Beispielsweise kann sich der Betriebsrat einen lesenden Zugriff auf alle Konfigurationen und Protokolle mit der Rolle des "Global Reader" sichern.

In der Betriebsvereinbarung sollte auch die Frist von der Anforderung bis zur Vergabe der Rolle geregelt werden.

Matthias Sander

Matthias Sander

Seit 2016 arbeite ich als externer technischer Sachverständiger für Betriebsräte.

Zuerst bei einer Technologieberatungsstelle beim DGB (TBS). Heute bin ich selbstständig.

Mein Schwerpunkt liegt auf Microsoft 365: Betriebsvereinbarungen, Einigungsstellen und Systemprüfungen.

Union Jack

Beratung und Verhandlung auch auf Englisch
Union Jack

Termine schnell und flexibel per Videokonferenz

Was kann ich für Sie tun?

Lassen Sie uns telefonieren - kostenlos und unverbindlich.









Captcha-Bild

Telefon: 0208-385 82 485
E-Mail: post(at)matthias-sander.net

Hinweis

Die Inhalte dieser Webseite dienen ausschließlich allgemeinen Informationszwecken. Sie wurden von mir in gutem Glauben verfasst. Die Inhalte dieser Webseite dienen ausschließlich allgemeinen Informationszwecken. Sie wurden von mir in gutem Glauben verfasst. Ich übernehme jedoch keine Verantwortung für deren Richtigkeit, Vollständigkeit oder Rechtmäßigkeit.

Diese Webseite stellt keinesfalls eine Rechtsberatung dar. Falls Sie rechtliche Unterstützung benötigen, wenden Sie sich bitte an einen qualifizierten Rechtsanwalt.

Links zu Webseiten Dritter werden ausschließlich zu Informationszwecken bereitgestellt. Ich übernehme keine Verantwortung für die Richtigkeit, Vollständigkeit oder Rechtmäßigkeit des Inhalts dieser verlinkten Webseiten oder für mögliche Schäden, die aus der Nutzung der Inhalte dieser Webseiten entstehen können. Die Bereitstellung von Links stellt keinesfalls eine Zustimmung oder Billigung der dort gezeigten Inhalte dar.