Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
25. Oktober 2021

Prüfpflichten des DSB bei Microsoft 365 (Teil 6): Office Graph, Delve & MyAnalytics

DP+
Microsoft 365 bietet mehrere Analysetools, die aus Datenschutzsicht eine besondere Behandlung erfordern
Bild: iStock.com / PeopleImages
4,00 (1)
Inhalte in diesem Beitrag
Datenschutz bei Microsoft 365
Für viele DSB ist es ein Albtraum, wenn Automatismen Nutzerinnen und Nutzer dabei beobachten, wie sie eine bestimmte Software nutzen. ­Deshalb sollten Sie sich Delve und MyAnalytics in MS 365 genauer anschauen. Erfahren Sie, was für Ihre Prüfungen relevant ist.

Damit Sie genauer verstehen, wie Microsoft (MS) 365 die Aktivitäten von Nutzerinnen und Nutzern analysiert, werfen wir einen Blick auf die Anwendungen, die dafür wichtig sind: den Office Graph, Delve und MyAnalytics.

Der Office Graph beobachtet uns in MS 365

Wer sich in MS 365 bereits besser auskennt, weiß vermutlich, dass man die Anwendungen Delve und MyAnalytics direkt aufrufen kann, während dies beim Office Graph nicht möglich ist. Der Grund dafür ist, dass der Office Graph still und leise im Hintergrund aktiv ist.

Wir können ihn als Backend betrachten, das Nutzerinnen und Nutzer nach einer definierten Methodik daraufhin analysiert, wie sie sich in MS 365 verhalten.

Bildlich gesprochen beobachtet er, wie wir mit unseren E-Mails umgehen, wie viel Zeit wir in Meetings verbringen, welche Dokumente wir anderen freigeben oder welche Dateien wir anklicken oder öffnen.

Delve visualisiert die Auswertungen des Office Graph

Ist der Office Graph das Backend, dann ist Delve das Frontend. Delve visualisiert, was der Office Graph analysiert, und stellt diese Informationen optisch aufbereitet dar. Nutzerinnen und Nutzern zeigt Delve dies in Form eines persönlichen Profils.

Sie sehen, an welchen Dokumenten sie besonders häufig arbeiten oder welche Personen in ihrer Organisation für sie interessant sein könnten.

MyAnalytics analysiert unser Arbeitsverhalten

MyAnalytics wiederum hat das Ziel, die Nutzerinnen und Nutzer mit Tipps zu unterstützen, wie sie effizienter arbeiten. Microsoft kategorisiert diese Erkenntnisse in die Bereiche „Fokus und Wohlbefinden“ sowie „Netzwerk und Zusammenarbeit“.

Hierfür analysiert der vorher genannte Office Graph, wie sich Nutzerinnen und Nutzer verhalten. Dafür nutzt er beispielsweise Daten aus Exchange Online, E-Mails- oder Kalenderdaten sowie Chats oder Meetings aus Teams.

Wie lassen sich Office Graph und Delve deaktivieren?

Welche Möglichkeiten haben nun Datenschutzbeauftragte (DSB), ihre Organisationen davor zu schützen, dass MS 365 ihre Aktivitäten auswertet und analysiert? Am besten wäre natürlich, wenn sich die einzelnen Komponenten einfach deaktivieren ließen!

Checkliste Organisation für Delve und MyAnalytics Vorschau

Checkliste: Das sollte eine Organisation für Delve und MyAnalytics regeln. Die Checkliste finden Sie als Word-Datei unter Checkliste: Regeln für Delve und MyAnalytics

Office Graph: Fehlanzeige …

Leider ist das für den Office Graph nicht möglich. Es gibt keine Einstellung in MS 365, über die Sie oder die Administratoren den Office Graph ausschalten könnten. Das bedeutet, dass der Office Graph kontinuierlich im Hintergrund aktiv bleibt. Gilt das auch für Delve?

Mehr Chancen bei Delve

Für Delve gibt es Positives zu berichten: Sie können Delve deaktivieren. Die Einstellung ist über Umwege im „SharePoint Admin Center“ zu finden: „Einstellungen“ ➔ „Seite mit klassischen Einstellungen“.

Dort angekommen, scrollen Sie weit nach unten, bis zur Einstellung „Delve (unterstützt von Office Graph)“ und entscheiden, ob Sie „Delve und verwandte Funktionen aktivieren oder deaktivieren“ möchten.

Datenschutzfreundliche Voreinstellungen für Delve

Falls Ihre Organisation sich dafür entscheiden sollte, Delve zu nutzen, empfehlen Sie als DSB, zumindest datenschutzfreundliche Voreinstellungen zu berücksichtigen.

Datenminimierung im Profil

Delve stellt den Nutzerinnen und Nutzern ein Profil zur Verfügung, das mit den darin enthaltenen Angaben für alle anderen in der Organisation einsehbar ist.

Die Profil-Optionen, die Microsoft im Standard berücksichtigt, ermöglichen es bereits weitestgehend, das Profil datenminimiert zu nutzen. Benutzername, Position und betriebliche Telefonnummer kann nur das Administrationspersonal verändern. Andere Angaben wie Geburtstag, eine Mobilnummer oder eine private Telefonnummer, „Über mich“, die Projekte oder Qualifikationen und Fachkenntnisse, Schulen und Ausbildung, Interessen und Hobbys sind initial leer.

Zusätzlich zeigt Delve den Nutzerinnen und Nutzern an, welche Dokumente oder E-Mail-Anlagen für sie interessant sein könnten. Der Office Graph analysiert wie oben beschrieben, wie häufig jemand ein Dokument betrachtet hat, und bewertet es dann je nachdem für mehr oder weniger relevant für die betreffende Person.

Wichtig

In meiner Beratungspraxis fragt man mich häufig, ob Delve anderen Personen z.B. einen neu erstellten Arbeitsvertrag anzeigen könnte oder andere Inhalte, die noch geheim sind. Die erfreuliche Antwort: Delve zeigt nur das an, worauf die Nutzerinnen und Nutzer ohnehin über das Filesystem zugreifen können. Ist eine Nutzerin nicht berechtigt, auf einen Personalordner zuzugreifen, so zeigt Delve ihr auch keine Dokumente aus diesem Ordner an.

Felder im Profil konfigurieren

Noch ein Tipp: Das Administrationspersonal kann die Felder im Profil detailliert konfigurieren. Der Pfad lautet: „Admin Center SharePoint“ ➔ „Klassisches SharePoint Admin Center“ ➔ „Benutzerprofile“ ➔ „Richtlinie verwalten“.

Über die Richtlinien lässt sich definieren, welche Felder Pflichtangaben oder freiwillig sind. Und ob standardmäßig jeder in der Organisation den Feldinhalt sehen kann oder nur die Nutzenden selbst.

Wie lässt sich MyAnalytics deaktivieren?

Möchten Sie MyAnalytics für Ihre Organisation deaktivieren (lassen), so ist dies über das Allgemeine Admin Center möglich.

Unter dem Pfad „Einstellungen der Organisation“ ➔ „Dienste“ ➔ „MyAnalytics“ können Sie oder das Administrationspersonal den Zugriff der Nutzerinnen und Nutzer für das Erkenntnis-Dashboard, die wöchentliche Zusammenfassung oder das Outlook-Add-in deaktivieren. Sofern Sie dies umsetzen, stehen die Funktionen nicht mehr zur Verfügung.

Datenschutzfreundliche Voreinstellungen für MyAnalytics

Falls sich Ihre Organisation dafür entscheidet, MyAnalytics zu nutzen, so empfehlen Sie, dass die Beschäftigten selbst darüber bestimmen dürfen, ob sie MyAnalytics verwenden möchten oder nicht.

Sie können diese Entscheidung selbst treffen, indem sie MyAnalytics öffnen und dann auf das „Zahnrad“ rechts oben klicken. Nun stellen die Nutzerinnen und Nutzer selbst ein, welche Funktionen sie verwenden möchten.

Achtung

Ein Grundproblem bleibt abschließend bestehen. Da MyAnalytics und Delve nicht nur analysieren, wie jemand für sich, sondern auch mit anderen zusammenarbeitet, bleibt fraglich, ob der Einsatz im Unternehmen überhaupt datenschutzkonform möglich ist.

Selbst wenn viele Nutzerinnen und Nutzer diese Apps deaktivieren, so analysiert Microsoft trotzdem die Daten, zeigt die Ergebnisse jedoch nicht mehr an.

Julian Häcker

Julian Häcker
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Julian Häcker
Julian Häcker
Julian Häcker, Geschäftsführer der ENSECUR GmbH, löst als Datenschutzberater seit 2010 die Praxisherausforderungen im Datenschutzalltag von Unternehmen. Sein Antrieb: Datenschutz besser machen – damit die Digitalisierung datenschutzkonform gelingt.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.