Nutzungsspuren bei MS Teams


Was weiß der Administrator über die BR-Sitzung?

Der Gesetzgeber hat gerade mit dem neuen §129 BetrVG die rechtliche Grundlage für virtuelle Betriebsratssitzungen geschaffen. Viele Besprechungen, auch Sitzungen des Betriebsrats und seiner Ausschüsse, werden jetzt als Video-Konferenz durchgeführt.
Häufig wird dabei Microsoft Teams benutzt. Neben allgemeinen Datenschutzfragen im Zusammenhang mit MS Teams, wie sie z. B. die Berliner Datenschutzbeauftragte aufgeworfen hat, stellt sich insbesondere für Betriebsräte die Frage:

Kann jemand nachverfolgen, wer wie lange an welcher Sitzung teilgenommen hat?

 

Kurzfassung

Microsoft stellt den Teams-Administratoren des Unternehmens eine Funktion zur Verfügung, die eigentlich dafür gedacht ist, technische Mängel in der Anrufqualität zu beheben. Aber es gibt da eine Ansicht, auf der man in einem Balkendiagramm übersichtlich nachsehen kann, wer an der Sitzung beteiligt war, wer sich wann ein- und ausgeschaltet hat sowie weitere technische Details:

Hier könnte man also sehen, wer verspätet teilgenommen hat, wer sich früher verabschiedet hat, ob der Gewerkschaftssekretär dabei war, wann der Rechtsanwalt sich eingeschaltet hat und so weiter. Alles Informationen, die nur den Betriebsrat etwas angehen, die aber auf diesem Weg auch die Administratoren erfahren.

Und nicht nur die eigenen Administratoren: Wenn Externe an der Sitzung teilgenommen haben, können auch deren Teams-Administratoren diese Daten sehen! Wenn ein Betriebsrat also zum Beispiel einen externen Sachverständigen zur BR-Sitzung hinzuzieht, und dieser sich über den eigenen Microsoft-Account seiner Firma an der Sitzung anmeldet, kann der Teams-Admin des Sachverständigen auch all diese Daten der BR-Sitzung sehen.

Betriebsräte sollten sich überlegen, ob sie unter diesen Bedingungen Teams für ihre Sitzungen nutzen wollen. Eine Regelung dieser Funktionen in einer Betriebsvereinbarung erscheint jedenfalls sinnvoll.

 

Im Detail: Teilnahmeprotokolle von Teams-Konferenzen

Über Teams-Besprechungen können durchaus noch mehr Spuren zurückbleiben. Deshalb sollten sich Betriebsräte gut überlegen, ob sie Teams für ihre Sitzungen nutzen wollen.

 

1. Download der Teilnehmerliste

Microsoft hat gerade die Möglichkeit geschaffen, während der Sitzung eine Teilnehmerliste herunterzuladen. Für den Organisator einer Sitzung gibt es jetzt bei der Teilnehmerliste einer Sitzung einen Button „Anwesenheitsliste herunterladen“. Andere Teilnehmer haben diese Funktion nicht.
  

In der heruntergeladenen csv-Datei sind Datensätze mit Namen, Benutzeraktion (z. B. „Beigetreten“) und Zeitstempel gespeichert.

Es ist geplant, diese Funktion in Zukunft auch nach einer Sitzung zur Verfügung zu stellen (MS Blog).

 

2. Microsoft Teams Admin Center

Microsoft stellt für Administratoren der Clouddienste von Office 365 eine Reihe von Administrationsseiten zur Verfügung, es gibt auch ein spezielles Admin-Center für Teams.

Darin gibt es zum einen die Verwendungsberichte, in denen man sehen kann, wer an wie vielen Besprechungen teilgenommen hat, wie viele Besprechungen ein Benutzer organisiert hat oder wie viele Chat-Nachrichten jemand verschickt hat. Details zu einzelnen Sitzungen sieht man hier erstmal nicht.

Wenn man aber auf einen Namen klickt, gelangt man zur Benutzeranzeige im Teams Admin Center und dort gibt es eine Seite „Anrufverlauf“, wo alle Besprechungen und Anrufe des Benutzers aufgeführt sind.

Klickt man dann weiter zu einer Besprechung, sieht man auch die anderen Besprechungsteilnehmer.

Einige Teilnehmer werden als „Unbekannt“ oder „Anonymer Benutzer“ angezeigt, je nachdem, ob sie sich über einen Browser oder über die Teams-App eingewählt haben und welches Microsoft-Konto verwendet wurde. Benutzer, die sich über ein Telefon eingewählt haben, werden mit einer verkürzten Telefonnummer angezeigt.

Ein weiterer Klick auf die graphische Darstellung („Balkendiagramm-Ansicht“) zeigt dann die E-Mail-Adressen der „unbekannten“ Benutzer und den zeitlichen Verlauf der Teilnahmen an dieser Besprechung: Wer sich wann ein- und ausgeschaltet hat, ob Audio, Video oder Bildschirmpräsentation möglich war und wie die Audioqualität der Verbindung war.

Im Fall von Betriebsratssitzungen können hier Details zum Ablauf der Sitzung an Personen außerhalb des Gremiums gelangen, die sie nichts angehen.

Zwei weitere Klicks auf  „Sitzungsdetails anzeigen“ und „Erweitert“ enthüllen bis zu 120 verschiedene technische Daten zur Sitzung, vom Namen des verwendeten Computers („Mikes-MacbookPro.fritz.box“) über die Geschwindigkeit des Netzwerkes bis zum Typ der verwendeten Kamera. Diese Daten sind sicherlich nützlich, wenn man Mängel in der Qualität der Verbindung aufspüren will, verraten aber auch viel über die benutzte Ausstattung und erlauben u. U. die Bestimmung von bis dahin anonymen Benutzern. Bei der Nutzung im Home-Office geben diese Daten zumindest teilweise auch private Konfigurationen preis. (Ist zuhause eine fritzbox oder ein anderer Router installiert?).

Für diese technischen Daten gibt es auch eine praktische Download-Möglichkeit („Bericht exportieren“). Diese Funktionen stehen für die Sitzungen der letzten 30 Tage zur Verfügung.

 

3. Zugriff von Externen

Wenn an einer Sitzung außer den internen Teilnehmern der eigenen Organisation auch Externe teilgenommen haben, stehen diese Daten auch den Teams-Dienstadministratoren des externen Unternehmens zur Verfügung! Voraussetzung ist, dass das externe Unternehmen eine eigene Office-365-Umgebung („tenant“) bei Microsoft gemietet hat und dass sich der externe Teilnehmer über diese Umgebung an der Sitzung anmeldet. Aber dann kann zum Beispiel der Teams-Admin des externen Sachverständigen, den der Betriebsrat zur Sitzung hinzuzieht, all diese Daten der BR-Sitzung sehen.

Ob diese Übermittlung von personenbezogenen Daten datenschutzrechtlich in Ordnung ist, ist sehr zweifelhaft!

 

Fazit

Betriebsräte sollten sich überlegen, ob sie unter diesen Bedingungen Teams für ihre Sitzungen nutzen wollen. Das gilt besonders auch für andere Personen, deren Kontakte einer besonderen Vertraulichkeit unterliegen, wie Betriebsärzte oder Suchtbeauftragte.

Eine Alternative könnte sein, dass der Betriebsrat eine eigne Office-365-Umgebung („tenant“) bei Microsoft nutzt. Damit wäre allerdings das Problem mit dem Zugriff von Administratoren externer Teilnehmer noch nicht gelöst.

Oder der Betriebsrat benutzt einen der vielen anderen Konferenz-Dienste für seinen Sitzungen. Der wäre allerdings auf seine Qualität im Hinblick auf Datenschutz und Sicherheit zu prüfen. Und in jedem Fall sind kritische Funktionen wie z.B. Transparenz über die Teilnehmenden, Aufzeichnungen, Einwilligungsverfahren und Datenverschlüsselung von Ende zu Ende zu untersuchen und zu bewerten, bevor man sich einem Dienstleister anvertraut (siehe dazu digitalcourage: Videokonferenzen müssen keine Datenschleudern sein).

Auch der Abschluss einer Betriebsvereinbarung zu dem Thema könnte das Problem abmildern. Darin müsste geregelt werden, wer Zugriff auf diese Protokolle im Admin-Center hat und dass sie nur für technische Zwecke (Behebung von Problemen mit der Anrufqualität) benutzt werden dürfen. Ob das allerdings ausreicht, um im eigenen Betrieb dem Problem zu begegnen, müsste der Betriebsrat entscheiden.

 

Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen

golem.de: „Datenschutzbeauftragte legt im Streit mit Microsoft nach“

White Paper „Auswahl und Nutzung webbasierter Kommunikationsdienste in Zeiten von Corona“

Microsoft Dokumentation zum Anrufanalyse- und Anrufqualitäts-Dashboard