Die Nutzung von Microsoft 365 bringt sowohl datenschutzrechtliche als auch betriebsverfassungsrechtliche Themen mit sich. Als technische Einrichtung, welche die Überwachung von Leistung und Verhalten der Arbeitnehmer ermöglicht, unterliegt die Einführung und Nutzung der Mitbestimmung des Betriebsrats. Doch wie verhält es sich, wenn das Softwarepaket unternehmensweit, aber in mehreren Betrieben einsetzen werden soll?
Voraussetzungen der Zuständigkeit des GBR
Mit der Frage, ob in diesem Fall der lokale Betriebsrat oder der Gesamtbetriebsrat zuständig ist, hatte sich das Bundesarbeitsgericht (BAG) in seinem Beschluss vom 08.03.2022 (1 ABR 20/21) zu beschäftigen. Hintergrund war, dass die Einordnung von Microsoft 365 (damals noch Office 365) als "technische Einrichtung" im Sinne des § 87 Abs. 1 Nr. 6 BetrVG, welche die Überwachung von Verhalten und Leistung der Arbeitnehmer theoretisch ermöglicht, unproblematisch war. Der antragstellende lokale Betriebsrat fühlte sich jedoch bei der Mitbestimmung übergangen.
So vertrat er die Ansicht, er habe zumindest bei Teilen des Softwarepakets mitzubestimmen. So könnten nämlich die zentralen Administrationsrechte (jedenfalls für einige Module) auf betrieblicher Ebene geregelt und die Anwendung in den einzelnen Betrieben unterschiedlich ausgestaltet werden. Administrationsrechte ließen sich für einige Module auf betrieblicher Ebene regeln und die Anwendung in den einzelnen Betrieben unterschiedlich ausgestalten. Als Konsequenz bestünde keine zwingende technische Notwendigkeit für eine unternehmensweit einheitliche Regelung, sodass die Zuständigkeit des Gesamtbetriebsrats nach § 50 Abs. 1 S. 1 BetrVG nicht eröffnet sei.
Die "1-Tenant-Lösung" von Microsoft 365
Dieser Ansicht folgte das Gericht jedoch nicht. Die Erklärung: Voraussetzung der Zuständigkeit des Gesamtbetriebsrats nach § 50 Abs. 1 S. 1 BetrVG sei zum einen, dass es sich um eine mehrere Betriebe betreffende Angelegenheit handle.
Zum anderen müsse objektiv ein zwingendes Erfordernis für eine unternehmenseinheitliche oder betriebsübergreifende Regelung bestehen. Entscheidend sei dabei der Inhalt und Zweck des Mitbestimmungstatbestands, der einer zu regelnden Angelegenheit zugrunde liegt. Der Wunsch des Arbeitgebers nach einer unternehmenseinheitlichen oder betriebsübergreifenden Regelung, sein Kosten- oder Koordinierungsinteresse sowie reine Zweckmäßigkeitsgesichtspunkte allein seien dagegen nicht ausreichend.
Das zwingende Erfordernis für eine unternehmenseinheitliche Regelung sah das BAG im entschiedenen Fall darin, dass es sich um eine sog. "1-Tenant-Lösung" handelte, bei der die Administrationsrechte zentral vergeben werden. Maßgeblich für die Zuständigkeit des Gesamtbetriebsrats sei mithin, dass durch die zentralen Administrationsrechte auch eine zentrale, unternehmensübergreifende Überwachungsmöglichkeit bestehe.
Dass bei einzelnen Modulen benutzerbezogene Einstellungen vorgenommen werden können, führe hingegen nicht zu einer anderen Bewertung, da die zur Leistungs- und Verhaltenskontrolle geeigneten Komponenten oder Funktionen nicht auf bestimmte Personen oder Personengruppen einschränkbar seien.
Auch handle es sich um eine einheitliche betriebsverfassungsrechtliche Angelegenheit, sodass eine Aufspaltung der Zuständigkeit von Betriebsrat und GBR für einzelne Module des Softwarepakets bzw. für die Einführung einerseits und die Anwendung andererseits nicht in Frage komme.
Mitbestimmung auch bezüglich "des Datenschutzes"?
Die Entscheidung des Gerichts führt zu einer erfreulichen Klarstellung im Hinblick auf die Zuständigkeitsverteilung von Betriebs- und Gesamtbetriebsrat. Dies ist insbesondere wegen der weiten Verbreitung von Microsoft 365 in Unternehmen und Betrieben von enormer Praxisrelevanz. Der Einsatz von Microsoft 365 hat in der jüngeren Vergangenheit erhebliche datenschutzrechtliche Bedenken hervorgerufen.
Aus Sicht des Betriebsrats stellt sich insofern die Frage, ob dieser mittels des Mitbestimmungsrechts auch auf Fragen des Datenschutzes Einfluss nehmen kann. Diesbezüglich gilt zunächst, dass dem Betriebsrat kein Mitbestimmungsrecht hinsichtlich "des Datenschutzes" zusteht. Ein solches ergibt sich erst über einen der Tatbestände des § 87 Abs. 1 BetrVG, im Falle von Microsoft 365 eben über § 87 Abs. 1 Nr. 6 BetrVG. Insofern kann der (Gesamt-)Betriebsrat die Ausgestaltung des Datenschutzes doch beeinflussen.
Entwicklungen im Hinblick auf die Drittstaatenübermittlung
Aus unternehmerischer Sicht ist der Einsatz von Microsoft 365 vor allem wegen der möglichen Übermittlung personenbezogener in die USA problematisch. Die USA ist nach dem Scheitern des EU-US-Privacy-Shields als unsicheres Drittland im Sinne der DS-GVO einzustufen, sodass die Datenübermittlung durch geeignete Mechanismen gesichert werden muss, insbesondere um einen möglichen Zugriff durch die US-Geheimdienste zu verhindern.
Microsoft ist diesbezüglich im ständigen Austausch mit den deutschen und europäischen Aufsichtsbehörden. Zwischenzeitlich wurde angekündigt, dass ab Ende 2022 eine Verarbeitung der in den Cloud-Diensten gespeicherten Daten nur noch in Europa erfolgen soll. Außerdem arbeiten die EU und die USA weiterhin an einem Nachfolgeabkommen für das EU-US-Privacy-Shield, welches die Datenübermittlung erheblich vereinfachen würde.
Einsatz von Microsoft 365 an Schulen
Die Fortschritte im Hinblick auf die Drittstaatenproblematik gestalten sich jedoch zäh, sodass einzelne Aufsichtsbehörden jedenfalls bezüglich des Einsatzes von Microsoft 365 in Schulen die Initiative ergreifen. Den Anfang machte bereits 2019 der hessische Datenschutzbeauftragte, welcher zunächst den Einsatz als datenschutzrechtlich unzulässig bewertete. Nach Gesprächen mit Microsoft erklärte er aber nur einen Monat später, die Nutzung unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden.
Der LfDI des Landes Baden-Württemberg betreute zwischen Herbst 2020 und Frühling 2021 ein Pilotprojekt, in welchem in Zusammenarbeit mit Microsoft überprüft wurde, ob ein datenschutzkonformer Einsatz des Softwarepakets an Schulen möglich ist. Zum Einsatz kam dabei eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von Microsoft 365.
Trotz des Abschaltens von Funktionen, die aus datenschutzrechtlicher Sicht als besonders bedenklich eingestuft wurden, kam der LfDI zu dem Ergebnis, dass der Einsatz ein sehr hohes Risiko mit sich bringe. Aus diesem Grund wurde empfohlen, auf andere, datenschutzkonforme digitale Bildungsplattformen zurückzugreifen. Diese Empfehlung wurde jüngst in eine Aufforderung an die Schulen in Baden-Württemberg umgewandelt, entweder die Nutzung von Microsoft 365 zu beenden oder den datenschutzkonformen Betrieb eindeutig nachzuweisen.
Dass ein solch datenschutzkonformer Betrieb möglich ist, davon scheint auch der rheinland-pfälzische LfDI - trotz Bedenken - auszugehen. Jedenfalls hat dieser in einem FAQ zu Microsoft 365 Hinweise darauf veröffentlicht, unter welchen Voraussetzungen ein Einsatz von Microsoft 365 an Schulen datenschutzrechtlich zulässig sein kann.
- Sichere IT-Infrastruktur
Der Arbeitgeber sollte dem Mitarbeiter Arbeitsmittel zur Verfügung stellen, mit denen er sich ins Unternehmensnetz einwählen kann. Idealerweise handelt es sich dabei um ein in sich geschlossenes Virtual Private Network (VPN). - Schulungen sensibilisieren gegen Phishing
Die Angriffsfläche für Phishing-Attacken wächst, sobald vermehrt im Homeoffice gearbeitet wird. Daher sollte das Unternehmen sämtliche Mitarbeiter in dieser Hinsicht schulen. - Vereinbarungen zum Home-Office treffen
Mit Mitarbeitern, die zeitweise von zu Hause arbeiten, sollte der Arbeitgeber eine Vereinbarung treffen. Darin sind im Einzelfall zutreffende Pflichten und vereinbarte Schutzvorkehrungen zu dokumentieren. - Private und geschäftliche Daten trennen
Private und geschäftlichen Daten sollten getrennt sein. Auch hier sollte der Arbeitgeber am besten alle Maßnahmen individuell innerhalb einer getroffenen Vereinbarung dokumentieren. - Regeln für Auftragsdatenverarbeitung beachten
Verarbeitet ein Unternehmen für ein anderes im Auftrag personenbezogene Daten, ist zu beachten, was innerhalb des Auftragsverarbeitungsvertrags vereinbart wurde - unter anderem die technischen und organisatorischen Maßnahmen (TOM) dürfen auch in solchen Situationen nicht unterschritten werden. - Kontrolle im Home-Office
Persönliche Kontrollbesuche sind nur erlaubt, wenn der Besuch vorher abgesprochen und nicht bloß angekündigt wurde. Keylogger-Software, die jeden Tastaturanschlag speichert und den Bildschirm hin und wieder fotografiert ist ebenfalls nur erlaubt, wenn ein konkreter Anlass vorliegt und der Arbeitgeber den Einsatz der Software mitgeteilt hat. - Private E-Mails sind verboten
Zugriff auf geschäftlichen E-Mail-Verkehr darf der Chef immer einfordern, in E-Mails jedoch durch den Betreff bereits deutlich als privat erkenntlich, dürfen diese auch bei Verbot der E-Mail-Privatnutzung nicht einfach so gelesen werden. Eine Kontrolle, ob private Mails verschickt wurden, ohne Einsicht, ist jedoch möglich.
Voraussetzungen für einen datenschutzkonformen Einsatz
Auch wenn sich die obigen Darstellungen auf den Einsatz an Schulen fokussieren, lassen sich diese auch auf die Nutzung durch Unternehmen übertragen.
Um dem Risiko des Zugriffs durch US-Geheimdienste zu begegnen, sollte eine "On-Premises-Lösung" verwendet werden, bei welcher Microsoft 365 entweder auf eigenen oder aber auf IT-Strukturen von Anbietern betrieben wird, welche die Daten innerhalb der EU/des EWR speichern und nicht dem US-amerikanischen Recht unterliegen.
Im Hinblick auf die durch Microsoft erhobenen Telemetrie-Daten sollte deren Übertragung durch entsprechende Einstellungen in Microsoft 365 bzw. dem Betriebssystem so weit wie möglich unterbunden werden. Wo dies nicht möglich ist, sollten die Daten durch eine geeignete Firewall "gefiltert" werden, sodass eine Übertragung nicht stattfindet. Dabei ist zu beachten, dass dieser Vorgang mit funktionalen Einschränkungen verbunden sein kann.
Als weitere Maßnahmen kommen in Betracht:
die Nutzung vorkonfigurierter und abgesicherter Browser mit integrierten Schutzmaßnahmen,
die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients zur weitestgehenden Anonymisierung/Gleichschaltung der Metadaten,
die Verwendung datensparsam konfigurierter Endgeräte,
die Verwendung dienstlicher pseudonymer Mailadressen/Accounts,
das Verbot der Nutzung privater Microsoft-Accounts, sowie
die Umleitung des Internetverkehrs über eine eigene Infrastruktur mit geeigneten technischen Maßnahmen zur Verschleierung der heimischen IP-Adressen.
Ergänzt werden diese Maßnahmen durch die Verwendung der sog. EU-Standard-Datenschutzklauseln. Diesbezüglich ist jedoch zu beachten, dass der EuGH für die Übermittlung in die USA zusätzliche Maßnahmen für erforderlich hält, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird.
Weil jedoch individuelle Vereinbarungen mit Microsoft kaum abzuschließen sind, bleibt Unternehmen bis auf weiteres nur, durch entsprechende Voreinstellungen und die Implementierung technischer und organisatorischer Maßnahmen selbst für einen höheren Schutz der verarbeiteten Daten zu sorgen.
Des Weiteren sollten auch die mit Microsoft geschlossenen Verträge überprüft und erforderlichenfalls neu verhandelt werden. Eine Überprüfung ist auch dahingehend erforderlich, ob eine Datenschutz-Folgeabschätzung durchzuführen ist. Im Hinblick auf die eigenen Mitarbeiter sind schließlich die Erfüllung der Informationspflichten und etwaige Schulungserfordernisse zu beachten.
Microsoft Teams als "interpersoneller Telekommunikationsdienst"
Seit dem 1. Dezember 2021 gelten die neuen Regelungen im Telekommunikationsgesetz (TKG). TK-Dienste im Sinne des Gesetzes (§ 3 Rn. 61 lit. b TKG) sind nunmehr auch sog. interpersonelle Telekommunikationsdienste (§ 3 Rn. 24 TKG) als gewöhnlich gegen Entgelt erbrachte Dienste, die einen direkten interpersonellen und interaktiven Informationsaustausch über TK-Netzezwischen einer endlichen Zahl von Personen ermöglichen, wobei die Empfänger von den Personen bestimmt werden, die die Telekommunikation veranlassen oder daran beteiligt sind.
Der LDI NRW hat nun in einer Handreichung zu Online-Prüfungen an Hochschulen erstmals festgestellt, dass Videokonferenzdienste - und damit etwa auch Microsoft Teams - als interpersoneller Telekommunikationsdienst im vorgenannten Sinne einzustufen sei. Eine solche Einordnung hat zur Folge, dass der Anbieter des Telekommunikationsdienstes, in diesem Fall also Microsoft, als Telekommunikationsanbieter anzusehen wäre und somit auch dem Fernmeldegeheimnis (§ 3 Abs. 2 S. 1 Nr. 2 TTDSG) unterfallen würde. Zuständige Aufsichtsbehörde wäre der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (§ 29 Abs. 1 TTDSG).
Auch wenn Unternehmen als Nutzer eines Videokonferenzdienstes nicht als Telekommunikationsanbieter anzusehen sind (dies ist weiterhin umstritten), brächte eine entsprechende Einstufung von Microsoft auch für diese Prüfungsbedarf mit sich. Der Grund dafür ist, dass sich Microsoft in diesem Falle nicht mehr darauf berufen könnte, bei der Nutzung von Microsoft Teams lediglich als Auftragsverarbeiter tätig zu werden.
Dies hat zur Folge, dass in den datenschutzrechtlichen Dokumentationen die Übermittlung personenbezogener Daten (in Form von Metadaten, also z.B. IP-Adressen, die übertragene Datenmenge, der Browsertyp, das Betriebssystem und Informationen darüber, wer wann mit wem kommuniziert, aber auch die technischen Übertragungsdaten in Bezug auf den Transport der Inhaltsdaten) an Microsoft als Telekommunikationsanbieter und somit datenschutzrechtlich Verantwortlichen dargestellt werden muss. Dies betrifft etwa die erstellten Verarbeitungsverzeichnisse, die Informationspflichten für die Beschäftigten, Kunden und Businesspartner, sowie die Formulierungen in Betriebsvereinbarungen.
Schwierigkeiten würden sich auch im Hinblick auf die vertraglichen Vereinbarungen mit Microsoft ergeben. Der LDI NRW geht davon aus, dass das Unternehmen als die den Videokonferenzdienst nutzende Stelle gemäß Art. 32 DS-GVO zur Gewährleistung technischer und organisatorischer Maßnahmen für die Sicherheit der Verarbeitung der Inhaltsdaten verpflichtet ist.
Aus dieser Verpflichtung schließt die Behörde, dass diesbezüglich entsprechende Klauseln in den Vertrag mit dem Anbieter von Telekommunikationsdiensten aufzunehmen seien. Aus der Vergangenheit ist jedoch bekannt, dass allenfalls Big Player dazu in der Lage sind, mit Microsoft einzelne Vertragsdetails auszuhandeln, sodass fraglich ist, wie einer solchen Verpflichtung nachgekommen werden könnte. Auch insofern bleiben die weiteren Entwicklungen, auch in Form von weiteren aufsichtsbehördlichen Stellungnahmen, zu beobachten. (bw)