low-angle photography of metal structure

Sind Profilkarten in OWA ein Compliance-Thema?

Wenn man regelmäßig mit Betriebsräten und Datenschützern über Microsoft 365 spricht, stößt man ab und an auf ziemlich spannende Punkte. Da heißt es für mich dann machmal auch: Nachforschen und Strategie überlegen. Gerade aktuell bin ich wieder über ein Thema gestolpert, dass ich so gar nicht auf dem Schirm hatte. In der Outlook Web App (OWA) gibt es sogenannte Profilkarten, die ein Compliance-Thema sein könnten. Schauen wir uns das mal gemeinsam an.

Was sind Profilkarten?

Profilkarten sind aufrufbare Boxen, die mir sehr viel über einen Kontakt, innhalb meiner Organisation erzählen. Viele dieser Informationen sind solche, die eh im Unternehmensadressbuch stehen und als Attribute im (Azure) Active Directory zu finden sind.

Wie ruft man diese Profilkarte auf? Man meldet sich auf https://portal.office.com an und wechselt in die Outlook-App. Fährt man mit dem Mauszeiger auf ein Profilbild, öffnet sich ein kleine Infobox mit den Kontaktdaten. Klickt man dann auf „Mehr anzeigen“ öffnet sich die Profilkarte, die einem noch mehr über den Kontakt verrät. Sehr viel mehr.

Diese Profilkarte beinhaltet diverse Zusatzinformationen, die vor allem Betriebsräte als „kritisch“ ansehen könnten. Warum? Ein wiederkehrender Begriff lautet „Verhaltenskontrolle“. Hierbei ist das Problem der Abschnitt „Arbeitet mit…“. Hier werden 12 Mitarbeiter*innen aufgelistet, mit denen die Person zusammenarbeitet. Laut meinen Recherchen ist das seit gut zwei Jahren schon in einschlägigen Foren ein Thema.

„Arbeitet mit…“ nicht ausblendbar

Fakt ist: Diesen Teil der Box kann kann man nicht abschalten. Microsoft hat in Verbindung mit dieser Profilkarte einiges getan. Man kann benutzerdefinierte AD-Attribute per Graph-API hinzufügen und auch entfernen. Aber die Standard-Infromationen lassen sich partout nicht ausblenden. Sollte man also ein Problem mit diesen Standards haben, muss man einen anderen Workaround finden.

OWA abschalten

Klingt radikal, oder? Ja, finde ich auch. Und eigentlich sollte das nicht das Ziel sein. Man macht sich die Vorteile der Cloud auf diesem Wege kaputt. Aber da sich bestimmte Informationen zum jetzigen Zeitpunkt nicht ausblenden lassen, wäre das der einzige Weg, um niemanden in Versuchung zu bringen, eine Verhaltenskontrolle mit solchen Daten durchzuführen.

Betriebsvereinbarung

Wenn ein Abschalten des OWA nicht gewünscht ist, dann bleibt immer noch der Weg über eine Betriebsvereinbarung. Wer Microsoft 365 im großen Stil ausrollt, kommt eh um eine solche nicht herum. Mit der Profilkarte verhält es sich ähnlich, wie mit der Anwendung Delve. Auch hier lassen sich Metadaten einsehen – zum Beispiel wer zuletzt an welcher Datei gearbeitet hat. Nicht wenige haben in der Betriebsvereinbarung festgehalten, dass solche Metadaten nicht zur Verhaltenskontrolle genutzt werden.

Wirklich ein Problem?

Um diese Frage zu klären, muss man wissen, woher die genannten Informationen eigentlich kommen. Microsoft ist in dieser Hinsicht transparent und erklärt in seiner Dokumentation, dass es sich hier bei um „öffentliche Kommunikation innerhalb der Organisation“ handelt. Beispiele werden auch genannt:

  • Allgemeine Gruppen
  • Verteilerlisten
  • geteilte Outlook Kalender Events
  • und Reporting-Strukturen.

Es sind also in erster Linie Quellen, die unter Umständen eh von allen einsehbar wären. In keiner Weise werden hier also vertrauliche Beziehungen sichtbar gemacht. Somit tauchen keine Namen auf, mit denen ausschließlich persönlich und privat per Mail oder Chat kommuniziert wurde.

Ich konnte das mit meinen Kolleg*innen gut nachvollziehen. Es gibt beispielsweise einen allmorgendlichen Termin mit Kolleg*innen, mit denen ich sonst im Arbeitsalltag kaum bis gar keine Berührungspunkte habe. Diese Personen tauchen nicht in meiner Profilkarte auf. Wohl aber solche, mit denen ich sehr eng zusammenarbeite.

Was in den Profilkarten keine Erwähnung findet, ist der Kontext meiner Zusammenarbeit mit den entsprechenden Personen. Also keine Projekte, keine gemeinsamen Themen. Der Block „Arbeitet mit…“ ist also frei von Wertung und irgendwelchen kritischen Zusatzinformationen, welche Aufschluss über meinen Arbeitsalltag preisgeben. Laut meinem persönlichen Profil sind die Informationen nicht einmal wirklich aktuell. Es tauchen Mitarbeiter*innen auf, die schon seit einiger Zeit nicht mehr in der Firma arbeiten, deren Account aber scheinbar noch da sind.

Fazit

Wenn man Microsoft 365 implementiert, ist auf jeden Fall das Gespräch mit dem Betriebsrat zu suchen. Das ist wichtig, und das ist auch gut. Auf der Liste der Dinge, über die man sprechen sollte, ist für mich der Punkt mit den Profilkarten neu hinzugekommen. Und ja, es werden künftig bestimmt noch weitere Punkte hinzukommen.

Kritisch sehe ich das allerdings nicht. Metadaten fallen in der digitalen Zusammenarbeit an – „damals“ wie heute. Nur manches wird einem in der Cloud transparenter dargestellt. Es bedarf also eines Paragraphen in einer Betriebsvereinbarung, dass solche Metadaten nicht zur Verhaltenskontrolle verwendet werden. Und damit deckt man am Ende alle vermeintlichen Möglichkeiten ab, dies zu tun.

Sind die Profilkarten also ein Compliance-Thema? Ja. Aber es lässt sich relativ einfach handhaben. Denn das Thema Metadaten ist nach wie vor nichts Neues.

Published by Sascha

Cloud Solution Architekt für Microsoft 365 mit einem Faible für Datenschutz und Security. Außerdem immer ein Auge auf dem nicht weniger wichtigen Themen Change & Adoption.
%d Bloggern gefällt das: