An der Wirtschaftsuniversität Wien stehen starke Umstellungen der IT-Landschaft an. Ein Grundpfeiler der neuen IT-Landschaft ist und wird „Microsoft 365“ sein. Der Betriebsrat für das wissenschaftliche Personal hat mit Thomas Riesenecker, der beim Forschungsinstitut FORBA Spezialist für IT und Arbeitswelt ist, ein Hintergrundgespräch zu den Eigenschaften von „Microsoft 365“ und deren Folgen für die Arbeits- und Organisationskultur geführt. In der ersten Folge geht es vor allem um die Charakteristika von Microsoft 365 und Folgen für die Arbeitskultur. In der zweiten Folge, die in der kommenden Nummer unserer BR-Info erscheinen wird, wird es vor allem um Fragen des Datenschutzes und der Organisationskultur gehen. Kernthese von Thomas Riesenecker in diesem Interview ist, dass „Microsoft 365 kein Softwareprodukt, sondern ein Organisationsentwicklungsprozess“ ist.

Eigenschaften von Microsoft 365

wissBR: Aus Sicht einer WU-Mitarbeiterin, eines WU-Mitarbeiters: Was ist „Microsoft 365“ eigentlich?

Riesenecker: Das ist nicht so einfach zu beantworten, weil viele Menschen die Microsoft-Produkte seit Jahrzehnten kennen, mit diesen Produkten groß geworden sind. Sie kennen aber primär „Microsoft“ als sogenannte „Office-Anwendungen“ ­­­–– wie Word, Excel und PowerPoint –– die ja vor allem über den PC-Markt in den letzten Jahrzehnten Bekanntheit erlangt haben. Was Microsoft und viele andere Softwareanbieter in den letzten Jahren verändert haben, ist, diese Produkte als Lösungen, die über das Internet im Webbrowser ausgeführt werden, anzubieten, d.h. Internet-basierte Plattformen aufzubauen, über welche diese Produkte aufgerufen werden können. „Microsoft 365“ ist jetzt quasi ein „Bauchladen“ von unterschiedlichsten Anwendungen, die Microsoft anbietet.

Bei diesen Anwendungen ist zu unterscheiden: Zum einen die Sicht der Benutzer*in, die auf diese Produkte zurückgreifen und mit ihnen arbeiten, zum anderen die Sicht der Organisationen, welche die Produkte für ihre Mitarbeiter*innen betreiben. Aus Sicht der Benutzer*innen gibt es die klassischen bisherigen Anwendungen wie Excel, PowerPoint oder Teams für Videokonferenzen. Darüber hinaus gibt es noch „Microsoft Yammer“ für den Austausch, „Microsoft Forms“ für Umfragen, „Microsoft Lists“ für Aufgabenverwaltung, „Microsoft OneDrive“ als persönliches Laufwerk und „Microsoft SharePoint“ in Verbindung mit Gruppen oder Teams, die zusammenarbeiten und gemeinsam Dokumente bearbeiten.

Aus Sicht der Organisationen oder Unternehmen – das ist sicher eine der großen Stärken von Microsoft – gibt es mit „Microsoft 365“ eine Vielzahl von Sicherheitsfeatures. Das nennt sich bei Microsoft „Enterprise Mobility und Security“ (EMS). Damit wird auch die Geräte- oder Hardware-Landschaft in einer Organisation abgebildet. Das heißt, man kann diese Geräte verwalten und kann durch die Nutzung von integrierten IT-Sicherheitswerkzeugen (z.B.: „Microsoft Defender for Endpoint“) von Microsoft innerbetriebliche Policies und Regeln aufstellen. Diese können verwendet werden, um festzulegen, wie diese Geräte verwendet werden können, welche Art von Daten verschickt werden kann, was hochgeladen und was mit Externen geteilt werden darf.

wissBR: Welche Daten sammelt und generiert Microsoft 365 bei dessen Nutzung? Welche Daten über uns Benutzer*innen werden bei der Nutzung von Microsoft 365 generiert?

Riesenecker: Das ist ein sehr spannendes Thema, weil es natürlich eine immense Vielfalt an Anwendungen gibt, und deswegen unterschiedliche erzeugte Daten. Grob gesprochen sind es zum einen Nutzungsdaten: Wann nutze ich ein Gerät? Mit welcher Anwendung, in welchem Rahmen? Wie lade ich Daten rauf oder runter? Wie übermittle ich diese? Man spricht hier allgemein von „Protokolldaten“. Parallel dazu werden natürlich auch sogenannte Inhaltsdaten gespeichert. Das sind die Daten, die ich so tagtäglich produziere, wie der Email-Text, die Word- oder Excel-Datei, der Chat-Text in einem Teams-Meeting. Das heißt, jedwede Art von Information, unabhängig davon, ob es der Nutzer oder die Nutzerin aktiv generiert oder das Gerät im Hintergrund aufzeichnet, wird bei Microsoft im Hintergrund gespeichert und verwaltet.

wissBR: Was ist das Geschäftsmodell Microsofts hinter „Microsoft 365“? Welche Daten sind für Microsoft (und Dritte) besonders wertvoll und warum?

Riesenecker: Microsoft bringt damit ein Softwareprodukt mit all seinen Anwendungen auf den Markt und verkauft es. Das Softwareprodukt ist die Ware und damit ein Teil des Geschäftsmodells. Was die Nutzungs-, Protokolldaten und Inhaltsdaten betrifft, muss man differenzieren, zwischen der privaten („Home-Edition“) und der beruflichen Verwendung.

Im Enterprise- oder Business-Bereich stellt Microsoft eine umfassende technische Infrastruktur zur Verfügung. Die Interpretation der Daten, die erzeugt werden, die obliegt primär einer internen oder einer ausgelagerten IT-Abteilung. Im IT-Sicherheitsbereich, zum Beispiel, setzt Microsoft immense Investitionen, sodass IT-Abteilungen gestärkt werden, organisationsinterne Datenflüsse kontrollieren zu können. Das heißt, hier fließen sehr wenige Daten Richtung Microsoft. Es sind zwar immer Rechenzentren, die von Microsoft zur Verfügung gestellt werden, im Spiel, aber auf die eigentlichen Daten, die in einer Organisation erzeugt werden, greift Microsoft nicht zu. Einzig im Bereich der Abwicklung der Lizenzierung braucht es natürlich gewisse Daten, die direkt an Microsoft übermittelt werden.

Im Hinblick auf das Geschäftsmodell erscheint mir aber ein anderer Aspekt viel wichtiger: Man muss sich natürlich immer wieder vor Augen führen, dass Microsoft ein US-Unternehmen ist. Microsoft selbst hat eine Arbeitskultur, die sehr stark von den USA geprägt ist. Und sie bieten mit „Microsoft 365“ ein Softwareprodukt weltweit an. Das ist vergleichbar mit SAP, wo man bei vielen Standardprozessen gesehen hat, dass die Kultur eines deutsches Industrieunternehmen mitschwingt, weil die Gründer von SAP einen deutschen Bildungsweg durchlaufen und weiter in deutschen Unternehmen gearbeitet haben. Das heißt, solche Produkte bilden immer sehr stark eine bestimmte Kultur ab. Und das sieht man derzeit bei Microsoft, dass es jetzt Geschäftsmodelle gibt, die vermehrt auf die Kultur der Zusammenarbeit oder auch die Steigerung der eigenen Produktivität und dergleichen setzen. Also etwas, was man aus den USA kennt: Man muss immer wertschöpfender, man muss produktiver werden. Auf der anderen Seite natürlich auch „New Work“, ein Begriff, der durch die Management-Literatur getrieben wird.

Veränderungen der Arbeitskultur

wissBR: Was wären konkrete Beispiele für eine solche veränderte oder importierte Arbeitskultur durch „Microsoft 365“?

Riesenecker: Microsoft bietet als Teil von „Microsoft 365“ an – und da sind wir dann wieder bei den Datennutzung, die Sie vorhin angesprochen haben – die Nutzungsdaten aus Sicht der Benutzer*innen automatisch zu analysieren. „Microsoft Viva“, und dabei insbesondere „Microsoft Viva Insights“, bietet einzelnen Benutzer*innen Hinweise, wie sie ihre Arbeit gestalten können. Das beginnt damit, dass Benutzer*innen Zusendungen und personalisierte Empfehlungen erhalten, die den Benutzer*innen wiederum helfen sollen, „optimale“ Arbeit zu leisten oder Erkenntnisse über „bessere“ Arbeitsgewohnheiten zu erhalten. So kann festgestellt werden, ob Zusagen eingehalten werden. Das heißt, hat man z.B. über „Microsoft Lists“ in einem Team zugesagt, bis zu einem gewissen Zeitpunkt eine Antwort zu schicken, und geschieht dies nicht, erhält man eine Erinnerung. Andererseits erhärtet sich auch die Vermutung, dass dabei auch über automatisierte Analysen von Inhaltsdaten (Chattexte, Emails) Interpretationen passieren. Das kann so weit gehen, dass einzelnen Benutzer*innen vorgeschlagen werden könnte, mit wem sie sich wieder treffen sollen.

Auf Basis einer vollautomatisierten Analyse über Teams-Meetings, über Arbeitsgruppen, die in SharePoint zusammenarbeiten, entscheidet ein Algorithmus, mit welcher Person ich in engem Kontakt stehe. Der Algorithmus stellt weiters fest, da gibt es einen Mitarbeiter, Herrn Riesenecker, der hat in den letzten zwei Jahren sehr intensiv mit einer zweiten Person zusammengearbeitet, hat aber im letzten Monat oder in den letzten 6 bis 8 Wochen keinen Kontakt mit dieser Person. Daher schlägt der Algorithmus vor: „Soll ich nicht ein gemeinsames Mittagessen organisieren?“. Im Hintergrund wird automatisch der Terminkalender dieser möglichen Kontaktperson überprüft, und der Algorithmus  „matcht“ als frei erkennbare Zeitfenster, die er dann als Auswahl zur Verfügung stellt. Es gibt auch eine Funktionalität, in der Microsoft empfiehlt, man solle Mitarbeiter*innen im Hinblick auf ihr „soziales Verhalten“ loben, und bietet dazu passende „Smilies“ bzw. „Emojis“,.

Man kann auch sogenannte „Fokuszeiten“ definieren, etwa wenn man an einem bestimmten Vormittag ungestört arbeiten möchte. Dann lasse ich den Algorithmus wissen: „Bitte störe mich morgen zwischen 9:00 und 12:00 Uhr nicht.“ Es werden dann keine Teams-Calls, Mails etc. durchgestellt, mit der Ausnahme, es werden Hierarchien definiert, die davon ausgenommen sind. Auch da unterstützt mich Viva dann und würde mir auch im Nachhinein Rückmeldung geben, ob ich wirklich störungsfrei gearbeitet habe oder ob ich vielleicht doch schnell einmal in meine Mails oder in einen Teams-Chat hineingeschaut habe.

Das sind Dienste als Teil eines Geschäftsmodells, von denen ich glaube, dass Microsoft in Zukunft noch viel mehr anbieten wird. Die Gefahr bzw. die Herausforderung besteht darin, dass hier Arbeitsweisen, die in gewissen Kulturkreisen vielleicht zum Standard gehören, auch nach Europa fließen. Das heißt, dass nicht nur die Prozesse, die Abläufe standardisiert werden, sondern auch die Form, wie man auf einer menschlichen Ebene zusammenarbeitet. Und das finde ich erschreckend.

wissBR: Wer ist die Zielgruppe dieser besonderen Funktionalität von „Microsoft Viva“ und „Microsoft Viva Insights“: der/ die einzelnen Mitarbeiter*in zur Selbsteinschätzung bzw. „Selbstoptimierung“, die Organisationseinheit oder das Team, die jeweilige Führungskraft? Kann ich mich als Führungskraft über meine Mitarbeiter*innen und ihr Kommunikations- und Kollaborationsverhalten informieren?

Riesenecker: Also es gibt eine offizielle Sprachweise von Microsoft, die besagt, „Microsoft Viva“ diene rein dem Feedback der einzelnen Person. Meine Vermutung ist, dass natürlich damit auch eine Form der Unternehmenskultur transportiert wird, Führungskräfte diese Daten auch in Bezug auf die Beobachtung des eigenen Verhaltens zur Verfügung gestellt bekommen. Dadurch können diese schon auf Ideen gebracht werden, wie sie vielleicht ihre Teams „optimieren“ könnten. Microsoft sagt zwar, dass bei diesen ganzen Anwendungen (etwa „Viva Insights“) die Daten nur bei der betroffenen Person verbleiben. Aber das ist natürlich eine Lösung auf rein technischer Ebene. Die organisatorische Umgehung, dass eine Führungskraft sagt: „Bitte bringt mir alle 1–2 Wochen eine Auswertung mit“, ist damit natürlich nicht gesichert. Und das, was Microsoft natürlich schon Führungskräften zur Verfügung stellt, sind aggregierte Auswertungen. Aber auch hier kann natürlich eine Gefahr liegen, wenn Teams verglichen werden: Wie ist so das durchschnittliche Verhalten in meinem Arbeitsteam? Wie viel zugesagte Aufgaben werden prozentuell in der zugesagten Zeit durchgeführt oder nicht? Diese Problemstellung kennt man ja aus anderen Bereichen, sei es beim Helpdesk oder im Call Center.

Das geht dann so weit, dass „Microsoft Viva Insights“ auch Angebote zur Stressverminderung anbietet („geführte Meditationen“).

wissBR: Ist bei „Microsoft Viva“ sichergestellt, dass diese Daten, wie Nutzungsdaten darüber, wie ich mich bewege, mit wem ich kommuniziere, wen ich treffe, wie ich Aufgaben dokumentiere etc. innerhalb der Organisation verweilen? Wie steht es um die Inhaltsdaten? Da es sich um adaptive Mechanismen handelt, die Empfehlungen sowohl aus Nutzungs- und Protokolldaten, aber auch Inhaltsdaten (Chatnachrichten, Kalendereinträge) ableiten, landen die Daten dafür bei Microsoft?

Riesenecker: Da muss man zum einen sagen, dass es noch relativ neue Produkte sind. Zum anderen, wie schon angeführt, ist das natürlich eine Plattform, die weltweit angeboten wird. Das heißt, da wird es Länder geben, die in Bezug auf die Datenschutzregeln weniger streng sind, als das bei uns im Bereich der EU der Fall ist. Ich kann nur vermuten, dass hier keine Daten Richtung Microsoft fließen, denn es hat in der Vergangenheit immer große Aufregung rund um diesen Datentransfer zwischen der EU und den USA gegeben. Da gab es ja zwei datenschutzrechtliche Übereinkommen, die beide von einem Österreicher, Max Schrems, zu Fall gebracht worden sind. Das heißt, hier achtet zum einen Microsoft darauf. Zum anderen achten natürlich die Datenschutzbehörden in Europa darauf und kontrollieren es.

Inwieweit es technisch zu 100% abgesichert werden kann, steht natürlich auf einem anderen Blatt. Es wäre aber dem Geschäftsmodell von Microsoft, glaube ich, nicht einträglich, wenn festgestellt werden würde, dass in großem Rahmen letztlich Organisationsdaten Richtung USA fließen. Das würde für Microsoft den EU-Markt, glaube ich, ziemlich von einer Minute auf die andere gefährden. Aber natürlich, die Daten sind vorhanden.

Die Frage, die sich vielmehr stellt: Wovor habe ich mehr Respekt? Wenn ein Microsoft-Entwickler in Kalifornien mein Verhalten kennt oder meine Führungskraft in Österreich? Und da ist bei letzterem die Sorge doch um einiges größer.

Das heißt, ich würde die Problematik gar nicht so in diesem Bereich sehen, welche Daten jetzt aus einem gesicherten Unternehmenskontext rausfließen, sondern was mit diesen Daten intern passiert. Und wenn Microsoft sie mittels dieses Algorithmus („Microsoft Viva Insights“) individuell den Personen zur Verfügung stellt und analysiert, heißt das, dass die Daten zur Verfügung stehen. Sie liegen in der Microsoft-Umgebung und ich muss mit technischen und organisatorischen Maßnahmen innerbetriebliche Regeln aufstellen, wer diese Daten wofür, wie und wann nützen darf. Das Sicherheits- und Verwendungskonzept, die Verantwortung obliegt ja der Stelle, die die Lizenz von Microsoft erworben hat. Aus diesem Grund ist es umso wichtiger, dass vor allem in Betrieben, wo es einen Betriebsrat gibt, die Nutzung von „Microsoft 365“ im Allgemeinen und einzelner Anwendungen sehr genau mittels technischer und organisatorischer Maßnahmen geregelt werden.

_{Fortsetzung folgt in der nächsten BR-Info}

zurück zur Übersicht

^11.10.2022