Wenn Sie Microsoft 365 in Ihrem Unternehmen im Einsatz haben, haben Sie vielleicht bereits eine so genannte „Briefing-E-Mail“ von Microsoft in Ihrem Postfach gefunden und sich gefragt, was es damit auf sich hat.
Microsoft seine bekannte Cloudplattform Microsoft 365 mit neuen Funktionen ausgestattet, zu denen auch eine neue Employee-Experience-Platform mit dem Namen „Microsoft Viva“ gehört. Was es damit auf sich hat, möchten wir Ihnen nachfolgend erklären:
WAS IST MICROSOFT VIVA?
Microsoft Viva vereint Kommunikation, Fachwissen, Lernen, Ressourcen und Erkenntnisse für eine Organisation auf einer gemeinsamen Plattform und integriert diese in den täglichen Arbeitsablauf jedes Nutzers. Zu diesem Zweck verfügt Microsoft Viva über vier Module, welche sich jeweils auf bestimmte Fokusthemen konzentrieren:
VIVA TOPICS
Themen, welche für die eigenen Tätigkeiten relevant sind
VIVA INSIGHTS
Empfehlungen zur Organisation der eigenen Tätigkeiten
VIVA CONNECTIONS
Besseres Zusammenarbeiten mit Kollegen
VIVA LEARNING
Mitarbeitertrainings zum Wissensaufbau
WELCHEN ZUSAMMENHANG GIBT ES ZWISCHEN BRIEFING-EMAILS UND MICROSOFT VIVA
Im Fall der bereits genannten Briefing-E-Mails handelt es sich um einen Dienst des Moduls Microsoft Viva Insights, welcher bestimmte Informationen in Ihrem Exchange-Online-Postfach mit Hilfe von künstlicher Intelligenz analysiert. Die Informationen werden anschließend anhand des Analyseergebnisses zu individuellen Erkenntnissen und Empfehlungen aggregiert, um Ihre Produktivität und Ihr Wohlbefinden während der Arbeit zu unterstützen. Diese Ergebnisse werden unter anderem in Form einer E-Mail an die entsprechenden Nutzer gesendet.
WIE BETRIFFT MICROSOFT VIVA DIE NUTZER EINES MICROSOFT-365-ABONNEMENTS?
Ein Teil der Funktionen von Microsoft Viva Insights sind unter anderem in bestimmten Abonnements von Microsoft 365 enthalten. In der Praxis ist zu beobachten, dass die Funktion von Microsoft standardmäßig automatisch aktiviert wird, die Aktivierung bei den Kunden aber offenbar sukzessive erfolgt ist bzw. noch erfolgen wird.
IST MICROSOFT VIVA DATENSCHUTZKONFORM EINSETZBAR?
Diese Frage kann aufgrund der Rechtslage in den USA derzeit nicht eindeutig beantwortet werden: Auch wenn Microsoft selbst erklärt, dass Microsoft Viva Insights die Anforderungen der DSGVO erfülle, ist Microsoft als Unternehmen mit Sitz in den USA zur Einhaltung der dort geltenden Gesetze verpflichtet. Hierdurch kann das Unternehmen dazu verpflichtet werden, personenbezogene Daten gegenüber Ermittlungsbehörden und Geheimdiensten offenzulegen, weshalb eine vollständige Datenschutzkonformität nicht garantiert werden kann. Nichtsdestotrotz gilt Microsoft 365 heutzutage als Standardlösung, weshalb nach herrschender Meinung auch das Risiko durch den Einsatz von Microsoft 365 überschaubar ist. Dennoch empfehlen wir, dass sich Verantwortliche intensiv mit dem Thema Datenschutz auseinandersetzen, wenn Sie den Einsatz von Microsoft 365 in Erwägung ziehen.
SIND PERSONENBEZOGENE DATEN IN MICROSOFT VIVA SICHER?
Microsoft Viva Insights erfüllt nach Angaben des Anbieters die Anforderungen der Datenschutz-Grundverordnung (DSGVO): Erkenntnisse und Empfehlungen aus Microsoft Viva Insights in Verbindung mit einem Microsoft 365-Abonnement ohne zusätzliche Erweiterungen seien ausschließlich für die jeweiligen Nutzer, nicht aber für Vorgesetzte und Administratoren zugänglich. Microsoft stellt darüber hinaus eine umfangreiche Vereinbarung zum Datenschutz (DPA) zur Verfügung und bietet Sicherheitsmaßnahmen wie z. B. Transportverschlüsselung, Datenverschlüsselung im Ruhezustand sowie Datenverarbeitung in europäischen Rechenzentren für Kunden aus Europa an.
WIE STEHT ES UM DIE INFORMATIONSSICHERHEIT?
Auch im Hinblick auf die Informationssicherheit gibt es derzeit noch keine eindeutige Antwort: Durch die Nutzung einer Cloudanwendung wie Microsoft 365 werden grundsätzlich immer Daten aus einer Organisation in ein Rechenzentrum des Anbieters über das Internet übertragen. Zudem werden die eigenen Daten dabei trotz Verschlüsselung auch im Rechenzentrum des Anbieters verarbeitet. Theoretisch bedeutet das, dass Daten auf diesem Weg das Unternehmen verlassen und das Unternehmen auch den Sicherheitsmaßnahmen des Anbieters vertrauen muss. Auch im Hinblick auf den Übertragungsweg Internet kann keine Sicherheit garantiert werden. Hier empfehlen wir den Verantwortlichen, einen genauen Blick auf die Sicherheitsmaßnahmen von Microsoft zu werfen und ggf. auch eigene Maßnahmen wie eine organisationsseitige Verschlüsselung von Dateien zu erwägen, bevor die eigenen Daten in die Hände des Dienstleistungsanbieters gelegt werden.
