MySite und Datenschutz

Florian Adler Als Antwort am 24 Apr. 2014 15:59

Die Frage sollte vielmehr sein: Was wollt ihr mit den MySites erreichen? In der Regel ist es die Selbstdarstellung sowie Schaffung von professionellen Netzwerken. Eben weil jemand in sein Profil reinschreibt, dass er/sie/es etwas besonders gut kann, entwickelt sich so etwas. Werden diese Verknüpfungen bei euch wirklich benötigt bzw. schaffen sie einen potentiellen Mehrwert, weil etwa kürzere Informationswege und dadurch Zeiteinsparungen, sollten die MySites freigegeben werden.

Da sollte dann auch kein Datenschutzbeauftragter rummosern, da jeder die Informationen freigeben kann, die er/sie/es für richtig und notwendig erachtet. Spünne man den Faden des DSB weiter, dürften auch keine Informationen zum Ersteller/Bearbeiter von Dokumenten/Listeneinträgen gespeichert werden. Dadurch könnte man ja auswerten, wann wer wie lange woran gearbeitet hat.

Martin Reusch Als Antwort am 25 Apr. 2014 09:13

Genau dies erhoffen wir uns durch die MySite.

Wir wollen bspw. auch ein Feld "Ask me about" einfügen. Wenn dann zukünftig jemand eine Problemstellung hat oder eine Projektgruppe zu einer bestimmten Thematik aufbauen möchte, so wird er die SharePoint-Suche bemühen können und zu seinen relevanten Stichworten Suchergebnisse erhalten, die ihn auf Personen aufmerksam machen, die diese Stichworte in ihren MySites eingepflegt und für andere sichtbar gemacht haben. Für mich ist schon allein hierdurch ein absoluter betriebswirtschaftlicher Nutzen vorhanden.

Gegen genau dieses Beispiel wendet die Datenschutzbeauftragte ein, dass es ja auch möglich ist, beispielsweise in einer Community eine Suchanfrage zu stellen, auf die sich die potenziellen Ansprechpartner selbst melden können. Was soll ich hierzu sagen? Natürlich ist das auch ein Weg, aber die potenziellen Ansprechpartner müssen die Suchanfrage erst einmal wahrnehmen und dann auch noch aktiv darauf antworten. Ich stelle mir vor, dass die Bereitschaft zur Unterstützung in der Projektgruppe größer ist, wenn man direkt und persönlich darauf angesprochen wird. Zudem ist es doch super, wenn Kompetenzen nicht nur dann sichtbar werden, wenn jemand gezielt danach sucht, sondern man einfach im Laufe der Zeit mehr und mehr darüber weiß, welche Kompetenzen die Kollegen in der Firma außerhalb ihres aktuellen Tätigkeitsgebietes auch noch mitbringen.

Für mich ist das alles so logisch, und ich kann den Argumente und Gedankengängen der Datenschutzbeauftragten nicht folgen. Was mir fehlt, sind die Fakten, wie andere mit datenschutzrechtlichen Einwänden umgegangen sind bzw. mit welchen Argumenten die Datenschützer überzeugt werden konnten oder wie wir angemessen und förmlich auf die Ablehnung der Datenschutzbeauftragten reagieren sollten, um die MySite dann trotzdem einzuführen.

Florian Adler Als Antwort am 25 Apr. 2014 10:00

Da das auf politischer Ebene ausgefochten werden muss, gibt es leider keinen "So wird's gemacht" Leitfaden. In aller Regel reichte schon die obige Argumentation, um den DSB "zu erweichen" bzw. zur Einwilligung zu bringen.

Wenn es darum gehen sollte, dass der Mitarbeiter, selbst wenn es freiwillig passiert, nicht zu viele Daten von sich preisgibt (wobei ich die Angaben auf den MySites im professionellen Bereich noch für unbedenktlich erachte), kann man diese Felder gegen Manipulation sperren. Im gleichen Atemzug dürfen diese Felder aber auch nicht im AD gepflegt sein. An dieser Stelle stellt sich dann aber wieder die Frage, ob die MySite dann überhaupt noch ihrer Daseinsberechtigung entspricht. Denn was bringt es, wenn beispielsweise das Feld "Erledigte Projekte" prall gefüllt ist, aber keine Kontaktinformationen wie E-mail oder Telefonnummer vorhanden sind.

Als viel wichtiger erachte ich den Punkt Datensicherheit. Sprich, dass keine unberechtigten Personen lesend wie schreibend Zugriff auf diese Informationen erhalten. Bei onPremise-Installationen kann man sich darüber selbst einen Kopf machen, in der Cloud kann man nur noch dafür sorgen, dass die Verbindungen der Clients nach draußen mehr oder minder geschützt ist, den Rest muss man wohl oder übel Microsoft anvertrauen. Wobei euer DSB dann sicherlich schon vorher gehupt hätte, allein schon beim Stichwort "Cloud", da man ja die Hoheit über den Speicherort der Daten aufgibt.

Matthias_M Als Antwort am 28 Apr. 2014 09:59

Hallo,

ich kenne diese Diskussionen aus Kundenprojekten und unserem internen Projekt und kann der "Pro-SharePoint" Argumentation nur zu gut folgen. Ebenso schüttele ich den Kopf bei der Datenschutz-Argumentation, aber so ist es nunmal...

Das Management / SharePoint Team möchte die My-Site oder den Social Features einführen und meint es gut, damit die Mitarbeiter sich vernetzen, Wissen ausgetauscht wird, Projekte besser laufen etc. Keiner der Beteiligten bzw, Initiatoren möchte als Datensammler dahergehen und die Mitarbeiter überwachen...

ABER Betriebsrat und Datenschützer haben genau diese Befürchtungen: Der gläserner Mitarbeiter, dessen Online-Aktivitäten überwacht werden, der digital "gestalkt" wird, der "gezwungen" wird alles von sich preiszugeben. Dabei wird einerseits das Management und die Plattform unter Generalverdacht gestellt und als "Böse" hingestellt und angezweifelt, dass die Mitarbeiter dies wirklich freiwillig tun. Obwohl es den MA's freigestellt ist einzutragen, was diese preisgeben wollen oder nicht.

Da die Rechtsprechung immer noch der digitalen Welt hinterherhängt, unterstützt sie diese Abwehrhaltung und es wird noch eine Weile dauern, bis sich das ändert. Daher lieber abwehren und als Böse hinstellen...  Die Dampflokomotive wurde auch einmal als lebensgefährlich dargestellt und das der Körper bei mehr als 30km/h zerfetzt werden würde. Viele Menschen haben Angst vor Neuem...

Lösungen gibt es nur durch Verhandlungen, Betriebsvereinbarungen etc. - aber das kann sehr lange dauern.

Wir haben einiges an Erfahrungen dazu gesammelt, bei Interesse einfach  PN an mich und wir können mal telefonieren.

Viele Grüße,

Matthias