Die Verfolgung und das Tracking von NutzerInnen in Microsoft 365 ist ein Thema in dem sich die Gemüter sehr gerne erhitzen. Dies zeigte sich nicht erst bei dem Thema Microsoft Teams und der automatischen Arbeitsplatz Parameter, sondern auch schon bei Purview. Dabei gibt es leider zu viel Halbwissen und viel zu viel Spekulationen. Deshalb hier ein entsprechender Beitrag:
Version 1: 1.11.2025
Version 2: 2.11.2025
Artikel wird weiter bearbeitet
Ab 05.11:
Tracking bei Google Workplace: tba
Tracking bei OpenDesk: tba
Tracking von NutzerInnen in Microsoft 365 – wo und wie?
In Microsoft 365 kann man das Tracking von NutzerInnen in verschiedene Klassen einteilen und auch unterschiedlich bewerten.
a) Tracking für die Dokumentation von Veränderungen an Inhalten
b) Tracking für Security und Data Security Zwecke
c) Leistungs- und/oder Verhaltenskontrolle
Was sind Logs?
Logdaten in Microsoft 365 sind strukturierte Informationen, die automatisch von den verschiedenen Diensten und Anwendungen innerhalb der Microsoft 365-Umgebung erzeugt werden. Sie dienen der Überwachung, Analyse und Nachverfolgung von Aktivitäten und sind ein zentraler Bestandteil für Sicherheit, Compliance und IT-Administration.
Logdaten dokumentieren:
- Wer (Benutzer oder Dienst) etwas getan hat,
- Was getan wurde (z. B. Anmeldung, Dateiänderung, E-Mail-Versand),
- Wann es passiert ist (Zeitstempel),
- Wo es passiert ist (z. B. IP-Adresse, Standort),
- Wie es passiert ist (z. B. über Web, App, PowerShell).
Typische Logdatenquellen in Microsoft 365:
- Audit Logs (Überwachungsprotokolle): z. B. SharePoint-, Exchange- oder Teams-Aktivitäten.
- Sign-in Logs: Informationen zu Benutzeranmeldungen über Azure AD.
- Compliance Logs: Für gesetzliche Anforderungen und interne Richtlinien.
- Defender Logs: Sicherheitsrelevante Ereignisse wie Bedrohungserkennung.
Diese Daten sind über das Microsoft Purview Compliance Portal, Microsoft Entra (Azure AD) oder über die Microsoft Graph API abrufbar und können für Analysen, Berichte oder automatisierte Prozesse genutzt werden.
Was sind Diagnosedaten?
Diagnosedaten in Microsoft 365 sind technische Informationen, die von Microsoft-Diensten gesammelt werden, um die Zuverlässigkeit, Sicherheit und Leistung der Produkte zu verbessern. Sie helfen Microsoft dabei, Probleme zu erkennen, zu analysieren und zu beheben – sowohl proaktiv als auch reaktiv.
Diagnosedaten umfassen z. B.:
- Informationen über Geräteeigenschaften (z. B. Betriebssystem, Hardware),
- Nutzungsverhalten von Apps und Diensten (z. B. welche Funktionen wie oft verwendet werden),
- Fehlermeldungen und Absturzberichte,
- Leistungsdaten (z. B. Ladezeiten, Verbindungsqualität),
- Konfigurationsdaten (z. B. Spracheinstellungen, installierte Add-ins).
Wichtig:
- Microsoft unterscheidet zwischen erforderlichen Diagnosedaten (für den Betrieb notwendig) und optionalen Diagnosedaten (für zusätzliche Analysen, wenn vom Kunden erlaubt).
- Die Daten sind nicht direkt personenbezogen, können aber in Verbindung mit anderen Informationen zur Identifikation beitragen – daher gelten sie als personenbezogene Daten im Sinne der DSGVO.
- Unternehmen können über das Microsoft 365 Admin Center oder Microsoft Purview steuern, welche Diagnosedaten übermittelt werden.
Allgemeines
Ebenso ist es wichtig zu wissen, dass es zwei allgemeine Parameter gibt:
- 180 Tage Standard Speicherung in Purview Audit Logs für Handlungen, die dort verzeichnet werden
- EU Data Act .. Extraktion aller User Daten nach Löschung für 90 Tage (Dauer bis zu 30 Tagen)
Übersicht
| Art | Voraussetzung/ Bedingung | Aktivierung | Zugang zu den Informationen | Deaktivierbar | Leistungs- und/oder Verhaltenskontrolle | Speicherdauer |
| Office – gemeinsames arbeiten, wie Word | Speichern der Datei im SharePoint Online oder OneDrive, Synchronisation mit dem OneDrive oder WebApp | OptOut | alle User können die Veränderungen in Echtzeit sehen, Versionierung dokumentiert Veränderungen | ja | möglich, kein Zweck | Speicherdauer der Datei, Anzahl der Versionen schränkt dies ein, Retention Policy und Retention Label können Frist bestimmen |
| Entra ID (Haupt) | Authentizierung des Users, Geräte und Abwendungen (wer, wann, wie und wo), bedingter Zugriff, alle User inkl Externe
lizenz |
OptOut / nur teilweise | nur Admins (Entra ID, Global Reader) | neim | möglich, aber kein Zweck | 30 Tage; erweiterbar mit Azure Analytics |
| Planner/ To Do | Lizenz und User hat Zugriff | OptOut | alle Berechtigten, Admins | nein | möglich, Zweck Leistungskontrolle | bis zur Löschung der Aufgabe |
| Schichten / Shifts | Lizenz und User hat Zugriff | OptOut | alle Berechtigten, Admins | nein | möglich, Zweck Leistungskontrolle | bis zur Löschung der Aufgabe |
| Geodaten Schichten | Admin hat die GPS Daten aktiviert, so dass User sich nur in einer definierten Umgebung zur Arbeit einschecken können | OptIn | alle Berechtigten und Admins | ja | möglich, Zweck Leistungskontrolle, Verhaltenskontrolle | 30 Tage |
| Viva Insights – Standard | Lizenz und Admin hat es aktiviert & User | OptOut | nur der User | ja | möglich, User muss gezwungen werden Screenshot zu teilen | 30 Tage |
| Viva Insights – Manager Lizenz (Premium) | Lizenz und aktiviert durch Admin und Abteilungsleiter | OptOut | nur Abteilungsleiter | ja | Reporting | 30 Tage |
| Windows Recall | Lizenz und Admin hat es aktiviert & User | OptIn | nur der User | ja | möglich, User muss gezwungen werden Screenshot zu teilen | 3 Monate bis 9 Monate nach Speicherplatz |
| Microsoft Teams – Arbeitsplatz | Lizenz und Admin hat es aktiviert & User | OptIn | alle Berechtigten und Admins | ja | möglich, User muss gezwungen werden Screenshot zu teilen | 30 Tage |
| Microsoft Places, Arbeitsplatz Planung | Lizenz und Admin hat es aktiviert & User | OptOut | alle Berechtigten und Admins | ja | möglich, Manager und User/Kollegen (sehen den gebuchten Arbeitsplatz und die Planung Remote/Büro | 30 Tage |
| Intune – Standort | Admin muss die Funktion einschalten | OptOut | nur Intune und Defender Admins | ja, aber nicht ratsam. So können verloren gegangene Geräte gefunden werden. | möglich, kein Zweck | 7 Tage |
| Purview – Auditlogs | Admin muss diese aktiv einschalten, muss im Standard aktiviert werden | OptIn | Global Reader, Security Reader, Compliance Admins | nein | möglich, kein Zweck | Standard 180 Tage, aber bis 10 Jahre mit E5 erweiterbar oder für einzelne Aktionen. |
| Purview Information Protection | Lizenz und Label konferieren | OptIn | User, Admins | ja, wenn keine Label angelegt | öglich, Zweck Informationssicherheit | 30 Tage, PowerBi Dashboard möglich |
| Purview Data Lifecycle | Lizenz und Label konferieren | OptIn | User, Admins | ja, wenn keine Label angelegt | möglich, kein Zweck | 30 Tage, PowerBi Dashboard möglich |
| Purview DLP | Lizenz und Policy | OptIn | Admins | ja, keine Policy einrichten | Möglich, Zweck Informationssicherheit | 30 Tage, PowerBi Dashboard möglich |
| Purview Communication Compliance | Lizenz E5 und Policy | OptIn | User, Admins | ja, wenn keine Policy angelegt | möglich, kein Zweck | 30 Tage, PowerBi Dashboard möglich |
| Purview Insider Risk Management | Lizenz E5 und Policy | OptIn | User, Admins | ja, wenn keine Policy angelegt | möglich, kein Zweck | 30 Tage, PowerBi Dashboard möglich |
| Purview eDiscovery/ Content Seearch | eDiscovery Admin, Analyst / Global Admin genügt nicht | OptIn | Admins | ja, wenn keine Suche/ Sammlung angelegt | möglich, kein Zweck | keine Grenze, so lange der Fall aufbewahrt wird |
| Purview DSMP for AI | Compliance Admin, Analyst / Global Admin genügt nicht | OptIn | Admins | ja, wenn keine Policy angelegt | möglich, kein Zweck | 30 Tage, PowerBi Dashboard möglich |
| Defender XDR | Security Admin, Reader, Admin | OptOut | Admins | nein, nur keine Lizenz | Möglich, Zweck Security | 30-180 Tage, Ausleitung zu einen SOC möglich |
| Defender for Office 365 | Security Admin, Reader, Admin | OptOut | Admins, Quarantäne auch User für sich | nein, nur keine Lizenz | Möglich, Zweck Security | 30-180 Tage, Ausleitung zu einen SOC möglich |
| Defender for Cloud Apps | Security Admin, Security Reader | OptOut | Admin | Policy abhängig & Lizenz | möglich, Zweck Security | 30-180 Tage, Ausleitung zu einem SOC möglich |
Hinweise
Leistungs-und/oder Verhaltenskontrolle findet in der Regel über die Logs statt und nicht über Diagnosedaten. Über Diagnosedaten wie die Auslastung der CPU können nur indirekte Rückschlüsse gezogen werden, dass der Arbeitnehmer entsprechende Tätigkeiten macht. Hier ist gerade 3rd Party Software kritisch zu betrachten, die auch oft Tastenanschläge tracken, was nativ in Microsoft 365 nicht möglich ist.
vertragliche Regelung bei Microsoft 365 – DPA
Logs- und Diagnosedaten sind in der DPA (aka.ms/DPA) geregelt:
Sie möchten wissen, was Logfiles und Diagnosedaten laut dem MicrosoftProductandServicesDPA(WW)(German)(September2025)(CR).docx sind und wie diese konkret in der DPA geregelt werden. Ich nutze die Inhalte des Dokuments, um Ihnen eine präzise und strukturierte Antwort zu geben.
1. Was sind Logfiles und Diagnosedaten in Microsoft 365 nach der DPA?
Im Kontext der Microsoft DPA werden Logfiles und Diagnosedaten als Teil der Daten betrachtet, die bei der Bereitstellung von Produkten und Services entstehen. Sie fallen unter die Kategorien „Kundendaten“, „Professional Services-Daten“ und „personenbezogene Daten“.
- Logfiles sind Protokolldateien, die Informationen über die Nutzung, Zugriffe und Aktivitäten innerhalb der Microsoft-Dienste enthalten. Sie dienen der Fehlerbehebung, Sicherheit und Nachvollziehbarkeit von Vorgängen.
- Diagnosedaten umfassen technische Informationen, die zur Analyse, Verbesserung und Sicherstellung der Funktionalität der Produkte und Services erhoben werden. Dazu zählen beispielsweise Nutzungsprotokolle, Systemzustände, Fehlerberichte und Leistungsdaten.
Diese Daten können pseudonymisierte Identifikatoren enthalten und werden von Microsoft verarbeitet, um die Zuverlässigkeit, Sicherheit und Qualität der Dienste zu gewährleisten.
2. Wie sind Logfiles und Diagnosedaten in der DPA geregelt?
a) Zweck und Verarbeitung
- Verarbeitung zur Bereitstellung der Produkte und Services:
Microsoft verarbeitet Logfiles und Diagnosedaten ausschließlich, um die Produkte und Services bereitzustellen, Fehler zu beheben, die Sicherheit zu gewährleisten und die Nutzererfahrung zu verbessern. Eine Nutzung zu anderen Zwecken, wie Werbung oder Profilerstellung, ist ausgeschlossen, sofern keine dokumentierte Weisung des Kunden vorliegt. - Geschäftstätigkeiten:
Microsoft ist berechtigt, aus pseudonymisierten Diagnosedaten aggregierte, nicht-personenbezogene Statistiken zu erstellen, z. B. für interne Berichterstattung, Kapazitätsplanung oder Produktstrategie. Der Zugriff auf den Inhalt der Kundendaten oder Professional Services-Daten erfolgt dabei nicht.
b) Sicherheit und Zugriff
- Technische und organisatorische Maßnahmen:
Logfiles und Diagnosedaten werden durch geeignete Sicherheitsmaßnahmen geschützt (z. B. Verschlüsselung, Zugriffskontrolle, rollenbasierte Berechtigungen). Microsoft erfüllt die Anforderungen von ISO 27001, ISO 27002 und ISO 27018 und dokumentiert alle relevanten Sicherheitsverfahren. - Zugriffsmechanismen:
Der Zugriff auf Logfiles und Diagnosedaten erfolgt nach dem Prinzip der geringsten Berechtigung und ist zeitlich begrenzt. Jeder Zugriff wird protokolliert und überwacht.
c) Offenlegung und Transparenz
- Offenlegung gegenüber Dritten:
Microsoft gibt Logfiles und Diagnosedaten nur auf Weisung des Kunden, wie im DPA beschrieben oder wenn gesetzlich vorgeschrieben, weiter. Bei Anfragen von Behörden wird der Kunde informiert, sofern dies rechtlich zulässig ist.
d) Speicherort und Löschung
- Speicherorte:
Logfiles und Diagnosedaten werden in den geografischen Regionen gespeichert, die in den Produktbestimmungen festgelegt sind (z. B. EU/EFTA für EU-Datengrenzen-Dienste). - Löschung:
Nach Ablauf des Abonnements oder auf Wunsch des Kunden werden die Daten gemäß den DPA-Bestimmungen gelöscht.
3. Diagnosedaten und Logfiles im Kontext der DSGVO
- Rollen und Verantwortlichkeiten:
Microsoft ist als Auftragsverarbeiter tätig und verarbeitet Diagnosedaten und Logfiles nur nach dokumentierten Weisungen des Kunden. Die DSGVO-Bestimmungen sind integraler Bestandteil der DPA. - Betroffene Personen und Kategorien:
Diagnosedaten und Logfiles können personenbezogene Daten enthalten, die sich auf Vertreter, Endnutzer, Mitarbeiter und andere betroffene Personen beziehen. Die Kategorien sind im Anhang B des DPA detailliert aufgeführt.
Zusammenfassung
- Logfiles und Diagnosedaten sind technische und betriebliche Daten, die zur Bereitstellung, Sicherheit und Verbesserung der Microsoft-Produkte und -Services verarbeitet werden.
- Die DPA regelt klar, dass diese Daten nicht für Werbung, Profilerstellung oder andere nicht vereinbarte Zwecke genutzt werden dürfen.
- Es gelten strenge Sicherheits-, Zugriffs- und Löschvorgaben sowie Transparenzpflichten gegenüber dem Kunden.
- Die Verarbeitung erfolgt stets im Einklang mit der DSGVO und anderen relevanten Datenschutzvorschriften.
Kommentar
In Software und insbesondere in Software as Service (SaaS) werden Log- und Diagnosedaten entsprechend der Hardware und in Bezug auf die Software generiert und dabei produzieren die NutzerInnen ebenfalls entsprechende Daten durch die Nutzung der Software. Alles dies ist nicht neu, denn auch bei lokaler Hardware fallen diese Daten an.
Diese Daten sind wichtig für einen sicheren und stabilen Betrieb einer Anwendung und die dahinterliegende Hardware. Störungen können frühzeitig erkannt und Nutzer können überhaupt Hilfe und Unterstützung erhalten.
Dazu kommt, dass einige es aus regulatorischer Sicht und auch aus dem Bereich des Datenschutzes wichtig ist, zu wissen, wer hat was und wann verändert oder auch geschrieben. (Revisionssicher, GoBD, DSGVO, NIS2) Denn diese Änderungen können verpflichtend sein (z.B. auch durch Arbeitsanweisung im Arbeitsvertrag § 611 aBGB) oder auf eine gehackte und gekapperte Identität hinweisen (Cybersecurity). Alles dies sollte für alle Systeme und nicht nur für SaaS wie Google Workplace, Microsoft365 oder OpenDesk gelten.
Die Gefahr kommt erst durch die falsche und incompliante Nutzung dieser Daten, die rechtswidrig und oftmals mit krimineller Energie kombiniert und Auswertungen gemacht werden. Der Zugang zu den Daten erlaubt es viele Rückschlüsse auf die NutzerInnen zu ziehen und da beginnt das Risiko.
Für den Betriebsrat/Personalrat ist dies eindeutig in dem Betriebsverfassungsgesetz geregelt, es regelt in § 86 Abs. 1 Nr. 6 BVerfG für die Einführung und den Betrieb die Mitbestimmung und eröffnet diese bei der Möglichkeit (nicht die tatsächliche Nutzung/Einsatz) der Leistungs- und oder Verhaltenskontrolle. Dies wurde in vielen IT Rahmenvereinbarungen schon in den 90iger Jahren geregelt und die Nutzung auf Betrieb und Cybersecurity reduziert und nur in Ausnahmen (Aufgaben Verfolgung; Arbeitsanweisungen) zugelassen. Neu ist dies auch in 2025 nicht, lediglich der Zugang auch über KI ist neu und damit per Prompt möglich, was natürlich den Überwachungsdruck erhöhen kann. Dies aber auch nur, wenn die Führungskräfte eben nicht geschult und auf die BV entsprechend mit Strafen verpflichtet wurden. Gleich ist damit aber auch, dass in den 90iger Jahren und heute diese Art der Kontrolle kein guter Führungsstil ist.
Für den Datenschutz ist es in vielen Fällen auch unstreitig. Es benötigt eine Rechtsgrundlage und diese kommt aus dem Arbeitsvertrag § 611a BGB ( iVm Art 6 Abs. 1 lit b DSGVO) für die abgedeckten Kontrollen („Aufgaben, Zeit, Ort) und im Bereich von Security und Cybersecurity schon geboten über Art 6 Abs 1 lit f, c,d DSGVO auch mit Art 32 DSGVO und entsprechenden TOMs.
Das Stundentracking ist seit einigen Monaten gesetzlich vorgeschrieben, ArbeitnehmerInnen müssen ihre Stunden genau aufzeichnen. Dies soll übermäßige Überstunden und Ausnutzen verhindern, Steuereinnahmen erhöhen, erhöht aber leider damit auch die Datenlage und ermöglicht es erst. (sehe ich sehr kritisch)
Zusammengefasst ist ein Tracking oft zwingend notwendig, nur das wie der Nutzung kann erhebliche Gefahren hervorrufen. Besonders kritisch in der Diskussion um Microsoft Teams und den Standort ist es, dass einige Personen sagen „Ich habe doch nichts zu verbergen“ und damit fängt es meiner Meinung nach an. Es muss schon bei der Erhebung und dann Nutzung gestoppt werden, niemand will überwacht werden ob etwas zu verstecken (heimliches arbeiten im Homeoffice für den Hausbau, Handwerker Termin) oder klassisch im Büro mit Stechkarte. Nutzung dieser Daten darf nur auf festen gesetzlichen Beinen stehen und der Zugang extrem eingeschränkt und überwacht werden.