Icon Compliance
Compliance

Microsoft 365 und Jugendschutz

Bastian Dingfeld
Verfasst von: Bastian Dingfeld
Berater für IT-Sicherheit und Datenschutz

Beim Thema Microsoft 365 und Compliance fallen einem meistens zunächst Zertifizierungen wie ISO 27001, KRITIS o.ä. ein, die gewisse Anforderungen an die Nutzung von IT-Systemen stellen. Genutzt wird Microsoft 365 aber nicht nur von Erwachsenen, sondern auch von Kindern und Jugendlichen – und bei Minderjährigen gilt ein besonderer Anspruch an den Datenschutz.

Gerade durch die Pandemie ist der Einsatz von Cloudlösungen zur Kommunikation und Kollaboration in Schulen und anderen lehrenden und sozialen Einrichtungen drastisch gestiegen. Microsoft Teams erfreut sich dabei besonderer Beliebtheit.

Zugegeben, der Einsatz von Microsoft 365 an Schulen wird unter Datenschützern kontrovers diskutiert und auch die Datenschutzbeauftragten von Bund und Ländern kritisieren Microsoft teils stark. Bei der Erwägung, Microsoft 365 einzusetzen, ist daher eine Datenschutzfolgeabschätzung angeraten. Microsoft selbst wirbt mit Pilotprojekten, die ein besseres Datenschutzniveau ermöglichen sollen, um Vertrauen.

Microsoft bietet für den Jugendschutz einige Bordmittel, die Sie dabei unterstützen, einen gesetzkonformen Einsatz zu gewährleisten. So lassen sich bereits beim Anlegen von Accounts Wohnsitz (Land/Region) und Geburtsdatum ermitteln, um für diese Accounts Richtlinien für Altersbeschränkungen wirken zu lassen. Auch ein Zustimmungerfordernis von Eltern oder gesetzlichen Vertretern ist möglich. Ab 16 Jahren dürfen Personen selbst in die Datenverarbeitung einwilligen, darunter ist die Zustimmung notwendig (Artikel 8 DSGVO). Anhand der Einordnung lassen sich altersbezogen bestimmte Anwendungen freigeben oder sperren.

Im laufenden Betrieb können mittels Vertraulichkeitsbezeichnungen Inhalte klassifiziert werden, sodass bestimmte Inhalte für Minderjährige nicht einsehbar sind. Mit Aufbewahrungsbezeichnungen kommen Sie den Aufbewahrungspflichten nach und speichern Daten nur so lange, wie Sie diese benötigen. Auch die Auswahl der freigegeben Dienste und Funktionen sollte gut überlegt sein. Beispielsweise ist der beliebte, in Microsofft Teams integrierte Dienst Giphy mit seinen Bildern und Memes aus mehreren Gründen nicht sehr datenschutzkonform – wenn das Risiko des Einsatzes dennoch akzeptiert wird, ist immer noch eine Einschränkung des Dienstes möglich, um zumindest anstößige Inhalte zu filtern.

Zudem sind Cybermobbing und sexuelle Belästigung ein immer ernster werdendes Problem. Freiheit und Anonymität im Internet sorgen für eine niedrige Hemmschwelle. Unerfahrene oder Unaufgeklärte wissen häufig nicht um die Schwere des Schadens, den ihr Handeln haben kann. Über 40% der 10- bis 18-Jährigen haben im Internet laut Bundesministerium für Familie, Senioren, Frauen und Jugend bereits negative Erfahrungen gemacht.

Microsoft bietet mit der Kommunikationscompliance die Möglichkeit, Beleidigungen und anstößige Ausdrücke in verschiedenen Diensten zu identifizieren und ausgewählten Personen zur Überprüfung zu geben. Zudem arbeitet Microsoft an der Bereitstellung einer Richtlinie zur Erkennung diskriminierender Sprache; eine Preview ist bereits verfügbar. Diese Richtlinie arbeitet mithilfe einer trainierbaren KI – vorerst jedoch nur in Englisch. Dies kann einen immensen Eingriff in die Privatsphäre darstellen. Der Einsatz solcher Mittel sollte daher nur in enger Abstimmung mit Datenschutzbeauftragten und allen relevanten Parteien stattfinden.

Jugendschutz ist kein neues Thema, überfordert aber viele und wird durch den Datenschutz noch komplexer – gerade beim Einsatz digitaler Medien. Wir unterstützen Sie gerne bei der datenschutzkonformen Bewertung, Einführung und dem Betrieb von Systemen unter diesen Gesichtspunkten.

Quellen:

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.