DSB Österreich: M365 Education verstößt

3 months ago 4

ParagraphPaukenschlag in Österreich, denn die österreichische Datenschutzbehörde (DSB) ist zum Schluss gekommen, dass Microsoft 365 Education Schüler und Schülerinnen illegal trackt und deren Daten auch für eigene Zwecke verwendet.

Es könnte eine Entscheidung sein, die bei Microsoft und in der EU ins Kontor schlägt. Denn die Entscheidung der österreichischen Datenschutzbehörde (DSB) vom 10. Oktober 2025 hat Sprengkraft.

Microsoft 365 an Schulen

Microsoft versucht ja mit seinem Produkt Microsoft 365 an Schulen Fuß zu fassen, um Schüler und Schülerinnen an seine Software-Landschaft zu binden. Während der COVID-19-Pandemie sind viele Schulen schnell in die Cloud gewandert und haben Microsoft 365 eingeführt.

Die Datenschutzbeauftragten der deutschen Bundesländer hatten vor Jahren bereits die Verwendung von Microsoft 365 in Schulen als nicht DSGVO-konform eingestuft. Und in Frankreich ist der Einsatz untersagt. Aber in Deutschland und in Österreich wird Microsoft 365 Education im schulischen Bereich trotzdem eingesetzt. Microsoft schiebt die Datenschutzverantwortung dabei auf die Schulen ab.

Eine Schülerin will DSGVO-Auskunft

Eine Schülerin in Österreich wollte von ihrer Schule eine DSGVO-Auskunft bezüglich der von ihr in Microsoft 365 Education gespeicherten Daten. Damit begann das Drama, denn Microsoft verwies die Schülerin bezüglich der DSGVO-Auskunft an die Schule. Aber die Schule konnte keinen DSGVO-Auskunft liefern, da sie selbst nicht wusste, was für Daten an Microsoft abgeflossen sind und was damit gemacht wird.

Das ist ein eindeutiger Verstoß gegen die DSGVO. Die Beschwerdeführerin, von der österreichischen Datenschutzorganisation noyb vertreten, reichte daraufhin bei der österreichischen DSB eine Beschwerde gegen alle möglichen Akteure (die örtliche Schule, die örtliche Bildungsdirektion, das Bildungsministerium und Microsoft USA) ein, um herauszufinden, wer zuständig ist.

Felix Mikolasch, Datenschutzjurist bei noyb sagte dazu: "Microsoft hat versucht, fast die gesamte Verantwortung für Microsoft 365 Education-Produkte auf Schulen abzuwälzen. In Wirklichkeit hat vor allem Microsoft die Macht über die Datenverarbeitung. Die österreichische Datenschutzbehörde hat nun entschieden, dass diese künstliche Verschiebung nicht zulässig ist. Wir begrüßen diese Entscheidung."

DSB sieht illegales Tracking in Entscheidung

Die Datenschutzbehörde Österreichs hat den Fall der Beschwerdeführerin geprüft und stellte gleich mehrere Verstöße gegen die DSGVO fest.

  • Erstens verwendet Microsoft 365 Education ohne Zustimmung Tracking-Cookies, was als rechtswidrig eingestuft wurde. Sowohl die Schule als auch das österreichische Bildungsministerium gaben während des Verfahrens an, dass sie vor der Beschwerde keine Kenntnis von solchen Tracking-Cookies hatten. Die DSB ordnete nun die Löschung der entsprechenden personenbezogenen Daten an.
  • Zweitens hat Microsoft gegen das Recht auf Auskunft gemäß Artikel 15 DSGVO verstoßen, indem es keinen vollständigen Zugang zu den Daten der Beschwerdeführerin gewährt hat. Microsoft muss nun diesen Zugang ermöglichen. Microsoft muss außerdem klar darlegen, was es damit meint, wenn es Daten für nicht weiter definierte „legitime Geschäftstätigkeiten" verwendet, und wie es zu Datenspuren gekommen ist, die nahelegen, dass personenbezogene Daten an LinkedIn, OpenAI oder das Tracking-Unternehmen Xandr weitergegeben wurden.

Die Entscheidung der Datenschutzbehörde hält auch fest, dass die betroffene Schule und das österreichische Bildungsministerium weitere Informationen bereitstellen müssen, insbesondere welche Informationen von Schülern und Schülerinnen an Microsoft übermittelt wurden.

Die DSB schreibt jedoch auch, dass Microsoft dem Bildungsministerium selbst wohl keine vollständigen Informationen über die Datenverarbeitung in Microsoft 365 Education zur Verfügung gestellt habe. Das macht es wiederum den lokalen Schulen grundsätzlich unmöglich, ihren Informationsverpflichtungen gemäß Artikel 13 und 14 DSGVO nachzukommen.

Felix Mikolasch, Datenschutzjurist bei noyb sagt dazu: "Microsoft argumentiert immer, dass seine Bildungsprodukte datenschutzfreundlich sind. Dieses Verfahren hat gezeigt, dass dies nicht wirklich der Fall ist. Die Entscheidung der österreichischen Datenschutzbehörde macht die mangelnde Transparenz bei Microsoft 365 Education deutlich. Für Schulen ist es fast unmöglich, Schüler, Eltern und Lehrer darüber zu informieren, was mit ihren Daten geschieht"

Microsoft versuchte laut noyb oft auch zu argumentieren, dass eigentlich seine EU-Tochtergesellschaft in Irland für Microsoft 365-Produkte in Europa zuständig sei. Die DSB Österreichs wies dieses Argument in ihrem Bescheid zurück und stellte fest, dass tatsächlich Microsoft USA die relevanten Entscheidungen trifft.

Kleinere Entscheidungen in Irland zur Anpassung eines Produkts für die EU verlagern die Verantwortung (und damit die Zuständigkeit für den Fall) nicht nach Irland. Große US-Technologieunternehmen argumentieren regelmäßig, dass sie dem irischen Recht unterliegen, da die irische Datenschutzbehörde dafür bekannt ist, EU-Recht kaum durchzusetzen.

Microsoft 365 Education wird von Millionen von Schülern und Schülerinnen sowie Lehrpersonen in ganz Europa genutzt. Millionen weiterer Menschen nutzen das Standardprodukt "Microsoft 365" in Unternehmen und Behörden in Europa. Die ordnungsgemäße Information von Angestellten, Schülern und Schülerinnen und anderen  Anwendern über die Verwendung ihrer Daten ist gesetzlich durch die DSGVO vorgeschrieben.

Für Unternehmen die Microsoft 365 gekauft haben jedoch oft faktisch unmöglich. Wenn Microsoft seinen gewerblichen Kunden keine klaren Informationen zur Verfügung stellt und mehr Befugnisse einräumt, ist die Nutzung von Microsoft 365 kaum mit dem EU-Recht vereinbar.

Max Schrems, Vorsitzender von noyb, kommentiert die Entscheidung der DSB: "Wir haben ‚Big Tech'-Anbieter, die versuchen, sich alle Macht zu sichern, aber gleichzeitig die gesamte Verantwortung auf europäische gewerbliche Kunden abwälzen. Wenn Microsoft die Struktur seiner Produkte nicht grundlegend ändert, könnten europäische Unternehmen diese nicht legal nutzen." Es läuft darauf hinaus, dass es bald einen großen Knall gibt, wenn der EuGH diese Praxis für unzulässig erklärt.

Ähnliche Artikel:
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten
Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-Württembergs Schulen ersetzt worden sein
Souveräne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern
Digitale Souveränität: EU-Cloud; Microsoft Exit in dänischem Digitalministerium; wahre Kosten von Windows 11
Digitale Souveränität: Microsoft sperrt Zugriffe auf E-Mail/Cloud willkürlich (Ankläger Strafgerichtshof, chinesische Uni-Einrichtung)

Read Entire Article
  1. Homepage
  2. AI News DE
  3. DSB Österreich: M365 Education verstößt

Related

Windows erneuert Secure-Boot-Zertifikate

Windows erneuert Secure-Boot-Zertifikate

3 hours ago 0
KI-Bilder erschweren Suche nach entlaufenen Affen in St. Louis

KI-Bilder erschweren Suche nach entlaufenen Affen in St. Lou...

4 hours ago 1
Google Deepmind aktualisiert Veo 3.1 mit Referenzbild-Funktion für dynamischere Videos

Google Deepmind aktualisiert Veo 3.1 mit Referenzbild-Funkti...

4 hours ago 1