Die österreichische Datenschutzbehörde (DSB) hat in einer Entscheidung festgestellt, dass Microsoft 365 Education Schüler illegal trackt und Daten von Schüler:innen auch für eigene Zwecke verwendet. Der Software-Riese hat auch das Recht auf Auskunft bei Microsoft 365 Education ignoriert. Stattdessen versuchte Microsoft, ihre Pflichten unter der DSGVO auf lokale Schulen abzuwälzen. Zwar verpflichtet die DSB auch die betroffene Schule zusätzliche Informationen bereitstellen, das wird jedoch nur mit der Hilfe von Microsoft machbar sein.

Dreiseitiger Verantwortungstanz: Während der COVID-Pandemie stellten viele Schulen schnell auf die „Cloud” um und Big Tech lieferte umgehend „Schulversionen” ihrer Produkte. Dabei schob Microsoft jedoch die gesamte Verantwortung für die Einhaltung der Datenschutzgesetze auf die Schulen und nationalen Behörden ab – die jedoch kaum oder gar keine tatsächliche Kontrolle über die Verwendung der Schülerdaten in der Cloud haben. Lokale Schulen haben normalerweise nicht die Verhandlungsmacht, um sich gegen Microsoft durchzusetzen – und müssen auch rechtswidrige Verträge akzeptieren, wenn sie die Microsoft Cloud nutzen wollen.
Als eine Schule mit dem simplen Auskunftsersuchen einer Schülerin konfrontiert wurde, kam es zu gegenseitigen Schuldzuweisungen: Microsoft verwies die Beschwerdeführerin einfach an ihre lokale Schule. Die Schule konnte jedoch nur minimale Informationen bereitstellen, da sie keinen Zugriff auf die bei Microsoft gespeicherten Daten hat – und verwies damit wieder an Microsoft. Niemand fühlte sich in der Lage, die banalsten Rechte gemäß der DSGVO zu erfüllen. Die von noyb vertretene Beschwerdeführerin reichte daraufhin bei der österreichischen DSB eine Beschwerde gegen alle möglichen Akteure (die örtliche Schule, die örtliche Bildungsdirektion, das Bildungsministerium und Microsoft USA) ein um herauszufinden, wer zuständig ist.
Felix Mikolasch, Datenschutzjurist bei noyb: „Microsoft hat versucht, fast die gesamte Verantwortung für Microsoft 365 Education-Produkte auf Schulen abzuwälzen. In Wirklichkeit hat vor allem Microsoft die Macht über die Datenverarbeitung. Die österreichische Datenschutzbehörde hat nun entschieden, dass diese künstliche Verschiebung nicht zulässig ist. Wir begrüßen diese Entscheidung.“
Unrechtmäßiges Tracking von Kindern und keine Auskunft. Die österreichische Datenschutzbehörde stellte mehrere Verstöße gegen die DSGVO fest. Erstens stellte sie fest, dass Microsoft 365 Education ohne Zustimmung Tracking-Cookies verwendet hat, was als rechtswidrig eingestuft wurde. Sowohl die Schule als auch das österreichische Bildungsministerium gaben während des Verfahrens an, dass sie vor der Beschwerde keine Kenntnis von solchen Tracking-Cookies hatten. Die DSB ordnete nun die Löschung der entsprechenden personenbezogenen Daten an. Zweitens hat Microsoft gegen das Recht auf Auskunft gemäß Artikel 15 DSGVO verstoßen, indem es keinen vollständigen Zugang zu den Daten der Beschwerdeführerin gewährt hat. Microsoft muss nun diesen Zugang ermöglichen. Microsoft muss außerdem klar darlegen, was es damit meint, wenn es Daten für nicht weiter definierte „legitime Geschäftstätigkeiten” verwendet, und wie es zu Datenspuren gekommen ist, die nahelegen, dass personenbezogene Daten an LinkedIn, OpenAI oder das Tracking-Unternehmen Xandr weitergegeben wurden.
Felix Mikolasch, Datenschutzjurist bei noyb: „Microsoft argumentiert immer, dass seine Bildungsprodukte datenschutzfreundlich sind. Dieses Verfahren hat gezeigt, dass dies nicht wirklich der Fall ist.”
Microsoft lässt Schulen und Behörden im Unklaren. Die Entscheidung hält auch fest, dass die betroffene Schule und das österreichische Bildungsministerium weitere Informationen bereitstellen müssen, insbesondere welche Informationen von Schüler:innen an Microsoft übermittelt wurden. Die DSB betonte jedoch auch, dass Microsoft dem Bildungsministerium selbst wohl keine vollständigen Informationen über die Datenverarbeitung in Microsoft 365 Education zur Verfügung gestellt habe. Das macht es wiederrum den lokalen Schulen grundsätzlich unmöglich, ihren Informationsverpflichtungen gemäß Artikel 13 und 14 DSGVO nachzukommen.
Felix Mikolasch, Datenschutzjurist bei noyb: „Die Entscheidung der österreichischen Datenschutzbehörde macht die mangelnde Transparenz bei Microsoft 365 Education deutlich. Für Schulen ist es fast unmöglich, Schüler, Eltern und Lehrer darüber zu informieren, was mit ihren Daten geschieht.“
Microsoft Irland (zum Glück) irrelevant. Microsoft versuchte oft auch zu argumentieren, dass eigentlich seine EU-Tochtergesellschaft in Irland für Microsoft 365-Produkte in Europa zuständig sei. Die DSB wies dieses Argument zurück und stellte fest, dass tatsächlich Microsoft USA die relevanten Entscheidungen trifft. Kleinere Entscheidungen in Irland zur Anpassung eines Produkts für die EU verlagern die Verantwortung (und damit die Zuständigkeit für den Fall) nicht nach Irland. Große US-Technologieunternehmen argumentieren regelmäßig, dass sie dem irischen Recht unterliegen, da die irische Datenschutzbehörde dafür bekannt ist, EU-Recht kaum durchzusetzen.
Möglicherweise weitreichende Konsequenzen für Microsoft 365. Microsoft 365 Education wird von Millionen von Schüler:innen und Lehrpersonen in ganz Europa genutzt. Millionen weiterer Menschen nutzen das Standardprodukt „Microsoft 365“ in Unternehmen und Behörden in Europa. Die ordnungsgemäße Information von Angestellten, Schüler:innen und anderen Nutzenden über die Verwendung ihrer Daten ist gesetzlich vorgeschrieben – für Unternehmen die Microsoft 365 gekauft haben jedoch oft faktisch unmöglich. Wenn Microsoft seinen gewerblichen Kunden keine klaren Informationen zur Verfügung stellt und mehr Befugnisse einräumt, ist die Nutzung von Microsoft 365 kaum mit dem EU-Recht vereinbar. Auch die deutschen Datenschutzbehörden haben bereits festgestellt, dass Microsoft 365 die Anforderungen der DSGVO nicht erfüllt.
Max Schrems, Vorsitzender von noyb: „Wir haben ‚Big Tech‘-Anbieter, die versuchen, sich alle Macht zu sichern, aber gleichzeitig die gesamte Verantwortung auf europäische gewerbliche Kunden abwälzen. Wenn Microsoft die Struktur seiner Produkte nicht grundlegend ändert, könnten europäische Unternehmen diese nicht legal nutzen.“