noyb hat einen weiteren Erfolg in seinem Verfahren gegen Microsoft 365 Education erzielt: Die österreichische Datenschutzbehörde (DSB) hat entschieden, dass das Unternehmen ohne Einwilligung (und somit unrechtmäßig) Cookies auf den Geräten einer Schülerin installiert hat. Laut Microsofts eigener Dokumentation analysieren diese das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet. Microsoft hat nun vier Wochen Zeit, um der Entscheidung nachzukommen und die Verwendung von Tracking-Cookies einzustellen.
- Entscheidung der österreichischen DSB
- PR zu früherer DSB-Entscheidung gegen Microsoft
- Ursprüngliche Beschwerden aus dem Jahr 2024
Hintergrund. Im Juni 2024 hatte noyb zwei Beschwerden in Bezug auf Microsoft 365 Education in Schulen bei der österreichischen Datenschutzbehörde eingereicht. Über die erste Beschwerde wurde bereits im Oktober 2025 entschieden. Damals stellte die Datenschutzbehörde fest, dass Microsoft das Recht auf Auskunft gemäß Artikel 15 DSGVO verletzt hatte. Die zweite Beschwerde, über die nun entschieden wurde, betraf die Verwendung unrechtmäßiger Tracking-Cookies in Microsoft 365 Education.
Zweiter Erfolg gegen Microsoft. In ihrer jüngsten Entscheidung hat die DSB erneut festgestellt, dass Microsoft rechtswidrig gehandelt hat. Konkret hat das Unternehmen Tracking-Cookies auf den Geräten einer Minderjährigen Microsoft-365-Education-Nutzerin platziert. Laut Microsofts eigener Dokumentation analysieren diese das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet. Die DSB hat Microsoft außerdem aufgefordert, das Tracking der Beschwerdeführerin innerhalb von vier Wochen einzustellen. Sowohl die Schule als auch das österreichische Bildungsministerium gaben an, dass sie vor den noyb-Beschwerden keine Kenntnis von solchen Tracking-Cookies hatten.
Felix Mikolasch, Datenschutzjurist bei noyb: „Das Tracking von Minderjährigen ist offensichtlich alles andere als datenschutzfreundlich. Es scheint, als würde Microsoft sich nicht sonderlich um den Datenschutz kümmern, wenn es nicht um Marketing und PR-Aussagen geht.“
Microsoft Irland umschifft. Während des Verfahrens versuchte Micorosft auch zu argumentieren, dass eigentlich seine EU-Tochtergesellschaft in Irland für Microsoft 365-Produkte in Europa zuständig sei. Die DSB wies dieses Argument zurück und stellte fest, dass tatsächlich Microsoft USA die relevanten Entscheidungen trifft. Große US-Technologieunternehmen argumentieren regelmäßig, dass sie dem irischen Recht unterliegen, da die irische Datenschutzbehörde dafür bekannt ist, EU-Recht kaum durchzusetzen.
Möglicherweise weitreichende Konsequenzen. Microsoft 365 Education wird von Millionen Schulkindern und Lehrkräften in ganz Europa genutzt. Millionen weitere Menschen nutzen das Standardpaket „Microsoft 365” in Unternehmen und Behörden. Das Tracking von Nutzer:innen ohne deren Einwilligung verstößt gegen EU-Recht. Das stellt für alle Organisationen, die Microsoft 365 nutzen, ein Problem dar. Die deutschen Datenschutzbehörden haben bereits festgestellt, dass Microsoft 365 die Anforderungen der DSGVO nicht erfüllt.
Max Schrems: „Unternehmen und Behörden in der EU sollten konforme Software verwenden. Microsoft hat es erneut versäumt, die gesetzlichen Vorschriften einzuhalten.“
