Itävallan tietosuojaviranomainen ("DSB") antoi päätöksen, jonka mukaan Microsoft 365 Education seuraa laittomasti oppilaita ja käyttää oppilaiden tietoja Microsoftin omiin tarkoituksiin. Ohjelmistojätti ei myöskään vastannut pyyntöön, joka koski Microsoft 365 Educationia, jota käytetään laajasti eurooppalaisissa kouluissa. Sen sijaan Microsoft yritti siirtää kaiken vastuun paikallisille kouluille. Vaikka asianomaisten koulujen on päätöksen mukaan myös annettava yksityiskohtaisempia käyttöoikeustietoja ja lisätietoja yksityisyyden suojasta, Microsoftin on nyt vihdoin vastattava siihen, miten se käyttää käyttäjätietoja omiin liiketoimintatarkoituksiinsa.
Vastuun siirtäminen kolmeen suuntaan. COVID-pandemian aikana monet koulut siirtyivät nopeasti "pilvipalveluihin", ja Big Tech tarjosi nopeasti "opetustuotteita". Microsoft siirsi kuitenkin kaiken vastuun yksityisyyden suojaa koskevien lakien noudattamisesta kouluille ja kansallisille viranomaisille, joilla ei ole juurikaan tai ei lainkaan todellista määräysvaltaa oppilastietojen käyttöön. Paikallisilla kouluilla ei yleensä ole tarpeeksi valtaa vastustaa Microsoftia, mikä johtaa "ota se, jätä se" -tilanteeseen. Kun Microsoft 365 Education -palvelun käsittelemiä henkilötietoja koskeva opiskelijan pyyntö tuli vastaan, tämä johti massiiviseen sormen osoittamiseen: Microsoft yksinkertaisesti ohjasi valituksen tekijän paikallisen koulun puoleen. Kantelijan koulu pystyi kuitenkin antamaan vain minimaaliset tiedot, koska sillä ei ole mitään keinoa päästä käsiksi Microsoftin hallussa oleviin tietoihin. Kukaan ei tuntenut pystyvänsä noudattamaan GDPR-oikeuksia. Kantelija, jota edusti noyb, teki tämän vuoksi valituksen kaikkia mahdollisia toimijoita (paikallista koulua, paikallista opetuslautakuntaa, opetusministeriötä ja Microsoft US:ta) vastaan Itävallan DSB:lle.
Felix Mikolasch, noybin tietosuojalakimies: "Microsoft yritti siirtää lähes kaikki Microsoft 365 Educationia koskevat vastuut kouluille tai muille kansallisille laitoksille. Itävallan tietosuojavaltuutettu päätti nyt, että tämä ei onnistu. Olemme tyytyväisiä tähän päätökseen."
Lasten laiton seuranta ja pääsy kielletty. Itävallan tietosuojavaltuutettu havaitsi useita GDPR:n rikkomuksia. Ensinnäkin se totesi, että Microsoft 365 Education käytti seurantaevästejä ilman suostumusta, mikä todettiin laittomaksi. Sekä koulu että Itävallan opetusministeriö väittivät menettelyn aikana, etteivät ne olleet tietoisia tällaisista seurantaevästeistä ennen valitusta. DSB määräsi nyt kyseisten henkilötietojen poistamisen. Toiseksi Microsoft loukkasi yleisen tietosuoja-asetuksen 15 artiklan mukaista tiedonsaantioikeutta, koska se ei tarjonnut täydellistä pääsyä kantelijan tietoihin. Microsoftin on nyt annettava tällainen pääsy. Microsoftin on myös selitettävä selkeästi, mitä tarkoittaa se, että se käyttää tietoja liiketoimintatarkoituksiinsa, kuten "liiketoimintamallinnukseen" tai "energiatehokkuuteen", ja jos se on lähettänyt henkilötietoja LinkedInille, OpenAI:lle tai seurantayhtiö Xandrille.
Felix Mikolasch, tietosuojalakimies noyb: "Microsoft väittää yleensä, että sen koulutustuotteet ovat yksityisyydensuojaystävällisiä. Tämä menettely osoitti, että näin ei todellakaan ole."
Microsoft jättää koulut ja viranomaiset pimentoon. Päätöksissä todetaan myös, että kantelijan koulun ja Itävallan opetusministeriön pitäisi antaa lisätietoja, erityisesti siitä, mitä tietoja oppilaista Microsoftille on välitetty. Itävallan DSB korosti kuitenkin myös, että Microsoft ei antanut opetusministeriölle täydellisiä tietoja tietojenkäsittelystä Microsoft 365 Educationissa, minkä vuoksi paikallisten koulujen on periaatteessa mahdotonta täyttää yleisen tietosuoja-asetuksen 13 ja 14 artiklan mukaisia velvoitteitaan.
Felix Mikolasch, tietosuojalakimies noyb: "Itävallan tietosuojavaltuutetun päätös tuo todella esiin Microsoft 365 Educationin avoimuuden puutteen. Koulujen on lähes mahdotonta tiedottaa oppilaille, vanhemmille ja opettajille siitä, mitä heidän tiedoillaan tapahtuu."
Microsoft Irlanti ohitettu. Microsoft yritti myös väittää, että itse asiassa sen Irlannissa sijaitseva EU:n tytäryhtiö vastaa Microsoft 365 -tuotteista Euroopassa. DSB hylkäsi tämän väitteen ja katsoi, että itse asiassa Microsoft US tekee asiaankuuluvat päätökset. Irlannissa tehdyt vähäiset päätökset tuotteen mukauttamisesta EU:ta varten eivät siirrä vastuuta (ja näin ollen myös tuomiovaltaa asiassa) Irlantiin. Suuret yhdysvaltalaiset teknologiayritykset väittävät säännöllisesti, että ne kuuluvat Irlannin lainkäyttövaltaan, koska Irlannin tietosuojakomission tiedetään tuskin panevan täytäntöön EU:n lainsäädäntöä.
Todennäköisesti kauaskantoisia seurauksia Microsoft 365:lle. Miljoonat opiskelijat ja opettajat ympäri Eurooppaa käyttävät Microsoft 365 Education -palvelua. Miljoonat muut ihmiset käyttävät Microsoft 365 -standardia yrityksissä ja viranomaisissa Euroopassa. Työntekijöiden, opiskelijoiden ja muiden käyttäjien asianmukainen informointi siitä, miten heidän tietojaan käytetään, on lain mukaan pakollista - mutta kaupallisille asiakkaille se on usein käytännössä mahdotonta. Jos Microsoft ei tarjoa selkeää tietoa ja lisää valtuuksia kaupallisille asiakkailleen, Microsoft 365:n käyttö tuskin on EU-lainsäädännön mukaista. Saksan tietosuojaviranomaiset ovat jo katsoneet, että Microsoft 365 ei täytä GDPR:n vaatimuksia.
Max Schrems, tietosuojalakimies noyb: "Meillä on 'big tech'-palveluntarjoajia, jotka yrittävät saada kaiken vallan, mutta siirtävät kaiken vastuun eurooppalaisille kaupallisille asiakkaille. Jos Microsoft ei muuta perusteellisesti tuotteidensa asetuksia, eurooppalaiset kaupalliset asiakkaat eivät pysty täyttämään velvoitteitaan."
