Az osztrák adatvédelmi hatóság ("DSB") határozatában megállapította, hogy a Microsoft 365 Education jogellenesen követi a tanulókat, és a Microsoft saját céljaira használja fel a tanulók adatait. A szoftveróriás emellett nem válaszolt az európai iskolákban széles körben használt Microsoft 365 Education szolgáltatással kapcsolatos hozzáférési kérelemre sem. Ehelyett a Microsoft megpróbált minden felelősséget a helyi iskolákra hárítani. Bár a döntés értelmében az érintett iskoláknak részletesebb hozzáférési adatokat és további adatvédelmi információkat is meg kell adniuk, most már a Microsoftnak kell végre választ adnia arra, hogyan használja fel a felhasználói adatokat saját üzleti céljaira.
Háromirányú felelősségáthárítás. A COVID-járvány idején sok iskola gyorsan áttért a "felhőre", és a Big Tech gyorsan "oktatási" termékeket kínált. A Microsoft azonban az adatvédelmi törvények betartásának minden felelősségét az iskolákra és a nemzeti hatóságokra hárította - amelyeknek kevés vagy egyáltalán nincs tényleges ellenőrzésük a diákok adatainak felhasználása felett. A helyi iskolák általában nem elég erősek ahhoz, hogy visszavágjanak a Microsoftnak - ami egy "vedd el, hagyd el" helyzethez vezet. Amikor egy diáknak a Microsoft 365 Education által feldolgozott személyes adatokhoz való hozzáférési kérelmével szembesült, ez masszív ujjal mutogatáshoz vezetett: A Microsoft egyszerűen a helyi iskolához irányította a panaszost. A panaszos iskolája azonban csak minimális információt tudott nyújtani - mivel semmilyen módon nem fér hozzá a Microsoftnál lévő információkhoz. Senki sem érezte úgy, hogy képes lenne megfelelni a GDPR-jogoknak. A panaszos, akit a noyb képviselt, ezért panaszt nyújtott be az osztrák DSB-hez az összes lehetséges szereplő (a helyi iskola, a helyi oktatási bizottság, az oktatási minisztérium és a Microsoft US) ellen.
Felix Mikolasch, a noyb adatvédelmi ügyvédje: "A Microsoft megpróbált szinte minden felelősséget áthárítani a Microsoft 365 Oktatással kapcsolatban az iskolákra vagy más nemzeti intézményekre. Az osztrák adatvédelmi hatóság most úgy döntött, hogy ez nem megy. Üdvözöljük ezt a döntést."
A gyerekek jogellenes nyomon követése és a hozzáférés hiánya. Az osztrák DSB több GDPR-szabálysértést is talált. Először is megállapította, hogy a Microsoft 365 Education a hozzájárulás nélkül használt nyomkövető cookie-kat, ami jogellenesnek bizonyult. Mind az iskola, mind az osztrák oktatási minisztérium azt állította az eljárás során, hogy a panaszt megelőzően nem tudtak az ilyen nyomkövető cookie-król. A DSB most elrendelte az érintett személyes adatok törlését. Másodszor, a Microsoft megsértette az általános adatvédelmi rendelet 15. cikke szerinti hozzáférési jogot, mivel nem biztosított teljes körű hozzáférést a panaszos adataihoz. A Microsoftnak mostantól biztosítania kell ezt a hozzáférést. A Microsoftnak továbbá világosan meg kell magyaráznia, hogy mit jelent az, hogy az adatokat üzleti céljaira, például "üzleti modellezésre" vagy "energiahatékonyságra" használja fel, és hogy személyes adatokat küldött-e a LinkedInnek, az OpenAI-nak vagy a Xandr nyomkövető cégnek.
Felix Mikolasch, a noyb adatvédelmi ügyvédje: "A Microsoft általában azzal érvel, hogy oktatási termékei adatvédelmi szempontból barátságosak. Ez az eljárás megmutatta, hogy ez nem igazán így van"
A Microsoft sötétben hagyja az iskolákat és a hatóságokat. A határozatok szerint a panaszos iskolának és az osztrák oktatási minisztériumnak további információkat kell szolgáltatnia, különösen arról, hogy a diákok mely adatait továbbították a Microsoftnak. Az osztrák DSB ugyanakkor azt is hangsúlyozta, hogy a Microsoft nem adott teljes körű tájékoztatást az oktatási minisztériumnak a Microsoft 365 Education rendszerben történő adatkezelésről, ami lényegében lehetetlenné teszi, hogy a helyi iskolák eleget tegyenek a GDPR 13. és 14. cikke szerinti kötelezettségeiknek.
Felix Mikolasch, a noyb adatvédelmi ügyvédje: "Az osztrák adatvédelmi hatóság döntése valóban rávilágít a Microsoft 365 Education átláthatóságának hiányára. Az iskolák számára szinte lehetetlen tájékoztatni a diákokat, szülőket és tanárokat arról, hogy mi történik az adataikkal"."
A Microsoft Írország megkerülte. A Microsoft azzal is próbált érvelni, hogy valójában az írországi uniós leányvállalatuk felel a Microsoft 365 termékekért Európában. A DSB elutasította ezt az érvelést, és megállapította, hogy valójában a Microsoft US hozza a vonatkozó döntéseket. Az Írországban hozott kisebb jelentőségű döntések, amelyek egy terméknek az EU számára történő kiigazítására vonatkoznak, nem helyezik át a felelősséget (és így az ügyre vonatkozó joghatóságot) Írországra. Az amerikai nagy technológiai vállalatok rendszeresen azzal érvelnek, hogy ír joghatóság alá tartoznak, mivel az ír adatvédelmi bizottságról köztudott, hogy alig hajtja végre az uniós jogot.
Valószínűleg messzemenő következményekkel jár a Microsoft 365 számára. A Microsoft 365 Education-t diákok és tanárok milliói használják Európa-szerte. Más emberek milliói használják a szabványos "Microsoft 365"-öt európai vállalatoknál és hatóságoknál. Az alkalmazottak, diákok és más felhasználók megfelelő tájékoztatása az adataik felhasználásának módjáról törvényileg kötelező - de a kereskedelmi ügyfelek számára gyakran tényszerűen lehetetlen. Ha a Microsoft nem nyújt egyértelmű tájékoztatást és több jogkört a kereskedelmi ügyfeleinek, a Microsoft 365 használata aligha felel meg az uniós jognak. A német adatvédelmi hatóságok már úgy ítélték meg, hogy a Microsoft 365 nem felel meg a GDPR követelményeinek.
Max Schrems, a noyb adatvédelmi ügyvédje:"A 'big tech' szolgáltatók megpróbálnak minden hatalmat megszerezni, de minden felelősséget az európai kereskedelmi ügyfelekre hárítanak. Ha a Microsoft nem változtatja meg alapvetően termékeinek beállítását, az európai kereskedelmi ügyfelek nem lesznek képesek megfelelni a kötelezettségeiknek."
