noyb újabb győzelmet aratott a Microsoft 365 Education elleni eljárásban: Az osztrák adatvédelmi hatóság (DSB) úgy döntött, hogy a vállalat jogellenesen, hozzájárulás nélkül telepített sütiket egy tanuló eszközeire. A Microsoft saját dokumentációja szerint ezek a cookie-k elemzik a felhasználói viselkedést, böngészési adatokat gyűjtenek, és reklámozásra használják őket. A Microsoftnak most négy hét áll rendelkezésére, hogy eleget tegyen a követelményeknek, és beszüntesse a nyomkövető sütik használatát.
- Az osztrák DSB határozata (DE)
- PR a Microsoft elleni korábbi DSB-határozathoz
- Eredeti panaszok 2024-től
Háttér. 2024 júniusában a noyb két panaszt nyújtott be az osztrák DSB-hez a Microsoft 365 Education in schools (Microsoft 365 Oktatás az iskolákban) szolgáltatással kapcsolatban. Az első panaszról 2025 októberében született döntés. Akkor a DSB úgy ítélte meg, hogy a Microsoft megsértette a GDPR 15. cikke szerinti hozzáférési jogot. A második panasz, amelyről most született döntés, a Microsoft 365 Educationben alkalmazott jogellenes nyomkövető cookie-k használatára vonatkozott.
Második noyb győzelem a Microsoft ellen. Legújabb határozatában a DSB ismét megállapította, hogy a Microsoft jogellenesen járt el. Konkrétan a vállalat nyomkövető cookie-kat helyezett el a Microsoft 365 Oktatást használó kiskorúak eszközein. A Microsoft saját dokumentációja szerint ezek a cookie-k elemzik a felhasználói viselkedést, böngészési adatokat gyűjtenek, és reklámozásra használják őket. A DSB emellett kötelezte a Microsoftot, hogy négy héten belül szüntesse be a panaszos nyomon követését. Mind az iskola, mind az osztrák oktatási minisztérium azt állította, hogy a noyb panaszai előtt nem volt tudomásuk az ilyen nyomkövető cookie-król.
Felix Mikolasch, a noyb adatvédelmi ügyvédje: "A kiskorúak nyomon követése egyértelműen nem adatvédelmi szempontból kedvező. Úgy tűnik, hogy a Microsoft nem sokat törődik az adatvédelemmel, hacsak nem a marketing és PR nyilatkozatok miatt."
A Microsoft Írországot megkerülve. Az eljárás során a Microsoft azzal is próbált érvelni, hogy az írországi uniós leányvállalatuk felel a Microsoft 365 termékekért Európában. A DSB elutasította ezt az érvelést, és megállapította, hogy valójában a Microsoft US hozza a vonatkozó döntéseket. Az amerikai nagy technológiai vállalatok rendszeresen azzal érvelnek, hogy ír joghatóság alá tartoznak, mivel az ír adatvédelmi bizottság köztudottan alig érvényesíti az uniós jogot.
Valószínűleg messzemenő következményekkel jár a Microsoft 365 számára. A Microsoft 365 Education-t diákok és tanárok milliói használják Európa-szerte. Más emberek milliói használják a szabványos "Microsoft 365-öt" az európai vállalatoknál és hatóságoknál. A felhasználók hozzájárulás nélküli nyomon követése nem felel meg az uniós jognak, ami a Microsoft 365-öt használó valamennyi szervezet számára problémát jelent. A német adatvédelmi hatóságok már úgy ítélték meg, hogy a Microsoft 365 nem felel meg a GDPR követelményeinek.
Max Schrems: " Az EU-ban a vállalatoknak és a hatóságoknak az előírásoknak megfelelő szoftvert kell használniuk. A Microsoft ismét nem felelt meg a jogszabályoknak"
