De Oostenrijkse gegevensbeschermingsautoriteit ("DSB") heeft een besluit uitgevaardigd waarin wordt vastgesteld dat Microsoft 365 Education illegaal leerlingen volgt en leerlinggegevens gebruikt voor Microsoft's eigen doeleinden. De softwaregigant gaf ook geen antwoord op een verzoek om toegang tot Microsoft 365 Education, dat veel wordt gebruikt in Europese scholen. In plaats daarvan probeerde Microsoft alle verantwoordelijkheid af te schuiven op lokale scholen. Hoewel de betreffende scholen volgens de beslissing ook meer gedetailleerde toegangsgegevens en aanvullende privacy-informatie moeten verstrekken, is het nu aan Microsoft om eindelijk antwoord te geven op de vraag hoe het gebruikersgegevens gebruikt voor zijn eigen zakelijke doeleinden.
Verschuiving van verantwoordelijkheid in drie richtingen. Tijdens de COVID-pandemie schakelden veel scholen snel over op de "cloud" en Big Tech was er snel bij om "educatieve" producten te leveren. Microsoft schoof echter alle verantwoordelijkheid om te voldoen aan de privacywetgeving door naar scholen en nationale overheden - die weinig tot geen daadwerkelijke controle hebben over het gebruik van leerlinggegevens. Lokale scholen zijn meestal niet sterk genoeg om zich tegen Microsoft te verzetten, wat leidt tot een "take it leave it"-situatie. Toen een student een verzoek indiende om toegang te krijgen tot persoonlijke gegevens die verwerkt waren door Microsoft 365 Education, leidde dit tot massaal vingerwijzen: Microsoft verwees de klager simpelweg door naar zijn lokale school. De school van de klager kon echter slechts minimale informatie verstrekken - omdat het op geen enkele manier toegang heeft tot informatie die bij Microsoft berust. Niemand voelde zich in staat om te voldoen aan de GDPR-rechten. De klager, vertegenwoordigd door noyb, diende daarop een klacht in tegen alle mogelijke spelers (de lokale school, het lokale onderwijsbestuur, het ministerie van Onderwijs en Microsoft US) bij de Oostenrijkse DSB.
Felix Mikolasch, advocaat gegevensbescherming bij noyb: "Microsoft probeerde bijna alle verantwoordelijkheden voor Microsoft 365 Education af te schuiven op scholen of andere nationale instellingen. De Oostenrijkse gegevensbeschermingsautoriteit heeft nu besloten dat dit niet werkt. We zijn blij met deze beslissing."
Onwettige tracking van kinderen en geen toegang. De Oostenrijkse DSB vond verschillende GDPR-overtredingen. Ten eerste werd vastgesteld dat Microsoft 365 Education tracking cookies gebruikte zonder toestemming, wat illegaal bleek te zijn. Zowel de school als het Oostenrijkse ministerie van Onderwijs beweerden tijdens de procedure dat ze vóór de klacht niet op de hoogte waren van dergelijke tracking cookies. De DSB beval nu de verwijdering van de relevante persoonsgegevens. Ten tweede schond Microsoft het recht op toegang onder artikel 15 GDPR door geen volledige toegang te verlenen tot de gegevens van de klager. Microsoft moet deze toegang nu alsnog verlenen. Microsoft zal ook in duidelijke bewoordingen moeten uitleggen wat het betekent dat het gegevens gebruikt voor zijn zakelijke doeleinden zoals "business modeling" of "energie-efficiëntie" en of het persoonlijke gegevens naar LinkedIn, OpenAI of het trackingbedrijf Xandr heeft gestuurd.
Felix Mikolasch, advocaat gegevensbescherming bij noyb: "Microsoft beweert meestal dat zijn educatieve producten privacyvriendelijk zijn. Deze procedure toonde aan dat dit niet echt het geval is."
Microsoft laat scholen en overheden in het ongewisse. In de beslissing staat ook dat de school van de klager en het Oostenrijkse ministerie van Onderwijs meer informatie moeten verstrekken, in het bijzonder welke gegevens van leerlingen aan Microsoft zijn doorgegeven. De Oostenrijkse DSB benadrukte echter ook dat Microsoft het ministerie van Onderwijs niet volledig heeft geïnformeerd over de gegevensverwerking in Microsoft 365 Education, waardoor het voor lokale scholen in principe onmogelijk is om te voldoen aan hun verplichtingen onder artikel 13 en 14 GDPR.
Felix Mikolasch, advocaat gegevensbescherming bij noyb: "De beslissing van de Oostenrijkse DPA benadrukt echt het gebrek aan transparantie met Microsoft 365 Education. Het is bijna onmogelijk voor scholen om leerlingen, ouders en docenten te informeren over wat er met hun gegevens gebeurt."
Microsoft Ierland omzeild. Microsoft probeerde ook aan te voeren dat in feite hun EU-dochteronderneming in Ierland verantwoordelijk is voor Microsoft 365-producten in Europa. De DSB verwierp dat argument en stelde dat Microsoft US de relevante beslissingen neemt. Kleine beslissingen in Ierland om een product aan te passen voor de EU verschuiven de verantwoordelijkheid (en dus de jurisdictie voor de zaak) niet naar Ierland. Amerikaanse grote techbedrijven stellen regelmatig dat ze onder Ierse jurisdictie vallen, omdat bekend is dat de Ierse Data Protection Commission de EU-wetgeving nauwelijks handhaaft.
Waarschijnlijk verstrekkende gevolgen voor Microsoft 365. Microsoft 365 Education wordt gebruikt door miljoenen studenten en docenten in heel Europa. Miljoenen andere mensen gebruiken het standaard "Microsoft 365" bij bedrijven en overheden in Europa. Werknemers, studenten en andere gebruikers goed informeren over hoe hun gegevens worden gebruikt is wettelijk verplicht - maar voor commerciële klanten vaak feitelijk onmogelijk. Als Microsoft zijn commerciële klanten geen duidelijke informatie en meer bevoegdheden geeft, is het gebruik van Microsoft 365 nauwelijks in overeenstemming met de EU-wetgeving. De Duitse gegevensbeschermingsautoriteiten hebben al geoordeeld dat Microsoft 365 niet voldoet aan de eisen van de GDPR.
Max Schrems, advocaat gegevensbescherming bij noyb: "We hebben 'big tech' providers die alle macht proberen te krijgen, maar alle verantwoordelijkheden afschuiven op Europese commerciële klanten. Als Microsoft de opzet van hun producten niet fundamenteel verandert, zullen Europese commerciële klanten niet aan hun verplichtingen kunnen voldoen."
