noyb heeft opnieuw een overwinning behaald in zijn procedure tegen Microsoft 365 Education: De Oostenrijkse gegevensbeschermingsautoriteit (DSB) heeft besloten dat het bedrijf illegaal en zonder toestemming cookies heeft geïnstalleerd op de apparaten van een leerling. Volgens Microsofts eigen documentatie analyseren deze cookies het gedrag van gebruikers, verzamelen ze browsergegevens en worden ze gebruikt voor advertenties. Microsoft heeft nu vier weken de tijd om zich te conformeren en het gebruik van tracking cookies te staken.
- Beslissing van het Oostenrijkse DSB (DE)
- PR voor eerdere DSB-beschikking tegen Microsoft
- Oorspronkelijke klachten uit 2024
Achtergrond. In juni 2024 had noyb bij de Oostenrijkse DSB twee klachten ingediend over Microsoft 365 Education in scholen. Over de eerste klacht is in oktober 2025 uitspraak gedaan. Toen oordeelde de DSB dat Microsoft het recht op toegang krachtens artikel 15 GDPR had geschonden. De tweede klacht, waarover nu uitspraak is gedaan, betrof het gebruik van onrechtmatige tracking cookies in Microsoft 365 Education.
Tweede noyb overwinning tegen Microsoft. In zijn meest recente beslissing heeft de DSB opnieuw vastgesteld dat Microsoft onrechtmatig heeft gehandeld. Het bedrijf plaatste tracking cookies op de apparaten van een minderjarige die Microsoft 365 Education gebruikte. Volgens Microsofts eigen documentatie analyseren deze cookies het gedrag van gebruikers, verzamelen ze browsergegevens en worden ze gebruikt voor advertenties. De DSB heeft Microsoft bovendien bevolen om binnen vier weken te stoppen met het volgen van de klager. Zowel de school als het Oostenrijkse ministerie van Onderwijs beweerden dat ze niet op de hoogte waren van dergelijke tracking cookies voordat de noyb-klachten werden ingediend.
Felix Mikolasch, advocaat gegevensbescherming bij noyb: "Het volgen van minderjarigen is duidelijk niet privacy-vriendelijk. Het lijkt erop dat Microsoft niet veel geeft om privacy, tenzij het voor hun marketing- en PR-verklaringen is."
Microsoft Ierland omzeild. Tijdens de procedure probeerde Microsoft ook aan te voeren dat hun EU-dochteronderneming in Ierland verantwoordelijk is voor Microsoft 365-producten in Europa. De DSB verwierp dat argument en stelde dat Microsoft US de relevante beslissingen neemt. Amerikaanse grote techbedrijven voeren regelmatig aan dat ze onder Ierse jurisdictie vallen, omdat de Ierse Data Protection Commission erom bekend staat de EU-wetgeving nauwelijks te handhaven.
Waarschijnlijk verstrekkende gevolgen voor Microsoft 365. Microsoft 365 Education wordt gebruikt door miljoenen studenten en docenten in heel Europa. Miljoenen andere mensen gebruiken het standaard "Microsoft 365" bij bedrijven en overheden in Europa. Het volgen van gebruikers zonder toestemming is niet in overeenstemming met de EU-wetgeving, wat een probleem is voor alle organisaties die Microsoft 365 gebruiken. De Duitse gegevensbeschermingsautoriteiten hebben al geoordeeld dat Microsoft 365 niet voldoet aan de vereisten van de GDPR.
Max Schrems: "Bedrijven en overheden in de EU moeten software gebruiken die aan de eisen voldoet. Microsoft heeft zich opnieuw niet aan de wet gehouden."
