Austriacki Urząd Ochrony Danych ("DSB") wydał decyzję stwierdzającą, że Microsoft 365 Education nielegalnie śledzi uczniów i wykorzystuje dane uczniów do własnych celów Microsoftu. Gigant oprogramowania nie odpowiedział również na wniosek o dostęp do Microsoft 365 Education, który jest szeroko stosowany w europejskich szkołach. Zamiast tego Microsoft próbował przenieść całą odpowiedzialność na lokalne szkoły. Podczas gdy odpowiednie szkoły muszą również dostarczyć bardziej szczegółowe dane dostępu i dodatkowe informacje o prywatności zgodnie z decyzją, teraz Microsoft musi wreszcie odpowiedzieć, w jaki sposób wykorzystuje dane użytkowników do własnych celów biznesowych.

Trójstronne przeniesienie odpowiedzialności. Podczas pandemii COVID wiele szkół szybko przeniosło się do "chmury", a Big Tech szybko dostarczył produkty "edukacyjne". Jednak Microsoft przeniósł całą odpowiedzialność za przestrzeganie przepisów dotyczących prywatności na szkoły i władze krajowe - które mają niewielką lub żadną faktyczną kontrolę nad wykorzystaniem danych uczniów. Lokalne szkoły zazwyczaj nie są wystarczająco silne, aby odeprzeć Microsoft - co prowadzi do sytuacji "weź to, zostaw to". W obliczu prośby ucznia o dostęp do danych osobowych przetwarzanych przez Microsoft 365 Education, doprowadziło to do masowego wskazywania palcem: Microsoft po prostu skierował skarżącego do jego lokalnej szkoły. Jednak szkoła skarżącego mogła dostarczyć jedynie minimalnych informacji - ponieważ nie ma żadnego sposobu na uzyskanie dostępu do informacji, które spoczywają w Microsoft. Nikt nie czuł się w stanie przestrzegać praw wynikających z RODO. Skarżący, reprezentowany przez noyb, złożył w konsekwencji skargę przeciwko wszystkim możliwym podmiotom (lokalnej szkole, lokalnemu kuratorium oświaty, Ministerstwu Edukacji i Microsoft US) do austriackiego DSB.
Felix Mikolasch, prawnik ds. ochrony danych w noyb: "Microsoft próbował przenieść prawie całą odpowiedzialność za Microsoft 365 Education na szkoły lub inne instytucje krajowe. Austriacki organ ochrony danych zdecydował teraz, że to nie zadziała. Z zadowoleniem przyjmujemy tę decyzję"
Bezprawne śledzenie dzieci i brak dostępu. Austriacki DSB stwierdził kilka naruszeń RODO. Po pierwsze, stwierdzono, że Microsoft 365 Education wykorzystywał śledzące pliki cookie bez zgody, co zostało uznane za niezgodne z prawem. Zarówno szkoła, jak i austriackie Ministerstwo Edukacji twierdziły w trakcie postępowania, że nie wiedziały o takich śledzących plikach cookie przed złożeniem skargi. DSB nakazał teraz usunięcie odpowiednich danych osobowych. Po drugie, Microsoft naruszył prawo dostępu na mocy art. 15 RODO, nie zapewniając pełnego dostępu do danych skarżącego. Microsoft będzie teraz musiał zapewnić taki dostęp. Microsoft będzie również musiał wyjaśnić w jasny sposób, co oznacza, że wykorzystuje dane do celów biznesowych, takich jak "modelowanie biznesowe" lub "efektywność energetyczna" oraz czy wysłał dane osobowe do LinkedIn, OpenAI lub firmy śledzącej Xandr.
Felix Mikolasch, prawnik ds. ochrony danych w Noyb: "Microsoft zazwyczaj twierdzi, że jego produkty edukacyjne są przyjazne dla prywatności. Ta procedura pokazała, że tak naprawdę tak nie jest"
Microsoft pozostawia szkoły i władze w niewiedzy. W decyzji stwierdzono również, że szkoła skarżącego i austriackie Ministerstwo Edukacji powinny dostarczyć dalszych informacji, w szczególności o tym, które informacje o uczniach zostały przekazane firmie Microsoft. Austriacki DSB podkreślił jednak również, że Microsoft nie dostarczył Ministerstwu Edukacji pełnych informacji dotyczących przetwarzania danych w Microsoft 365 Education, co zasadniczo uniemożliwia lokalnym szkołom wypełnienie obowiązków wynikających z art. 13 i 14 RODO.
Felix Mikolasch, prawnik ds. ochrony danych w noyb: "Decyzja austriackiego organu ochrony danych naprawdę podkreśla brak przejrzystości w przypadku Microsoft 365 Education. Jest prawie niemożliwe, aby szkoły informowały uczniów, rodziców i nauczycieli o tym, co dzieje się z ich danymi"
Microsoft Ireland ominięty. Microsoft próbował również argumentować, że w rzeczywistości jego unijna spółka zależna w Irlandii jest odpowiedzialna za produkty Microsoft 365 w Europie. DSB odrzuciło ten argument i stwierdziło, że w rzeczywistości Microsoft US podejmuje odpowiednie decyzje. Drobne decyzje podejmowane w Irlandii w celu dostosowania produktu do UE nie przenoszą odpowiedzialności (a tym samym jurysdykcji w sprawie) na Irlandię. Duże amerykańskie firmy technologiczne regularnie twierdzą, że podlegają irlandzkiej jurysdykcji, ponieważ irlandzka Komisja Ochrony Danych jest znana z tego, że prawie nie egzekwuje prawa UE.
Prawdopodobnie daleko idące konsekwencje dla Microsoft 365. Microsoft 365 Education jest używany przez miliony uczniów i nauczycieli w całej Europie. Miliony innych osób korzystają ze standardowego "Microsoft 365" w firmach i urzędach w Europie. Właściwe informowanie pracowników, uczniów i innych użytkowników o sposobie wykorzystywania ich danych jest obowiązkowe z mocy prawa - ale często niemożliwe do zrealizowania przez klientów komercyjnych. Jeśli Microsoft nie zapewni jasnych informacji i większych uprawnień swoim klientom komercyjnym, korzystanie z Microsoft 365 nie jest zgodne z prawem UE. Niemieckie organy ochrony danych uznały już, że Microsoft 365 nie spełnia wymogów RODO.
Max Schrems, prawnik ds. ochrony danych w noyb: "Mamy dostawców 'dużych technologii', którzy próbują zdobyć całą władzę, ale przerzucając całą odpowiedzialność na europejskich klientów komercyjnych. Jeśli Microsoft nie zmieni zasadniczo konfiguracji swoich produktów, europejscy klienci komercyjni nie będą w stanie wywiązać się ze swoich zobowiązań"