Rakúsky úrad na ochranu údajov (ďalej len "DSB") vydal rozhodnutie, v ktorom konštatoval, že Microsoft 365 Education nezákonne sleduje študentov a používa údaje študentov na vlastné účely spoločnosti Microsoft. Softvérový gigant tiež neodpovedal na žiadosť o prístup k službe Microsoft 365 Education, ktorá sa vo veľkej miere používa v európskych školách. Namiesto toho sa spoločnosť Microsoft snažila preniesť všetku zodpovednosť na miestne školy. Hoci príslušné školy musia podľa rozhodnutia poskytnúť aj podrobnejšie prístupové údaje a ďalšie informácie o ochrane osobných údajov, je teraz na Microsofte, aby konečne odpovedal, ako využíva údaje používateľov na vlastné obchodné účely.

Trojstranné prenesenie zodpovednosti. Počas pandémie COVID sa mnohé školy rýchlo presunuli na "cloud" a veľké technologické spoločnosti rýchlo poskytli "vzdelávacie" produkty. Spoločnosť Microsoft však presunula všetku zodpovednosť za dodržiavanie zákonov o ochrane osobných údajov na školy a vnútroštátne orgány - ktoré majú len malú alebo žiadnu skutočnú kontrolu nad používaním údajov študentov. Miestne školy zvyčajne nie sú dostatočne silné na to, aby sa postavili proti Microsoftu - čo vedie k situácii "ber, nechaj tak". Keď boli konfrontované so žiadosťou študenta o prístup k osobným údajom spracúvaným službou Microsoft 365 Education, viedlo to k masívnemu ukazovaniu prstom: Microsoft jednoducho odkázal sťažovateľa na jeho miestnu školu. Škola sťažovateľa však mohla poskytnúť len minimálne informácie - keďže nemá žiadnu možnosť prístupu k informáciám, ktoré sú v správe spoločnosti Microsoft. Nikto sa necítil byť schopný dodržať práva vyplývajúce z nariadenia GDPR. Sťažovateľ, ktorého zastupovala spoločnosť noyb, následne podal sťažnosť na všetkých možných aktérov (miestnu školu, miestnu radu pre vzdelávanie, ministerstvo školstva a spoločnosť Microsoft USA) na rakúskom orgáne DSB.
Felix Mikolasch, právnik pre ochranu údajov v spoločnosti noyb: "Spoločnosť Microsoft sa snažila preniesť takmer všetky povinnosti týkajúce sa služby Microsoft 365 Education na školy alebo iné vnútroštátne inštitúcie. Rakúsky úrad na ochranu údajov teraz rozhodol, že to neprejde. Toto rozhodnutie vítame."
Nezákonné sledovanie detí a žiadny prístup. Rakúsky úrad pre ochranu údajov zistil niekoľko porušení GDPR. Po prvé, zistil, že Microsoft 365 Education používal sledovacie súbory cookie bez súhlasu, čo sa považuje za nezákonné. Škola aj rakúske ministerstvo školstva počas konania tvrdili, že o takýchto sledovacích súboroch cookie pred podaním sťažnosti nevedeli. DSB teraz nariadil vymazanie príslušných osobných údajov. Po druhé, spoločnosť Microsoft porušila právo na prístup podľa článku 15 GDPR tým, že neposkytla úplný prístup k údajom sťažovateľa. Spoločnosť Microsoft teraz bude musieť takýto prístup poskytnúť. Spoločnosť Microsoft bude musieť tiež jasne vysvetliť, čo znamená, že používa údaje na svoje obchodné účely, ako napríklad "obchodné modelovanie" alebo "energetická účinnosť", a či poslala osobné údaje spoločnostiam LinkedIn, OpenAI alebo sledovacej spoločnosti Xandr.
Felix Mikolasch, právnik pre ochranu údajov v spoločnosti noyb: "Microsoft zvyčajne tvrdí, že jeho vzdelávacie produkty sú šetrné k ochrane osobných údajov. Tento postup ukázal, že to tak v skutočnosti nie je."
Microsoft necháva školy a úrady v neistote. V rozhodnutiach sa tiež uvádza, že škola sťažovateľa a rakúske ministerstvo školstva by mali poskytnúť ďalšie informácie, najmä ktoré informácie o študentoch boli odovzdané spoločnosti Microsoft. Rakúsky DSB však tiež zdôraznil, že spoločnosť Microsoft neposkytla ministerstvu školstva úplné informácie týkajúce sa spracúvania údajov v službe Microsoft 365 Education, čo miestnym školám v podstate znemožňuje splniť si povinnosti podľa článkov 13 a 14 GDPR.
Felix Mikolasch, právnik pre ochranu údajov v spoločnosti noyb: "Rozhodnutie rakúskeho orgánu na ochranu údajov skutočne poukazuje na nedostatočnú transparentnosť v prípade Microsoft 365 Education. Pre školy je takmer nemožné informovať žiakov, rodičov a učiteľov o tom, čo sa deje s ich údajmi."
Microsoft Írsko obišiel. Spoločnosť Microsoft sa tiež snažila argumentovať tým, že v skutočnosti je za produkty Microsoft 365 v Európe zodpovedná jej dcérska spoločnosť v Írsku. DSB tento argument odmietol a rozhodol, že v skutočnosti príslušné rozhodnutia prijíma Microsoft US. Drobné rozhodnutia v Írsku o úprave produktu pre EÚ neprenášajú zodpovednosť (a teda ani súdnu právomoc v tejto veci) na Írsko. Veľké technologické spoločnosti v USA pravidelne argumentujú, že spadajú pod írsku jurisdikciu, pretože je známe, že írska komisia pre ochranu údajov len ťažko presadzuje právo EÚ.
Pravdepodobné ďalekosiahle dôsledky pre Microsoft 365. Službu Microsoft 365 Education používajú milióny študentov a učiteľov v celej Európe. Milióny ďalších ľudí používajú štandardný "Microsoft 365" v spoločnostiach a na úradoch v Európe. Riadne informovanie zamestnancov, študentov a ďalších používateľov o tom, ako sa používajú ich údaje, je povinné zo zákona - ale pre komerčných zákazníkov často fakticky nemožné. Ak spoločnosť Microsoft neposkytuje svojim komerčným zákazníkom jasné informácie a väčšie právomoci, používanie služby Microsoft 365 je sotva v súlade s právom EÚ. Nemecké orgány na ochranu údajov už usúdili, že Microsoft 365 nespĺňa požiadavky GDPR.
Max Schrems, právnik v oblasti ochrany údajov v spoločnosti noyb: "Máme tu poskytovateľov 'veľkých technológií', ktorí sa snažia získať všetky právomoci, ale všetky povinnosti presúvajú na európskych komerčných zákazníkov. Ak spoločnosť Microsoft zásadne nezmení nastavenie svojich produktov, európski komerční zákazníci nebudú schopní plniť svoje povinnosti."