I kölvattnet av pandemin har skolorna i EU i allt högre grad börjat införa digitala tjänster för lärande online. Även om dessa moderniseringsinsatser är en välkommen utveckling har ett litet antal stora teknikföretag omedelbart försökt dominera området - ofta med avsikten att vänja barnen vid sina system och skapa en ny generation av framtida "lojala" kunder. Ett av dessa företag är Microsoft, vars 365 Education-tjänster bryter mot barnens dataskyddsrättigheter. När eleverna ville utöva sina GDPR-rättigheter sa Microsoft att skolorna var "personuppgiftsansvariga" för deras uppgifter. Skolorna har dock ingen kontroll över systemen.
- Första klagomålet mot Microsoft (DE)
- Första klagomålet mot Microsoft (EN auto-översättning)
- Andra klagomålet mot Microsoft (DE)
- Andra klagomålet mot Microsoft (EN automatisk översättning)
Förskjutning av ansvaret mellan Big Tech och lokala skolor. Programvaruleverantörer som Microsoft har en enorm marknadsmakt, vilket gör att de kan diktera villkoren för avtal med alla som vill använda deras produkter. Samtidigt försöker dessa programvaruleverantörer smita undan ansvaret genom att hävda att nästan allt ansvar ligger på lokala myndigheter eller skolor. I själva verket har ingen av dem möjlighet att påverka hur Microsoft faktiskt behandlar användardata. Istället ställs de inför en "ta det eller lämna det"-situation där all beslutanderätt och vinst ligger hos Microsoft, medan skolorna förväntas bära de flesta riskerna. Skolorna har inga realistiska möjligheter att förhandla om eller ändra villkoren.
GDPR-rättigheter ignoreras. I praktiken leder detta till en situation där Microsoft försöker att avtalsmässigt dumpa det mesta av sitt juridiska ansvar enligt GDPR på skolor som tillhandahåller Microsoft 365 Education-tjänster till sina elever eller studenter. Det innebär t.ex. att förfrågningar om tillgång till Microsoft inte besvaras - samtidigt som skolorna inte har något realistiskt sätt att uppfylla sådana förfrågningar eftersom de inte har de nödvändiga uppgifterna.
Maartje de Graaf, dataskyddsjurist på noyb: "Denna "ta det eller lämna det"-strategi från programvaruleverantörer som Microsoft innebär att allt GDPR-ansvar flyttas över till skolorna. Microsoft har all viktig information om databehandling i sin programvara, men pekar finger åt skolorna när det gäller att utöva rättigheter. Skolorna har ingen möjlighet att uppfylla kraven på öppenhet och information."
Bortkopplat från verkligheten. I Österrike, där noyb har lämnat in sina två klagomål, ska lokala rektorer ha till uppgift att fastställa "syften och medel" enligt artikel 4.7 i GDPR och att säkerställa efterlevnad gentemot internationella programvaruleverantörer som Microsoft. Detta resulterar i ett efterlevnadssystem som är helt fristående från verkligheten när det gäller databehandling.
Maartje de Graaf, dataskyddsjurist på noyb: "Enligt det nuvarande systemet som Microsoft påtvingar skolorna skulle din skola behöva granska Microsoft eller ge dem instruktioner om hur de ska behandla elevernas uppgifter. Alla vet att sådana avtalsarrangemang är verklighetsfrånvända. Det här är inget annat än ett försök att flytta ansvaret för barnens uppgifter så långt bort från Microsoft som möjligt."
En labyrint av integritetsdokumentation. Att försöka ta reda på exakt vilka sekretesspolicyer eller dokument som gäller för användningen av Microsoft 365 Education är en expedition i sig. Det finns en allvarlig brist på transparens, vilket tvingar användare och skolor att navigera i en labyrint av sekretesspolicyer, dokument, villkor och kontrakt som alla verkar gälla. Informationen i dessa dokument är alltid lite annorlunda, men genomgående vag om vad som faktiskt händer med barns data när de använder Microsoft 365 Education-tjänster.
Maartje de Graaf, dataskyddsjurist på noyb: "Microsoft ger så vag information att inte ens en kvalificerad jurist fullt ut kan förstå hur företaget behandlar personuppgifter i Microsoft 365 Education. Det är nästan omöjligt för barn eller deras föräldrar att få reda på omfattningen av Microsofts datainsamling."
Spårar barn i hemlighet. Men detta är inte det enda problemet. Trots att den klagande inte samtyckte till spårning installerade Microsoft 365 Education cookies som, enligt Microsofts egen dokumentation, analyserar användarnas beteende, samlar in webbläsardata och används för annonsering. Sådan spårning, som vanligen används för mycket integritetskränkande profilering, sker uppenbarligen utan att klagandens skola ens vet om det. Eftersom Microsoft 365 Education används i stor utsträckning är det troligt att företaget spårar alla minderåriga som använder deras utbildningsprodukter. Företaget har ingen giltig rättslig grund för denna behandling.
Felix Mikolasch, dataskyddsjurist på noyb: "Vår analys av dataflödena är mycket oroande. Microsoft 365 Education verkar spåra användare oavsett deras ålder. Denna praxis kommer sannolikt att påverka hundratusentals elever och studenter i EU och EES. Myndigheterna bör äntligen ta sitt ansvar och effektivt genomdriva minderårigas rättigheter."
Otaliga barn är drabbade .noyb ber den österrikiska dataskyddsmyndigheten (DSB) att undersöka och sakligt analysera vilka uppgifter som behandlas av Microsoft 365 Education. Varken Microsofts integritetsdokumentation, begäran om tillgång eller noybsegen forskning kunde helt klargöra detta, vilket bryter mot GDPR:s bestämmelser om öppenhet. Dessutom har företaget underlåtit att följa rätten till tillgång. Eftersom villkoren och integritetsdokumentationen för Microsoft 365 Education är enhetliga för EU/EES, utsätts alla barn som bor i dessa länder för samma kränkningar av sina GDPR-rättigheter. Därför föreslår noyb också att myndigheten ska ålägga Microsoft att betala böter.
