Den österrikiska dataskyddsmyndigheten ("DSB") har fattat ett beslut som slår fast att Microsoft 365 Education olagligen spårar elever och använder elevdata för Microsofts egna syften. Mjukvarujätten svarade inte heller på en begäran om tillgång till Microsoft 365 Education, som används i stor utsträckning i europeiska skolor. Istället försökte Microsoft lägga över allt ansvar på de lokala skolorna. Även om de berörda skolorna också måste tillhandahålla mer detaljerade åtkomstuppgifter och ytterligare integritetsinformation enligt beslutet, är det nu upp till Microsoft att äntligen svara på hur man använder användardata för sina egna affärsändamål.
Ansvarsförskjutning i tre riktningar. Under covid-19-pandemin gick många skolor snabbt över till "molnet" och Big Tech var snabba med att tillhandahålla "pedagogiska" produkter. Microsoft flyttade dock över allt ansvar för att följa integritetslagarna på skolor och nationella myndigheter - som har liten eller ingen faktisk kontroll över användningen av elevdata. Lokala skolor är vanligtvis inte tillräckligt starka för att kunna sätta sig upp mot Microsoft - vilket leder till en "take it leave it"-situation. När en elev begärde tillgång till personuppgifter som behandlades av Microsoft 365 Education ledde detta till en massiv skuldbeläggning: Microsoft hänvisade helt enkelt den klagande till sin lokala skola. Den klagandes skola kunde dock bara tillhandahålla minimal information - eftersom den inte har någon möjlighet att få tillgång till information som ligger hos Microsoft. Ingen ansåg sig kunna uppfylla GDPR-rättigheterna. Den klagande, som företräddes av noyb, lämnade därför in ett klagomål mot alla möjliga aktörer (den lokala skolan, den lokala utbildningsstyrelsen, utbildningsministeriet och Microsoft US) till den österrikiska dataskyddsnämnden.
Felix Mikolasch, dataskyddsjurist på noyb: "Microsoft försökte flytta nästan allt ansvar för Microsoft 365 Education till skolor eller andra nationella institutioner. Den österrikiska dataskyddsmyndigheten har nu beslutat att detta inte går. Vi välkomnar detta beslut."
Olaglig spårning av barn och ingen åtkomst. Det österrikiska dataskyddsorganet fann flera brott mot GDPR. För det första fann man att Microsoft 365 Education använde spårningscookies utan samtycke, vilket ansågs vara olagligt. Både skolan och det österrikiska utbildningsministeriet hävdade under förfarandet att de inte var medvetna om sådana spårningscookies innan klagomålet. DSB beordrade nu att de relevanta personuppgifterna skulle raderas. För det andra bröt Microsoft mot rätten till tillgång enligt artikel 15 i GDPR genom att inte ge full tillgång till den klagandes uppgifter. Microsoft måste nu ge sådan åtkomst. Microsoft måste också tydligt förklara vad det innebär att företaget använder uppgifter för sina affärsändamål, t.ex. "affärsmodellering" eller "energieffektivitet", och om företaget har skickat personuppgifter till LinkedIn, OpenAI eller spårningsföretaget Xandr.
Felix Mikolasch, dataskyddsjurist på noyb: "Microsoft brukar hävda att deras utbildningsprodukter är integritetsvänliga. Det här förfarandet visade att så inte är fallet."
Microsoft lämnar skolor och myndigheter i mörkret. I beslutet fastslås också att den klagandes skola och det österrikiska utbildningsministeriet ska lämna ytterligare information, särskilt om vilka uppgifter om eleverna som överfördes till Microsoft. Den österrikiska DSB betonade dock också att Microsoft inte gav utbildningsministeriet fullständig information om databehandlingen i Microsoft 365 Education, vilket gör det i princip omöjligt för lokala skolor att uppfylla sina skyldigheter enligt artiklarna 13 och 14 i GDPR.
Felix Mikolasch, dataskyddsjurist på noyb: "Beslutet från den österrikiska dataskyddsmyndigheten belyser verkligen bristen på transparens med Microsoft 365 Education. Det är nästan omöjligt för skolor att informera elever, föräldrar och lärare om vad som händer med deras data."
Microsoft Irland förbigicks. Microsoft försökte också hävda att det i själva verket är deras dotterbolag på Irland som ansvarar för Microsoft 365-produkter i Europa. DSB avvisade detta argument och ansåg att det i själva verket är Microsoft US som fattar de relevanta besluten. Mindre beslut i Irland om att anpassa en produkt för EU innebär inte att ansvaret (och därmed jurisdiktionen för ärendet) flyttas till Irland. Stora amerikanska teknikföretag hävdar regelbundet att de faller under irländsk jurisdiktion, eftersom den irländska dataskyddskommissionen är känd för att knappast tillämpa EU-lagstiftningen.
Sannolikt långtgående konsekvenser för Microsoft 365. Microsoft 365 Education används av miljontals studenter och lärare över hela Europa. Miljontals andra människor använder standarden "Microsoft 365" på företag och myndigheter i Europa. Att på ett korrekt sätt informera anställda, studenter och andra användare om hur deras data används är obligatoriskt enligt lag - men ofta i praktiken omöjligt för kommersiella kunder. Om Microsoft inte ger tydlig information och mer befogenheter till sina kommersiella kunder är det knappast förenligt med EU-lagstiftningen att använda Microsoft 365. De tyska dataskyddsmyndigheterna har redan ansett att Microsoft 365 inte uppfyller kraven i GDPR.
Max Schrems, dataskyddsjurist på noyb: "Vi har "big tech"-leverantörer som försöker få all makt, men som flyttar allt ansvar till europeiska kommersiella kunder. Om Microsoft inte i grunden ändrar konfigurationen av sina produkter kommer de europeiska kommersiella kunderna inte att kunna uppfylla sina skyldigheter."
