noyb har vunnit ytterligare en seger i sin process mot Microsoft 365 Education: Den österrikiska dataskyddsmyndigheten (DSB) har beslutat att företaget olagligen installerade cookies på en elevs enheter utan samtycke. Enligt Microsofts egen dokumentation analyserar dessa cookies användarnas beteende, samlar in webbläsardata och används för reklam. Microsoft har nu fyra veckor på sig att rätta sig efter beslutet och upphöra med användningen av spårningscookies.
- Beslut av österrikiska DSB (DE)
- PR för tidigare DSB-beslut mot Microsoft
- Ursprungliga klagomål från 2024
Bakgrund till ärendet. I juni 2024 hade noyb lämnat in två klagomål avseende Microsoft 365 Education i skolor till österrikiska DSB. Det första klagomålet avgjordes i oktober 2025. DSB ansåg då att Microsoft bröt mot rätten till tillgång enligt artikel 15 i GDPR. Det andra klagomålet, som nu har avgjorts, gällde användningen av olagliga spårningscookies i Microsoft 365 Education.
Andra noyb seger mot Microsoft. I sitt senaste beslut har DSB återigen konstaterat att Microsoft agerat olagligt. Närmare bestämt placerade företaget spårningscookies på en minderårigs enheter som använde Microsoft 365 Education. Enligt Microsofts egen dokumentation analyserar dessa cookies användarnas beteende, samlar in webbläsardata och används för annonsering. DSB har dessutom beordrat Microsoft att upphöra med spårningen av den klagande inom fyra veckor. Både skolan och det österrikiska utbildningsministeriet hävdade att de inte var medvetna om sådana spårningscookies före klagomålen från Noyb.
Felix Mikolasch, dataskyddsjurist på noyb: "Att spåra minderåriga är helt klart inte integritetsvänligt. Det verkar som om Microsoft inte bryr sig särskilt mycket om integritet, om det inte är för deras marknadsföring och PR-uttalanden."
Microsoft Irland förbigås. Under förfarandet försökte Microsoft också hävda att deras dotterbolag på Irland är ansvarigt för Microsoft 365-produkter i Europa. DSB avvisade det argumentet och ansåg att det i själva verket är Microsoft US som fattar de relevanta besluten. Stora amerikanska teknikföretag hävdar regelbundet att de faller under irländsk jurisdiktion, eftersom den irländska dataskyddskommissionen är känd för att knappast tillämpa EU-lagstiftningen.
Sannolikt långtgående konsekvenser för Microsoft 365. Microsoft 365 Education används av miljontals studenter och lärare över hela Europa. Miljontals andra människor använder standarden "Microsoft 365" på företag och myndigheter i Europa. Att spåra användare utan samtycke är inte förenligt med EU-lagstiftningen, vilket är ett problem för alla organisationer som använder Microsoft 365. De tyska dataskyddsmyndigheterna har redan ansett att Microsoft 365 inte uppfyller kraven i GDPR.
Max Schrems: "Företag och myndigheter i EU bör använda programvara som uppfyller kraven. Microsoft har ännu en gång misslyckats med att följa lagen."
