Neuer Datenschutzärger für Microsoft: "M365 Education trackt Schüler illegal"

Wolfgang Miedl

Nach einer nicht beantworteten DSGVO-Anfrage wirft die österreichische Datenschutzbehörde Microsoft vor, dass Microsoft 365 Education Schüler bei der Nutzung illegal trackt. Politische brisant wird der Fall durch den Rechtsbeistand der beschwerdeführenden Schülerin. Gründer der Datenschutzorganisation Noyb ist der durch „Schrems-II“ berühmt gewordene Jurist Max Schrems.

Auslöser des Falls war eine DSGVO-Anfrage einer Schülerin. Diese verlangte von ihrer Schule, die im Rahmen der Microsoft 365-Nutzung erhobenen persönlichen Daten offenzulegen. Die Schule sah sich dazu nicht in der Lage und verwies auf Microsoft. Welche wiederum den schwarzen Peter an die Bildungseinrichtung zurückgab, wie Günter Born in seinem Bericht schreibt.

„Mehrere Seiten verstoßen gegen die DSGVO“

Daraufhin legte die Datenschutz-NGO Noyb, die die Schülerin vertritt, eine Beschwerde bei der österreichischen Datenschutzbehörde DSB ein. Diese stellte gleich mehrere Verstöße gegen die DSGVO-Grundsätze fest, und zwar auf Seiten der Schule, der Bildungsdirektion, des Bildungsministeriums sowie Microsoft USA.

Felix Mikolasch, Datenschutzjurist bei noyb sagte dazu: „Microsoft hat versucht, fast die gesamte Verantwortung für Microsoft 365 Education-Produkte auf Schulen abzuwälzen. In Wirklichkeit hat vor allem Microsoft die Macht über die Datenverarbeitung. Die österreichische Datenschutzbehörde hat nun entschieden, dass diese künstliche Verschiebung nicht zulässig ist. Wir begrüßen diese Entscheidung.“

Bei den von der DSB festgestellten Verstößen werden zwei besonders hervorgehoben. Zum einen geht es um den Punkt, dass Microsoft 365 Education ohne Zustimmung Tracking-Cookies verwende, von denen die Schule nichts wusste. Zum anderen habe Microsoft gegen das DSGVO-Auskunftsrecht verstoßen.

„Microsoft darf Datenschutz nicht auf irische Tochter abwälzen“

Politische Brisanz erhält der Fall unter anderem durch den Vorwurf an Microsoft, dass sie kritische Datenschutzfragen stets an die irische Tochtergesellschaft abwälze. Laut den Beschwerdeführern sei dies jedoch nicht hinzunehmen, sie sehen die Verantwortung bei der Microsoft Corporation.

Microsoft soll jetzt den vollständigen Zugang zu den gespeicherten Daten ermöglichen. Und zudem klären, ob und wie Daten an Drittfirmen wie Xandr, OpenAI und LinkedIn weitergegeben wurden.

Verwandte Beiträge:

  1. Microsoft Information Protection: Dokumente schützen und Datenschutz etablieren
  2. Nach Schrems II: Microsoft erweitert Information Protection und garantiert DSGVO-Konformität
  3. Webinar-Download: 'Microsoft Teams, DSGVO und Datenschutz – Mythen, Realität und Praxistipps'
  4. "DSGVO-konform": EU-Kommission darf Microsoft 365 einsetzten
  5. 5 Grundlagen für Zero-Trust-Sicherheit in Microsoft 365

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert