Microsoft darf in Österreich keine Schulkinder mehr überwachen
Microsoft-365-Education hat ohne Einwilligung Tracking-Cookies auf Laptops und Tablets installiert, um Daten zu sammeln und passende Werbung auszuspielen. Das ist nicht erlaubt, wie die österreichische Datenschutzbehörde (DSB) entschieden hat.
Gegen die Verwendung unrechtmäßiger Cookies hat die Datenschutz-NGO noyb (none of your business) geklagt und gewonnen. Der internationale Konzern muss in den nächsten 4 Wochen die illegale Überwachung beenden.
➤ Mehr lesen: Meta muss Nutzern innerhalb von 14 Tagen Zugriff auf Daten gewähren
Langes Warten auf Urteil
Schon im Juni 2024 hat noyb 2 Beschwerden gegen Microsoft-365-Education bei der DSB eingereicht. Nun wurde ein Urteil gefällt. Demnach hielt sich Microsoft nicht an die Gesetze und hat Tracking-Cookies auf dem Gerät einer Minderjährigen installiert, die Microsoft-365-Education nutzt.
Laut Microsofts eigener Darstellung dienen die Tracking-Cookies dazu, das Nutzungsverhalten zu analysieren, Browserdaten zu sammeln und auf Basis dessen Werbung auszuspielen. Der Konzern muss nun dafür sorgen, dass diese technisch nicht notwendigen Cookies auf dem Gerät der Minderjährigen entfernt werden. Ohne Einwilligung sind diese Cookies nicht erlaubt.
➤ Mehr lesen: Alternativen aus Europa: Wie man von US-Software unabhängig wird
Verantwortung in Irland?
Gewusst hat davon anscheinend kaum jemand. Denn laut noyb war weder die Schule, noch das österreichische Bildungsministerium über das Vorgehen des Unternehmens informiert. „Das Tracking von Minderjährigen ist offensichtlich alles andere als datenschutzfreundlich. Es scheint, als würde Microsoft sich nicht sonderlich um den Datenschutz kümmern, wenn es nicht um Marketing und PR-Aussagen geht“, sagt Felix Mikolasch von noyb in einer Aussendung.
Bei der Verteidigung verwies Microsoft darauf, dass eigentlich eine EU-Tochtergesellschaft in Irland für Microsoft-365-Education in Europa zuständig ist. Für die DSB war diese Argumentation nicht schlüssig. Sie entschied, dass die Verantwortung bei Microsoft USA liegt, da dort die relevanten Entscheidungen getroffen werden. Der Argumentationsversuch hat einen Grund: Die irische Datenschutzbehörde ist dafür bekannt, dass sie EU-Recht kaum durchsetzt.
➤ Mehr lesen: Was bringt ein Datenlöschdienst wie Incogni wirklich?
Millionen Kinder könnten betroffen sein
„Unternehmen und Behörden in der EU sollten konforme Software verwenden. Microsoft hat es erneut versäumt, die gesetzlichen Vorschriften einzuhalten“, sagt Max Schrems von noyb. In ganz Europa kommt Microsoft-365-Education zum Einsatz. Damit könnten Millionen von Schulkindern von dem illegalen Tracking betroffen sein.
Auch laut den deutschen Datenschutzbehörden erfüllt Microsoft 365 die Vorgaben der DSGVO nicht. In Österreich wurde erst im Oktober 2025 ein Urteil gegen Microsoft gefällt. Bei der zweiten Beschwerde von noyb hat die DSB entschieden, dass der Konzern das Recht auf Auskunft im Rahmen der DSGVO verletzt hat.