Paukenschlag in Österreich, denn die österreichische Datenschutzbehörde (DSB) ist zum Schluss gekommen, dass Microsoft 365 Education Schüler und Schülerinnen illegal trackt und deren Daten auch für eigene Zwecke verwendet.
Es könnte eine Entscheidung sein, die bei Microsoft und in der EU ins Kontor schlägt. Denn die Entscheidung der österreichischen Datenschutzbehörde (DSB) vom 10. Oktober 2025 hat Sprengkraft.
Microsoft 365 an Schulen
Microsoft versucht ja mit seinem Produkt Microsoft 365 an Schulen Fuß zu fassen, um Schüler und Schülerinnen an seine Software-Landschaft zu binden. Während der COVID-19-Pandemie sind viele Schulen schnell in die Cloud gewandert und haben Microsoft 365 eingeführt.
Die Datenschutzbeauftragten der deutschen Bundesländer hatten vor Jahren bereits die Verwendung von Microsoft 365 in Schulen als nicht DSGVO-konform eingestuft. Und in Frankreich ist der Einsatz untersagt. Aber in Deutschland und in Österreich wird Microsoft 365 Education im schulischen Bereich trotzdem eingesetzt. Microsoft schiebt die Datenschutzverantwortung dabei auf die Schulen ab.
Eine Schülerin will DSGVO-Auskunft
Eine Schülerin in Österreich wollte von ihrer Schule eine DSGVO-Auskunft bezüglich der von ihr in Microsoft 365 Education gespeicherten Daten. Damit begann das Drama, denn Microsoft verwies die Schülerin bezüglich der DSGVO-Auskunft an die Schule. Aber die Schule konnte keinen DSGVO-Auskunft liefern, da sie selbst nicht wusste, was für Daten an Microsoft abgeflossen sind und was damit gemacht wird.
Das ist ein eindeutiger Verstoß gegen die DSGVO. Die Beschwerdeführerin, von der österreichischen Datenschutzorganisation noyb vertreten, reichte daraufhin bei der österreichischen DSB eine Beschwerde gegen alle möglichen Akteure (die örtliche Schule, die örtliche Bildungsdirektion, das Bildungsministerium und Microsoft USA) ein, um herauszufinden, wer zuständig ist.
Felix Mikolasch, Datenschutzjurist bei noyb sagte dazu: "Microsoft hat versucht, fast die gesamte Verantwortung für Microsoft 365 Education-Produkte auf Schulen abzuwälzen. In Wirklichkeit hat vor allem Microsoft die Macht über die Datenverarbeitung. Die österreichische Datenschutzbehörde hat nun entschieden, dass diese künstliche Verschiebung nicht zulässig ist. Wir begrüßen diese Entscheidung."
DSB sieht illegales Tracking in Entscheidung
Die Datenschutzbehörde Österreichs hat den Fall der Beschwerdeführerin geprüft und stellte gleich mehrere Verstöße gegen die DSGVO fest.
- Erstens verwendet Microsoft 365 Education ohne Zustimmung Tracking-Cookies, was als rechtswidrig eingestuft wurde. Sowohl die Schule als auch das österreichische Bildungsministerium gaben während des Verfahrens an, dass sie vor der Beschwerde keine Kenntnis von solchen Tracking-Cookies hatten. Die DSB ordnete nun die Löschung der entsprechenden personenbezogenen Daten an.
- Zweitens hat Microsoft gegen das Recht auf Auskunft gemäß Artikel 15 DSGVO verstoßen, indem es keinen vollständigen Zugang zu den Daten der Beschwerdeführerin gewährt hat. Microsoft muss nun diesen Zugang ermöglichen. Microsoft muss außerdem klar darlegen, was es damit meint, wenn es Daten für nicht weiter definierte „legitime Geschäftstätigkeiten" verwendet, und wie es zu Datenspuren gekommen ist, die nahelegen, dass personenbezogene Daten an LinkedIn, OpenAI oder das Tracking-Unternehmen Xandr weitergegeben wurden.
Die Entscheidung der Datenschutzbehörde hält auch fest, dass die betroffene Schule und das österreichische Bildungsministerium weitere Informationen bereitstellen müssen, insbesondere welche Informationen von Schülern und Schülerinnen an Microsoft übermittelt wurden.
Die DSB schreibt jedoch auch, dass Microsoft dem Bildungsministerium selbst wohl keine vollständigen Informationen über die Datenverarbeitung in Microsoft 365 Education zur Verfügung gestellt habe. Das macht es wiederum den lokalen Schulen grundsätzlich unmöglich, ihren Informationsverpflichtungen gemäß Artikel 13 und 14 DSGVO nachzukommen.
Felix Mikolasch, Datenschutzjurist bei noyb sagt dazu: "Microsoft argumentiert immer, dass seine Bildungsprodukte datenschutzfreundlich sind. Dieses Verfahren hat gezeigt, dass dies nicht wirklich der Fall ist. Die Entscheidung der österreichischen Datenschutzbehörde macht die mangelnde Transparenz bei Microsoft 365 Education deutlich. Für Schulen ist es fast unmöglich, Schüler, Eltern und Lehrer darüber zu informieren, was mit ihren Daten geschieht"
Microsoft versuchte laut noyb oft auch zu argumentieren, dass eigentlich seine EU-Tochtergesellschaft in Irland für Microsoft 365-Produkte in Europa zuständig sei. Die DSB Österreichs wies dieses Argument in ihrem Bescheid zurück und stellte fest, dass tatsächlich Microsoft USA die relevanten Entscheidungen trifft.
Kleinere Entscheidungen in Irland zur Anpassung eines Produkts für die EU verlagern die Verantwortung (und damit die Zuständigkeit für den Fall) nicht nach Irland. Große US-Technologieunternehmen argumentieren regelmäßig, dass sie dem irischen Recht unterliegen, da die irische Datenschutzbehörde dafür bekannt ist, EU-Recht kaum durchzusetzen.
Microsoft 365 Education wird von Millionen von Schülern und Schülerinnen sowie Lehrpersonen in ganz Europa genutzt. Millionen weiterer Menschen nutzen das Standardprodukt "Microsoft 365" in Unternehmen und Behörden in Europa. Die ordnungsgemäße Information von Angestellten, Schülern und Schülerinnen und anderen Anwendern über die Verwendung ihrer Daten ist gesetzlich durch die DSGVO vorgeschrieben.
Für Unternehmen die Microsoft 365 gekauft haben jedoch oft faktisch unmöglich. Wenn Microsoft seinen gewerblichen Kunden keine klaren Informationen zur Verfügung stellt und mehr Befugnisse einräumt, ist die Nutzung von Microsoft 365 kaum mit dem EU-Recht vereinbar.
Max Schrems, Vorsitzender von noyb, kommentiert die Entscheidung der DSB: "Wir haben ‚Big Tech'-Anbieter, die versuchen, sich alle Macht zu sichern, aber gleichzeitig die gesamte Verantwortung auf europäische gewerbliche Kunden abwälzen. Wenn Microsoft die Struktur seiner Produkte nicht grundlegend ändert, könnten europäische Unternehmen diese nicht legal nutzen." Es läuft darauf hinaus, dass es bald einen großen Knall gibt, wenn der EuGH diese Praxis für unzulässig erklärt.
Ähnliche Artikel:
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten
Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-Württembergs Schulen ersetzt worden sein
Souveräne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern
Digitale Souveränität: EU-Cloud; Microsoft Exit in dänischem Digitalministerium; wahre Kosten von Windows 11
Digitale Souveränität: Microsoft sperrt Zugriffe auf E-Mail/Cloud willkürlich (Ankläger Strafgerichtshof, chinesische Uni-Einrichtung)
MVP: 2013 – 2016
Wäre gut zu Wissen, wieso M365 Education genommen wurde? Vermutlich mangels Alternativen, Preise, Geschwindigkeit, Features, Unwissenheit, Bequemlichkeit?
Da muss sich die EU selbst mal an die Nase packen, bzw. die Staaten, wenn es keine Alternativen gibt, wird das auch so weiter gehen.
Weil Microsoft es m.W. kostenlos dafür her gibt. So ähnlich wie die Dealer am Bahnhof oder im Park für Erstnutzer ;-)
…wer wäre je auf die Idee gekommen, dass Microsoft seine Nutzer trackt?!?
Und ja … dies ist exakt das Verhalten von Drogendealern. Und es wird bewusst so eingesetzt. Und man ist so gut wie machtlos dagegen.
Was mich immer wieder erstaunt ist, wie gut Microsoft die Presse im Griff hat. In der Neuen Zürcher Zeitung (eigentlich ein sehr seriöses Unternehmen) las ich letztens einen Artikel über Videogenerierung mithilfe von AI, das als Quellen alle gerade verfügbaren Videos nutzt und das Opt-Out nur im Einzelfall möglich ist. Als Firmen, die dieses Unternehmen kapitalisieren, wurden viele genannt (auch solche, die gar nicht OpenAI finanzieren), aber Microsoft wurde nicht erwähnt. Ein Schelm ist…
Ist nur für die Schule/Lehrer/Personal/Schüler kostenlos, aber nicht für den Staat, das kostet etliche Millionen.
Es ist eine Schule und damit eine Bildungs / Lehreinrichtung. Mit der Education Variante kann die Schule so die Produkte zentral verwalten… (oder besser "konnte", denn ich bezweifle stark, dass die Schule nach dem Desaster weiterhin M365 verwenden wird)
Eben der Bestbieter, billig, gute Leistung, stabil.
Wenn der einzige Kritikpunkt ein paar Cookies sind, dann lässt sich das ja leicht beheben.
Toll wäre es einen anderen IT Konzern als Alternative zu haben.
Der generelle Kritikpunkt lässt sich nicht beheben. Ausser man lügt sich selbst massiv in die Tasche.
Zu "Wenn der einzige Kritikpunkt ein paar Cookies sind, dann lässt sich das ja leicht beheben."
Es war aber nicht der "einzige Kritikpunkt", sondern die Cookies kamen noch hinzu. Wenn ich es richtig verstanden habe und noch die Ausführungen der deutschen Datenschutzkonferenz richtig erinnere, weiß ja keiner, welche Daten durch die Office-Apps und die Telemetrie an Microsoft Server übertragen werden. Und mit Copilot & Co. wird das ja nicht besser.
Das lässt sich in meinen Augen nicht heilen – Microsofts Pläne für die künftige Entwicklung seiner Produkte laufen der DSGVO (und jeglicher Sicherheits-Philosophie, die halten kann, was sie verspricht) frontal entgegen. Dieser Konflikt wird entweder Microsoft oder Europas MS-Anwender schlicht das Genick brechen – achtet auf meine Worte.
Was sich für mich (vor und hinter den Kulissen) bzgl. Security und Privacy abzeichnet, läuft definitiv auf einen großen Knall hinaus, nach dem alles steht. Vielleicht nicht in einem Jahr und nicht sofort bei allen, aber irgendwann wird es kräftig knallen. Wir haben die letzten Jahre extreme technische Hypotheken und eine Schatten-IT aufgebaut – und jetzt wirft man mit dem KI-Hype einen Brandbeschleuniger samt Fackel in dieses Gebäude.
Klingt für mich ein wenig nach:
Wir leisten uns keine eigenen Administratoren, die ihre Arbeit verstehen, und fordern dann diese Leistung von Microsoft als Anbieter….
Verstehe ich nicht wirklich, was die Aussage im Kontext des Artikels soll? Es geht nicht um Administration, sondern darum, dass eine Schule eine gescheite DSGVO-Auskunft über die verarbeiteten Daten geben können muss – so wie jedes andere Unternehmen, was MS 365 einsetzt das auch können müsste.
Ich habe selbst zwei minderjährige Kinder, welche von der Schule (ohne unsere Einwilligung) einen M365-Account bekommen haben.
…eigentlich müssten wir Eltern den Druck erhöhen und alle eine DSGVO-Auskunft verlangen.
Leider ist es langwierig und erfordert ziemlich viel Aufwand… Also kommen die grossen Tech-Unternehmen weiterhin damit durch
Was hält Dich davon ab?
Das ist doch "nur" ein Schriftstück an die Schule – oder wird man dann böse angeschaut auf dem Elternabend?
".. Also kommen die grossen Tech-Unternehmen weiterhin damit durch"
nur, wenn keiner etwas unternimmt und die Physik sage : MASSE mal Beschleunigung!
Welcher Aufwand? Ein formloses Schreiben erstellen? Oder ist da eher der sozial Druck der dann entsteht auf die Eltern und dann die Gefahr/Angst das das Kind eine andere "Behandlung" erfahren könnte? … Wofür gibt es Rechte wenn diese nicht wahr genommen werden :)
Nun … leider ist es nicht ganz so einfach mit Recht haben und Recht bekommen.
Nicht ohne Grund ist noyb hier dahinter, ich schätze mal, dass die einiges an Geld investiert haben, um bei der Eingabe vor der Datenschutzbehörde eine juristisch saubere Eingabe zu machen.
Eine einfache Anfrage auf Auskunft kann "man" noch ganz einfach machen. Das "schief anschauen" wird wohl schon stattfinden, je nach Stresslevel der Verantwortlichen wird vielleicht sogar versucht zu verhandeln, dass man dies gar nicht beauskunften möchte.
Das Problem ist, dass man dann (so wie in dem in diesem Artikel beschrieben Fall) wahrscheinlich (keine juristisch gültige Quantifizierung!) eine Teilauskunft hat und dagegen irgendwie vorgehen muss (was dann der grosse Aufwand des Beschwerdeführers und nobyb war). Sonst hätte man evtl. sogar bewirkt, dass die Verantwortlichen das Gefühl haben, dass das nun so alles gut gewesen sei, weil man sich mit der Teilauskunft zufrieden gegeben hat.
Ich weiss nicht, ob man in Deutschland auf einen Entscheid des österreichischen Datenschutzbeauftragten verweisen kann. Das Ergebnis könnte möglicherweise sein, dass erst einmal teilbeauskunftet wird, und dann auf einen höchstrichterlichen Entscheid in der Sache aus Österreich gewartet wird (was vielleicht Jahre dauern könnte).
Ich halte es also tatsächlich leider für fragwürdig, ob es gelingen würde, auf juristischem Wege so eine Abkehr von MS365 durch Schulen zu erwirken. Obwohl solche Prozesse als Musterprozesse aus meiner Sicht sinnvoll und wichtig sind, würde ich das den Verbänden (wie nyob) überlassen.
Was vielleicht hilfreicher wäre, ist auf politischem oder medialem Weg diesen Entscheid zu kommunizieren, dass die Regierung feststellt, dass hier etwas unzulässiges passiert, dass die Behörden angewiesen werden, dies abzustellen.
Und man kann nebenbei bemerken, dass es kein Hexenwerk wäre, für 1,2 Millionen Schüler, 120.000 Lehrer und 6000 Schulen (S. 14 aus dem Bescheid) eine IT-Infrastruktur zu erstellen. Natürlich ist diese nicht trivial, keine Frage. Wenn ich mal überschlage und 10 GB Platz pro Schüler sowie 100 GB Platz pro Lehrer reserviere, wird mir schwindelig ob der Datenmenge. Nicht ohne Grund hat Microsoft für die Schweiz letztens das Platzkontingent pro Schüler und pro Lehrer massiv reduziert (soweit ich das wahrnehmen kann) und ich habe den Eindruck, dass die auch Deduplizierung und so betreiben (man bedenke einfach, wie viele Videos in bestimmten Fächern sinnvollerweise im Unterricht eingesetzt werden). Ein ganzes Land (wie Österreich) auf eine FOSS-Infrastruktur zu migrieren (oder auch nur ein Flächenbundesland wie Schleswig-Holstein) ist keine triviale Sache. Aber ich halte es für machbar. Bei der Aussage "Verlagerung der Server auf einzelne Schulstandorte […] würden zu deutlich höheren IT-Sicherheitsrisiken […] führen" (ebenfalls S. 14) bin ich skeptisch (vor allem weil "als der Betrieb bei einem privaten Clouddiensteanbieter" ergänzt wird). Sinnvollerweise müsste man wohl eine einheitlich konfigurierte Infrastruktur von dezentralisierten aber zentral administrierten Servern aufbauen, aber ich hielte dies für absolut machbar.
Das grössere Problem würden die Köpfe der Menschen und deren Haltungen sein.
rufen sie beim direktor an.
verweisen sie ihn auf diesen beitrag, oder den beitrag von noyb.
rufen sie in der bildungsdirektion.
verweisen sie die schule/direktion auf linux-bildung.at dort stehen alternative lösungen fast schlüsselfertig zur verfügung, die bereits getestet und in manchen schulen schon zum einsatz kommen.
wenn keiner etwas tut, wird sich auch nichts ändern.
Na dann ordenlich auf die Finger hacken geht ja um Kinder/Jugenschutz! Ist doch sonst auch immer das Totschlagargument!
Aber mal gnaz ehrlich: war das anders zu erwarten?
…wahrscheinlich hängt es von der konkreten Eingabe ab, aber ich bin erstaunt, dass nur Cookies erwähnt werden (auch wenn diese vielleicht exemplarisch als Beleg für das Sammeln von Daten stehen), denn nach meiner Interpretation steht es ausser Frage, dass noch viel mehr Daten als nur Cookies gespeichert werden und dass diese nur die Spitze des Eisbergs der Datensammelei sind. Aber an die wirklich verarbeiteten Daten kommt man wahrscheinlich nur ran, wenn man sich gegen der Waffengewalt widersetzt, mit der diese mutmasslich verteidigt werden.
zu allen die nach MS365 alternative rufen, es gibt keine die anerkannt ist. Die Entscheider sind so MS fixiert und wenn die MS Cloud mal ein Schluckauf hat ist das total normal und akzeptiert. Wird Eigenentwicklung verwendet oder opensource und es gibt hicksen und etwas geht nicht heißt es gleich na mit dem "Standard" den alle nutzen (gemeint ist MS365) würde es diese Probleme nicht geben.
Und wenn man das weiß, dann setzen Verantwortlichen auch auf MS365, weil wenn was nicht geht mit anderen Lösungen ist man schnell drann. Läuft die MS Cloud mal nicht, kann man immer sagen wir haben auf den "Standard" den alle nutzen gesetzt. Das passiert und ist normal.
Und zur DSGVO Problematik da herscht die Auffassung, wird doch von allen in Deutschland eingesetzt, warum sollten wir das nicht nutzen dürfen.
Und wegen DSGVO ist noch kein Entscheider gegangen, wegen alternativen Lösungen die nicht MS ist gabs schon einige…
Was solls, ich werde das nicht aufhalten können…