Microsoft 365: Microsoft darf Schulkinder nicht mehr heimlich tracken

Microsoft muss das Tracking von Schulkindern umgehend einstellen. Das hat die österreichische Datenschutzbehörde (DSB) nach einer Prüfung der Microsoft 365 Education klargestellt. Vier Wochen hat der US-Konzern nun Zeit, dies umzusetzen.
Sicherheit, Internet, Sicherheitslücke, Hacker, Security, Angriff, Hack, Kriminalität, Computer, Virus, Tastatur, Cybersecurity, Hacking, Maus, Internetkriminalität, Arbeitsplatz, Schule, Hacker Angriffe, Ransom, Call Center, Klassenraum, Mous

Klarer Verstoß gegen die DSGVO

Konkret stellte die Behörde fest, dass auf dem Gerät einer minderjährigen Schülerin ohne gültige Einwilligung Tracking-Cookies gesetzt wurden. Diese Praxis verstoße gegen die Datenschutz-Grundverordnung (DSGVO). Microsoft wurde aufgefordert, das beanstandete Tracking innerhalb von vier Wochen einzustellen. Das teilte die Datenschutz-Organisation NOYB mit, die in der Sache 2024 zwei Beschwerden eingereicht hatte.

Bereits im Oktober letzten Jahres war über die erste Beschwerde entschieden worden. Damals kam die Behörde zu dem Schluss, dass Microsoft das Auskunftsrecht nach Artikel 15 DSGVO verletzt hatte. Die nun abgeschlossene zweite Beschwerde bezog sich auf den Einsatz von Tracking-Cookies in der speziell für Bildungseinrichtungen vorgesehenen Microsoft 365 Education-Edition.


Nach Ansicht der DSB handelte Microsoft auch in diesem Punkt rechtswidrig. Den Feststellungen zufolge analysieren die eingesetzten Cookies das Nutzungsverhalten, erfassen Browserdaten und werden unter anderem für Werbezwecke genutzt. Besonders problematisch bewertete die Behörde dabei, dass es sich um die Daten einer Minderjährigen handelte. Sowohl die betroffene Schule als auch das österreichische Bildungsministerium erklärten, vor den Beschwerden keine Kenntnis vom Einsatz solcher Tracking-Technologien gehabt zu haben.

Irland ist eine Ausrede

Im Verlauf des Verfahrens argumentierte Microsoft, dass die europäische Tochtergesellschaft in Irland für Microsoft-365-Produkte zuständig sei. Die DSB folgte dieser Argumentation jedoch nicht. Sie stellte fest, dass die maßgeblichen Entscheidungen zur Datenverarbeitung von Microsoft in den USA getroffen würden und wies den Zuständigkeitsverweis zurück.

Die Entscheidung könnte über den Einzelfall hinaus Bedeutung erlangen. Microsoft 365 Education wird von Millionen Schülern und Lehrkräften in Europa genutzt, hinzu kommen zahlreiche Unternehmen und Behörden, die das Standardpaket Microsoft 365 einsetzen. Das Setzen von Tracking-Cookies ohne Einwilligung verstößt grundsätzlich gegen EU-Datenschutzrecht und wirft Fragen zur Rechtmäßigkeit des Einsatzes der Software auf. Auch deutsche Datenschutzbehörden hatten in der Vergangenheit Zweifel geäußert, ob Microsoft 365 mit den Vorgaben der DSGVO vereinbar ist.

Microsoft selbst hat sich zu der aktuellen Entscheidung bislang nicht öffentlich geäußert. Ob und in welcher Form das Unternehmen seine Produkte anpasst, bleibt abzuwarten.

Zusammenfassung
  • Österreichische Datenschutzbehörde untersagt Microsoft das Tracking von Schülern
  • Tracking-Cookies wurden ohne gültige Einwilligung bei minderjährigen Nutzern gesetzt
  • Microsoft hat vier Wochen Zeit, die DSGVO-widrigen Praktiken zu unterbinden
  • Cookies analysieren Nutzungsverhalten und werden für Werbezwecke eingesetzt
  • Schulen und Bildungsministerium wussten nichts vom Einsatz der Tracking-Technologie
  • Microsoft scheiterte mit dem Versuch, Zuständigkeit nach Irland zu verlagern
  • Entscheidung betrifft Millionen Nutzer von Microsoft 365 Education in Europa

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!