Microsoft 365: Österreich verbietet Schüler-Tracking

Die österreichische Datenschutzbehörde (DSB) hat Microsofts Bildungssuite 365 Education einen schweren Verstoß gegen die DSGVO attestiert. Das Urteil: Das Unternehmen setzt in Schulen ohne Einwilligung Tracking-Cookies zu Werbezwecken ein – und muss dies binnen vier Wochen unterbinden. Die Entscheidung stellt den flächendeckenden Einsatz der Software in Frage.

Grundrecht auf Privatsphäre von Minderjährigen verletzt

Im Kern des historischen Urteils steht der Schutz von Kindern und Jugendlichen. Die Behörde stellte fest, dass Microsoft auf den Geräten von Schülern Tracking-Cookies platzierte, ohne die erforderliche explizite Einwilligung einzuholen. Diese Cookies analysierten das Nutzerverhalten und sammelten Browserdaten, teilweise für Werbezwecke. Eine klare Verletzung der EU-Datenschutzgrundverordnung (DSGVO).

„Diese Cookies sind nicht technisch notwendig, sondern dienen den Geschäftsinteressen von Microsoft“, so die DSB. Die Beschwerde wurde von der europäischen Datenschutz-NGO noyb bereits im Juni 2024 eingereicht. Weder die betroffene Schule noch das Bildungsministerium waren sich demnach des Trackings bewusst.

Microsoft schiebt Verantwortung auf Schulen ab – ohne Erfolg

Ein zentraler Streitpunkt war die Frage der Verantwortung. Microsoft versuchte, die rechtliche Verpflichtung zur DSGVO-Konformität auf die Schulen und Bildungsträger abzuwälzen. Diese hätten jedoch oft weder das technische Know-how noch die Verhandlungsmacht, um die Datenverarbeitung durch den Tech-Giganten zu kontrollieren.

Viele Schulen unterschätzen die Haftungsfallen bei der Auftragsverarbeitung durch Cloud-Anbieter. Fehlen klare Verträge, Rollenbeschreibungen und technische Schutzmaßnahmen, drohen Bußgelder und Verantwortungsverschiebungen – genau wie der Microsoft-Fall zeigt. Ein kostenloses E‑Book erklärt praxisnah, wie Sie Auftragsverarbeitungsverträge rechtssicher aufsetzen, typische Fallstricke vermeiden und sofort umsetzbare Vorlagen nutzen können. Praktische Checklisten machen Ihre nächsten Schritte überschaubar und rechtskonform. Jetzt kostenloses E‑Book zur Auftragsverarbeitung herunterladen

Ebenfalls abgelehnt wurde der Einwand, die irische Microsoft-Tochter sei verantwortlich. Die DSB sieht den Hauptsitz in den USA als primären Datenverantwortlichen, da dort die Schlüsselentscheidungen zur Datenverarbeitung getroffen werden. Diese Feststellung ist brisant: Sie verhindert, dass sich das US-Unternehmen hinter einer EU-Niederlassung in einem als nachsichtig geltenden Rechtsraum versteckt.

EU-weite Signalwirkung für Schulen und Cloud-Anbieter

Das Urteil hat weitreichende Konsequenzen. In ganz Europa nutzen Millionen Schüler Microsoft 365. Die Entscheidung macht klar: Cloud-Dienstleister tragen eine Mitverantwortung für die Einhaltung des Datenschutzes, selbst wenn der Kunde – wie eine Schule – die Software einsetzt.

Für Österreichs Schulen bedeutet das sofortigen Handlungsdruck. Das Bildungsministerium stellt Bundes-Schulen Lizenzen für Microsoft 365 zur Verfügung. Anwendungen wie Word und Teams sind tief in den Unterrichtsalltag integriert. Diese Institutionen müssen nun dringend prüfen, wie sie die Software weiter nutzen können, ohne gegen das Gesetz zu verstoßen.

Microsoft kündigte an, die Entscheidung zu prüfen, und beharrt auf der DSGVO-Konformität seiner Bildungsprodukte. Das Unternehmen kann beim Bundesverwaltungsgericht Berufung einlegen, da das Urteil noch nicht rechtskräftig ist.

Wendepunkt für digitale Bildung in Europa

Die Entscheidung markiert einen Wendepunkt für den Technologieeinsatz in europäischen Schulen. Datenschützer von noyb feiern den Sieg für die Privatsphäre von Schülern. Der Fall unterstreicht den wachsenden regulatorischen Fokus auf undurchsichtige Datenpraktiken großer Tech-Konzerne.

Was kommt jetzt? Die nächsten Schritte von Microsoft werden aufmerksam verfolgt. Unabhängig von einer möglichen Berufung stehen das Bildungsministerium und die Schulen vor einer enormen Herausforderung: Sie müssen ihre digitalen Werkzeuge an eine Rechtslage anpassen, die ihr aktuelles System infrage stellt. Dies könnte den Schwung hin zu alternativen, EU-basierten Cloud-Lösungen mit mehr Transparenz und Datenhoheit verstärken.

Mit einer Signalwirkung in andere EU-Mitgliedstaaten ist zu rechnen. Die Botschaft aus Wien ist eindeutig: Der Komfort digitaler Tools darf nicht auf Kosten des Grundrechts von Kindern auf Privatsphäre gehen.

PS: Schulen und Bildungsträger stehen nun unter erheblichem Handlungsdruck — schnelle, rechtssichere Lösungen sind gefragt. Das kostenlose Leitfaden-Paket liefert konkrete Vertragsvorlagen, Prüflisten und Praxisbeispiele, mit denen Sie in kurzer Zeit Compliance erreichen und die Kontrolle über Datenverarbeitungen zurückgewinnen. Ideal für Entscheidungsträger, die Microsoft‑Verträge und Cloud‑Nutzung prüfen müssen. Gratis-Vorlagen & Leitfaden zur Auftragsverarbeitung anfordern