Microsoft 365 Education: Österreich verbietet heimliches Tracking von Schülern

Die österreichische Datenschutzbehörde (DSB) hat den Einsatz von Tracking-Cookies in Microsofts Bildungssoftware für rechtswidrig erklärt. Das Urteil betrifft die Verarbeitung von Daten eines minderjährigen Schülers ohne gültige Einwilligung und verstößt damit klar gegen die EU-Datenschutzgrundverordnung (DSGVO).

Kern des Urteils: Fehlende Transparenz und Einwilligung

Im Zentrum der Entscheidung steht die heimliche Installation mehrerer Tracking-Cookies auf dem Gerät eines Schülers, der Microsoft 365 Education über einen Webbrowser nutzte. Eine Analyse ergab: Die Cookies waren für die Funktion der Software nicht notwendig. Stattdessen dienten sie dazu, das Nutzerverhalten zu analysieren, Browserdaten zu sammeln und möglicherweise zielgerichtete Werbung auszuliefern.

Weder die Schule des betroffenen Schülers noch das österreichische Bildungsministerium wussten von diesem Tracking. Diese mangelnde Transparenz machte es der Schule als verantwortlicher Stelle unmöglich, ihre Pflichten aus der DSGVO zu erfüllen. Die Behörde wertete die Datenverarbeitung als illegal, da keine gültige Einwilligung des Nutzers vorlag. Microsoft wurde aufgegeben, das unrechtmäßige Tracking innerhalb von vier Wochen zu beenden.

Passend zum Thema: Viele Schulen unterschätzen, welche Haftungsrisiken entstehen, wenn Anbieter wie Microsoft heimlich Tracking‑Cookies einsetzen oder Verantwortung vertraglich verschieben. Unser Gratis‑Leitfaden erklärt konkret, welche Klauseln ein DSGVO‑konformer Auftragsverarbeitungsvertrag enthalten muss, wie Sie Verantwortlichkeit prüfen, welche Nachweise Sie einfordern sollten und wie Sie unzulässiges Tracking in der Praxis stoppen. Mit Musterformulierungen für Verhandlungen mit Softwareanbietern. Jetzt Gratis‑Leitfaden zur Auftragsverarbeitung sichern

Ende des „Verantwortungs-Ping-Pongs“

Ein zentraler Streitpunkt war die Frage der rechtlichen Verantwortung. Die Beschwerde entstand, nachdem eine Elternanfrage zum Datenzugriff ihres Kindes zwischen Schule und Microsoft hin- und hergeschoben wurde. Microsoft verwies die Anfrage zunächst an die Schule, die als verantwortliche Stelle gelten solle. Die Schule argumentierte jedoch, sie habe weder Zugriff noch Kontrolle über die von Microsoft verarbeiteten Daten.

Die DSB stellte klar: Dieses Abwälzen der Verantwortung ist unzulässig. Microsoft trifft die wesentlichen Entscheidungen zur Datenverarbeitung, nicht die Schulen, die die Software lizenzieren. Auch den Einwand Microsofts, seine irische Tochtergesellschaft sei verantwortlich, ließ die Behörde nicht gelten. Die grundlegenden Entscheidungen würden in den USA getroffen.

Sieg für Datenschützer und Signal für Europa

Das Urteil ist ein bedeutender Erfolg für die europäische Datenschutzorganisation noyb unter Leitung des bekannten Aktivisten Max Schrems. Die Gruppe hatte die Beschwerde eingereicht, um Microsofts Versuch zu stoppen, seine rechtlichen Risiken vertraglich auf Schulen abzuwälzen. Diese haben oft keine Möglichkeit, die Datenverarbeitung des Tech-Giganten zu beeinflussen.

Die Entscheidung wird europaweit Wellen schlagen. Datenschutzbehörden in mehreren EU-Mitgliedstaaten prüfen seit Jahren kritisch den Einsatz von Microsoft 365 im öffentlichen Sektor. Die Feststellung, dass die Bildungstools nicht einwilligungspflichtige Tracking-Cookies setzen, stellt die breite Nutzung der Software rechtlich infrage.

Spannungsfeld Digitalisierung versus Datenschutz

Der Fall unterstreicht den grundsätzlichen Konflikt zwischen der forcierten Digitalisierung der Schulen und den strengen Privatsphäre-Anforderungen der DSGVO. Bildungsbehörden und Schulen stehen nun unter erhöhtem Druck, sicherzustellen, dass die von ihnen beschaffte Software vollständig konform ist und nicht heimlich Schülerdaten für kommerzielle Zwecke sammelt.

Die Entscheidung ist noch nicht rechtskräftig. Microsoft kann beim österreichischen Bundesverwaltungsgericht Berufung einlegen. Sollte das Urteil Bestand haben, drohen dem Konzern finanzielle Sanktionen. Für Schulen in ganz Europa ist der Fall eine deutliche Mahnung, bei der Integration von Softwarelösungen im Klassenzimmer größte Sorgfalt walten zu lassen.

PS: Schulen, Datenschutzbeauftragte und IT‑Verantwortliche — sind Ihre Verträge wirklich wasserdicht gegen heimliches Tracking? Diese praktische Checkliste zeigt in klaren Schritten, wie Sie unzulässiges Cookie‑Tracking erkennen, welche Nachweise Anbieter liefern müssen, und welche vertraglichen Schutzklauseln sofort greifen. Inklusive Musterformulierungen, Prüf‑Fragen und einer Schritt‑für‑Schritt‑Anleitung zur sicheren Umsetzung nach DSGVO. Kostenlos zum Download. Checkliste: Auftragsverarbeitung & DSGVO herunterladen