Microsoft 365 Education: Österreich verbietet illegales Tracking an Schülern
30.01.2026 - 22:02:12
Die österreichische Datenschutzbehörde hat Microsoft untersagt, Schüler über dessen Bildungssoftware auszuspionieren. Das Urteil gegen den Tech-Riesen setzt neue Maßstäbe für den Schutz Minderjähriger in der EU.
Die DSB entschied am 27. Januar 2026, dass der Konzern über seine weit verbreitete Plattform Microsoft 365 Education rechtswidrig Tracking-Cookies auf dem Gerät eines Schülers platzierte. Ohne eine gültige Einwilligung sei diese Praxis illegal. Microsoft muss das Tracking nun innerhalb von vier Wochen beenden. Diese Entscheidung sendet Schockwellen durch den europäischen Bildungs-Technologie-Sektor.
Ein Präzedenzfall für Cookie-Einwilligung
Die Behörde kam zu dem Schluss, dass Microsoft durch das Setzen der Cookies personenbezogene Daten unrechtmäßig verarbeitete. Laut Microsofts eigener Dokumentation waren die Cookies nicht für den Dienstbetrieb notwendig. Stattdessen dienten sie Analyse- und Werbezwecken. Die DSB wies den Einwand zurück, diese Verarbeitung sei ohne klare, aktive Einwilligung zulässig.
Schulen, Träger und Datenschutzbeauftragte stehen nach diesem Urteil unter Zugzwang: Gerade bei Datenverarbeitung von Minderjährigen ist jetzt schnell und rechtssicher zu prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Der kostenlose Praxis-Leitfaden zur DSFA erklärt Schritt für Schritt, wie Sie Risiken durch Cloud-Dienste wie Microsoft 365 Education bewerten, dokumentieren und technisch sowie organisatorisch beheben. Inklusive fertiger Musterformulare und Checklisten für Behördenanfragen. Jetzt kostenlose DSFA-Vorlage sichern
Bereits im Oktober 2025 hatte die Behörde festgestellt, dass Microsoft das Auskunftsrecht eines Schülers verletzt hatte. Das aktuelle Urteil konzentriert sich nun auf die illegale Platzierung der Cookies. Microsofts Versuch, die Verantwortung auf seine europäische Tochter in Irland abzuwälzen, scheiterte. Die US-Muttergesellschaft wurde direkt haftbar gemacht – ein Präzedenzfall für die Durchsetzung der EU-Datenschutz-Grundverordnung (DSGVO).
Noyb klagt an: Schulen im Unklaren gelassen
Angestoßen wurde der Fall von der Wiener Datenschutz-NGO noyb (None of Your Business), die im Juni 2024 Beschwerde einreichte. Die genutzten Cookies in Anwendungen wie Word, Teams und SharePoint analysierten das Nutzerverhalten und sammelten Browserdaten. Sowohl die betroffene Schule als auch das österreichische Bildungsministerium gaben an, vom Ausmaß des Trackings nichts gewusst zu haben.
Diese Unwissenheit offenbart eine gefährliche Compliance-Lücke. Das Urteil signalisiert, dass Behörden es nicht länger akzeptieren, wenn Cloud-Anbieter die gesamte Verantwortung auf ihre Kunden abwälzen. Die Anbieter tragen eine Mitverantwortung für die Konfiguration ihrer Dienste – besonders, wenn Standardeinstellungen nicht dem Privacy-by-Default-Gebot der DSGVO entsprechen.
Microsoft in der Pflicht: Die Compliance-Landschaft verändert sich
Microsoft erklärte, man prüfe die Entscheidung. Das Unternehmen beharrt darauf, dass Microsoft 365 for Education allen Datenschutzstandards entspreche. Die vierwöchige Frist zur Einstellung des spezifischen Trackings läuft.
Die Entscheidung ist kein Einzelfall, sondern Teil eines europäischen Trends zu strengerer Durchsetzung – besonders beim Schutz von Kindesdaten. Für Schulen und Bildungsträger ist es ein Weckruf: Vertragliche Zusicherungen reichen nicht aus. Sie müssen die technische Realität der genutzten Dienste genau prüfen.
Ausblick: Mehr Transparenz und Kontrolle gefordert
Die order der DSB wird weitreichende Folgen haben. Sie zwingt Bildungsministerien und Schulen in der gesamten EU, voreingestellte Standardkonfigurationen kritisch zu hinterfragen. Die Nachfrage nach nachweisbarer Transparenz und granularer Kontrolle über Datenverarbeitung wird steigen.
Für Microsoft und andere Cloud-Giganten verdeutlicht das Urteil die rechtlichen Risiken von Telemetrie und Analysen in sensiblen Umgebungen wie Schulen. Die Zukunft erfordert wohl ein grundlegendes Redesign von Bildungsprodukten, bei dem Datenschutz die Standardeinstellung ist. Die Ära zweifelhafter Datenpraktiken in der Bildungstechnologie könnte damit zu Ende gehen.
PS: Wenn Telemetrie- und Tracking-Funktionen in Bildungs-Clouds standardmäßig aktiv sind, hilft eine gut dokumentierte Datenschutz-Folgenabschätzung, Haftungsfragen zu klären und technische Konfigurationen zu sichern. Der Gratis-Download enthält eine leicht anwendbare DSFA-Anleitung, juristische Prüfpunkte sowie Muster-Checklisten, mit denen Datenschutzbeauftragte, Schulleitungen und IT-Verantwortliche in wenigen Stunden eine belastbare Risikoanalyse erstellen und Behördenanforderungen beantworten können. DSFA-Anleitung & Checklisten herunterladen
