Microsoft: Österreich verbietet heimliches Tracking in Schulen

Microsoft muss heimliches Tracking von Schülern über seine 365 Education-Plattform stoppen. Die österreichische Datenschutzbehörde hat dem Tech-Riesen eine klare Abfuhr erteilt und damit einen Präzedenzfall für ganz Europa geschaffen.

Datenschutzbehörde stellt illegale Praxis fest

Die österreichische Datenschutzbehörde (DSB) hat Microsoft verpflichtet, innerhalb von vier Wochen das unerlaubte Setzen von Tracking-Cookies auf den Geräten von Schülern einzustellen. Die Cookies sammelten laut dem Beschluss vom 21. Januar Nutzerverhalten und Browserdaten – auch für Werbezwecke – ohne jegliche Einwilligung. Bemerkenswert: Weder die betroffene Schule noch das Bildungsministerium wussten vor der Beschwerde der Datenschutz-NGO NOYB von dieser Praxis.

Kern des Problems: Keine rechtliche Grundlage

Im Zentrum der Untersuchung stand die Nutzung von Microsoft 365 Education an Schulen. Die Behörde stellte klar: Die eingesetzten Cookies verarbeiteten personenbezogene Daten Minderjähriger ohne die nach der EU-Datenschutz-Grundverordnung (DSGVO) erforderliche Rechtsgrundlage. Microsofts eigene Dokumentation bestätigte, dass die Daten der Analyse des Nutzerverhaltens und der Werbung dienten – Funktionen, die in einer Bildungsumgebung höchst fragwürdig sind.

Schülerdaten sind besonders schützenswert – die unkontrollierte Analyse durch Dienste wie Microsoft 365 kann schnell ein hohes Risiko darstellen. Eine Datenschutz-Folgenabschätzung (DSFA) zeigt, welche Verarbeitungsschritte kritisch sind und welche technischen und organisatorischen Maßnahmen nötig sind, um rechtskonform zu bleiben. Das kostenlose E‑Book bietet bearbeitbare Word‑ und Excel‑Vorlagen, Checklisten und eine Schritt‑für‑Schritt‑Anleitung mit Praxisbeispielen aus Schulen, damit Datenschutzbeauftragte und Schulleitungen sofort handeln können. Kostenlose DSFA‑Vorlage und Leitfaden herunterladen

Dies ist bereits der zweite Rüffel für Microsoft in dieser Sache. Bereits im Oktober 2025 hatte die DSB festgestellt, dass der Konzern Schüler illegal trackte und Auskunftsersuchen nach DSGVO nicht korrekt bearbeitete. Damals wies Microsoft Betroffene an ihre Schulen, die jedoch keinen Zugriff auf die bei Microsoft gespeicherten Daten hatten. Eine Sackgasse für die Betroffenen.

Wer trägt die Verantwortung? Microsoft schiebt ab

Der Fall geht auf Beschwerden aus dem Jahr 2024 zurück, als während der Pandemie Schulen massenhaft auf Cloud-Lösungen umstiegen – oft ohne die datenschutzrechtlichen Folgen vollständig zu prüfen. Microsoft versuchte, die Verantwortung abzuwälzen: Zuerst auf seine irische Tochtergesellschaft, was die Behörde zurückwies, da die entscheidenden Weichen in den USA gestellt werden. Dann auf die Schulen selbst.

Doch diese haben laut NOYB kaum Verhandlungsmacht gegenüber dem Tech-Giganten. Sie stehen vor einem „Friss-oder-stirb“-Angebot: Entweder sie akzeptieren die undurchsichtigen Bedingungen, oder ihre Schüler können nicht an der digitalen Bildung teilhaben. Eine fatale Abhängigkeit.

Signalwirkung für Europas digitale Klassenzimmer

Die Entscheidung aus Wien hat weitreichende Bedeutung. Microsoft 365 Education ist in unzähligen Schulen in der gesamten Europäischen Union im Einsatz. Der Fall zeigt den grundsätzlichen Konflikt zwischen der Digitalisierung der Bildung und dem strengen Schutz von Kindesdaten durch die DSGVO auf.

Werden nun andere EU-Staaten nachziehen und ihre Software-Verträge überprüfen? Bildungsministerien stehen unter Druck, bei der Beschaffung mehr Transparenz und datenschutzfreundliche Voreinstellungen einzufordern. Microsoft erklärte lediglich, man prüfe die Entscheidung und halte alle Produkte für DSGVO-konform. Die Behörde verlangt jedoch zusätzlich volle Datenauskunft für den Betroffenen und Klarheit über interne Datenverwendungen wie „Geschäftsmodellierung“.

Die Folgen: Mehr Druck auf Tech-Konzerne

Microsoft hat nun vier Wochen Zeit, das nicht-essenzielle Tracking für den Beschwerdeführer zu beenden. Die größere Herausforderung wird sein, die systemischen Probleme bei Transparenz und Datenkontrolle anzugehen. Datenschützer rechnen mit ähnlichen Klagen in anderen EU-Ländern.

Für Eltern und Lehrer ist das Urteil ein Weckruf. Es zeigt, dass digitale Bildung nicht auf Kosten der Privatsphäre gehen darf. Die langfristige Konsequenz wird ein stärkerer Push für datenschutzorientierte Technologien in Schulen und mehr Verantwortung für die globalen Anbieter sein. Die Zeit der intransparenten Cookie-Sammlung im Klassenzimmer dürfte vorbei sein.

PS: Wenn Tracking und Werbenutzung in Bildungssystemen zur Debatte stehen, brauchen Verantwortliche schnell umsetzbare Werkzeuge. Dieser Gratis‑Leitfaden zur Datenschutz‑Folgenabschätzung liefert eine kompakte 5‑Schritte‑Anleitung, Muster‑Vorlagen und Checklisten, damit Schulen rechtssicher dokumentieren und erforderliche Schutzmaßnahmen umsetzen. Ideal für Schulleitungen, Träger und Datenschutzbeauftragte, die nach dem Urteil rasch handeln müssen. Jetzt kostenlose DSFA‑Checkliste sichern