Wieder einmal gibt es datenschutzrechtliche Probleme mit einem US-Konzern. Wieder einmal Microsoft. Vielleicht ist das jetzt endlich die Chance, den Schüler:innen freie Software näher zu bringen statt Software von Unternehmen mit fragwürdigen Praktiken. Aber was ist passiert?
Heute las ich den Artikel Österreichs Datenschutzbehörde: Microsoft 365 Education trackt Schüler illegal von Günter Born.
Das Drama beginnt ja schon einmal damit, dass ich davon in den österreichischen Medien bisher nichts finden kann. Aber nun gut, die Entscheidung der österreichischen Datenschutzbehörde fiel ja erst am 10. Oktober 2025.
Was ist konkret passiert? Ich zitiere hier aus der Originalmitteilung von noyb, die diesen Fall vertreten.
Als eine Schule mit dem simplen Auskunftsersuchen einer Schülerin konfrontiert wurde, kam es zu gegenseitigen Schuldzuweisungen: Microsoft verwies die Beschwerdeführerin einfach an ihre lokale Schule. Die Schule konnte jedoch nur minimale Informationen bereitstellen, da sie keinen Zugriff auf die bei Microsoft gespeicherten Daten hat – und verwies damit wieder an Microsoft. Niemand fühlte sich in der Lage, die banalsten Rechte gemäß der DSGVO zu erfüllen. Die von noyb vertretene Beschwerdeführerin reichte daraufhin bei der österreichischen DSB eine Beschwerde gegen alle möglichen Akteure (die örtliche Schule, die örtliche Bildungsdirektion, das Bildungsministerium und Microsoft USA) ein um herauszufinden, wer zuständig ist.
Und was hat die österreichische Datenschutzbehörde nun festgestellt? Ich zitiere wieder aus der Mitteilung von noyb:
Die österreichische Datenschutzbehörde stellte mehrere Verstöße gegen die DSGVO fest. Erstens stellte sie fest, dass Microsoft 365 Education ohne Zustimmung Tracking-Cookies verwendet hat, was als rechtswidrig eingestuft wurde. Sowohl die Schule als auch das österreichische Bildungsministerium gaben während des Verfahrens an, dass sie vor der Beschwerde keine Kenntnis von solchen Tracking-Cookies hatten. Die DSB ordnete nun die Löschung der entsprechenden personenbezogenen Daten an. Zweitens hat Microsoft gegen das Recht auf Auskunft gemäß Artikel 15 DSGVO verstoßen, indem es keinen vollständigen Zugang zu den Daten der Beschwerdeführerin gewährt hat. Microsoft muss nun diesen Zugang ermöglichen. Microsoft muss außerdem klar darlegen, was es damit meint, wenn es Daten für nicht weiter definierte „legitime Geschäftstätigkeiten” verwendet, und wie es zu Datenspuren gekommen ist, die nahelegen, dass personenbezogene Daten an LinkedIn, OpenAI oder das Tracking-Unternehmen Xandr weitergegeben wurden.
Im ausgehenden Artikel von Günter Born findet sich zudem diese Information:
Die Datenschutzbeauftragten der deutschen Bundesländer hatten vor Jahren bereits die Verwendung von Microsoft 365 in Schulen als nicht DSGVO-konform eingestuft. Und in Frankreich ist der Einsatz untersagt. Aber in Deutschland und in Österreich wird Microsoft 365 Education im schulischen Bereich trotzdem eingesetzt.
Das ist also alles keine neue Sache und dennoch wird hier nichts unternommen.
Es ist an der Zeit, dass das Bundesministerium für Bildung, die Verantwortlichen der Schulen und Lehrer:innen endlich daraus Konsequenzen ziehen und auf freie Software umsteigen.
Den Schüler:innen müssen endlich Alternativen aufgezeigt und die dahinterliegenden Konzepte vermittelt werden.
Es kann nicht sein, dass Schüler:innen gezwungenermaßen persönliche Informationen an US-amerikanische Konzerne übermitteln müssen, obwohl Alternativen bestehen.
Übernehmt endlich Verantwortung.
Zusatz: In Quizlet und Co.: Mehr Datenschutz und digitale Bildung in Schulen gefordert habe ich ebenfalls über einen in Schulen häufig verwendeten Dienst geschrieben. Auch dieser zieht massiv Daten ab und ist in unseren Schulen nicht zu verantworten.
Schreibe einen Kommentar