Am 10. Oktober 2025 traf die österreichische Datenschutzbehörde (DSB) eine wegweisende Entscheidung: Microsoft 365 Education trackt Schüler:innen illegal und nutzt deren Daten für eigene Zwecke. Die Folgen könnten nicht nur für Microsoft, sondern für den gesamten Bildungssektor und die EU-Datenschutzpraxis gravierend sein.
Hintergrund: Microsoft 365 an Schulen – zwischen Digitalisierung und Datenschutz
Während der COVID-19-Pandemie setzten viele Schulen auf Microsoft 365, um den Unterricht digital zu organisieren. Doch schon früh gab es Kritik: Datenschutzbeauftragte in Deutschland stuften die Nutzung als nicht DSGVO-konform ein, Frankreich verbot den Einsatz gänzlich. Dennoch wird die Software in Deutschland und Österreich weiterhin genutzt – mit der Folge, dass Microsoft die Datenschutzverantwortung an die Schulen delegiert.
Der Fall: Eine Schülerin fordert Transparenz
Eine österreichische Schülerin beantragte eine DSGVO-Auskunft über ihre in Microsoft 365 Education gespeicherten Daten. Doch weder Microsoft noch die Schule konnten Auskunft geben. Die Schülerin, vertreten durch die Datenschutzorganisation noyb, reichte daraufhin Beschwerde ein – gegen Schule, Bildungsdirektion, Ministerium und Microsoft. Felix Mikolasch, Datenschutzjurist bei noyb, kritisiert: „Microsoft hat versucht, die Verantwortung auf Schulen abzuwälzen. Doch die DSB hat klargestellt: Diese Praxis ist unzulässig.“
Die DSB-Entscheidung: Illegales Tracking und mangelnde Transparenz
Die DSB stellte gleich mehrere Verstöße fest:
- Tracking-Cookies ohne Zustimmung: Microsoft nutzt rechtswidrig Cookies, um Nutzerdaten zu erfassen.
- Verweigerung des Auskunftsrechts: Microsoft verweigerte der Schülerin den vollständigen Zugang zu ihren Daten (Art. 15 DSGVO).
- Unklare Datenweitergabe: Es gibt Hinweise, dass personenbezogene Daten an Dritte wie LinkedIn, OpenAI oder Xandr flossen.
Die Behörde ordnete die Löschung der betroffenen Daten an und forderte von Microsoft eine vollständige Offenlegung der Datenverarbeitung. Zudem müssen Schulen und Ministerien künftig transparent darlegen, welche Daten sie an Microsoft übermitteln.
Systematische Verantwortungsvermeidung: Microsofts EU-Argument scheitert
Microsoft argumentierte, seine irische Tochtergesellschaft sei für Europa zuständig – ein häufiger Versuch von US-Konzernen, sich der strengen EU-Datenschutzaufsicht zu entziehen. Die DSB wies dies zurück: „Die relevanten Entscheidungen trifft Microsoft USA.“ Max Schrems, Vorsitzender von noyb, warnt: „Wenn Microsoft seine Produkte nicht grundlegend ändert, können europäische Unternehmen sie nicht legal nutzen.“
Fazit: Ein Weckruf für Schulen und Unternehmen
Die Entscheidung der DSB zeigt: Microsoft 365 Education ist nicht datenschutzkonform. Diese Einschätzung kann man 1:1 auf die für Firmen gedachten M365-Varianten übertragen. Schulen und Unternehmen müssen nun prüfen, ob sie die Software weiterhin einsetzen können – oder ob sie sich rechtlich angreifbar machen. Die Frage bleibt: Wird der EuGH diese Praxis bald für unzulässig erklären?