Microsoft wurde von den österreichischen Aufsichtsbehörden wegen der Platzierung von Tracking-Cookies auf Geräten von Minderjährigen als rechtswidrig eingestuft

Laut DataGuidance hat die österreichische Datenschutzbehörde (DSB) entschieden, dass Microsoft illegal Tracking-Cookies auf den Geräten minderjähriger Schüler, die Microsoft 365 Education Edition nutzen, ohne Zustimmung implantiert hat, was einen Gesetzesverstoß darstellt. Dies ist ein weiterer Sieg für die in Österreich ansässige Aktivistengruppe für digitale Privatsphäre None of Your Business (noyb) in einem verwandten Fall.

Der offiziellen Dokumentation von Microsoft zufolge dienen die Cookies dazu, das Nutzerverhalten zu analysieren, Browserdaten zu sammeln und so Werbung zu unterstützen. Das DSB hat Microsoft angewiesen, die Verfolgung des Studenten, der sich beschwert hat, innerhalb von vier Wochen einzustellen. Es ist erwähnenswert, dass sowohl die betroffene Schule als auch das österreichische Bildungsministerium erklärten, dass ihnen die Existenz dieser Tracking-Cookies vor Einreichung der Beschwerde durch noyb nicht bekannt gewesen sei.

Dieses Urteil geht auf einen entsprechenden Untersuchungsantrag von noyb aus dem Jahr 2024 zurück. Damals forderte die Organisation die österreichische Datenschutzbehörde auf, zu prüfen, ob Microsoft 365 Education gegen die Transparenzbestimmungen der Datenschutz-Grundverordnung (DSGVO) verstößt. Es wies darauf hin, dass Microsoft Datenschutzpflichten auf Schulen, die sein System nutzen, übertrage und das Recht der betroffenen Personen auf Zugriff auf ihre eigenen Daten nicht garantiere. Selbst durch die Datenschutzdokumente von Microsoft, Zugriffsanfragen und die eigenen Recherchen von noyb konnte nicht vollständig geklärt werden, welche Kinderdaten die Bildungsversion der Software verarbeitet.

Tatsächlich ist dies nicht das erste Mal, dass Microsoft einen entsprechenden Fall verliert. Im Oktober letzten Jahres entschied das DSB, dass Microsoft „illegal“ Schüler über die 365-Bildungsplattform verfolgt und versucht habe, sich der Verantwortung für Datenzugriffsanfragen an örtliche Schulen zu entziehen. Es forderte außerdem, vollständige Datenübermittlungsinformationen bereitzustellen und klare Erläuterungen zu Begriffen wie „internes Reporting“, „Geschäftsmodellierung“ und „Kernfunktionsverbesserungen“ bereitzustellen.

Als Reaktion auf das jüngste Urteil sagte ein Microsoft-Sprecher, dass Microsoft 365 Education alle erforderlichen Datenschutzstandards erfülle und Bildungseinrichtungen es weiterhin DSGVO-konform nutzen könnten. Das Unternehmen prüft das Urteil und wird zu gegebener Zeit über Folgemaßnahmen entscheiden.

noyb-Datenschutzanwalt Felix Mikolasch betonte in der Stellungnahme, dass das Tracking von Minderjährigen offensichtlich nicht mit den Grundsätzen des Datenschutzes vereinbar sei. Microsoft scheint dem Schutz der Privatsphäre keine große Beachtung zu schenken und die entsprechenden Maßnahmen dienen eher Marketing- und Öffentlichkeitsarbeitszwecken.