Microsofts bildungsorientierte Variante seiner Cloud-Produktivitätssuite, Microsoft 365 Education, wird in der Europäischen Union untersucht, wo gemeinnützige Organisationen Datenschutzrechte verletzen noyb hat gerade zwei Beschwerden bei der österreichischen Datenschutzbehörde eingelegt.
Die Beschwerden richten sich gegen die Nutzung von Microsofts Cloud-Software durch Schulen. Die erste konzentriert sich auf Fragen der Transparenz und der Rechtsgrundlage. noyb gibt an, dass es besorgt ist, dass Daten von Minderjährigen unrechtmäßig verarbeitet werden – und seine Pressemitteilung kritisiert die seiner Meinung nach „durchgehend vagen“ Informationen des Technologiegiganten über den Umgang mit den Daten von Kindern.
Die Datenschutz-Grundverordnung (DSGVO) des Blocks legt hohe Ansprüche an den Schutz von Kinderdaten und betont, dass Transparenz und Rechenschaftspflicht bei der Verarbeitung von Informationen Minderjähriger Grundpfeiler sein müssen. Außerdem ist eine gesetzliche Grundlage erforderlich. Bestätigte Verstöße gegen die Vorschriften können Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes nach sich ziehen – im Fall von Microsoft könnten das Milliarden Dollar sein.
In ihrer Beschwerde wirft die Datenschutzgruppe Microsoft vor, sich seiner rechtlichen Verantwortung als Verantwortlicher für die Daten von Kindern zu entziehen. Das Unternehmen nutze die Verträge, die es von Schulen für den Zugriff auf seine Software verlangt, um die Einhaltung der Vorschriften auf sie abzuwälzen. noyb argumentiert, dass Schulen nicht in der Lage seien, die Transparenzanforderungen oder Datenzugriffsrechte des EU-Rechts zu erfüllen, da sie nicht wissen könnten, was Microsoft mit den Daten der Kinder mache.
Die Preise für Microsoft 365 Education variieren, aber das Softwarepaket kann Schulen, die bestimmte Berechtigungskriterien erfüllen, kostenlos angeboten werden.
„Microsoft stellt derart vage Informationen zur Verfügung, dass selbst ein qualifizierter Anwalt nicht vollständig verstehen kann, wie das Unternehmen personenbezogene Daten in Microsoft 365 Education verarbeitet. Für Kinder oder ihre Eltern ist es fast unmöglich, das Ausmaß der Datensammlung von Microsoft herauszufinden“, sagte Maartje de Graaf, Datenschutzanwältin bei noyb, in einer Erklärung.
„Dieser ‚friss-oder-stirb‘-Ansatz von Softwareanbietern wie Microsoft verlagert alle DSGVO-Verantwortlichkeiten auf die Schulen. Microsoft hält alle wichtigen Informationen über die Datenverarbeitung in seiner Software, zeigt aber mit dem Finger auf die Schulen, wenn es um die Ausübung von Rechten geht. Die Schulen haben keine Möglichkeit, den Transparenz- und Informationspflichten nachzukommen“, fügte sie hinzu.
„Unter dem derzeitigen System, das Microsoft den Schulen auferlegt, müsste Ihre Schule Microsoft prüfen oder Anweisungen erteilen, wie mit den Daten der Schüler umzugehen ist. Jeder weiß, dass solche vertraglichen Vereinbarungen realitätsfremd sind. Dies ist nichts anderes als ein Versuch, die Verantwortung für die Daten der Kinder so weit wie möglich von Microsoft abzulenken.“
Eine zweite Beschwerde, die noyb am Dienstag einreichte, wirft Microsoft ebenfalls vor, Kinder heimlich zu verfolgen, da festgestellt wurde, dass Microsoft 365 Education Tracking-Cookies installiert hat, obwohl der Beschwerdeführer dem Tracking nicht zugestimmt hat. Laut Microsofts Dokumentation analysieren diese Cookies das Nutzerverhalten, sammeln Browserdaten und werden für Werbung verwendet, hieß es weiter.
„Ein solches Tracking, das häufig für hochinvasives Profiling verwendet wird, wird offenbar durchgeführt, ohne dass die Schule des Beschwerdeführers davon überhaupt weiß“, schrieb noyb. „Da Microsoft 365 Education weit verbreitet ist, verfolgt das Unternehmen wahrscheinlich alle Minderjährigen, die seine Bildungsprodukte verwenden. Das Unternehmen hat keine gültige Rechtsgrundlage für diese Verarbeitung.“
Auch hier legt die DSGVO die Messlatte für die rechtmäßige Nutzung der Daten von Kindern zu Marketingzwecken hoch. Sie verlangt von den für die Datenverarbeitung Verantwortlichen, besonders darauf zu achten, die Informationen von Minderjährigen zu schützen und sicherzustellen, dass die Nutzung der Informationen von Minderjährigen fair, rechtmäßig und klar kommuniziert erfolgt.
noyb ist der Ansicht, dass die Verträge, AGB und Datenströme von Microsoft diesen Anforderungen nicht gerecht werden.
„Unsere Analyse der Datenströme ist sehr besorgniserregend“, sagte Felix Mikolasch, ein weiterer Datenschutzanwalt bei noyb, in einer Erklärung. „Microsoft 365 Education scheint Benutzer unabhängig von ihrem Alter zu verfolgen. Diese Praxis betrifft wahrscheinlich Hunderttausende von Schülern und Studenten in der EU und im EWR. [European Economic Area]. Die Behörden sollten endlich aktiv werden und die Rechte von Minderjährigen wirksam durchsetzen.“
noyb fordert die österreichische Datenschutzbehörde auf, die Beschwerden zu untersuchen und festzustellen, welche Daten von Microsoft 365 Education verarbeitet werden. Außerdem fordert das Unternehmen die Behörde auf, eine Geldstrafe zu verhängen, wenn sie einen Verstoß gegen die DSGVO bestätigt.
Microsoft wurde um einen Kommentar zur Beschwerde von noyb gebeten, hatte bis Redaktionsschluss jedoch noch nicht geantwortet.
Obwohl der Technologieriese in Irland ansässig ist, was normalerweise bedeutet, dass grenzüberschreitende DSGVO-Beschwerden letztlich an die irische Datenschutzkommission zur Prüfung zurückverwiesen werden, betonte ein Sprecher von noyb die „lokale Relevanz“ der beiden Beschwerden zu Microsoft 365 Education und sagte, man gehe davon aus, dass die österreichische Datenschutzbehörde für die Untersuchung zuständig sei.
„Die Beschwerden könnten tatsächlich in Österreich bleiben“, sagte der Sprecher gegenüber Tech. „Der Fall ist sehr lokal relevant, da er österreichische Schulen und österreichische Schüler betrifft. Daher hoffen wir, dass die [Austrian DPA] wird die Sache selbst in die Hand nehmen. Außerdem haben wir die Beschwerden gegen die US-Niederlassung von Microsoft eingereicht und nicht gegen die EU-Niederlassung.“
Dies ist wichtig, da es zu schnelleren Entscheidungen – und einer möglichen Durchsetzung – der Beschwerden gegen Microsoft führen könnte.
DSGVO-Beschwerden, die sich auf Kinderdaten konzentrierten, haben zu einigen der bislang höchsten Strafen geführt, wie etwa die 405 Millionen Euro Geldstrafe, die Irland im Herbst 2022 gegen Meta verhängte, weil Instagram-bezogene Minderjährigenschutzmängel vorsah. Letztes Jahr wurde auch festgestellt, dass das Video-Sharing-Netzwerk TikTok gegen gesetzliche Anforderungen zum Schutz von Kinderdaten verstieß – und erhielt eine Geldstrafe von 345 Millionen Euro.
Microsofts Cloud-Produktivitätssuite steht in der EU unterdessen weiterhin unter einem größeren rechtlichen Druck. Bereits im März stellte der Europäische Datenschutzbeauftragte fest, dass die Nutzung von 365 durch den Block gegen die DSGVO verstößt. Er erließ Korrekturmaßnahmen und gab den EU-Institutionen bis Anfang Dezember Zeit, die festgestellten Compliance-Probleme zu beheben.
Auch eine langwierige Untersuchung der deutschen Datenschutzbehörden zu Microsoft 365 im Herbst 2022 deckte eine Reihe von Problemen auf – die Arbeitsgruppe kam damals zum Schluss, dass es keine Möglichkeit gebe, die Software-Suite DSGVO-konform zu nutzen.