Nicht erlaubt: Microsoft könnte Schulkinder für Werbezwecke verfolgen
Österreichische Schulen zahlen für Schüler Microsoft-Software. Ohne Wissen der Schulen oder Kinder platziert Microsoft Cookies. Eine Beschwerde hat Erfolg.
(Bild: Datenschutz-Stockfoto/Shutterstock.com)
Eine minderjährige Schülerin kann einen juristischen Erfolg gegen die Microsoft Corporation verbuchen: Die österreichische Datenschutzbehörde hat einer Beschwerde des Kindes aus dem Jahr 2024 stattgegeben. Anlass ist, dass Microsoft in der von der Schule für die Kinder gemieteten Software Microsoft 365 Education personenbezogene Cookies platziert. Diese Cookies könnten dazu genutzt werden, das Online-Verhalten der Kinder für Werbezwecke zu verfolgen. Die Speicherung erfolgt ohne Zustimmung, was laut Datenschutzbehörde rechtswidrig ist. Das österreichische Bildungsministerium und die Schule wollen von der Datenernte nichts gewusst haben.
„Laut Microsofts eigener Dokumentation analysieren (die Cookies) das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet”, schildert die Datenschutzorganisation Noyb, welche die Schülerin im Verfahren vertreten hat. Microsoft hingegen hat im Verfahren argumentiert, die Cookies bloß pseudonymisiert für statistische Zwecke auszuwerten. Und dafür seien die Cookies technisch notwendig.
Tatsächlich erfolgt die Pseudonymisierung erst, nachdem die personenbezogenen Daten zu Microsoft gelangt sind. Und diese Datenübertragung fällt laut Bescheid unter die Datenschutzgrundverordnung (DSGVO), unabhängig von etwaiger nachfolgender Pseudonymisierung. Und dass die Cookies für Reichweitenmessungen erforderlich seien, spiele keine Rolle, weil Reichweitenmessungen selbst nicht notwendig sind.
Somit stellt die Behörde fest, dass die Microsoft Corporation „gegen die Rechtmäßigkeit der Verarbeitung sowie den Grundsatz der Rechtmäßigkeit und Treu und Glauben verstoßen hat, indem sie ohne erforderlichen Erlaubnistatbestand des Art 6 Abs 1 DSGVO personenbezogene Daten der Beschwerdeführerin im Zusammenhang mit dem Einsatz von Cookies beim Produkt ‚Microsoft 365 Education‛ verarbeitet hat.” Das bedeutet, dass Microsoft keine Zustimmung eingeholt hat und sich auch auf keine andere Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten stützen kann.
Umprogrammieren oder Rechtsmittel
Daher trägt die Datenschutzbehörde Microsoft auf, ihr rechtswidriges Verhalten einzustellen. Konkret soll sie „den Einsatz technisch nicht notwendiger Cookies unterlassen, sofern hierfür kein geeigneter Erlaubnistatbestand (Einwilligung) vorliegt und dadurch personenbezogene Daten der Beschwerdeführerin verarbeitet werden. Als technisch nicht erforderlich gelten jedenfalls die Cookies MC1, FPC, MSFPC, MicrosoftApplicationsTelemetryDeviceId und ai-session.”
Videos by heise
Microsoft akzeptiert das nicht. Es meint nach wie vor, alle notwendigen Datenschutzvorgaben einzuhalten. „Microsoft 365 for Education erfüllt alle vorgeschriebenen Datenschutzstandards, Bildungseinrichtungen können es weiter unter Einhaltung der DSGVO einsetzen“, sagte eine Sprecherin zu heise online. Ob Microsoft die Cookies umprogrammieren oder Rechtsmittel ergreifen wird, ist demnach noch nicht entschieden. Für beides hat Microsoft vier Wochen Zeit, gerechnet ab Zustellung des am 21. Jänner erlassenen Bescheides (GZ 2025-0.768.263, D135.026).
Ausrede auf „kundenorientiertes Marketing” zieht nicht
Vergebens hat Microsoft versucht, sich dem österreichischen Verfahren zu entziehen. Einerseits brachte der Konzern vor, für die Datenverarbeitung gar nicht verantwortlich zu sein. Er sei lediglich (Unter-)Auftragnehmer österreichischer Bildungseinrichtungen. Doch geriet Microsofts Eigenmarketing zum Bumerang: Demnach dienen die mit Microsoft 365 Education geernteten Daten allen möglichen Zwecken, von „interner Berichterstattung und Geschäftsmodellierung” bis „Energieeffizienz”.
Diese Zwecke verfolge Microsoft nicht im Auftrag der Schule sondern im eigenen Interesse, hält die Datenschutzbehörde fest, weshalb sie Microsoft für diese Datenverarbeitung verantwortlich macht. Die Ausrede, das „kundenorientierte Marketing-FAQ-Papier“ sei für Feststellungen nicht geeignet, lässt die Behörde nicht gelten.
Keine Ausflucht nach Irland
Andererseits hat die belangte Microsoft Corporation die Zuständigkeit der österreichischen Datenschutzbehörde bestritten. Das Unternehmen habe eine Tochterfirma in Irland, weshalb die dortige Behörde zuständig sei. Dieser wird nachgesagt, besonders datenkonzernfreundlich zu sein.
Die österreichische Datenschutzbehörde weist jedoch darauf hin, dass die wesentlichen Entscheidungen nicht in Irland sondern in der amerikanischen Konzernzentrale getroffen werden. Laut EuGH (Az. CǦ604/22 Rz 62 ff) reicht für die Verantwortung aus, „dass eine Stelle hinsichtlich der Datenverarbeitung Richtlinien, Anweisungen, technische Spezifikationen, Protokolle und vertragliche Verpflichtungen vorgibt”, was zweifelsohne in den USA erfolge. Weil die darauf beruhenden Cookies in Österreich gesetzt werden, könnten österreichische Behörden einschreiten.
Allenfalls könne es gemeinsame Verantwortung der Microsoft Corporation und ihrer irischen Tochterfirma geben. Noyb hat sich aber nur über den Mutterkonzern beschwert, nicht über die irische Tochter, womit diese nicht Verfahrenspartei wurde. Damit sieht die österreichische Behörde keinen Anlass zur Verlagerung des Verfahrens nach Irland.
Zweite Niederlage gegen österreichische Schüler
Für Microsoft ist dies bereits die zweite Niederlage gegen eine von Noyb vertretene Schülerin. Im Oktober hat die österreichische Datenschutzbehörde festgestellt, dass Microsoft geltendes Datenschutzrecht verletzt hat, indem es der Schülerin die erbetene Datenschutzauskunft nicht hinreichend erteilt hat. (GZ 2025-0.477.534, D135.027). Zusätzlich kamen das Gymnasium der Schülerin und das Bildungsministerium zum Handkuss, weil sie die Schülerin nicht vorab über Erhebung und Weitergabe ihrer personenbezogenen Daten aufgeklärt hatten.
- Erste Beschwerde gegen Microsoft
- Zweite Beschwerde gegen Microsoft
- Erster Bescheid gegen Microsoft (8. Oktober 2025)
- Zweiter Bescheid gegen Microsoft (21. Jänner 2026)
(ds)
