Noyb-Beschwerde über Tracking: Microsoft verletzt Privatsphäre von Schülern
Die Bürgerrechtsorganisation Noyb beklagt in 2 Datenschutzbeschwerden in Österreich, Microsoft analysiere mit 365 Education das Nutzungsverhalten von Kindern.
Symbolbild
(Bild: peampath2812/Shutterstock.com)
Microsoft verletze mit Microsoft 365 Education die Rechte von Schülern, moniert eine österreichische Schülerin. Mit Unterstützung der Datenschutzorganisation Noyb hat sie eine entsprechende Beschwerde bei der österreichischen Datenschutzbehörde (DSB) eingebracht. In einer zweiten Beschwerde gegen Microsoft vertritt Noyb (none of your business) eine ehemalige Schülerin. Der Vorwurf: Mit dem für Schulen kostenlosen Büropaket und damit verknüpften Cloud-Diensten tracke Microsoft Kinder heimlich. So installiere die Software ungefragt mehrere Cookies auf Endgeräten der Anwender. Laut Software-Dokumentation analysieren diese das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet.
Die Schule der Schülerin, die Noyb vertritt, wusste über diese eingreifende Praxis offenbar gar nicht Bescheid, erläutert die Datenschutzorganisationen in der Anzeige. Microsoft habe keine Einwilligung in diese ohnehin fragliche Datenverarbeitung eingeholt und damit gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Entgegen der der darin normierten Idee von "Datenschutz ab Werk" ("Privacy by Default") werde hier der Eindruck von "Tracking by Default" vermittelt. Es seien "diverse Optionen zu deaktivieren, um einen datenschutzfreundlichen Zustand herzustellen". Angesichts der weiten Verbreitung von MS 365 Education tracke das Unternehmen höchstwahrscheinlich alle minderjährigen Nutzer seiner Softwareprodukte ohne gültige Rechtsgrundlage und verarbeite die so erhobenen Daten illegal weiter.
Rechtliche Konstruktion ist realitätsfern
In der zweiten Beschwerde wirft Noyb Microsoft vor, die Verantwortung für den Betrieb des Office-Pakets auf die Schulen abzuwälzen. Der US-Konzern bestehe darauf, nur "Auftragsverarbeiter" zu sei. Damit liege die gesamte Verantwortlichkeit bei den lokalen Schulaufsichtsbehörden.
In Wirklichkeit könnten aber weder die EU-Staaten, die zuständigen Ämter noch die Schulen die rechtlich vorgesehene Rolle eines rechenschaftspflichtigen Verantwortlichen übernehmen, der den Auftragsverarbeiter anweise, die Verarbeitungen in einer bestimmten Weise durchzuführen. Die Marktrealitäten führten zu einem Friss-oder-Stirb-Ansatz, bei dem alle Entscheidungen und Gewinne beim vermeintlichen Auftragsverarbeiter lägen und der formal Verantwortliche für die meisten Risiken hafte. In Österreich sollten sogar lokale Schulleiter die DSGVO-Einhaltung gewährleisten.
Labyrinth an Datenschutzunterlagen
Daraus folgt laut Noyb auch, dass Auskunftsersuchen an Microsoft unbeantwortet bleiben. Die Schulen wiederum könnten solchen Transparenzanfragen gar nicht nachkommen, weil sie nicht über die erforderlichen Daten verfügten. Im Rahmen des derzeitigen Systems müssten die Bildungseinrichtungen die Microsoft-Produkte auch auditieren. Jeder wisse, dass solche vertraglichen Vereinbarungen nicht der Realität entsprächen.
Es sei nicht einmal erkennbar, welche Datenschutzrichtlinien für die Nutzung von MS 365 Education gelten: Die Dokumentation des Unternehmens "ist so intransparent und kompliziert", dass Nutzer und Schulen sich in einem Labyrinth aus unterschiedlichen Dokumenten und Verträgen zurechtfinden müssten. Die bereitgestellten Informationen seien immer etwas anders, aber "durchgehend vage formuliert".
Lesen Sie auch
Cybervorfälle aus aller Welt: Nuance, Online-Shops & RZ in Indonesien betroffen
Assange-Freilassung: In der Sache leider gescheitert
Dienstag: ByteDance tut sich mit Broadcom zusammen, Brand in Batterie-Fabrik
Datenschutznovelle: Polizei und Bürgerrechtler für Verbot von Gesichtserkennung
Mitgliederliste: Asthmaverband verschickt Excel-Datei an Mitglieder-Verteiler
Noyb fordert die DSB daher auf, die Datenverarbeitung durch MS 365 Education zu untersuchen und deren Ausmaß publik zu machen. Selbst kundigen Beobachtern sei dies auf Anhieb nicht gelungen. Damit verstoße das Unternehmen gegen die Transparenzbestimmungen der DSGVO.
Geldstrafe angeregt
Zudem habe die Firma das Auskunftsrecht ignoriert. Wegen potenziell hunderttausender betroffener Schüler und Studierender schlägt Noyb der DSB ferner vor, eine Geldstrafe gegen Microsoft zu verhängen.
In Deutschland hat die Datenschutzkonferenz von Bund und Ländern wiederholt festgestellt, dass Einrichtungen wie Behörden, Schulen und Unternehmen MS Office 365 ohne Weiteres "nicht rechtskonform einsetzen" können und vor allem rund um die Auftragsverarbeitung zusätzliche Schutzvorkehrungen treffen müssen.
(ds)