Das vom Verein NOYB betriebene "Europäische Zentrum für Digitale Rechte" hat in Österreich zwei Beschwerden gegen Microsoft eingebracht. Der Verein um den Datenschutzaktivisten Max Schrems hatte maßgeblich die als Schrems I und Schrems II bekannten Verfahren unterstützt und bereits mehrere erfolgreiche Verfahren gegen Firmen wie Google, Apple, Facebook und Amazon eingeleitet. Die Beschwerden sind daher ernst zu nehmen und könnten erhebliche Sprengkraft haben.
Ausgangspunkt der Beschwerde ist die Marktmacht von Microsoft: Wer die Dienste nutzen wolle, müsse sich den vorgelegten Vertragsbedingungen fügen. "Gleichzeitig versucht Microsoft, die meisten seiner Verpflichtungen im Rahmen der DSGVO vertraglich auf Schulen und Behörden abzuwälzen", beklagt NOYB."Dabei haben diese gar keine realistische Möglichkeit, Microsofts Vorgehen zu beeinflussen oder zu bestimmen, wie Daten verarbeitet werden. In Wirklichkeit liegen deshalb alle Entscheidungsbefugnisse und Gewinne bei Microsoft, während die Schulen einen Großteil der Risiken tragen."
Verantwortung auf Schulen verlagert
"Dieser take-it-or-leave-it-Ansatz von Softwareanbietern wie Microsoft verlagert die gesamte Verantwortung auf Schulen", kritisiert Maartje de Graaf, Datenschutzjuristin bei NOYB. "Nur Microsoft verfügt über alle wichtigen Informationen zur Datenverarbeitung. Aber wenn es um die Ausübung von DSGVO-Rechten geht, zeigt das Unternehmen mit dem Finger auf die Schulen. Die Schulen haben gar keine Möglichkeit, diesen Transparenz- und Informationspflichten nachzukommen."
In Österreich wurden Schuldirektoren scheinbar sogar damit beauftragt, die "Zwecke und Mittel" gemäß Artikel 4(7) DSGVO zu bestimmen. "Außerdem sollen sie sicherstellen, dass internationale Softwarekonzerne wie Microsoft die Vorschriften einhalten, was komplett von der Realität der Datenverarbeitung losgelöst ist", bemängeln die Datenschützer.
Schulen müssten Microsoft eigentlich auditieren
Im Rahmen des derzeitigen Systems müssten Schulen Microsoft auditieren und dem Unternehmen Anweisungen bezüglich der Verarbeitung der Daten von Schülerinnen und Schülern geben, beschreibt de Graaf die Situation. "Jeder weiß, dass solche vertraglichen Vereinbarungen nicht der Realität entsprechen. In Wirklichkeit versucht Microsoft damit, die Verantwortung für die Daten der Kinder möglichst weit von sich wegzuschieben."
Dass nicht einmal klar sei, welche Datenschutzrichtlinien oder -dokumente für die Nutzung von Microsoft 365 Education überhaupt gelten, mache die Sache nicht einfacher: Die Dokumentation des Unternehmens ist laut NOYB "intransparent und kompliziert". Nutzerinnen und Nutzer sowie Schulen müssten "sich in einem Labyrinth aus unterschiedlichen Richtlinien, Dokumenten und Verträgen zurechtfinden".
Die bereitgestellten Informationen seien dabei "immer etwas anders, aber durchgehend vage formuliert". Was tatsächlich mit den Daten der Kinder passiert, die Microsoft 365 Education nutzen, bleibe selbst für Juristen unklar. "Für Kinder oder ihre Eltern ist es daher fast unmöglich, das Ausmaß der Datensammlung durch Microsoft aufzudecken", moniert de Graaf.
Zweiter Vorwurf: heimliches Tracking von Kindern
Daneben wirft NOYB Mircosoft vor, ohne vorher die Einwilligung abzufragen Cookies zu installieren. "Laut Microsofts eigener Dokumentation analysieren diese das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet", erklären die Datenschützer. Schulen wüssten darüber offenbar gar nicht Bescheid. Angesichts der weiten Verbreitung von Microsoft 365 Education tracke das Unternehmen höchstwahrscheinlich alle minderjährigen Nutzerinnen und Nutzer seiner Softwareprodukte -"und das ohne eine gültige Rechtsgrundlage".
Felix Mikolasch, Datenschutzjurist bei NOYB fordert daher: "Die Behörden sollten endlich aktiv werden und die Rechte von Minderjährigen wirksam durchsetzen." Weder Microsofts Datenschutzunterlagen, Auskunftsersuchen noch eigene Recherchen der Datenschützer hätten zu den Regelungen Klarheit geschaffen. Damit verstoße das Unternehmen gegen die Transparenzbestimmungen der DSGVO. Außerdem habe das Unternehmen das Auskunftsrecht ignoriert.
Microsoft sieht Untersuchung zuversichtlich entgegen
Deshalb soll nun die österreichische Datenschutzbehörde (DSB) die Datenverarbeitung durch Microsoft 365 Education untersuchen. Wegen der potenziell großen Anzahl Betroffener schlägt NOYB der DSB zudem vor, eine Geldstrafe gegen Microsoft zu verhängen.
MIcrosoft zeigt sich auf Anfrage von ChannelPartner zuversichtlich, dass es dazu nicht kommen wird: „M365 for Education entspricht der DSGVO und anderen geltenden Datenschutzgesetzen und wir schützen die Privatsphäre unserer jungen Benutzer umfassend. Wir beantworten gerne alle Fragen, die Datenschutzbehörden zu dieser Ankündigung haben könnten“, erklärte ein Microsoft-Sprecher.
NRW setzt weiterhin auf Microsoft 365 in Schulen
Rückschlag für Microsoft 365 an Schulen in Baden-Württemberg