In Österreich hat die NGO noby zwei Beschwerden gegen Microsoft bezüglich der 365 Education Dienste, die von Schulen genutzt werden, eingebracht und „fordert die österreichische Datenschutzbehörde (DSB) dazu auf, die Datenverarbeitung durch Microsoft 365 Education zu untersuchen.“ noyb wirft Microsoft vor, die Datenschutzrechte von Kindern zu verletzen und bei der Ausübung von DS-GVO Rechten durch Kinder, die Verantwortung den Schulen zuzuschieben. In der Kritik von noyb steht dabei,
- dass Microsoft einen Großteil seiner Verpflichtungen im Rahmen der DS-GVO vertraglich auf Schulen abwälzt,
- die Umsetzung der Zwecke und Mittel gem. Art.4 Nr. 7 DS-GVO und die Überwachung der Einhaltung der Vorschriften durch Microsoft durch die Schulleitungen realitätsfern ist,
- die von Microsoft bereitgestellten Datenschutzunterlagen ein für Nutzer und Schulen undurchsichtiges Labyrinth darstellen und
- Kinder als schulische Nutzer von Microsoft 365 Education durch Microsoft ohne Einwilligung getrackt werden.
In Beschwerde 1 ist die Beschwerdeführerin eine Schülerin einer Österreichischen Schule, an der Microsoft 365 Education für Unterrichtszwecke genutzt wird. Im Namen der Tochter stellte der Vater der Beschwerdeführerin einen Antrag auf Auskunft gem. Art. 15 DS-GVO mit dem Ziel, mehr Informationen über die Verarbeitung von personenbezogenen Daten durch Microsoft 365 Education zu erhalten. Er stelle diesen Antrag sowohl bei Microsoft als auch bei der Schule der Tochter. Microsoft verwies den Vater wiederholt auf die Zuständigkeit der Schule als verantwortliche Stelle. Die Schule gab an, dass nur die E-Mail Adresse von Microsoft verarbeitet werde und dieses für die Kommunikation mit den Eltern wie auch die Bereitstellung von Unterricht mit digitalen Medien. Es wurde darauf hin ein Mitschnitt aller Datenströme aufgezeichnet und ermittelt, wer an der Bereitstellung von Microsoft 365 Education für die Schule beteiligt ist (Schulministerium, Bildungsdirektionen, Schule, Microsoft). Die Beschwerde erfolgte so, da sich die Beschwerdeführerin in ihrem Recht auf Auskunft verletzt sah und nach Einschätzung von noyb, welche die Vertretung für die Beschwerdeführerin übernimmt, nicht ersichtlich ist, wer für welche Verarbeitungsvorgänge bei der Nutzung von Microsoft 365 Education verantwortlich ist. Wären sie gemeinsame Verantwortliche gem. Art. 26 DS-GVO, so hätten Microsoft und Microsoft vorab festlegen müssen, wer für welche Verarbeitung verantwortlich ist – und dann auch dafür Auskunft erteilen muss. Es wird auf Feststellungen auch von deutschen Datenschutzbehörden bezüglich dieses Sachverhalts verwiesen. noyb sieht auch eine Verletzung der Informationspflichten gem. Art. 12 und 13-14 DS-GVO, u.a. da nicht klar ist, welche von Microsoft bereitgestellten Dokumente überhaupt für Microsoft 365 Education relevant sind. Daraus folgend erwartet noyb nun eine sachliche Prüfung gem. Art. 58 DS-GVO zwecks Klärung von Datenverarbeitungstätigkeiten und Verantwortlichkeiten durch die Aufsichtsbehörde. Die Aufsichtsbehörde soll, das erwartet die Beschwerdeführerin nun, feststellen, „ dass der/die Verantwortliche(n) für die Datenverarbeitungstätigkeiten in Bezug auf Microsoft 365 Education, die die Beschwerdeführerin betreffen, gegen Artikel 15 DSGVO und gegen Artikel 12, 13 und 14 DSGVO und Artikel 5(1)(a) DSGVO verstoßen hat/haben.“
In der Beschwerde 2 geht es um die Online Version von Microsoft 365 Education. Beschwerdeführerin ist eine Schülerin in Österreich, vertreten durch noyb, deren Schule wie viele andere diese Plattform unterrichtlich nutzt. Die Beschwerde richtet sich gegen die Installation von Tracking-Cookies und nachfolgender Datenverarbeitung ohne Rechtsgrundlage. noyb gibt in der Beschwerde an, dass Microsoft nicht auf Auskunftsanfragen Betroffener reagiere und Schule nicht in der Lage seien, diesen Anfragen selbst nachzukommen „Für die betroffenen Personen führt dies zu Situationen, in denen der vermeintliche „Auftragsverarbeiter“ (hier: Microsoft) nicht auf die Ausübung der Rechte aus der DSGVO reagiert, während der vermeintliche „Verantwortliche“ (hier: die Schule) nicht in der Lage ist, solchen Anfragen nachzukommen.“ Es werden dann verschiedene Cookies aufgeführt, welche bei einem Mitschnitt während einer Nutzung von Word Online via Browser ermittelt wurden. noyb geht davon aus, dass Microsoft hier Verantwortlicher im Sinne der DS-GVO ist. Die Beschwerde ist recht umfangreich zielt letztlich darauf ab, dass die Aufsichtsbehörde das datenschutzwidrige Vorgehen von Microsoft durch technische Analyse bestätigt, um dann festzustellen, dass Microsoft personenbezogene Daten der beschwerdeführenden Schülerin ohne gültige Rechtsgrundlage, wider Treu und Glauben und in Verletzung von Art. 28 Abs. 3 lit. a DS-GVO verarbeitet hat.
Bewertung
Mit den beiden Beschwerden legt noyb mal wieder den Finger in die Wunde. Die Beschwerden greifen Punkte auf, welche auch deutsche Aufsichtsbehörden in der Vergangenheit wiederholt bemängelt haben. Mit der Handreichung einer Gruppe von Aufsichtsbehörden zum Abschluss einer Zusatzvereinbarung mit Microsoft sollten die meisten der von noyb kritisierten Punkte abgestellt sein. Anders wäre es nicht nachvollziehbar, wie in Niedersachsen nun auf der Grundlage einer solchen Zusatzvereinbarung öffentliche Verwaltungen Microsoft Teams für ihre Arbeit nutzen können. Die Aufsichtsbehörde wird auf die beiden Beschwerden reagieren müssen. Es bleibt abzuwarten, was die eigenen Analysen der Aufsichtsbehörde ergeben, welche Schlüsse daraus gezogen werden und ob und welche Maßnahmen gegenüber Microsoft man ergreift. Welche Folgen dass dann haben wird für die Nutzung von Microsoft 365 Education an Schulen in Österreich muss man abwarten. Mit einem Aus für die Plattform ist eher nicht zu rechnen. Microsoft passt seine Datenschutzdokumente wie auch die Plattform fortwährend an. Die Befunde von 2023 sind so möglicherweise bereits nicht mehr replizierbar.
Microsoft muss auf jeden Fall seine Datenschutzdokumente übersichtlicher gestalten. In Österreich können Schulen Microsoft 365 Education über eine Rahmenvereinbarung nutzen, welcher sie beitreten. Hier wäre eigentlich zu erwarten, dass die Institution, welche die Rahmenvereinbarung mit Microsoft aushandelt, für eine saubere Dokumentation sorgt, welche Schulen die Erfüllung ihrer Pflichten als Verantwortliche erleichtert. Es kann nicht Aufgabe der einzelnen Schule sein, sich alle Informationen mühsam selbst zusammenzusuchen.