Die österreichischen Datenschutzaktivisten von noyb haben einen Erfolg gegen Microsoft errungen. Die österreichische Datenschutzbehörde (DSB) hat entschieden, dass das Unternehmen in Microsoft 365 Education ohne Einwilligung (und somit unrechtmäßig) Cookies auf den Geräten einer Schülerin installiert hat. Microsoft hat nun vier Wochen Zeit, um der Entscheidung nachzukommen und die Verwendung von Tracking-Cookies einzustellen.
Monopol Microsoft und seine Gratis-Dienste
Microsoft hat bei den Office-Anwendungen eine Monopolstellung und versucht diese mittels Gratisangeboten sogar noch auszubauen. Wer die Dienste dieser Softwareanbieter nutzen will, muss sich den von den Unternehmen vorgelegten Vertragsbedingungen unterwerfen.
Gleichzeitig versuche Microsoft, die meisten seiner Verpflichtungen im Rahmen der DSGVO, vertraglich auf Schulen und Behörden abzuwälzen. Dabei haben die Schulen gar keine realistische Möglichkeit, Microsofts Vorgehen zu beeinflussen oder zu bestimmen, wie Daten verarbeitet werden.
In Wirklichkeit liegen deshalb alle Entscheidungsbefugnisse und Gewinne bei Microsoft, während die Schulen einen Großteil der Risiken tragen. Ich hatte bereits im Juni 2024 im Beitrag Noyb reicht gegen Microsoft 365 Education DSGVO-Beschwerden ein von den Bestrebungen der Datenschützer von noyb, Microsoft das Tracking unter Microsoft 365 Education zu untersagen, berichtet.
noyb hatte in Österreich gleich zwei Beschwerden gegen Microsoft und die Microsoft 365-Dienste für Education in Österreich eingereicht, wie ich im Artikel erwähnt habe. Eine Beschwerde von noyb wurde im Auftrag einer ehemaligen Schülerin geführt. In der Mitteilung von noyb hieß es: Obwohl die Beschwerdeführerin nie eingewilligt hat, getrackt zu werden, wurden mehrere Cookies installiert. Laut Microsofts eigener Dokumentation analysieren diese das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet.
Ich hatte letztmalig im Oktober 2025 im Beitrag Österreichs Datenschutzbehörde: Microsoft 365 Education trackt Schüler illegal über die Entscheidung bezüglich der ersten Beschwerde berichtet.
Datenschutzbehörde (DSB) Österreichs entscheidet pro noyb
Nun hat die Datenschutzbehörde (DSB) Österreichs laut noyb eine Entscheidung (PDF) in der zweiten Beschwerde getroffen. Die zweite Beschwerde, über die nun entschieden wurde, betraf die Verwendung unrechtmäßiger Tracking-Cookies in Microsoft 365 Education. In ihrer jüngsten Entscheidung hat die DSB erneut festgestellt, dass Microsoft rechtswidrig gehandelt hat. Diese teilt noyb am 27. Januar 2026 in nachfolgendem Post und im Beitrag noyb-Erfolg: Microsoft muss Tracking von Schulkindern einstellen mit.
Die DSB befasste sich damit, dass Microsoft Tracking-Cookies auf den Geräten einer minderjährigen Nutzerin von Microsoft-365-Education gespeichert hat. Microsoft schreibt in seiner eigener Dokumentation, dass man über diese Cookies das Nutzungsverhalten analysieren, Browserdaten sammeln und für Werbung verwenden werde.
Die österreichische Datenschutzbehörde (DSB) hat nun entschieden, dass das Microsoft unrechtmäßig, wegen fehlender Einwilligung, Cookies auf den Geräten einer Schülerin installiert hat. Die DSB hat Microsoft aufgefordert, das Tracking der Beschwerdeführerin innerhalb von vier Wochen einzustellen. Sowohl die Schule als auch das österreichische Bildungsministerium gaben an, dass sie vor den noyb-Beschwerden keine Kenntnis von solchen Tracking-Cookies hatten.
Felix Mikolasch, Datenschutzjurist bei noyb: „Das Tracking von Minderjährigen ist offensichtlich alles andere als datenschutzfreundlich. Es scheint, als würde Microsoft sich nicht sonderlich um den Datenschutz kümmern, wenn es nicht um Marketing und PR-Aussagen geht."
Laut noyb versuchte Microsoft während des Verfahrens die Zuständigkeit auf seine EU-Tochtergesellschaft in Irland abzuwälzen, da diese für Microsoft 365-Produkte in Europa zuständig sei. Damit wäre die Datenschutzkommission in Österreich für die Beschwerde gegen Microsoft nicht mehr zuständig. Die DSB wies dieses Argument laut noyb zurück und stellte fest, dass tatsächlich Microsoft USA die relevanten Entscheidungen trifft.
Große US-Technologieunternehmen argumentieren regelmäßig, dass sie dem irischen Recht unterliegen, da die irische Datenschutzbehörde dafür bekannt ist, EU-Recht kaum durchzusetzen.
Welche Folgen hat die DSB-Entscheidung?
Microsoft 365 Education wird von Millionen Schulkindern und Lehrkräften in ganz Europa genutzt. Die Datenschutzbehörde in Österreich hat Microsoft vier Wochen Zeit gegeben, um die Praxis in Microsoft 365 Education innerhalb Österreichs abzustellen. Möglicherweise holt Microsoft künftig über die Schule eine entsprechende Zustimmung von den Eltern minderjähriger Schüler und Schülerinnen ein.
Aber die Implikationen der DSB sind weitreichender. Die deutschen Datenschutzbehörden haben bereits festgestellt, dass Microsoft 365 die Anforderungen der DSGVO nicht erfüllt (siehe Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform).
Jetzt steht fest: Das Tracking von Nutzern ohne deren Einwilligung verstößt gegen EU-Recht. Das stellt für alle Organisationen, die Microsoft 365 nutzen, ein Problem dar. Die deutschen Datenschutzbehörden haben bereits festgestellt, dass Microsoft 365 die Anforderungen der DSGVO nicht erfüllt. Spätestens wenn ein EU-Gericht angerufen wird, bekommen Nutzer von Microsoft 365 ein Problem. Das es auch anders laufen kann, zeigt Schleswig-Holstein (siehe Schleswig-Holstein: Schon 80 % der Arbeitsplätze auf LibreOffice umgestellt).
Ähnliche Artikel:
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Noyb reicht gegen Microsoft 365 Education DSGVO-Beschwerden ein
Österreichs Datenschutzbehörde: Microsoft 365 Education trackt Schüler illegal
Bundesländer verweigern Einsicht in Rechtsgutachten zur DSGVO-Einstufung von Microsoft 365
EU-Datenschützer: EU-Kommission verstößt mit Microsoft 365 gegen DSGVO; Korrektur bis Dez. 2024
EU-Kommission darf MS365 einsetzen
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
Hessischer Datenschützer: Office 365 kann DSGVO-konform eingesetzt werden
MVP: 2013 – 2016
******************************************
Spätestens wenn ein EU-Gericht angerufen wird, bekommen Nutzer von Microsoft 365 ein Problem.
*****************************************+
Verstehe ich nicht… wieso sollte ich als Nutzer ein Problem bekommen?
Als Nutzer habe ich entweder zugestimmt (durch Nutzung; abnicken der Bedingungen bei der Installation) oder bin selbst der Kläger.
Das viele nicht wissen was sie da "abnicken" weil sie es gar nicht lesen ist deren ureigenes Problem!
Probleme bekommen Firmen Schulen Behörden die das ihren Angestellten /Schülern /etc aufdrücken… der Nutzer kann doch nix dafür MS Produkte da nutzen zu müssen.
Wird im ja vorgesetzt! Weder als Angestellter, Schüler noch Beamter kann ich das selbst entscheiden…
Wir wissen jedoch alle: jetzt ist es also gerichtlich "offiziell" das MS 365 nicht DSGVO konform ist… ändern tut sich aber nix!
Grosse Freude herrscht! NOYB hat da Tolles geleistet. Vielleicht solle man bei denen Fördermitglied werden.
Zur Frage von Luzifer: Ich verstehe "Nutzer" in diesem Kontext anders, nämlich als derjenige der bestimmt, dass die Software verwendet werden soll (also beispielsweise die Schule oder übergeordnete Behörden, das Luzifer als "Firmen Schulen Behörden") bezeichnet.
Als Endbenutzer kann ich dann ein Problem bekommen, wenn ich personenbezogene Daten mit diesen Produkten verarbeite. Und das passiert in nicht vorstellbarem Ausmass (Ich bin Lehrer, und wenn eine Schülerin oder ein Schüler krank ist, wird von ihm / ihr erwartet, dass sie / er entweder per M$ Teams oder per M$ Outlook (fast alle anderen Clients sind vom Administrator bewusst verboten / von Microsoft unterbunden, aber sowieso egal, weil für die Schülerinnen und Schüler der Mailserver nicht on-premise ist, für Lehrpersonen schön) darüber informieren muss … eine unglaubliche Ansammlung besonders schützenswerter personenbezogener Daten). Und wenn man nur darauf hinweist, wird man bereits schief angeschaut.
Zu Luzifer: Ich hielt es nicht für notwendig, überhaupt zu antworten. Wer wollte, konnte das Wort "Nutzer" im Kontext klar als "derjenige, der für die DSGVO und den Einsatz innerhalb der Organisation Verantwortung trägt" verstehen. Und am Ende des Artikels sind ja auch die Artikel zu ähnlichen Entscheidungen verlinkt – in Deutschland ist es mal so und mal so. Insgesamt kristallisiert sich aber heraus, dass die Organisationen, die weiter auf Microsoft 365 setzen, sich immer tiefer in die Abhängigkeiten reiten.
Mal schauen, wie der Zug in Richtung Alternativen in der EU weiter kommt.
>> Grosse Freude herrscht! NOYB hat da Tolles geleistet. Vielleicht solle man bei denen Fördermitglied werden.
Ein toller Erfolg !!
Weitere Datenschutz-Vereine die man unterstützen kann:
z.B. https://edri.org/
z.B. https://digitalcourage.de/
Sie agieren im Hintergrund, und erstreiten immer mal wieder wegweisende Rechte, oder kassieren neue gesetzliche Übergriffe ein.
Wusstet Ihr, dass Spenden an noyb auch in Deutschland von der Steuer absetzbar sind?
https://noyb.eu/de/alle-informationen-zur-spendenabsetzbarkeit
—
GB: Ich lasse es ausnahmsweise stehen – lösche aber jegliche Antworten in Kommentaren der Art "ich spende nicht an …" oder "ich spende an …". Danke für das Verständnis.
In diesem Zusammenhang sei die Frage erlaubt, mit welchen Software-Produkten hierzulande Fernunterricht bzw. Home-Schooling durchgeführt wird? Etwa auch mit Teams? Oder gar Zoom? Ich bin da überhaupt nicht im Bilde. Danke!
Die nutzen alle eine vom Mathelehrer auf seinem Privatlaptop in uraltem Virtualbox selbst gehostete nicht gehärtete Jitsi oder BBB-Instanz.
Also wir haben hier in der Firma auf BigBlueButton umgestellt.
Unter bbbserver.de gibt es da einen deutschen Anbieter, der das Hosting übernimmt. Zu (meiner Meinung nach) sehr attraktiven Konditionen. Zudem ist es möglich, das Angebot mit eigenem Farbschema in die eigene Webseite einzubinden.
Es funktioniert zuverlässig, bietet aber naturgemäß nicht so eine gute Einbindung in Office. Stört uns aber nicht, wir wollen sowieso möglichst unabhängig bleiben.
Zu Corona-Zeiten hatte das deutsche Forschungsnetz eine fertige Lösung für Schulen entwickelt, die glaub ich auf Moodle basierte. Da das nach Corona niemand finanzieren wollte, wurde es wieder eingestellt (das Deutsche Forschungsnetz ist per se nur für Unis zuständig, nicht für Schulen, wurde seinerzeit geschrieben). Ein verpasste Chance meiner Meinung nach…
An Schulen sind Teams und 365 weit verbreitet, leider.
Ja, leider. Aber inzwischen akzeptiert man, wenn Lehrpersonen das nicht wollen.
Es gibt aber auch (bei mir in der Schweiz) Kantone, die BigBlueButton anbieten. Da muss man aber jedes Mal erläutern und erklären und deutlich machen, dass das tatsächlich auch geht und warum das datenschutzbesser ist und so. Der Kanton Basel-Stadt hatte damals für die zweite Hälfte der Pandemie sogar mit dem Datenschützer abgeklärt, dass es für Gespräche über besonders schützenswerte Daten zugelassen ist. Erinnert sich nur leider kaum noch jemand dran.
Also ja: es gibt Lösungen jenseits von Teams & Zoom, und sie sind besser (keine Client-Software installieren, läuft im Browser, läuft zuverlässig, keine Nutzungseinschränkungen, kostenfrei jenseits der natürlich notwendigen Instanz).
Wenn der o.g. Kanton damals nicht BBB zur Verfügung gestellt hätte, ich wäre vielleicht ein solcher Mathe-Lehrer gewesen, der BBB zur Verfügung gestellt hätte, aber vermutlich eher bare metal als virtuell. Heute (ich bin in einem anderen Kanton) habe ich Zugriff auf 4 BBB-Instanzen von verschiedenen Institutionen (u.a. von CH Open: https://www.ch-open.ch/bigbluebutton/ ) und deshalb keinen Bedarf für eine eigene BBB-Instanz, aber die Anforderungen von vor 5 Jahren sind heute leicht wuppbar und in virtuellen Maschinen vermutlich auch gut aufgehoben, insbesondere wenn man Aufnahmen deaktiviert.
Und beides ist nach DSGVO nicht zulässig. Und schon gar nicht ohne explizite, informierte Zustimmung der Eltern. Da müsste dann auch erfasst werden: Wir als Schule übertragen Nutzungsdaten, Inhalte und Biometrie ihre Kinder in ein faschistisches Land, das damit Sachen macht, wie sie das dritte Reich noch versucht hat auf Papier zu machen. Die USA kannten schon vor Trump nicht immer die Grenzen anderer Länder an. Achten sie eventuell darauf, das ihr Kind sich nicht in die Nähe anti-faschistischer Äußerungen bringt oder Flüge zum Mars oder die Trump-Oligarchie kritisch betrachtet. Unterschreiben bitte außen rechts.
Es funktionier und die Benutzer kennen sich aus. Es gibt an Schulen ganz andere Probleme als die DSGVO, darum sollten sich die Zuständigen mal kümmern.
Glückwunsch zum Sieg! Was allerdings nicht passieren wird: Microsoft wird die Verwendung von Tracking-Cookies einstellen.
Glückwunsch, noyb. Österreich hat die bessere DSB, wie es aussieht. Hoffentlich schlägt es gut ein und verbreitet sich in der EU.
Mal sehen, wann der Trumperrator als Reaktion auf diese unerhörte Gemeinheit gegen die USA mit Tariffs auf Mozartkugeln oder Strohrum droht ;-)
"Möglicherweise holt Microsoft künftig über die Schule eine entsprechende Zustimmung von den Eltern minderjähriger Schüler und Schülerinnen ein."
Und wenn die Eltern nicht zustimmen, fliegt das Kind von der Schule, oder wie muss man sich das in der Praxis vorstellen?