Die österreichische Datenschutzbehörde hat illegales Tracking in Microsofts Bildungssoftware festgestellt. Das Urteil könnte europaweit Schule machen.
Wien – In einem wegweisenden Urteil zum Schutz von Schülerdaten hat die österreichische Datenschutzbehörde (DSB) den Einsatz von Tracking-Cookies in Microsoft 365 Education für rechtswidrig erklärt. Die Behörde stellte fest, dass der Tech-Konzern Daten von Schülerinnen und Schülern ohne gültige Einwilligung verarbeitet und damit die EU-Datenschutzgrundverordnung (DSGVO) verletzt hat. Microsoft muss die unrechtmäßige Datenverarbeitung binnen vier Wochen einstellen.
Die Entscheidung markiert einen Höhepunkt in der zunehmenden Prüfung von Bildungstechnologie auf ihre Konformität mit den strengen europäischen Datenschutzregeln. Konkret verurteilt die Behörde den Einsatz von Cookies, die nicht technisch notwendig für den Betrieb der Software sind, sondern Nutzerverhalten analysieren, Browserdaten sammeln und Werbezwecken dienen.
Viele Schulen unterschätzen heute die Risiken bei der Auftragsdatenverarbeitung mit großen Anbietern. Verträge ohne klare Regelungen zu Zweckbindung, Löschung und Zugriff können zu teuren Bußgeldern und Haftungsfragen führen – gerade bei Schülerdaten. Ein kostenloses E‑Book erklärt Schritt für Schritt, wie Sie Auftragsverarbeitungsverträge rechtskonform gestalten, welche Klauseln verpflichtend sind und liefert sofort einsetzbare Vorlagen. Jetzt kostenloses E‑Book: Auftragsverarbeitung rechtssicher machen
Kern des Urteils: Fehlende Einwilligung für Tracking
Im Zentrum des Verfahrens stand die Platzierung mehrerer Cookies auf dem Gerät eines minderjährigen Schülers, während dieser Microsoft 365 Education nutzte. Die DSB kam zu dem Schluss, dass diese Cookies – darunter die Identifikatoren MC1, FPC und MicrosoftApplicationsTelemetryDeviceId – nicht „unbedingt erforderlich“ für den Bildungsdienst waren.
Nach der DSGVO benötigen Tracking-, Analyse- oder Werbe-Cookies, die nicht essenziell für einen Dienst sind, eine explizite und informierte Einwilligung der Nutzer. Diese lag laut Behörde nicht vor. Besonders brisant: Sowohl die Schule des betroffenen Schülers als auch das österreichische Bildungsministerium gaben im Verfahren an, nicht über das volle Ausmaß des Microsoft-Trackings informiert gewesen zu sein.
Wiederholter Verstoß gegen die DSGVO
Es ist bereits das zweite bedeutende Urteil gegen Microsofts Bildungssoftware in Österreich. Erst im Oktober 2025 hatte die DSB auf eine Beschwerde der Digitalrechte-Organisation noyb hin entschieden, dass Microsoft das Auskunftsrecht von Schülern nach Artikel 15 der DSGVO verletzt hatte. Damals wurde kritisiert, dass Microsoft die datenschutzrechtliche Verantwortung auf die Schulen abgewälzt habe, ohne ihnen die nötigen Werkzeuge zur Erfüllung von Auskunftsersuchen bereitzustellen.
Die Beschwerden gehen auf die flächendeckende Einführung digitaler Lernwerkzeuge während der COVID-19-Pandemie zurück. Datenschützer von noyb warnen seit Langem vor mangelnder Transparenz bei der Datenverarbeitung in Microsoft 365 Education und einer möglichen Abhängigkeit der Bildungseinrichtungen vom Microsoft-Ökosystem.
Signalwirkung für den europäischen EdTech-Markt
Das österreichische Urteil sendet ein starkes Signal an alle Anbieter von Bildungstechnologie in der Europäischen Union. Es macht unmissverständlich klar: Der Bildungszweck eines Dienstes berechtigt nicht zur Datenverarbeitung für sekundäre Ziele wie Verhaltensanalyse oder Werbung – schon gar nicht ohne ausdrückliche Einwilligung.
Die Entscheidung könnte als Präzedenzfall für andere EU-Datenschutzbehörden dienen, die digitalen Werkzeuge in ihren Schulsystemen genauer unter die Lupe zu nehmen. Die strikte Auslegung des Begriffs „technisch notwendig“ wird viele Anbieter zwingen, ihre Produkte zu überarbeiten und standardmäßig mehr Privatsphärenschutz einzubauen, insbesondere bei Diensten für Minderjährige.
Microsoft prüft Rechtsmittel
Microsoft hat auf das Urteil reagiert und erklärt, man prüfe die Entscheidung. Das Unternehmen betont, dass Microsoft 365 for Education allen erforderlichen Datenschutzstandards entspreche und Bildungseinrichtungen die Software weiterhin DSGVO-konform nutzen könnten. Die DSB-Entscheidung ist noch nicht rechtskräftig und kann beim österreichischen Bundesverwaltungsgericht angefochten werden.
Für österreichische Schulen wird das Urteil eine umfassende Überprüfung ihrer Software-Verträge und Datenverarbeitungsprozesse nach sich ziehen. Langfristig könnte der europäische EdTech-Markt einen Schub hin zu datenschutzfreundlicheren Lösungen erfahren, bei denen Transparenz und Nutzerkontrolle im Vordergrund stehen.
PS: Schulen und Datenschutzbeauftragte finden jetzt fertige Vertragsvorlagen und Checklisten, um Microsoft‑Services DSGVO-konform einzusetzen. Das Gratis‑E‑Book zeigt konkret, welche Nachweise und technischen Maßnahmen dokumentiert sein müssen, damit Verarbeitungsvorgänge rechtssicher bleiben – inklusive Mustertexte zur Übernahme in Verträge. Holen Sie sich die Vorlagen zur sofortigen Umsetzung. Gratis‑E‑Book und Vorlagen zur Auftragsverarbeitung herunterladen
