Schülerin bekommt recht: Microsoft trackt Kinder - Schulen ahnungslos
Als während der COVID-Pandemie viele Schüler und deren Eltern auf Home Schooling umsatteln mussten, sprang recht kurzfristig die öffentliche Nachfrage nach entsprechender Software stark an. Schulen bestellten bei bekannten Herstellern wie Microsoft, die wiederum schnell spzielle Versionen ihrer bereits bestehenden Produkte „schultauglich“ umentwickelten. Microsoft 365 Education ist so eine Software (Microsoft 365 Single für 84,99/Jahr bei Amazon).
Diese setzten die Schulen dann zwangsläufig recht kurzfristig ein, oftmals ohne richtige Schulung des Personals und offenbar auch ohne tiefergehende Überprüfung der Daten, die Hersteller Microsoft darüber sammelt. Nach zwei Beschwerde von noyb (none of your business) im letzten Jahr hat die Österreichische Datenschutzbehörde (DSB) nun entschieden, dass Microsoft die Privatsphäre von Kindern verletzt und illegal über seine Software Daten von Minderjährigen sammelt.
Gleich mehrere Verstöße wurden von der DSB festgestellt:
- Microsoft 365 Education hat ohne jegliche Zustimmung Tracking-Cookies eingesetzt und so persönliche Datend er Schüler gesammelt, was als rechtswidrig eingestuft wurde.
- Microsoft hat gegen das Recht auf Auskunft gemäß Artikel 15 DSGVO verstoßen (s.u.)
- Microsoft muss aufklären, was damit gemeint ist, wenn Daten für nicht weiter definierte „legitime Geschäftstätigkeiten” verwendet werden und warum sich Datenspuren der persönlichen Schülerdaten bei LinkedIn, OpenAI oder dem Tracking-Unternehmen Xandr wiederfinden
Hintergrund
Eine Schülerin hatte ein simples Auskunftsersuchen bei ihrer Schule gestellt, was einen unglaublichen „Verantwortungstanz“ losgetreten hatte. Die involvierte Schule und auch das Bildungsministerium gaben an, keine Kenntnis von den eingesetzten Tracking-Cookies und der gesammelten Daten zu haben und verwiesen an Microsoft. Microsoft wiederum wollte die Verantwortung für die Einhaltung der Datenschutzgesetze einfach auf die Schulen abwälzen und behauptet, dass die Schulen für den Datenschutz der Kinder und die eingesetzte Software verantwortlich wären. Die Schulen wiederum hatten weder Kontrolle noch Zugriff auf die bei Microsoft gespeicherten Daten. Niemand wollte oder konnte der Schülerin ihr simples DSGVO-Recht auf Auskunft über ihre eigenen Daten gewähren, weshalb sie mit Hilfe von noyb Beschwerde einreichte.
Die jetzige Entscheidung zugunsten der Schülerin könnte richtungsweisend für Millionen von Schülern sein, denn Microsoft 365 Education wird in ganz Europa von Lehrern und Schülern benutzt. Weitere Millionen von Menschen nutzen das zugrunde liegende Microsoft 365 in Unternehmen und Behörden in Europa. Ohne deftige Strafen ist es für Unternehmen wie Microsoft ein Leichtes zunächst von illegalem Tracking zu profitieren und dann erst bei Beschwerden und auf richterliche Anweisungen hin auf legalen Betrieb umzustellen.
Quelle(n)
