Im Zuge der Pandemie haben immer mehr Schulen in der EU damit begonnen, digitale Dienste für den Online-Unterricht einzuführen. Einerseits sind diese Modernisierungsmaßnahmen eine willkommene Entwicklung. Andererseits haben große Tech-Unternehmen rasch versucht, diesen Bereich zu dominieren, oftmals auch um Kinder an ihre Systeme zu gewöhnen. Eines dieser Unternehmen ist Microsoft, dessen 365 Education-Dienste die Datenschutzrechte von Kindern verletzen. Wollen Kinder ihre DSGVO-Rechte ausüben, schiebt Microsoft die Verantwortung auf Schulen. Diese haben jedoch gar keine Kontrolle über die Systeme. noyb hat deshalb zwei Beschwerden eingebracht.
Verantwortung wird auf Schulen abgewälzt. Softwareanbieter wie Microsoft haben eine enorme Marktmacht. Wer ihre Dienste nutzen will, muss sich deshalb den von ihnen vorgelegten Vertragsbedingungen fügen. Gleichzeitig versucht Microsoft, die meisten seiner Verpflichtungen im Rahmen der DSGVO vertraglich auf Schulen und Behörden abzuwälzen. Dabei haben diese gar keine realistische Möglichkeit, Microsofts Vorgehen zu beeinflussen oder zu bestimmen, wie Daten verarbeitet werden. In Wirklichkeit liegen deshalb alle Entscheidungsbefugnisse und Gewinne bei Microsoft, während die Schulen einen Großteil der Risiken tragen. Das hat wiederum zur Folge, dass beispielsweise Auskunftsersuchen an Microsoft unbeantwortet bleiben – während die Schulen solchen Anfragen gar nicht nachkommen können, weil sie nicht über die erforderlichen Daten verfügen.
Maartje de Graaf, Datenschutzjuristin bei noyb: „Dieser take-it-or-leave-it-Ansatz von Softwareanbietern wie Microsoft verlagert die gesamte Verantwortung auf Schulen. Nur Microsoft verfügt über alle wichtigen Informationen zur Datenverarbeitung. Aber wenn es um die Ausübung von DSGVO-Rechten geht, zeigt das Unternehmen mit dem Finger auf die Schulen. Die Schulen haben gar keine Möglichkeit, diesen Transparenz- und Informationspflichten nachzukommen.“
Realitätsferne Umsetzung. In Österreich, wo noyb nun zwei Beschwerden eingebracht hat, wurden die lokalen Schuldirektor:innen scheinbar sogar damit beauftragt, die „Zwecke und Mittel“ gemäß Artikel 4(7) DSGVO zu bestimmen. Außerdem sollen sie sicherstellen, dass internationale Softwarekonzerne wie Microsoft die Vorschriften einhalten, was komplett von der Realität der Datenverarbeitung losgelöst ist.
Maartje de Graaf, Datenschutzjuristin bei noyb: „Im Rahmen des derzeitigen Systems müssten Schulen Microsoft auditieren und dem Unternehmen sogar Anweisungen bezüglich der Verarbeitung von Schüler:innen-Daten geben. Jeder weiß, dass solche vertraglichen Vereinbarungen nicht der Realität entsprechen. In Wirklichkeit versucht Microsoft damit, die Verantwortung für die Daten der Kinder möglichst weit von sich wegzuschieben.“
Ein Labyrinth aus Datenschutzunterlagen. Es ist nicht mal klar, welche Datenschutzrichtlinien oder -dokumente für die Nutzung von Microsoft 365 Education gelten: Die Dokumentation des Unternehmens ist so intransparent und kompliziert, dass Nutzer:innen und Schulen sich in einem Labyrinth aus unterschiedlichen Richtlinien, Dokumenten und Verträgen zurechtfinden müssen. Die bereitgestellten Informationen sind immer etwas anders, aber durchgehend vage formuliert. Es ist daher unklar, was tatsächlich mit den Daten von Kindern passiert, die Microsoft 365 Education nutzen.
Maartje de Graaf, Datenschutzjuristin bei noyb: „Die von Microsoft bereitgestellten Informationen sind so vage, dass selbst Jurist:innen nicht vollständig verstehen können, wie 365 Education persönliche Daten verarbeitet. Für Kinder oder ihre Eltern ist es daher fast unmöglich, das Ausmaß der Datensammlung durch Microsoft aufzudecken.“
Heimliches Tracking von Kindern. Das ist allerdings nicht das eizige Problem im Zusammenhang mit 365 Education. Obwohl die Beschwerdeführerin nie eingewilligt hat, getrackt zu werden, wurden mehrere Cookies installiert. Laut Microsofts eigener Dokumentation analysieren diese das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet. Die Schule der Beschwerdeführerin wusste offenbar gar nicht darüber Bescheid. Bedenkt man die weite Verbreitung von Microsoft 365 Education, trackt das Unternehmen höchstwahrscheinlich alle minderjährigen Nutzer:innen seiner Softwareprodukte -und das ohne eine gültige Rechtsgrundlage.
Felix Mikolasch, Datenschutzjurist bei noyb: „Unsere Analyse der Datenströme ist sehr besorgniserregend. Microsoft 365 Education scheint Nutzer:innen unabhängig von ihrem Alter zu verfolgen. Von dieser Praxis sind wahrscheinlich hunderttausende Schüler:innen und Studierende in der EU und im EWR-Raum betroffen. Die Behörden sollten endlich aktiv werden und die Rechte von Minderjährigen wirksam durchsetzen.“
Unzählige Kinder sind betroffen. noyb fordert die österreichische Datenschutzbehörde (DSB) dazu auf, die Datenverarbeitung durch Microsoft 365 Education zu untersuchen. Weder Microsofts Datenschutzunterlagen, Auskunftsersuchen oder noyb-eigene Recherchen konnten Klarheit schaffen. Damit verstößt das Unternehmen gegen die Transparenzbestimmungen der DSGVO. Außerdem hat das Unternehmen das Auskunftsrecht ignoriert. Wegen der potenziell großen Anzahl Betroffener schlägt noyb der DSB zudem vor, eine Geldstrafe gegen Microsoft zu verhängen.