Unlängst erging eine Entscheidung der Österreichischen Datenschutzbehörde (DSB) zur Nutzung von Microsoft 365 Education in Schulen. Diese basierte auf einer Beschwerde aus 2024, deren Ausgangspunkt ein Auskunftsersuchen einer Schülerin war.
Die Schule nutzte die Software Microsoft 365 Education für Unterrichtszwecke, die verschiedene Microsoft-Produkte und -Dienste, wie Microsoft Word, Microsoft Teams und Microsoft Sharepoint umfasst. Der Vater der betroffenen Schülerin hatte ein Auskunftsersuchen an Microsoft gestellt, wurde aber von dort an die örtliche Schule zurückverwiesen, da diese für die Datenverarbeitung verantwortlich sei. Die Schule wiederum machte geltend, sie könne nur minimale Informationen zur Verfügung stellen, weil sie keinen Zugriff auf die bei Microsoft gespeicherten Daten habe. Sie verwies bzgl. des Auskunftsersuchens zurück an Microsoft. Im Ergebnis sah sich niemand in der Lage, die durch die Datenschutz-Grundverordnung (DSGVO) gewährleisteten Betroffenenrechte umzusetzen.
Die Beschwerdeführerin reichte daraufhin die eingangs genannte Beschwerde gegen die in Betracht kommenden Stellen bei der DSB ein: Die örtliche Schule, die örtliche Bildungsdirektion, das Bildungsministerium und Microsoft USA.
Die DSB hat im Hinblick auf die Verantwortlichkeit festgestellt, dass Microsoft USA die relevanten Entscheidungen trifft. Diese beeinflussen maßgeblich die Ausrichtung der internationalen Niederlassungen. Es würden kleinere Entscheidungen zur Anpassung eines Produkts für die EU in Irland getroffen, wodurch aber nach Auffassung der DSB die Verantwortung nicht nach Irland verlagert wird.
Festgestellte Datenschutzverstöße
Die DSB hat darüber hinaus mehrere Verstöße gegen die datenschutzrechtlichen Vorgaben der DSGVO festgestellt. Demnach wurden von Microsoft 365 Education ohne eine Einwilligung Tracking-Cookies eingesetzt, was die Aufsichtsbehörde als unzulässig eingestuft hat. Sowohl die Schule als auch das österreichische Bildungsministerium haben während des Verfahrens geltend gemacht, dass sie vor der Beschwerde nicht über die von Microsoft gesetzten Tracking-Cookies informiert worden seien. Als Konsequenz aus diesem Datenschutzverstoß wies die DSB die Löschung der insoweit verarbeiteten personenbezogenen Daten an.
Weiterhin sah die Aufsichtsbehörde einen Verstoß gegen das Recht auf Auskunft aus Art. 15 DSGVO, weil der Beschwerdeführerin kein vollständiger Zugang zu ihren personenbezogenen Daten gewährt wurde. Die DSB wies daher Microsoft an, den Zugang zu ermöglichen. Die Auskunft muss dabei nach der Entscheidung der DSB Inhaltsdaten (Dateien, Dokumente, Nachrichten), Protokolldaten (Verbindungsdaten, Log-Dateien, IP-Adressen), Daten über Cookies (Cookie-Werte) und Datenübermittlungen an Microsoft USA umfassen. Microsoft wird weiterhin aufgefordert, genauer auszuführen, was mit der Datenverarbeitung für nicht weiter definierte Geschäftszwecke gemeint ist. Ebenso wurde nach Auffassung der DSB nicht ausreichend beauskunftet, weshalb aus den von der Beschwerdeführerin vorgelegten Protokolldaten, die im Zuge der Nutzung von Microsoft Education 365 gesichert wurden, Drittanbieter wie LinkedIn, ChatGPT (bzw. OpenAI) oder Xandr hervorgehen.
Die DSB weist die betroffene Schule und das österreichische Bildungsministerium außerdem an, weitere Informationen bereitzustellen, welche personenbezogenen Daten von Schüler*innen an Microsoft übermittelt wurden. Dies gestalte sich aber schwierig, weil Microsoft dem Bildungsministerium selbst wohl keine ausreichenden Informationen zur Datenverarbeitung zur Verfügung gestellt habe. Insofern werde es den örtlichen Schulen unmöglich gemacht, ihren Informationsverpflichtungen aus Art. 13 und 14 DSGVO gegenüber den Schüler*innen, Eltern und Lehrkräften hinsichtlich der bei Microsoft stattfindenden Datenverarbeitung gerecht zu werden.
Fazit
Die Entscheidung der DSB macht deutlich, wie herausfordernd es für Betroffene – aber in diesem Fall auch für Schulen – sein kann, nähere Informationen zur Verarbeitung personenbezogener Daten durch Microsoft zu erhalten. Die beteiligten Stellen haben sich im konkreten Fall die Verantwortung für die Datenverarbeitung immer wieder hin und hergeschoben. Es ist aus datenschutzrechtlicher Sicht auf jeden Fall zu begrüßen, dass die österreichische Aufsichtsbehörde sich klar dazu äußert, dass die relevanten Entscheidungen bzgl. der Datenverarbeitung von Microsoft USA getroffen werden.
noyb kommt auf Grundlage der Entscheidung der DSB zu dem Schluss, dass die Nutzung von Microsoft 365 kaum mit dem EU-Recht vereinbar sei. Zu einem ähnlichen Ergebnis gelangte bereits die LDI Nordrhein-Westfalen bzgl. der Nutzung von Microsoft 365 in Schulen.
Es muss allerdings attestiert werden, dass Microsoft 365 und auch Microsoft 365 Education eine derart große Reichweite in ganz Europa haben, dass man von einer marktbeherrschenden Stellung sprechen kann. Die nur wenig vorhandenen Alternativen in Europa erschweren daher einen Wechsel zu einem datenschutzkonformen Produkt.
Es wird vermutlich nicht die letzte Entscheidung einer Europäischen Aufsichtsbehörde zum Einsatz von Microsoft gewesen sein – wir halten Sie insoweit gerne weiter auf dem Laufenden.
5. November 2025 @ 14:22
Genau diese Probleme haben viele Unternehmen und andere institutionelle Stellen auch. Im Grunde kann man Microsoft 365 nicht rechtssicher in Europa betreiben, aber mangels wirklicher Alternativen kommt man nicht an Microsoft vorbei. Also wird kollektiver „Rechtsbruch“ billigend in Kauf genommen, auch von Aufsichtsbehörden!
Die fortschreitende Integration von KI trägt ebenfalls nicht gerade zur Verbesserung der Situation bei. So bleibt es bei einer sehr theoretisierten Beschäftigung von Aufsichtsbehörden und Gerichten ohne pragmatische Lösungen zu haben. „Vogel friss oder stirb“.