GRC

Illegales Tracking in Microsoft 365 Education: Ein Einzelfall mit Sprengkraft

Illegales Tracking in Microsoft 365 Education: Ein Einzelfall mit Sprengkraft
Photo by Vyshnavi Bisani / Unsplash

Der jüngste Bescheid der österreichischen Datenschutzbehörde ist mehr als nur eine schulbezogene Datenschutzpanne. Er ist ein deutliches Warnsignal für alle Organisationen, die Microsoft-365-Dienste in der EU einsetzen, auch im sensiblen Bildungsbereich.

Der Kern des Falls

Eine österreichische Schülerin nutzte Microsoft 365 Education im Browser. Ohne ihr Wissen und ohne wirksame Einwilligung installierte Microsoft mehrere Tracking-Cookies auf ihrem Endgerät.

Ein technischer Netzwerk-Mitschnitt belegte, dass in weiterer Folge personenbezogene Daten an Microsoft übermittelt wurden obwohl die Betroffene in den Datenschutzeinstellungen jede verfügbare Datenübermittlung abgelehnt hatte.

Die Datenschutzbehörde stellte nun fest, dass dieses Tracking rechtswidrig war. Microsoft wurde aufgefordert, das Tracking binnen vier Wochen einzustellen, andernfalls drohen Sanktionen.

Das ist kein Randthema sondern ein strukturelles Problem

Der Fall wurde von der NGO noyb bei der Datenschutzbehörde eingebracht. Deren Einschätzung ist eindeutig: Hier geht es nicht um einen technischen Fehler, sondern um systemische Defizite im Umgang mit Datenschutz bei Microsoft. Besonders brisant ist dabei die vertragliche Konstruktion:

Microsoft verweist auf die Schulen als Verantwortliche, obwohl diese faktisch keinen Zugriff auf die relevanten Verarbeitungsvorgänge haben. Für Betroffene entsteht ein klassisches Verantwortungs-Vakuum, ein klarer Verstoß gegen die Grundlogik der DSGVO.

Minderjährige heute, alle anderen morgen

Wer glaubt, dieser Fall sei auf Schüler*innen beschränkt, verkennt die Tragweite. Tracking-Cookies dieser Art dienen der eindeutigen Identifikation von Nutzenden und der Analyse des Nutzungsverhaltens. Das sind klassische Zwecke, die auch in kommerziellen Microsoft-365-Umgebungen relevant sind.

Wenn solches Tracking bereits bei Minderjährigen in Microsoft 365 Education erfolgt, stellt sich zwangsläufig die Frage, was in der regulären Office-Suite passiert.

Zur Erinnerung: Deutsche Datenschutzbehörden kamen bereits 2022 zum Schluss, dass Microsoft 365 nicht DSGVO-konform betrieben werden kann. Der aktuelle österreichische Bescheid bestätigt diese Einschätzung auf neuer Faktenbasis.

Der Versuch der Zuständigkeitsflucht

Microsoft argumentierte im Verfahren, dass die irische Tochtergesellschaft zuständig sei. Die Datenschutzbehörde stellte jedoch klar:

Die entscheidenden Weichenstellungen erfolgen in den USA und damit außerhalb der europäischen Datenschutzkontrolle. Auch das ist kein neues Muster, aber eines, das zunehmend rechtlich nicht mehr akzeptiert wird.

Dieser Fall ist kein Ausreißer. Er ist ein weiterer Baustein in einer langen Kette von Entscheidungen, die zeigen, dass Microsoft 365 strukturell kaum DSGVO-konform betrieben werden kann, weder in Schulen noch in Unternehmen oder Behörden.

Für Verantwortliche bedeutet das:

  • Risikobewertung aktualisieren: Microsoft-365-Einsatz neu bewerten, insbesondere bei Browser-Nutzung
  • Transparenz schaffen: Betroffene korrekt informieren
  • Alternativen prüfen: Europäische, datenschutzfreundliche Lösungen ernsthaft evaluieren
  • Verantwortung übernehmen: Datenschutz lässt sich nicht an US-Konzerne auslagern

Datenschutz ist kein Formalthema sondern eine Governance-Frage und zunehmend eine Haftungsfrage.

Read next

Deutsche Datenschutzkonferenz kritisiert "Omnibus" Pläne der EU-Kommission

Deutsche Datenschutzkonferenz kritisiert "Omnibus" Pläne der EU-Kommission

Das von der EU-Kommission geplante „Digitale Omnibus-Paket“ stößt europaweit auf erhebliche Kritik. Neben zahlreichen zivilgesellschaftlichen Organisationen und politischen Akteur:innen hat sich nun auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden im Dezember 2025 deutlich positioniert und schon im vergangenen Dezember grundlegende Bedenken geäußert. Im Rahmen ihrer jüngsten Beratungen wurden die vorgesehenen
Michael Mrak
Warum digitaler Wandel kein Kraftakt sein muss

Warum digitaler Wandel kein Kraftakt sein muss

Die Dominanz US-amerikanischer Big-Tech-Plattformen ist längst kein rein technologisches Thema mehr. Für Organisationen wirkt sie direkt in Governance-Strukturen, Risikoprofile und Compliance-Verantwortung hinein. Monopolartige Abhängigkeiten, intransparente Datenverarbeitung, extraterritoriale Zugriffsrechte und eingeschränkte Steuerbarkeit digitaler Kernprozesse sind keine Randthemen sondern GRC-relevant. Und dennoch herrscht vielfach der Eindruck vor, man könne daran operativ wenig
Privacyofficers
OGH Urteil: Meta muss vollständige Datenauskunft gewähren

OGH Urteil: Meta muss vollständige Datenauskunft gewähren

Meta ist verpflichtet, betroffenen Nutzern binnen 14 Tagen vollständigen Zugang zu sämtlichen personenbezogenen Daten zu gewähren. Dies umfasst ausdrücklich auch Informationen zu Datenquellen, Empfängern sowie den konkreten Verarbeitungszwecken. Sämtliche Einwände von Meta, die sich auf Geschäftsgeheimnisse oder sonstige Einschränkungen stützten, wurden verworfen. Damit eröffnet die Entscheidung einen bislang einzigartigen Einblick
Michael Mrak