Microsoft 365 Education: Österreich verhängt DSGVO-Stopp
13.10.2025 - 17:15:02Österreichs Datenschutzbehörde verurteilt Microsoft wegen systematischer DSGVO-Verstöße bei Schülerdaten. Das Urteil betrifft Tracking ohne Einwilligung und unvollständige Datenauskünfte.
Datenschutzverstöße im Klassenzimmer sorgen für EU-weites Beben bei Bildungstechnologie.
Die österreichische Datenschutzbehörde (DSB) hat Microsoft wegen schwerwiegender DSGVO-Verstöße in die Schranken gewiesen. Das Urteil zu Microsoft 365 Education könnte die Bildungslandschaft in der gesamten EU erschüttern.
Der Tech-Riese habe systematisch Schülerdaten für eigene Zwecke missbraucht, Tracking-Cookies ohne Einverständnis gesetzt und den Zugang zu persönlichen Informationen verschleiert. Was besonders brisant ist: Weder Schulen noch das österreichische Bildungsministerium waren über diese Praktiken informiert.
Verstecktes Tracking in Schulnetzen aufgedeckt
Die Behörde deckte mehrere gravierende Verstöße auf. Microsoft nutzte Tracking-Cookies ohne die erforderliche Rechtsgrundlage – eine Praxis, die sowohl der betroffenen Schule als auch dem Bildungsministerium völlig unbekannt war. Alle auf diesem Weg gesammelten Daten müssen nun gelöscht werden.
Noch schwerer wiegt der Verstoß gegen das Auskunftsrecht nach Artikel 15 der DSGVO. Als ein Schüler Einsicht in seine gespeicherten Daten forderte, verweigerte Microsoft eine vollständige Offenlegung. Das Unternehmen muss nun detailliert erklären, wie es Schülerdaten für eigene Geschäftszwecke nutzt – etwa für „Business-Modellierung“ und „Energieeffizienz“.
Besonders heikel: Die Behörde fordert Klarstellung, ob persönliche Daten an Dritte wie LinkedIn, OpenAI oder das Tracking-Unternehmen Xandr weitergegeben wurden.
Das perfide System der Verantwortungsverschiebung
Die DSB prangert Microsofts „Drei-Wege-Verantwortungsverschiebung“ an. Das Unternehmen schiebt die DSGVO-Verantwortung auf Schulen ab – obwohl diese keinerlei Kontrolle über die komplexe Datenverarbeitung in Microsofts Cloud-Infrastruktur haben.
Ein Teufelskreis entstand: Schulen sind rechtlich verantwortlich, aber praktisch machtlos. Bei Auskunftsersuchen verwies Microsoft an die Schulen, die wiederum keinen Zugang zu den bei Microsoft gespeicherten Daten hatten.
„Microsoft versuchte, fast alle Verantwortlichkeiten für Microsoft 365 Education auf Schulen oder nationale Institutionen zu verschieben. Die österreichische DSB hat nun entschieden: Das funktioniert nicht“, erklärt Felix Mikolasch, Datenschutzanwalt bei der Beschwerdeführerin noyb.
Anzeige: Während viele Schulen ihre Abhängigkeit von großen Cloud-Anbietern hinterfragen, lässt sich eine Alternative risikolos testen: Linux parallel zu Windows – ohne Datenverlust und ohne Lizenzkosten. Das kostenlose Linux-Startpaket enthält eine Ubuntu-Vollversion plus Schritt-für-Schritt-Anleitung für die sichere Parallelinstallation – für mehr Tempo, Stabilität und Kontrolle. Linux-Startpaket jetzt gratis sichern
Millionen Schüler in Europa betroffen
Die Beschwerde geht auf die Datenschutzorganisation noyb zurück, gegründet von Aktivist Max Schrems. 2024 reichte sie Klage im Namen eines minderjährigen Schülers ein – gegen die Schule, die Bildungsbehörde, das Bildungsministerium und Microsoft selbst.
Der Vorwurf: Keiner der Beteiligten konnte angemessen auf Auskunftsersuchen reagieren. Die systematische Cookie-Nutzung betrifft vermutlich Millionen von Schülern und Lehrern in Europa, wo Microsoft 365 Education weit verbreitet ist.
„Die Entscheidung der österreichischen DSB verdeutlicht den Mangel an Transparenz bei Microsoft 365 Education“, so Mikolasch. „Es ist für Schulen nahezu unmöglich, Schüler, Eltern und Lehrer darüber zu informieren, was mit ihren Daten geschieht.“
Wendepunkt für Bildungstechnologie in Europa
Das österreichische Urteil ist mehr als ein lokaler Einzelfall – es setzt einen bedeutsamen Präzedenzfall für die gesamte EU. Die rasante Verbreitung von Cloud-Plattformen wie Microsoft 365 Education, beschleunigt durch die Corona-Pandemie, erfolgte oft ohne gründliche Prüfung der Datenverarbeitungsverträge.
Jahrelang warnten Datenschützer vor mangelnder Transparenz bei Bildungstechnologie und der kommerziellen Ausnutzung von Schülerdaten. Die DSB-Feststellung, dass Microsoft diese Daten für eigene Geschäftszwecke nutzt, bestätigt diese Befürchtungen.
Max Schrems, Vorsitzender von noyb, sieht weitreichende Konsequenzen: „Wenn Microsoft die Struktur seiner Produkte nicht grundlegend ändert, werden europäische Geschäftskunden nicht in der Lage sein, ihren Verpflichtungen nachzukommen.“
Was folgt auf das Urteil?
Microsoft kündigte an, die Entscheidung zu prüfen, beharrt aber darauf, dass die Bildungssoftware „alle erforderlichen Datenschutzstandards erfüllt“. Das Unternehmen könnte das Urteil anfechten.
Der Druck auf Microsoft steigt: Andere europäische Datenschutzbehörden könnten ähnliche Untersuchungen starten. Für Schulen und Bildungsministerien in der EU dient das Urteil als deutliche Warnung. Sie müssen ihre Verträge mit Tech-Riesen überdenken und mehr Kontrolle über Schülerdaten einfordern.
Anzeige: Passend zum Thema Datensouveränität: Prüfen Sie in wenigen Minuten, ob Linux Ihre Anforderungen erfüllt – auf dem bestehenden PC, ganz ohne Risiko. Das Gratis-Startpaket führt Sie durch Download, Installation und die ersten Schritte in Ubuntu; ideal zum Test neben Windows. Kostenloses Linux-Startpaket anfordern
Österreichs Schulen stehen derweil vor einem Dilemma: gefangen zwischen DSGVO-Pflichten und ihrer Abhängigkeit von Microsofts digitalen Werkzeugen.
