Ein Paukenschlag für den Datenschutz an Schulen:
Die österreichische Datenschutzbehörde (DSB) hat entschieden, dass Microsoft mit seinem weitverbreiteten Softwarepaket „Microsoft 365 Education“ mehrfach gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat. Besonders schwer wiegt der Befund, dass Tracking-Cookies ohne Einwilligung gesetzt und Auskunftsersuchen unzureichend beantwortet wurden.
Die am 10. Oktober 2025 veröffentlichte Entscheidung, die auf eine Beschwerde der Datenschutz-NGO noybzurückgeht, verdeutlicht die strukturellen Probleme im Umgang mit Schüler*innendaten und die ungleiche Verteilung von Verantwortung zwischen globalen Technologiekonzernen und lokalen Bildungseinrichtungen.
Das Machtungleichgewicht zwischen Schulen und Tech-Giganten
Auslöser war die Beschwerde eines Vaters, der für sein Kind Auskunft über die von Microsoft verarbeiteten Daten verlangte.
Was folgte, war ein monatelanges Hin und Her: Microsoft verwies auf die Schule, die Schule hatte jedoch keinen Zugriff auf die bei Microsoft gespeicherten Daten. Dieses „Verantwortungs-Ping-Pong“ machte es Eltern und Schüler*innen faktisch unmöglich, ihre durch die DSGVO garantierten Rechte wahrzunehmen.
Felix Mikolasch, Datenschutzjurist bei noyb, kommentiert die Entscheidung:
„Microsoft hat versucht, fast die gesamte Verantwortung für Microsoft 365 Education auf die Schulen oder andere nationale Einrichtungen abzuwälzen. Die österreichische DSB hat nun entschieden, dass das nicht geht. Wir begrüßen diese Entscheidung.“
(noyb.eu, 10. Oktober 2025)
| Verstoß | Beschreibung |
|---|---|
| Illegales Tracking | Microsoft setzte ohne Einwilligung der Nutzer*innen Tracking-Cookies (u. a. MC1, FPC, MSFPC, MicrosoftApplicationsTelemetryDeviceId). Weder die Schule noch das Bildungsministerium hatten Kenntnis davon. |
| Verletzung des Auskunftsrechts (Art. 15 DSGVO) | Microsoft kam der Aufforderung zur vollständigen Datenauskunft nicht nach. |
| Verletzung der Informationspflichten (Art. 13 DSGVO) | Schule und Bildungsministerium informierten Betroffene unzureichend über die Datenverarbeitung. |
| Mangelnde Transparenz | Microsoft erläuterte weder hinreichend die Zwecke der Verarbeitung („Business Modeling“, „Energieeffizienz“) noch die möglichen Empfänger wie LinkedIn, OpenAI oder Xandr. |
Die Behörde ordnete an, dass Microsoft alle unzulässig erhobenen Tracking-Daten prüfen und gegebenenfalls löschen muss.
Zudem muss das Unternehmen vollständige Auskunft über die verarbeiteten Daten erteilen – einschließlich der Offenlegung, ob personenbezogene Daten an Tochterfirmen oder Partnerunternehmen weitergegeben wurden.
Folgen für den Bildungssektor in Europa
Die Entscheidung hat Signalwirkung über Österreich hinaus. Microsoft 365 Education wird europaweit an Millionen Schulen eingesetzt – vielfach ohne ausreichende datenschutzrechtliche Prüfung. Das Urteil stellt die Rechtmäßigkeit des Einsatzes der Software in ihrer derzeitigen Form grundsätzlich infrage.
Schon seit Jahren warnen Datenschutzbehörden in Deutschland, Österreich und der Schweiz vor dem Einsatz von US-Cloud-Produkten im Bildungsbereich. Die Deutsche Datenschutzkonferenz (DSK) hatte bereits mehrfach betont, dass eine datenschutzkonforme Nutzung von Microsoft 365 „kaum möglich“ sei – insbesondere wegen des potenziellen Datenzugriffs durch US-Behörden und der mangelnden Transparenz über Datenflüsse.
Das aktuelle DSB-Urteil geht jedoch einen Schritt weiter:
Erstmals werden konkrete DSGVO-Verstöße festgestellt, und Microsoft wird direkt verpflichtet, die Verarbeitungspraxis zu ändern. Damit entsteht europaweit erheblicher Druck auf den Konzern, seine Produkte an die europäischen Datenschutzstandards anzupassen.
Max Schrems, Vorsitzender von noyb, fasst die Problematik zusammen:
„Wir haben es mit Big-Tech-Anbietern zu tun, die versuchen, die ganze Macht an sich zu reißen, aber die gesamte Verantwortung auf ihre europäischen Kund*innen abzuwälzen.
Wenn Microsoft das Setup seiner Produkte nicht grundlegend ändert, können europäische Bildungseinrichtungen ihre rechtlichen Pflichten nicht erfüllen.“
(noyb.eu, 10. Oktober 2025)
Microsoft reagiert zurückhaltend
Microsoft erklärte in einer ersten Stellungnahme, man werde die Entscheidung „prüfen“ und sei weiterhin überzeugt, dass Microsoft 365 Education „alle erforderlichen Datenschutzstandards erfüllt“.
Das Unternehmen betonte, eng mit Aufsichtsbehörden und Kund*innen in Europa zusammenzuarbeiten, um „höchste Datenschutz- und Sicherheitsstandards“ sicherzustellen.
(The Record, 10.10.2025; The Register, 11.10.2025)
Was bedeutet das für österreichische Schulen?
Für Schulleitungen und IT-Verantwortliche bedeutet das Urteil eine Zäsur.
Viele Schulen sind auf Microsoft-Produkte angewiesen, um digitalen Unterricht zu gestalten – gleichzeitig trägt die DSB-Entscheidung unmissverständlich vor Augen, dass Schulen als Verantwortliche im Sinne der DSGVO handeln und nicht allein auf Anbieterangaben vertrauen dürfen.
Kurzfristig müssen Bildungseinrichtungen von Microsoft klare datenschutzrechtliche Informationen einfordern – etwa durch Datenschutz-Folgenabschätzungen und vollständige Dokumentation der Datenverarbeitung.
Langfristig wird eine strategische Neuausrichtung notwendig sein:
Der Aufbau europäischer oder Open-Source-basierter Alternativen gewinnt an Bedeutung, um die digitale Souveränität des österreichischen Bildungssystems zu sichern.
Es geht um nicht weniger als die Frage, wem wir die Daten der nächsten Generation anvertrauen.
Quellen
[1] noyb (10. Oktober 2025). noyb win: Microsoft 365 Education tracks school children. https://noyb.eu/en/noyb-win-microsoft-365-education-tracks-school-children
[2] Born, G. (13. Oktober 2025). Österreichs Datenschutzbehörde: Microsoft 365 Education trackt Schüler illegal. Borns IT- und Windows-Blog. https://www.borncity.com/blog/2025/10/13/oesterreichs-datenschutzbehoerde-microsoft-365-education-trackt-schueler-illegal/
[3] Smalley, S. (10. Oktober 2025). Microsoft violated EU law in handling of kids’ data, Austrian privacy regulator finds.The Record. https://therecord.media/microsoft-violated-eu-law-austria
[4] The Register (11. Oktober 2025). Austria rules Microsoft illegally tracked school children using 365 Education.
