Ein Präzedenzfall mit Signalwirkung

Die österreichische Datenschutzbehörde hat einen bemerkenswerten Erfolg gegen den Tech-Giganten Microsoft erzielt. Die Entscheidung ist eindeutig: Microsoft hat ohne rechtliche Grundlage Tracking-Cookies auf den Geräten einer Schülerin platziert und muss diese Praxis innerhalb von vier Wochen einstellen. Was auf den ersten Blick wie ein einzelner Fall erscheint, entpuppt sich bei genauerer Betrachtung als Spitze eines Eisbergs, der Millionen von Schülern, Lehrern und öffentlichen Einrichtungen in ganz Europa betrifft.

Die Hintergründe: Ein jahrelanger Kampf gegen Intransparenz

Die Datenschutzorganisation noyb (none of your business) unter der Leitung von Max Schrems hatte bereits im Juni 2024 zwei Beschwerden gegen Microsoft 365 Education bei der österreichischen Datenschutzbehörde eingereicht. Die erste Beschwerde führte im Oktober 2025 zu einem Erfolg: Microsoft wurde zur vollständigen Auskunft nach Artikel 15 DSGVO verpflichtet. Die nun gefällte zweite Entscheidung geht noch weiter und verbietet explizit die Verwendung unrechtmäßiger Tracking-Cookies.

Das Pikante an diesem Fall: Die betroffenen Cookies analysieren laut Microsofts eigener Dokumentation das Nutzungsverhalten, sammeln Browserdaten und werden für Werbezwecke verwendet. Weder die Schule noch das österreichische Bildungsministerium hatten vor den noyb-Beschwerden überhaupt Kenntnis von diesen Tracking-Mechanismen. Felix Mikolasch, Datenschutzjurist bei noyb, bringt es auf den Punkt: “Das Tracking von Minderjährigen ist offensichtlich alles andere als datenschutzfreundlich. Es scheint, als würde Microsoft sich nicht sonderlich um den Datenschutz kümmern, wenn es nicht um Marketing und PR-Aussagen geht.”

Die rechtliche Dimension: Ein klarer Verstoß gegen die DSGVO

Für das Setzen von Tracking-Cookies, die nicht technisch notwendig sind, ist eine ausdrückliche Einwilligung erforderlich. Das regelt sowohl die DSGVO als auch das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Deutschland. Öffentliche Stellen wie Schulen können aufgrund des bestehenden Machtgefälles gegenüber Schülern keine wirksamen Einwilligungen einholen. Das ist in der DSGVO im Erwägungsgrund 43 klar festgelegt.

Noch problematischer wird es, wenn man bedenkt, dass es sich bei den Betroffenen um Minderjährige handelt. Kinder und Jugendliche genießen einen besonderen Schutz im Datenschutzrecht. Das Tracking von Schulkindern für Werbezwecke ist nicht nur rechtlich fragwürdig, sondern auch ethisch inakzeptabel.

Deutschland und Microsoft 365: Eine problematische Beziehung

Die Situation in Deutschland ist nicht minder besorgniserregend. Die Datenschutzkonferenz (DSK), das Gremium aller deutschen Datenschutzaufsichtsbehörden, hatte bereits im November 2022 festgestellt, dass Microsoft 365 die Anforderungen der DSGVO nicht erfüllt. Konkret wurde bemängelt:

• Fehlende Transparenz über die Verarbeitung personenbezogener Daten
• Intransparente Datenflüsse zu Microsoft für eigene Geschäftszwecke
• Unzureichende Auftragsverarbeitungsvereinbarungen
• Problematische Übertragung von Telemetriedaten ohne Rechtsgrundlage

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg führte bereits 2021 ein intensives Pilotprojekt durch, um Microsoft 365 für den Schulbetrieb zu prüfen. Das Ergebnis war vernichtend: Der Datenschutzbeauftragte Stefan Brink riet “aufgrund hoher datenschutzrechtlicher Risiken von der Nutzung der geprüften Version von Microsoft Office 365 an Schulen ab”.

Die Probleme sind vielfältig:

1. Fehlende Kontrolle: Schulen als Verantwortliche haben keine vollständige Kontrolle über das Gesamtsystem und können nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet werden.

2. Internationale Datenflüsse: Daten fließen teilweise in Regionen außerhalb der EU, für die keine ausreichende Rechtsgrundlage existiert.

3. Intransparenz: Microsoft liefert nicht die notwendigen Informationen, damit Schulen ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO nachkommen können.

Das Dilemma der Schulen: Zwischen Digitalisierung und Datenschutz

Besonders problematisch ist die Situation für Schulen. Sie werden mit der Verantwortung für den Datenschutz von Microsoft-Produkten alleingelassen, obwohl sie weder die technischen Möglichkeiten noch die rechtlichen Ressourcen haben, diese Aufgabe zu bewältigen. Die Gewerkschaft Erziehung und Wissenschaft (GEW) kritisiert diese Praxis scharf: “Es ist ein Unding, wenn Schulen und Schulträger für die Einhaltung des Datenschutzes von Microsoft-Produkten verantwortlich gemacht werden, so wie es die derzeitige Rechtsauslegung in Deutschland nahelegt.”

Dirk Thiede, der Schulen datenschutzrechtlich berät, beschreibt das Problem konkret: Die Handreichungen der Datenschutzbehörden seien zwar hilfreich, aber “es gibt bei dieser auf jeden Fall sehr hilfreichen Handreichung nur ein Problem: Das ist die Umsetzung, welche kaum eine Schule alleine wird bewerkstelligen können.”

Warum öffentliche Einrichtungen besonders in der Verantwortung stehen

Öffentliche Einrichtungen wie Schulen, Universitäten und Behörden haben eine besondere Vorbildfunktion. Sie sind dem Gemeinwohl verpflichtet und müssen bei der Verarbeitung personenbezogener Daten höchste Standards anlegen. Die Nutzung von Software, die grundlegende Datenschutzprinzipien verletzt, ist mit diesem Auftrag nicht vereinbar.

Hinzu kommt: Öffentliche Einrichtungen können sich nicht auf das “berechtigte Interesse” als Rechtsgrundlage berufen, das privatwirtschaftlichen Unternehmen zur Verfügung steht. Sie sind auf explizite gesetzliche Grundlagen oder – wo zulässig – auf Einwilligungen angewiesen. Bei Schulkindern ist die Einholung wirksamer Einwilligungen jedoch praktisch unmöglich.

Die Folgen des österreichischen Urteils

Die Entscheidung der österreichischen Datenschutzbehörde hat weitreichende Konsequenzen. Microsoft 365 Education wird von Millionen Schulkindern und Lehrkräften in ganz Europa genutzt. Wenn Microsoft gezwungen ist, das Tracking einzustellen, wirkt sich das auf alle europäischen Nutzer aus.

Doch das Problem beschränkt sich nicht auf den Bildungsbereich. Auch das Standardpaket “Microsoft 365” wird in zahllosen Unternehmen und Behörden eingesetzt. Das Tracking von Nutzern ohne deren Einwilligung verstößt gegen EU-Recht und stellt für alle diese Organisationen ein erhebliches Risiko dar.

Max Schrems, Gründer von noyb, formuliert es deutlich: “Unternehmen und Behörden in der EU sollten konforme Software verwenden. Microsoft hat es erneut versäumt, die gesetzlichen Vorschriften einzuhalten.”

Der Versuch, der irischen Aufsicht zu unterstehen

Ein interessanter Aspekt des Falls: Microsoft versuchte während des Verfahrens zu argumentieren, dass eigentlich seine EU-Tochtergesellschaft in Irland für Microsoft 365-Produkte in Europa zuständig sei. Die österreichische Datenschutzbehörde wies dieses Argument zurück und stellte fest, dass tatsächlich Microsoft USA die relevanten Entscheidungen trifft.

Diese Taktik ist unter US-Technologieunternehmen weit verbreitet. Sie versuchen regelmäßig, der irischen Datenschutzbehörde zu unterstehen, die dafür bekannt ist, EU-Recht weniger streng durchzusetzen als andere europäische Datenschutzbehörden. Die österreichische Entscheidung durchkreuzt dieses Manöver und könnte ein Signal für andere Datenschutzbehörden sein.

Warum Deutschland diesem Beispiel folgen sollte

Deutschland steht vor einer klaren Entscheidung: Sollen öffentliche Einrichtungen weiterhin Software einsetzen, die grundlegende Datenschutzrechte verletzt? Oder sollte die Politik endlich konsequent handeln und datenschutzkonforme Alternativen fördern?

Die Argumente für ein entschiedenes Vorgehen sind überwältigend:

1. Rechtssicherheit für Schulen und Behörden

Derzeit bewegen sich Schulen und Behörden, die Microsoft 365 nutzen, in einer rechtlichen Grauzone. Sie riskieren Bußgelder und Haftungsansprüche, weil sie Software einsetzen, die die DSGVO nicht erfüllt. Nur durch ein klares Signal der Politik und konsequente Durchsetzung durch die Datenschutzbehörden kann diese unhaltbare Situation beendet werden.

2. Schutz der Grundrechte von Kindern

Kinder haben ein Recht auf Privatsphäre und informationelle Selbstbestimmung. Dieses Grundrecht wird systematisch verletzt, wenn sie im Schulkontext Software nutzen müssen, die sie zu Werbezwecken trackt. Der Staat hat die Pflicht, die Grundrechte von Kindern zu schützen – insbesondere in Einrichtungen, für die eine Anwesenheitspflicht besteht.

3. Digitale Souveränität

Die einseitige Abhängigkeit von einem US-amerikanischen Anbieter gefährdet die digitale Souveränität Deutschlands und Europas. Wenn kritische Infrastrukturen wie Schulen und Behörden von Microsoft abhängig sind, gibt Deutschland einen Teil seiner Gestaltungshoheit ab. Die Förderung europäischer und quelloffener Alternativen ist daher auch eine Frage der strategischen Autonomie.

4. Vorbildfunktion des Staates

Der Staat muss bei der Einhaltung von Gesetzen mit gutem Beispiel vorangehen. Wenn öffentliche Einrichtungen Software nutzen, die gegen das Datenschutzrecht verstößt, untergräbt das die Glaubwürdigkeit des Rechtsstaats. Die konsequente Durchsetzung der DSGVO im öffentlichen Sektor würde ein klares Signal an die Privatwirtschaft senden.

5. Wirtschaftliche Chancen

Der Verzicht auf Microsoft-Produkte im öffentlichen Sektor würde einen Anreiz für die Entwicklung europäischer Alternativen schaffen. Deutschland könnte eine Vorreiterrolle einnehmen und damit auch wirtschaftliche Potenziale erschließen. Open-Source-Lösungen könnten gefördert werden, die nicht nur datenschutzkonform, sondern auch kostengünstiger und anpassbarer sind.

Alternativen existieren

Es ist nicht so, als gäbe es keine Alternativen zu Microsoft 365. In Deutschland und Europa existieren zahlreiche datenschutzkonforme Lösungen:

• Lernmanagementsysteme: In Baden-Württemberg werden beispielsweise itslearning und moodle bereitgestellt, beide mit integrierten Videokonferenzlösungen und Möglichkeiten zur kollaborativen Arbeit an Dokumenten.

• Office-Pakete: LibreOffice und andere quelloffene Alternativen bieten vergleichbare Funktionalitäten wie Microsoft Office, ohne dass Daten an US-Server übertragen werden.

• Kollaborationstools: Nextcloud, Matrix und andere europäische Lösungen ermöglichen Zusammenarbeit und Kommunikation unter vollständiger Kontrolle der Verantwortlichen.

• Videokonferenzen: BigBlueButton, Jitsi und andere Open-Source-Lösungen bieten datenschutzkonforme Videokonferenzen.

Das Problem ist nicht die technische Verfügbarkeit von Alternativen, sondern der politische Wille, diese konsequent zu fördern und einzusetzen.

Was jetzt getan werden muss

Um die Situation zu verbessern, sind konkrete Schritte auf verschiedenen Ebenen notwendig:

Auf politischer Ebene:

1. Klare Vorgaben: Die Bundesregierung und die Landesregierungen sollten eindeutige Vorgaben erlassen, dass in öffentlichen Einrichtungen nur datenschutzkonforme Software eingesetzt werden darf.

2. Finanzierung: Die Entwicklung und Implementierung europäischer und quelloffener Alternativen muss finanziell gefördert werden.

3. Übergangsfristen: Einrichtungen, die derzeit Microsoft 365 nutzen, brauchen realistische Übergangsfristen und Unterstützung bei der Migration.

Auf behördlicher Ebene:

1. Konsequente Durchsetzung: Die Datenschutzbehörden müssen die bestehenden Regelungen konsequent durchsetzen und dürfen nicht nur auf Beschwerden reagieren.

2. Öffentliche Kommunikation: Die Risiken der Nutzung nicht-konformer Software müssen klar kommuniziert werden.

3. Beratung und Unterstützung: Schulen und Behörden brauchen Beratung und praktische Hilfe bei der Umsetzung datenschutzkonformer Lösungen.

Auf Ebene der Bildungseinrichtungen:

1. Datenschutz-Folgenabschätzung: Jede Schule sollte eine Datenschutz-Folgenabschätzung für ihre eingesetzte Software durchführen.

2. Transparenz: Eltern, Schüler und Lehrer müssen transparent über die eingesetzte Software und deren Datenverarbeitung informiert werden.

3. Mitbestimmung: Die Schulgemeinschaft sollte bei der Auswahl von Software-Lösungen einbezogen werden.

Internationale Perspektive: Frankreich macht es vor

Während Deutschland noch zögert, hat Frankreich bereits gehandelt. Das französische Bildungsministerium hat den Einsatz der kostenfreien Angebote von Microsoft 365 und Google Workspace an Schulen aus Datenschutzgründen generell untersagt. Diese Entscheidung zeigt, dass ein konsequentes Vorgehen möglich ist.

Auch andere europäische Länder diskutieren ähnliche Maßnahmen. Deutschland sollte nicht abwarten, bis es dazu gezwungen wird, sondern proaktiv handeln und eine Vorreiterrolle einnehmen.

Fazit: Zeit für eine datenschutzfreundliche Digitalisierung

Das österreichische Urteil gegen Microsoft ist mehr als nur ein einzelner Erfolg. Es ist ein deutliches Signal: Die Zeit der Toleranz gegenüber datenschutzwidrigen Praktiken läuft ab. Tech-Konzerne können nicht länger davon ausgehen, dass sie mit intransparenten Geschäftsmodellen und systematischen DSGVO-Verstößen durchkommen – auch nicht im sensiblen Bereich der schulischen Bildung.

Deutschland steht vor einer Weichenstellung. Entweder wir akzeptieren weiterhin, dass unsere Schulkinder zu Produkten für die Werbe- und Datenökonomie amerikanischer Tech-Konzerne werden. Oder wir nehmen unsere Verantwortung ernst und setzen konsequent auf datenschutzkonforme, vorzugsweise europäische und quelloffene Lösungen.

Die Digitalisierung der Bildung ist wichtig und richtig. Aber sie muss im Einklang mit den Grundrechten unserer Kinder stehen. Das ist keine Frage der Machbarkeit, sondern des politischen Willens. Österreich hat gezeigt, dass es möglich ist, gegen mächtige Konzerne zu bestehen. Deutschland sollte diesem Beispiel folgen.

Max Schrems hat recht: “Unternehmen und Behörden in der EU sollten konforme Software verwenden.” Es ist höchste Zeit, dass wir in Deutschland die Konsequenzen aus dieser Erkenntnis ziehen und handeln – zum Schutz unserer Kinder, unserer Grundrechte und unserer digitalen Zukunft.

Weiterführende Informationen:

• noyb: Microsoft muss Tracking von Schulkindern einstellen
• Bundesdatenschutzbeauftragter: Cookies und Tracking-Technologien
• LfDI Baden-Württemberg: Microsoft 365 an Schulen
• Digitalcourage: Finger weg von Microsoft an Schulen
• GEW: Schulen werden mit dem Datenschutz alleingelassen

Siehe auch

• 324.000 Euro für nichts: Hannovers Microsoft-Desaster und das systematische Versagen beim Datenschutz
• Wie Israel Teherans Überwachungskameras hackte – und warum Europa sich das nicht leisten kann
• Digitale Geiselhaft: Wie die Politik Deutschland und Europa wissentlich in die Abhängigkeit trieb
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird