„Microsoft 365 Education darf Schüler nicht tracken“ – Österreichs Entscheidung stärkt Datenschutz in Deutschland -

Kein „Upsi“ — sondern erwartete Rechtsdurchsetzung

Die österreichische Datenschutzbehörde (DSB) hat entschieden, dass Microsoft 365 Education Schüler nicht tracken darf und Microsoft verpflichtet ist, umfassend Auskunft über die Datenverarbeitung zu geben.
Die Entscheidung folgt einer Beschwerde der Datenschutzorganisation noyb und basiert auf konkreten Ermittlungen zu Tracking-Cookies und intransparenten Datenflüssen in der Bildungs-Cloud.
Quelle: noyb.eu – Microsoft 365 Education darf Schüler nicht tracken

Dass dies keine Überraschung ist, zeigen zahlreiche Warnungen von Datenschützern und Bürgerrechtsorganisationen. Microsofts Dokumentation war oft vage, Verantwortlichkeiten wurden zwischen Anbieter und Schulen hin- und hergeschoben, und Tracking lief häufig ohne klare Rechtsgrundlage.
Diese Muster wiederholen sich europaweit.

Warum Österreichs Entscheidung auch Deutschland stärkt

1. Präzedenzwirkung für Europa

Entscheidungen nationaler Aufsichtsbehörden haben Signalwirkung. Wenn die DSB Microsoft als Verantwortlichen identifiziert und Tracking beanstandet, stärkt das die Argumentationslage von Beschwerdeführern und Datenschutzbehörden in anderen Staaten – auch in Deutschland.

2. Probleme kennen keine Grenze

Cloud-Dienste wie Microsoft 365 laufen über internationale Serverinfrastrukturen. Was in Österreich festgestellt wurde, betrifft deutsche Schulen gleichermaßen: unklare Auftragsverhältnisse, Telemetrie, und Daten, die über US-Dienste verarbeitet werden.

3. Stärkung der Datenschützer in Deutschland

Das Urteil liefert eine solide Basis für Landesbehörden wie die LDI NRW, künftig schärfer gegen intransparente Systeme in Schulen vorzugehen. Es bestärkt Eltern, Lehrkräfte und Schulträger, endlich klare Verträge und Datenschutzprüfungen zu fordern.

Kernprobleme, die das Urteil bestätigt

Intransparenz: Microsofts Datenschutzdokumente sind schwer verständlich und lassen Verantwortlichkeiten offen.
Tracking ohne Rechtsgrundlage: Telemetrie und Cookies sammelten Daten ohne ausreichende Einwilligung oder Zweckbindung.
Auskunftsverweigerung: Anfragen wurden unzureichend beantwortet; Microsoft verwies auf Schulen, Schulen auf Microsoft – ein Kreislauf der Verantwortungslosigkeit.

Was Schulen und Behörden jetzt tun sollten

Verträge und technische Setups prüfen:
Schulen und Schulträger müssen ihre Microsoft-Installationen, Cloud-Einstellungen und Telemetrieoptionen überprüfen lassen. Entscheidungen dürfen nicht nur auf Versprechen beruhen.
Auskunftsrechte konsequent nutzen:
Eltern und Lehrkräfte sollten aktiv Auskunft über gespeicherte Daten einfordern. Das Urteil aus Österreich gibt dafür rechtliche Rückendeckung.
Unabhängige Prüfstellen einbinden:
Datenschutzbeauftragte, IT-Sachverständige und freie Auditoren sollten regelmäßig prüfen, ob Systeme DSGVO-konform arbeiten.
Europäische Alternativen fördern:
Investitionen in datenschutzfreundliche, offene Lösungen – etwa Nextcloud, Moodle oder Open Source-Bürosoftware – müssen Priorität haben.

Fazit: Kein Einzelfall, sondern ein Weckruf

Die Entscheidung aus Österreich ist keine Panne, sondern ein Warnsignal. Sie zeigt, dass Datenschutz auch gegenüber Tech-Giganten durchsetzbar ist – wenn man den Mut hat, es zu tun.
Für Deutschland heißt das: Wegsehen ist keine Option mehr.
Wer die Daten von Schülerinnen und Schülern schützt, schützt die Demokratie.
Wer sie aus Bequemlichkeit in Cloud-Systeme ohne Kontrolle lädt, gefährdet die Zukunft digitaler Bildung.

Quellen (geprüft)

noyb.eu – Microsoft 365 Education darf Schüler nicht tracken

Datenschutz Schule Microsoft365 DSGVO SchutzvonKindern NRW