De Oostenrijkse privacytoezichthouder DSB heeft geoordeeld dat Microsoft 365 Education illegaal studenten volgt. De software gebruikt studentendata voor eigen doeleinden en weigerde toegang tot persoonsgegevens, waardoor scholen in een onmogelijke positie belanden.
Tijdens de COVID-pandemie stapten scholen wereldwijd razendsnel over naar clouddiensten. Microsoft bood direct ‘educatieve’ producten aan. Tegelijkertijd werd de verantwoordelijkheid voor privacynaleving afgeschoven op scholen en nationale autoriteiten.
De fundamentele spanning kwam aan het licht toen een student toegang verzocht tot zijn persoonlijke data. Microsoft verwees simpelweg door naar de lokale onderwijsinstelling, die op haar beurt slechts minimale informatie kon verstrekken omdat ze geen toegang heeft tot gegevens die bij Microsoft liggen. Het resultaat: niemand die GDPR-rechten kon waarborgen.
“Microsoft probeerde bijna alle verantwoordelijkheden voor Microsoft 365 Education af te schuiven naar scholen of andere nationale instellingen”, reageert Felix Mikolasch van privacyorganisatie noyb. De Oostenrijkse DPA heeft besloten dat dit niet kan.
Tracking cookies zonder toestemming
De toezichthouder ontdekte meerdere GDPR-overtredingen tijdens het onderzoek. Microsoft 365 Education gebruik blijkt tracking cookies zonder toestemming in te zetten, wat illegaal is. Opmerkelijk genoeg beweerden zowel de betrokken school als het Oostenrijkse ministerie van Onderwijs tijdens de procedure niet op de hoogte te zijn van deze tracking cookies.
Voor deze overtreding heeft de Oostenrijkse autoriteit nu bevolen alle relevante persoonsgegevens te verwijderen. Daarnaast schond Microsoft het recht op toegang onder artikel 15 GDPR door geen volledige inzage te verlenen in de gegevens van de klager.
Gebrek aan transparantie
De toezichthouder stelde vast dat Microsoft het ministerie van Onderwijs onvoldoende informeerde over de dataverwerking. Hierdoor is het voor scholen praktisch onmogelijk om aan hun GDPR-verplichtingen te voldoen.
“Het besluit van de Oostenrijkse DPA toont echt het gebrek aan transparantie met Microsoft 365 Education aan. Het is vrijwel onmogelijk voor scholen om studenten, ouders en leraren te informeren over wat er met hun data gebeurt”, aldus Mikolasch.
Microsoft moet nu uitleggen wat het precies betekent dat data wordt gebruikt voor “zakelijke doeleinden” zoals “business modeling” of “energie-efficiëntie”. Ook moet duidelijk worden of persoonsgegevens zijn gedeeld met LinkedIn, OpenAI of tracking bedrijf Xandr.
Ierland-constructie afgewezen
Microsoft probeerde tijdens de procedure te beargumenteren dat eigenlijk hun Europese dochterbedrijf in Ierland verantwoordelijk is voor Microsoft 365-producten in Europa. De toezichthouder verwierp dit argument en stelde vast dat Microsoft US de relevante beslissingen neemt. Amerikaanse techbedrijven beweren regelmatig onder Ierse jurisdictie te vallen, omdat de Ierse privacytoezichthouder bekendstaat om nauwelijks EU-recht te handhaven.
De uitspraak heeft mogelijk verstrekkende gevolgen voor het zakelijke model van Microsoft in Europa, waar privacywetgeving steeds strenger wordt gehandhaafd. Microsoft 365 Education wordt door miljoenen studenten en leraren in Europa gebruikt, terwijl de standaard Microsoft 365-variant wordt ingezet bij talloze bedrijven en overheden.
Het correct informeren van gebruikers over dataverwerking is wettelijk verplicht, maar zonder duidelijkere informatie en meer bevoegdheden voor klanten lijkt het gebruik van Microsoft 365 nauwelijks verenigbaar met EU-wetgeving. Duitse privacytoezichthouders hebben Microsoft 365 al eerder beoordeeld als onvoldoende voor GDPR-eisen.
Tip: Microsoft 365-storing raakt Teams en Exchange wereldwijd