„Microsoft“ überwacht illegalerweise Schüler*innen, die Software des Unternehmens verwenden, befand die österreichische Datenschutzbehörde. Das Luxemburger Bildungsministerium sieht hingegen keinen Grund zur Sorge.

(© Pixabay)

Anfang Oktober veröffentlichte die österreichische Datenschutzbehörde eine Entscheidung zu einer Beschwerde einer Schülerin, die Bildungsprodukte von Microsoft betrifft. Die Behörde stellte mehrere Verstöße gegen die Datenschutzgrundverordnung (DSGVO) der EU fest: Der Softwarekonzern sei seinen Pflichten zur Information nicht ausreichend nachgekommen, außerdem seien minderjährige Schüler*innen illegal von der Firma „getrackt“, also deren Bewegungen im Internet verfolgt worden.

Die Software verwendete ohne Zustimmung sogenannte Tracking-Cookies. Das sind kleine Dateien, mit denen Websites Besucher*innen wiedererkennen können. Weder die Schule noch das österreichische Bildungsministerium hatte davon Kenntnis. Laut Microsoft sollen diese Daten lediglich für „legitime Geschäftstätigkeiten“ verwendet werden. Was damit genau gemeint ist, wollte die Firma nicht preisgeben – was die österreichische Behörde für widerrechtlich hält. Es sei davon auszugehen, dass Microsoft Daten der Schülerin an das soziale Geschäftsnetzwerk „LinkedIn“, an die „künstliche Intelligenz“-Firma „OpenAI“ und an das Werbeunternehmen „Xandr“ weitergegeben habe.

„Microsoft argumentiert immer, dass seine Bildungsprodukte datenschutzfreundlich sind. Dieses Verfahren hat gezeigt, dass dies nicht wirklich der Fall ist”, kommentierte Felix Mikolasch, Datenschutzjurist beim „Europäischen Zentrum für digitale Rechte“ (noyb), das die Schülerin bei ihrer Beschwerde unterstützte. Der Verein, der sich für Datenschutz einsetzt und diesen vor allem auf juristischem Weg durchsetzt, betonte zudem, dass es für Schulen schier unmöglich sei, Schüler*innen und Eltern darüber zu informieren, was mit ihren Daten passiere. Dies könnte weitreichende Konsequenzen für Microsoft haben: Wer seinen Nutzer*innen nicht erklären könne, auf welche Weise ihre Daten verwendet werden, erfülle nicht die Anforderungen der DSGVO.

Auch in Luxemburg wird das Produktpaket von Microsoft an öffentlichen Schulen eingesetzt. Auf dem Portal education.lu wird prominent in der Seitennavigation zur Log-in-Seite des US-amerikanischen Softwaregiganten verlinkt. Außerdem werden die Produkte intensiv beworben. Zum einen wird Lehrer*innen nahegelegt, ihre Unterrichtsmaterialien mit der Software zu gestalten und in der Cloud des Unternehmens abzulegen, zum anderen werden Schüler*innen dazu ermutigt, die Produkte auf ihren Geräten zu installieren. So werden beispielsweise Anleitungen verlinkt, wie man mit dem Notizprogramm „OneNote“ den Lernalltag bewältigen kann – diese stammen jedoch alle von Microsoft selbst.

Unerschöpfliches Vertrauen in Microsoft

Das „Centre de gestion informatique de l’éducation“ des hiesigen Bildungsministeriums hat einen Vertrag mit Microsoft abgeschlossen, der die Nutzung für Luxemburgs Schüler*innen und Schulpersonal ermöglicht. Dieser entspreche, so heißt es auf der Microsoft-Werbesite von education.lu, den Richtlinien der DSGVO und den Vorgaben der Luxemburger Datenschutzbehörde (CNPD). Die Daten befänden sich auf Servern in Irland oder den Niederlanden, also in der EU. Das kleine Detail, dass die US-Regierung wohl mittels „Cloud Act“ ebenfalls darauf zugreifen kann, wird verschwiegen.

Das Bildungsministerium habe kürzlich „bei den Verantwortlichen von Microsoft Education eine offizielle Stellungnahme zu den Vorwürfen der österreichischen Datenschutzbehörde“ erbeten, so eine Sprecherin des Ministeriums auf Anfrage der woxx. Den amtlichen Bescheid der österreichischen Behörde, der rechtlich bindend ist, betrachtet das Luxemburger Ministerium also lediglich als „Vorwurf“. Das Vertrauen in den US-Konzern scheint unerschöpflich zu sein: „In ihrer Antwort unterstrichen die Verantwortlichen von Microsoft, dass Microsoft 365 Education alle Pflichten der Datenschutzbestimmungen erfüllt und dass alle Institutionen im schulischen Sektor Microsoft Education 365 weiterhin DSGVO-konform einsetzen können“, meint die Ministeriumssprecherin versichern zu können. Der Softwarehersteller plane überdies, gegen die Entscheidung der österreichischen Behörde Einspruch einzulegen. Damit ist die Sache für das Ministerium scheinbar erledigt – Microsoft kann unterdessen weiter die Daten auch minderjähriger Schüler*innen ernten.