Efter en klage fra privacy-aktivisten Max Schrems og hans organisation Noyb har Microsoft nu tabt en klagesag om håndtering af skoleelevers data.
Afgørelsen kommer fra den østrigske datamyndighed Datenschutzbehörde (DSB), efter klagen blev indgivet tilbage i 2024 af Noyb på vegne af en far til en elev.
Myndigheden fandt, at Microsoft ulovligt har hentet data om skoleelever ved hjælp af uddannelsessoftwaren Microsoft 365 Education.
Blandt andet har Microsoft undladt at give elever adgang til deres data samt brugt cookies uden samtykke.
Klageren oplyste, at det ikke var klart, hvad brugerens data blev brugt til.
Derfor har datamyndigheden vurderet, at Microsoft har brudt EU's databeskyttelsesrettigheder for børn.
Microsoft 365 Education omfatter selskabets klassiske kontorsoftware fra Office-pakken i clouden.
DSB har nu pålagt sletning af de relevante persondata.
Derudover skal Microsoft forklare klart, hvad det betyder, at virksomheden bruger data til egne forretningsformål såsom “forretningsmodellering” eller “energieffektivitet”, og om persondata er blevet videregivet til LinkedIn, OpenAI eller trackingfirmaet Xandr.
“Microsoft hævder normalt, at deres uddannelsesprodukter er privatlivsvenlige. Denne sag viser, at det ikke rigtig er tilfældet,” udtaler Felix Mikolasch, databeskyttelsesadvokat hos Noyb, i en meddelelse, der fortsætter:
“Den østrigske DPA’s afgørelse tydeliggør virkelig den manglende gennemsigtighed i Microsoft 365 Education. Det er næsten umuligt for skoler at informere elever, forældre og lærere om, hvad der faktisk sker med deres data.”
Microsoft har i en udmelding oplyst, at selskabet nu vil gennemgå afgørelsen og derefter træffe en beslutning om det næste skridt. Selskabet mener fortsat, at produktet lever op til reglerne.
"Microsoft 365 til uddannelse opfylder alle krævede databeskyttelsesstandarder, og institutioner i uddannelsessektoren kan fortsat bruge det i overensstemmelse med GDPR," meddeler firmaet.
Find afgørelsen her.
Find Noybs meddelelse her.
