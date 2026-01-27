Österreichische DatenschutzbehördeMicrosoft hat illegal Minderjährige getrackt

Microsoft hat auf dem Rechner einer österreichischen Schülerin ohne deren Zustimmung Tracking-Cookies installiert und so persönliche Daten abgegriffen. Die österreichische Datenschutzbehörde hat nun festgestellt, dass der Datenabfluss illlegal war. Auch andere Microsoft-Nutzende können von illegalen Microsoft-Cookies betroffen sein.

Ein Bildschirm mit dem Logo von Microsoft 365
Microsoft 365 Education nutzt Trackingcookies, ohne das Einverständnis der Betroffenen einzuholen. – Alle Rechte vorbehalten IMAGO / Zoonar

In vielen Schulen arbeiten Schüler*innen mit dem Softwarepaket Microsoft 365 Education. Doch das spielt scheinbar rechtswidrig Tracking-Cookies aus. Damit steht die Nutzung von Microsoft 365 Education – womöglich sogar aller Microsoft-365-Produkte – in der EU generell in Frage.

Die österreichische Datenschutzbehörde entschied im Fall einer Schülerin, die Microsoft 365 Education über einen Browser nutzte. Dabei installierte Microsoft ohne Wissen und Zustimmung der Schülerin fünf Tracking-Cookies auf deren Gerät. Wie ein Netzwerk-Mitschnitt belegt, wurden nachfolgend persönliche Informationen der Schülerin an Microsoft gesendet. Und das obwohl die Schülerin zuvor in den Datenschutzeinstellungen wo immer möglich die Datenübermittlung abgelehnt hatte.

Die Datenschutzbehörde hat Microsoft nun aufgefordert, das Tracking der Beschwerdeführerin innerhalb von vier Wochen einzustellen. Sollte Microsoft nicht einlenken, sind Geldstrafen möglich. Die Verbraucherschutzorganisation noyb, die die zugrundeliegende Beschwerde bei der Datenschutzbehörde eingereicht hatte, geht allerdings davon aus, dass Microsoft vor das österreichische Bundesverwaltungsgericht zieht.

Max Schrems von noyb sagt: „Unternehmen und Behörden in der EU sollten konforme Software verwenden. Microsoft hat es erneut versäumt, die gesetzlichen Vorschriften einzuhalten.“

Die Verantwortung von Microsoft

Die Cookies wurden 2023 gefunden. 2024 hat die Schülerin gemeinsam mit der NGO noyb Beschwerden darüber bei der Schule, der Schulbehörde und bei Microsoft eingereicht. Microsoft erklärte laut noyb daraufhin, dass die Schulen, die Microsoft 365 Education einsetzen, selbst für den Datenschutz zuständig seien.

In der zugrundeliegenden Beschwerde schreibt noyb, dass es problematisch sei, wie die Verantwortung für die Datenverarbeitung in den Microsoft-Verträgen geregelt sei: „Für die betroffenen Personen führt dies zu Situationen, in denen der vermeintliche ‚Auftragsverarbeiter‘ (hier: Microsoft) nicht auf die Ausübung der Rechte aus der DSGVO reagiert, während der vermeintliche ‚Verantwortliche‘ (hier: die Schule) nicht in der Lage ist, solchen Anfragen nachzukommen.“

2025 hatte die Datenschutzbehörde sich schon einmal mit dem Fall beschäftigt und festgestellt, dass Schule, Schulbehörde und Microsoft die Schülerin über die Datenerhebung hätten informieren und umfassend auf eine Anfrage der Schülerin nach den erhobenen Daten antworten müssen.

Microsoft-Cookies auch bei Erwachsenen problematisch

Der aktuelle Beschluss beschäftigt sich nun konkret mit den Tracking-Cookies, die Microsoft auf dem Gerät der Schülerin installierte. Solche Cookies schneiden das Nutzungsverhalten mit, identifizieren Nutzende eindeutig und werden oft zum Ausspielen von Werbung genutzt.

Laut noyb hat Microsoft gegenüber der österreichischen Datenschutzbehörde versucht, die EU-Tochtergesellschaft in Irland für zuständig zu erklären. Dort werden EU-Datenschutzbestimmungen kaum durchgesetzt. Doch die Datenschutzbehörde stellte fest, dass die relevanten Entscheidungen in den USA getroffen werden.

Weil das unautorisierte Tracking nicht nur bei Minderjährigen illegal ist, geht noyb davon aus, dass die Nutzung von Microsoft 365 auch bei erwachsenen EU-Usern juristische Probleme aufwirft. Tracking erscheine auch in Microsoft 365, also der gewöhnlichen Office Suite, wahrscheinlich, wenn dies selbst bei Minderjährigen in Microsoft 365 Education stattfinde. Die deutschen Datenschutzbehörden hatten bereits 2022 festgestellt, dass Microsoft 365 nicht DSGVO-konform betrieben werden kann.

Über die Autor:in

Martin ist seit 2024 Redakteur bei netzpolitik.org. Er hat Soziologie studiert, als Journalist für zahlreiche Medien gearbeitet, von ARD bis taz, und war lange Redakteur bei Berliner Stadtmagazinen, wo er oft Digitalthemen aufgegriffen hat. Martin interessiert sich für Machtstrukturen und die Beziehungen zwischen Menschen und Staaten und Menschen und Konzernen. Ein Fokus dabei sind Techniken und Systeme der Überwachung.

Kontakt: E-Mail (OpenPGP), Mastodon, Signal: yoshi.42042

Ben macht seit September 2025 einen Bundesfreiwilligendienst bei netzpolitik.org. Für Bahn bezogene Themen ist er stets begeisterungsfähig.

Kontakt: E-Mail (OpenPGP)

Veröffentlicht 27.01.2026 um 16:52
  1. Nicht nur Microsoft 365 kann nicht nach DSGVO betrieben werden. Das gesamte Betriebssystem ist illegal, und soviele Menschen finden das auch noch in Ordnung.

    Und ein Macintosh-Produkt zuzulegen wird ebenfalls nichts bringen.

    Einzig dezentrale Linux-Distributionen, welche prinzipiell nicht trackfähig sind, sollten Menschen benutzen.

    Antworten

  2. So sehr ich auch fuer den Datenschutz bin – Dieser Bericht ist komplett einseitig, gegen MS.

    „Und das obwohl die Schülerin zuvor in den Datenschutzeinstellungen wo immer möglich die Datenübermittlung abgelehnt hatte.“ – Lass uns mal von uns ausgehen, wem ist es nicht schon passiert, Zack, falsch geklickt, ‚cookie‘ angenommen. Hier wird von der AT-Datenschutzbehoerde suggeriert, dass der Schuelerin noch NIE ein Cookie-Banner-Missclick passiert ist – Ja Genau!!11

    Ausserdem, ob MS nun Minderjaehrige?? oder Volljaehrige trackt ist voellig egal! – Klassische Polemik ‚minderjaehrig‘. Da haette ich mir mehr erwartet von einer „Datenschutzbehoerde“

    Antworten

    1. Die Aussage „Microsoft trackt Minderjährige“ ist nicht polemisch, weil sie auf den geschilderten Sachverhalt zutrifft, da es sich um eine Software handelt, die an Schulen eingesetzt wird. Daher wäre noch zutreffender eine Aussage wie „Microsoft trackt wissentlich und mit voller Absicht Minderjährige“.

      Ich kann mich nicht erinnern, dass ich bei Cookie-Anfragen jemals versehentlich auf „Akzeptieren“ geklickt hätte (der „Akzeptieren“-Button ist ja ohnehin oft optisch hervorgehoben, so dass man deutlich sehen kann, wohin man n-i-c-h-t klicken will); schon gar nicht dürfte einem das beim Einrichten einer Software oder eines Dienstes passieren, weil man das sowieso mit erhöhter Aufmerksamkeit tut.

      Mich würde auch interessieren, was an diesem Artikel ‚einseitig gegen Microsoft‘ sein soll. Was müsste denn im Artikel stehen, damit er nicht einseitig wäre?

      Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.