Microsoft schendt met de software 365 Education op verschillende punten de AVG, zo heeft Oostenrijkse privacytoezichthouder DSB geoordeeld in een zaak die door privacyorganisatie noyb was aangespannen. Zo worden trackingcookies zonder toestemming geplaatst en voldoet Microsoft niet aan inzageverzoeken. Het techbedrijf moet persoonlijke data die via cookies is verzameld verwijderen en de gevraagde informatie verstrekken.

Tal van Oostenrijkse scholen maken gebruik van Microsoft 365 Education. Een leerling deed een inzageverzoek om te zien welke gegevens Microsoft over hem had verzameld. Microsoft verwees de leerling naar zijn lokale school. De school kon alleen minimale informatie verstrekken, omdat het geen toegang heeft tot de informatie die bij Microsoft is opgeslagen. Daarop startte de leerling samen met noyb een zaak tegen de school, het Oostenrijkse ministerie van Onderwijs en Microsoft.

De Oostenrijkse privacytoezichthouder stelde meerdere AVG-overtredingen vast. Zo maakt Microsoft 365 Education zonder toestemming gebruik van trackingcookies. De DSB oordeelde dat Microsoft relevante persoonlijke data die het op deze manier heeft verkregen en verwerkt moet verwijderen. Daarnaast schond Microsoft het recht op inzage, door geen volledige toegang tot de informatie van de leerling te geven. Microsoft moet nu alsnog deze toegang geven. Verder moet het techbedrijf ook in duidelijke termen uitleggen voor welke zakelijke doeleinden het de data gebruikt.

De toezichthouder oordeelde ook dat de school van de leerling en het Oostenrijkse ministerie van Onderwijs verdere informatie moeten verstrekken, met name welke informatie er van de leerling naar Microsoft is gestuurd.

Deze versturen we 3-4x per jaar.