Microsoft 365 Education schendt GDPR: volgt illegaal studenten

vrijdag, 10 oktober 2025 (13:40) - Techzine

In dit artikel:

De Oostenrijkse privacytoezichthouder DSB heeft geoordeeld dat Microsoft 365 Education de privacywetgeving overtreedt: de dienst verzamelt en gebruikt leerlinggegevens voor eigen doeleinden, plaatste trackingcookies zonder geldige toestemming en weigerde volledige inzage te geven in persoonsgegevens. De zaak kwam in gang toen een student toegang vroeg tot zijn data en het verzoek tussen Microsoft en een school heen en weer werd geschoven; Microsoft verwees naar de onderwijsinstelling, die zelf geen toegang had tot de bij Microsoft opgeslagen gegevens. Daardoor kon niemand effectief GDPR-rechten uitoefenen.

De DSB beval verwijdering van alle relevante persoonsgegevens en stelde vast dat Microsoft het recht op inzage (artikel 15 GDPR) heeft geschonden. Ook concludeerde de toezichthouder dat Microsoft onvoldoende transparant was richting het ministerie van Onderwijs, waardoor scholen praktisch niet aan hun eigen informatie- en complianceverplichtingen kunnen voldoen. Felix Mikolasch van privacyorganisatie noyb benadrukt het probleem: "Het is vrijwel onmogelijk voor scholen om studenten, ouders en leraren te informeren over wat er met hun data gebeurt."

Tijdens het onderzoek zei Microsoft dat de verantwoordelijkheid bij de Europese Ierse dochter lag, maar de DSB verwierp die “Ierland-constructie” en wees erop dat de beslissingen feitelijk door Microsoft in de VS worden genomen. De toezichthouder eist nu duidelijkheid over wat Microsoft bedoelt met verwerking voor “zakelijke doeleinden” zoals business modeling of energie-efficiëntie, en of persoonsgegevens zijn gedeeld met partijen als LinkedIn, OpenAI of trackingbedrijf Xandr.

De uitspraak kan grote gevolgen hebben voor Microsofts bedrijfsvoering in Europa: Microsoft 365 Education wordt door miljoenen studenten en docenten gebruikt, en vergelijkbare privacyproblemen zijn eerder ook door Duitse toezichthouders aangekaart. Zonder meer transparantie en concrete opties voor klanten lijkt het gebruik van Microsoft 365 moeilijk verenigbaar met strikte EU-privacyregels, hetgeen aanleiding geeft tot bredere controle op techbedrijven die onder Ierse jurisdictie proberen te vallen.