Am 21. Januar 2026 erließ Österreichs Datenschutzbehörde (DSB) ein Urteil, das jede Schule, die Microsoft 365 Education nutzt, beunruhigen sollte: Das Unternehmen hat illegal Tracking-Cookies auf dem Gerät eines Schülers installiert, ohne gültige Einwilligung.
Das ist das zweite Mal, dass Microsoft einen DSGVO-Fall in Österreich wegen seiner Bildungssoftware verloren hat. Und die Details offenbaren ein tieferes Problem: Schulen werden für Datenschutzverletzungen verantwortlich gemacht, von denen sie nicht einmal wissen, dass sie passieren.
Was Microsoft tatsächlich getan hat
Laut der österreichischen Aufsichtsbehörde installierte Microsoft 365 Education Cookies, die: Nutzerverhalten analysieren, browserbezogene Daten sammeln und für Werbe- und Analysezwecke verwendet werden.
Das waren keine technisch notwendigen Cookies zur Erbringung des Bildungsdienstes. Es waren Tracking-Cookies - und sie wurden ohne jegliche gültige Rechtsgrundlage nach Artikel 6 der DSGVO auf dem Gerät eines Minderjährigen platziert.
Die österreichische Behörde war deutlich: EU-Recht erfordert ausdrückliche Einwilligung für nicht-essenzielle Cookies, besonders wenn Minderjährige betroffen sind. Microsoft hatte keine solche Einwilligung.
Schulen wussten es nicht
Hier ist der Teil, der Pädagogen beunruhigen sollte: Sowohl die Schule als auch das österreichische Bildungsministerium gaben an, vor der Beschwerde durch die Datenschutzorganisation noyb nichts von diesen Tracking-Cookies gewusst zu haben.
Denken Sie darüber nach. Eine Schule hat Microsoft 365 Education eingeführt - ein Produkt, das speziell für den Bildungseinsatz vermarktet wird - und hatte keine Ahnung, dass es Schüler für Werbezwecke trackt. Das Ministerium, das Bildung beaufsichtigt, wusste es auch nicht.
Das ist nicht ungewöhnlich. Große Softwareanbieter haben enorme Marktmacht. Schulen akzeptieren Standardverträge mit wenig Verhandlungsspielraum. Die Nutzungsbedingungen sind dicht, technisch und oft selbst für IT-Fachleute unverständlich. Schulen vertrauen darauf, dass "Bildungs"-Produkte für den Bildungseinsatz geeignet sind.
Dieses Vertrauen war fehl am Platz.
Microsofts Verteidigung - und warum sie scheiterte
Microsoft versuchte zwei Argumente, beide wurden von der österreichischen Behörde abgelehnt:
Erstens behauptete Microsoft, es sei nicht der Verantwortliche - es verarbeite Daten lediglich im Auftrag der Schulen, was die Schulen verantwortlich mache. Die DSB wies dies zurück und stellte fest, dass Microsoft die wesentlichen Entscheidungen über Produktdesign und Datenverarbeitung trifft, einschließlich der Verwendung von Cookies. Die Microsoft Corporation in den USA, nicht die Schulen, entschied, Tracking-Cookies zu installieren.
Zweitens versuchte Microsoft, die Zuständigkeit nach Irland zu verlagern, mit dem Argument, dass seine irische Tochtergesellschaft den Fall bearbeiten sollte (Irland ist für langsamere DSGVO-Durchsetzung bekannt). Die DSB wies auch dies ab und urteilte, dass die in den USA ansässige Microsoft Corporation die relevanten Entscheidungen trifft.
Microsofts Reaktion auf das Urteil? "Microsoft 365 for Education erfüllt alle erforderlichen Datenschutzstandards." Man prüfe die Entscheidung.
Das ist nicht das erste Mal
Im Oktober 2025 urteilte dieselbe österreichische Behörde über eine separate Beschwerde gegen Microsoft 365 Education. In diesem Fall wurde festgestellt, dass Microsoft das Auskunftsrecht nach Artikel 15 der DSGVO verletzte - im Wesentlichen konnte (oder wollte) Microsoft nicht vollständig beantworten, als ein Schüler fragte, welche Daten Microsoft über ihn hat.
Deutsche Datenschutzbehörden haben bereits festgestellt, dass Microsoft 365 den DSGVO-Anforderungen nicht genügt.
Microsoft 365 Education wird von Millionen von Schülern und Lehrern in Europa genutzt. Wenn das Tracken von Nutzern ohne Einwilligung Standardverhalten ist, ist das nicht nur ein österreichisches Problem - es ist ein europäisches.
Was das für Schulen bedeutet
Unter der DSGVO können Schulen für die Datenverarbeitung verantwortlich gemacht werden, die unter ihrer Aufsicht geschieht - auch wenn sie nichts davon wussten, auch wenn sie keine anderen Bedingungen hätten aushandeln können.
Das österreichische Urteil rügte sowohl die Schule als auch das Bildungsministerium dafür, Schüler nicht über die Erhebung und Weitergabe ihrer personenbezogenen Daten informiert zu haben. Mit anderen Worten: Unwissenheit ist keine Verteidigung.
Das schafft eine unmögliche Situation. Schulen haben nicht die technische Expertise, Microsofts Code zu prüfen. Sie können die gesetzten Cookies nicht lesen. Sie verlassen sich darauf, dass Anbieter ehrlich darüber sind, was ihre Software tut.
Wenn dieses Vertrauen zusammenbricht, sind Schulen rechtlich Verstößen ausgesetzt, die sie nicht hätten verhindern können.
Die Alternative: Plattformen, die nicht tracken
Nicht jede Plattform arbeitet wie Microsoft. Manche sind mit Datenschutz als Grundprinzip gebaut, nicht als Nachgedanke.
Bei Simpleclass haben wir bewusste Entscheidungen getroffen:
Keine Tracking-Cookies. Wir installieren keine Cookies, die Nutzerverhalten für Werbung analysieren. Punkt. Es gibt nichts, wozu man einwilligen müsste, weil wir es von vornherein nicht tun.
Minimale Datenerhebung. Wir erheben nur, was für die Funktion der Plattform nötig ist: Konten, Sitzungspläne und die für den Unterricht nötigen Video-/Audiodaten. Wir erstellen keine Verhaltensprofile. Wir sammeln keine Daten für "interne Berichterstattung und Geschäftsmodellierung."
Nur serverseitige Analytik. Wir nutzen datenschutzfreundliche Analytik, um die Plattformleistung zu verstehen - nicht um einzelne Schüler zu tracken. Keine personenbezogenen Daten werden mit Werbenetzwerken geteilt.
Wir verkaufen keine Daten. Ihre Schülerdaten gehören Ihnen. Wir monetarisieren sie nicht. Wir teilen sie nicht mit Dritten für deren Zwecke.
Europäisches Unternehmen, europäische Server. Simpleclass ist ein niederländisches Unternehmen mit Servern in den Niederlanden und Frankreich. Wir unterliegen nicht dem US CLOUD Act. Ihre Daten bleiben in der EU, unter EU-Recht. Und wie die Kontroverse um den Cloud-Bericht der niederländischen Regierung deutlich machte, sind die Risiken amerikanischer Infrastruktur nicht theoretisch.
Fragen an Ihre aktuelle Plattform
Wenn Sie eine Schule oder ein Nachhilfeinstitut betreiben, sollte das Österreich-Urteil schwierige Fragen zu Ihrer aktuellen Videoplattform aufwerfen:
- Welche Cookies setzt die Plattform? Sind alle technisch notwendig?
- Wird Nutzerverhalten für Werbe- oder Analysezwecke getrackt?
- Wer ist der tatsächliche Datenverantwortliche - Sie oder der Anbieter?
- Können Sie eine klare, vollständige Antwort darüber bekommen, welche Daten über Ihre Schüler erhoben werden?
- Wo ist der Anbieter registriert? Unterliegt er ausländischen Datenzugangsgesetzen?
Wenn Sie keine klaren Antworten bekommen können, ist das ein Problem. Wie der österreichische Fall zeigt, schützt "Wir wussten es nicht" Sie nicht vor behördlichen Maßnahmen.
Datenschutz ist nicht optional
Max Schrems, Gründer von noyb, fasste das Urteil zusammen: "Unternehmen und Behörden in der EU sollten konforme Software verwenden. Microsoft hat erneut versagt, das Gesetz einzuhalten."
Für Schulen ist die Botschaft klar: Eine Plattform zu wählen geht nicht nur um Features und Preis. Es geht darum, ob der Anbieter die Privatsphäre Ihrer Schüler respektiert - und ob Sie ihm vertrauen können, ehrlich darüber zu sein, was er mit Daten macht.
Simpleclass existiert, weil wir glauben, dass Nachhilfeeinrichtungen Besseres verdienen, als ins Kreuzfeuer von Big Techs Datenschutzverletzungen zu geraten. Wir haben eine Plattform gebaut, die tut, was Schulen brauchen - Breakout-Room-Monitoring, Sitzungsaufzeichnung, einfache Planung - ohne die Überwachung, die mit für Bildung umfunktionierter Enterprise-Software kommt.
Ihre Schüler sind keine Produkte. Ihre Daten sollten es auch nicht sein.