Datenschutzbehörde (DSB) konstaterar att flera parter har brutit mot bestämmelser i dataskyddsförordningen (GDPR) i samband med användningen av Microsoft 365 Education inom skolväsendet.
Av beslutet framgår att en elev vid en österrikisk skola, representerad av NOYB, lämnade in ett klagomål till DSB. Klagomålet riktades mot fyra parter; skolans rektor, den regionala utbildningsdirektionen, det federala utbildningsministeriet samt Microsoft Corporation.
Enligt klaganden behandlades hennes personuppgifter i samband med användningen av Microsoft 365 Education utan att hon fått tillräcklig information om hur, varför och av vem dessa uppgifter hanterades. Hon hävdade också att hon inte fått tillgång till de uppgifter som rörde henne, samt att vissa data, särskilt sådana som samlats in genom cookies och telemetri, inte hade raderats trots begäran. Klaganden hänvisade därmed till potentiella överträdelser av rätten till information och tillgång enligt artiklarna 12–15 GDPR, rätten till radering enligt artikel 17 GDPR, samt principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR och rättslig grund enligt å artikel 6 GDPR.
I klagomålet framhöll NOYB bland annat att Microsoft Corporation är personuppgiftsansvarig för viss behandling av elevers personuppgifter i Microsoft 365, däribland insamlingen av uppgifter med hjälp av cookies och telemetri. Vidare hävdade NOYB att Microsofts tjänster, inklusive användningen av cookies, kan ha lett till att elevernas personuppgifter överfördes till tredjeländer som USA utan tillräckliga skyddsåtgärder i enlighet med kapitel V GDPR. Därutöver menade NOYB att varken skolan eller ministeriet kunnat visa att behandlingen var nödvändig för undervisningsändamål, eller att giltigt samtycke inhämtats enligt artikel 6.1 (a) GDPR.
DSB konstaterade att Microsoft Corporation är personuppgiftsansvarig för behandlingen av elevers personuppgifter i Microsoft 365 Education som företaget genomför för egna ändamål, däribland att bekämpa cyberkriminalitet och förbättra tjänsternas funktionalitet. DSB påpekade även att denna slutsats inte påverkades av att Microsoft Corporation samtidigt innehar rollen som personuppgiftsbiträde för andra delar av behandlingen som sker i tjänsten.
I ärendet försökte Microsoft även hävda att deras europeiska dotterbolag, Microsoft Ireland Operations Limited, var den verkliga personuppgiftsansvariga för Microsoft 365-produkterna i EU och därmed skulle omfattas av den europeiska dataskyddsjurisdiktionen. DSB avvisade detta argument och konstaterade att de avgörande besluten om behandling av personuppgifter fattas av Microsoft Corporation i USA. Att det fattas mindre beslut i Irland, såsom lokalisering eller anpassning av produkterna för EU-marknaden, innebär inte att ansvaret enligt artikel 4.7 GDPR överförs till Irland. Myndigheten underströk att ansvarsfördelningen inte kan kringgås genom att hänvisa till europeiska dotterbolag som saknar reellt beslutsfattande om centrala frågor om behandlingen av personuppgifter.
Efter en omfattande granskning fann DSB flera brister hos både de offentliga utbildningsaktörerna och Microsoft. Myndigheten bedömde att skolan och det federala utbildningsministeriet hade överträtt artikel 15 GDPR, då de inte tillhandahållit den klagande fullständig information om vilka personuppgifter som behandlades genom Microsoft 365 Education. De hade även brutit mot artiklarna 13 och 14 GDPR, eftersom de inte lämnat tillräcklig information om syftet med behandlingen, rättslig grund, mottagare eller varaktighet av behandlingen.
Vidare konstaterade DSB att Microsoft Corporation hade åsidosatt den registrerades rätt till tillgång enligt artikel 15 GDPR, genom att inte ge tillräcklig insyn i vilken typ av data som behandlats, hur länge dessa uppgifter lagrats och till vilka tredje parter uppgifterna eventuellt hade överförts. Särskilt noterades brister i transparens kring överföringar till externa aktörer som LinkedIn, OpenAI och Xandr, som ingår i Microsofts ekosystem. Den regionala utbildningsdirektionen friades däremot från ansvar, eftersom den inte ansågs vara personuppgiftsansvarig enligt artikel 4.7 GDPR.
Som följd av dessa konstaterade överträdelser ålägger DSB skolan och utbildningsministeriet att inom tio veckor ge den klagande fullständig tillgång till samtliga personuppgifter som behandlats enligt artikel 15 GDPR, samt tillhandahålla komplett information enligt artiklarna 13 och 14 GDPR, inklusive uppgifter om vilka cookies som används, behandlingsändamål och eventuella internationella överföringar. Microsoft Corporation åläggs att inom fyra veckorlämna motsvarande uppgifter om sin egen behandling och redovisa alla vidareöverföringar till tredje parter.
DSB framhåller dessutom att behandling av uppgifter som samlats in genom tekniskt icke-nödvändiga cookies, såsom MC1, FPC, MSFPC och Microsoft Applications Telemetry DeviceId, saknar rättslig grund och strider mot artiklarna 5.1 (a) och 6 GDPR, eftersom den inte är nödvändig för undervisningsändamål och inte grundas på giltigt samtycke. Sådan behandling måste därför upphöra och uppgifterna ska raderas i enlighet med artikel 17 GDPR.
Myndigheten tillägger dock att viss behandling av personuppgifter kan vara laglig när den sker för utbildningsändamål med stöd av uppgift av allmänt intresse enligt artikel 6.1 (e) GDPR och inom ramen för skolans offentliga uppdrag. Denna behandling omfattas inte automatiskt av raderingsskyldigheten.
Enligt Sebastian Berg, jurist och dataskyddsexpert på TechLaw, kan beslutet ha långtgående konsekvenser för användningen av molntjänster från Microsoft och andra molntjänstleverantörer. ”Att Microsoft klassas som personuppgiftsansvarig för behandlingen av vissa personuppgifter i tjänsten innebär att företag, myndigheter och andra organisationer som använder tjänsten måste ha en rättslig grund för att dela personuppgifter med Microsoft,” konstaterar han. ”Detta är en avgörande skillnad jämfört med en situation i vilken Microsoft endast klassas som personuppgiftsbiträde.”
Vidare förutspår Sebastian att det kan bli en utmaning för användare av Microsofts tjänster att fortsätta använda dessa och samtidigt säkerställa regelefterlevnad. Enligt honom är detta inte bara en dataskyddsfråga utan detta påverkar även andra områden, som exempelvis myndigheters användning av molntjänster som tillhandahålls av Microsoft. ”En myndighets användning av en molntjänst förutsätter regelbundet att leverantören inte behandlar data för egna ändamål. Om leverantören ändå gör detta kan detta leda till ett brott mot reglerna i offentlighets- och sekretesslagen.” Enligt honom är frågan inte begränsad till Microsoft utan gäller även andra molntjänstleverantörer som använder sig av liknande upplägg som Microsoft som på det ena eller andra sättet innebär att användares data behandlas för leverantörernas egna ändamål.