Hvad fandt det østrigske Datatilsyn i sagen mod Microsoft 365 Education?

Det østrigske Datatilsyn fastslog, at Microsoft 365 Education ikke lever op til GDPR. Der var mangelfuld indsigt og oplysningspligt, ulovlige cookies og uklar deling af elevdata til bl.a. OpenAI, LinkedIn og Xandr.

Hvilke GDPR-regler er centrale i afgørelsen?

Afgørelsen fokuserer på GDPR art. 15 om indsigt og art. 13 om oplysningspligt. Derudover blev der konstateret cookies uden gyldigt samtykke, i strid med databeskyttelsesreglerne.

Hvad betyder afgørelsen for danske kommuner og skoler?

Kommuner og skoler bør gennemføre en konsekvensanalyse (DPIA), sikre gennemsigtighed og stramme kontraktuel og teknisk kontrol med leverandører. Afgørelsen viser, at man ikke kan forlade sig på standardindstillinger, men aktivt skal dokumentere lovligt behandlingsgrundlag.

Hvilke typer elevdata behandles i Microsoft 365 ifølge afgørelsen?

Der behandles bl.a. navn, e-mail, billeder, klasse/gruppe, uploadede dokumenter, opgaver, lærermateriale, kalenderindlæg og login-data. Også data som eleven selv indtaster indgår i behandlingen.

Først Google - nu Microsoft: Microsoft sanktioneres i ny afgørelse fra det østrigske Datatilsyn

4. november 2025

•

HjulmandKaptain

Først Google - nu Microsoft: Microsoft sanktioneres i ny afgørelse fra det østrigske Datatilsyn

IT-ret Offentlig ret EU-ret Persondata og cybersikkerhed

Det østrigske datatilsyn sanktionerer brugen af Microsoft 365 Education for brud på GDPR: mangelfuld indsigt og oplysningspligt, ulovlige cookies og uigennemsigtig tredjepartsdeling. Afgørelsen skærper kravet til kommuner om DPIA, klare aftaler og dokumenteret transparens.

Niels Vase

Afgørelsens kernepunkter

Det østrigske datatilsyn har truffet afgørelse i en sag om et gymnasiums brug af Microsoft 365 Education. Tilsynet konstaterede mangler ved skolens svar på en forældreanmodning om indsigt samt mangelfuld opfyldelse af oplysningspligten. Samlet blev det vurderet, at løsningen ikke lever op til GDPR’s krav.

Tilsynet kritiserede desuden, at Microsoft ikke kunne forklare deling af elevdata med tredjeparter som platformpartnere, og at cookies blev placeret på elevernes enheder uden gyldigt samtykke. Bruddene vedrører både transparens, lovligt behandlingsgrundlag og ePrivacy-regler om cookies.

Retligt grundlag og paralleller

GDPR giver registrerede ret til indsigt i de oplysninger, en dataansvarlig behandler om dem, og kræver som udgangspunkt svar inden en måned, jf. GDPR art 15. Oplysningspligten efter GDPR art 13 forpligter den dataansvarlige til klart at beskrive formål, behandlingsgrundlag, modtagere og opbevaringsperioder. Manglende eller ufuldstændige oplysninger er en overtrædelse.

Afgørelsen ligger i forlængelse af den danske Chromebook-sag, hvor uigennemsigtighed om leverandørens egenanvendelse af elevdata blev problematiseret. Fællesnævneren er, at uforenelige formål og utilstrækkelig transparens ikke accepteres – særligt når det gælder børn og unge.

Konsekvenser og anbefalinger

Kommuner og andre offentlige myndigheder, der anvender Microsoft 365 Education eller lignende platforme, bør styrke dokumentationen for lovlighed, nødvendighed og proportionalitet. Arbejdet i regi af kommunale samarbejder om konsekvensanalyse (DPIA) bør prioriteres, og dataflow til tredjepart skal kortlægges og aftaleretligt kontrolleres.

For at reducere risikoen bør organisationer gennemføre en målrettet indsats, der sikrer efterlevelse og robusthed over for tilsynskontrol:

Opdateret DPIA med fokus på tredjepartsmodtagere, sporingsteknologi og børn som registrerede.
Gennemgang af databehandleraftaler, underdatabehandlere og tekniske organisatoriske foranstaltninger.
Strengt samtykkestyring for cookies og telemetri samt dokumenteret fravalg, hvor muligt.
Forbedret oplysnings- og indsigtshåndtering med klare datakataloger og svarfrister.
Løbende kontrol af formålsbegrænsning, dataminimering og sletning i undervisningsplatforme.

Læs hele artiklen hos HjulmandKaptain →

Søgeord