Text
GZ: 2025-0.477.534 vom 8. Oktober 2025 (Verfahrenszahl: DSB-D135.027)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
Der Name bzw. die Firma der Viertbeschwerdegegnerin (einschließlich ihrer Tochtergesellschaften), die als juristische Person nicht den Schutz der DSGVO genießt, sowie mit ihr assoziierte Cookie- und Produktbezeichnungen wurden aus folgenden Erwägungen nicht pseudonymisiert: Die Entscheidung betrifft Rechtsfragen, die über den Einzelfall hinaus Relevanz entfalten und die bisher nicht (in dieser Ausführlichkeit) behandelt wurden. Der Beschwerdefall und die diesem zugrunde liegende Problemstellung war auch Gegenstand der Medienberichterstattung und der öffentlichen Diskussion. Der vorliegende Bescheid ist damit eine Information von allgemeinem Interesse und muss daher grundsätzlich gemäß § 4 Abs. 1 IFG proaktiv veröffentlicht werden.
Der Einsatz der verfahrensgegenständlichen Softwareprodukte an österreichischen Schulen ist eine öffentlich bekannte Tatsache. Die sehr starke Stellung der Viertbeschwerdegegnerin auf dem Markt für Anwendersoftware geht aus den Erwägungen im Bescheid ebenso klar hervor, sodass es in einer Gesamtbetrachtung nicht möglich ist, die Identität der Viertbeschwerdegegnerin effektiv(also nicht bloß formal oder alibihalber) zu pseudonymisieren. Die Viertbeschwerdegegnerin würde für einen breiten Personenkreis identifizierbar bleiben. Das schutzwürdige Interesse der Viertbeschwerdegegnerin an der Geheimhaltung ihrer Rolle in diesem Rechtsstreit vermag hier nicht zu überwiegen. Daher wurde entschieden, die oben angeführten Daten gemäß § 23 Abs. 2 DSG und § 4 Abs. 1 IFG zu veröffentlichen.
Die Identität der Zweitbeschwerdegegnerin und des Drittbeschwerdegegners (Schulbehörden) ergibt sich aus angewendeten Rechtsvorschriften.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der mj. Ulrike A*** (Beschwerdeführerin), vertreten durch ihren Vater Gerhard A***, dieser vertreten durch die B*** Datenschutzvereinigung, vom 4. Juni 2024 gegen 1. das Bundesgymnasium und Bundesrealgymnasium Wien N***straße, Schulleitung (Erstbeschwerdegegner), 2. die Bildungsdirektion Wien (Zweitbeschwerdegegnerin), 3. das Bundesministerium für Bildung, Wissenschaft und Forschung (Drittbeschwerdegegner) und 4. die Microsoft Corporation (Viertbeschwerdegegnerin), letztere vertreten durch die C*** D*** Rechtsanwälte GmbH Co KG, wegen A) Verletzung im Recht auf Auskunft, B) Verletzung im Recht auf Information und C) Verletzung im Recht auf Löschung personenbezogener Daten, die unrechtmäßig verarbeitet wurden, wie folgt:
1. Der Beschwerde gegen den Erst- und Drittbeschwerdegegner wird stattgegeben und es wird festgestellt , dass diese in der Eigenschaft als Verantwortliche gemäß Art. 4 Z 7 DSGVO das Recht der Beschwerdeführerin
a) auf Auskunft gemäß Art. 15 DSGVO verletzt haben, indem sie keine vollständige Auskunft über die bei der Nutzung von Microsoft Education 365 verarbeiteten Daten erteilt haben und
b) auf Information gemäß Art. 13 DSGVO verletzt haben, indem sie die Beschwerdeführerin nicht rechtzeitig und nicht vollständig über die bei der Nutzung von Microsoft Education 365 verarbeiteten Daten informiert haben.
2. Dem Erst- und Drittbeschwerdegegner wird aufgetragen, der Beschwerdeführerin innerhalb einer Frist von zehn Wochen
a) Auskunft über sämtliche sie betreffende personenbezogene Daten zu erteilen, die bei der Nutzung von Microsoft Education 365 (Account: a***.ulrike@students.***gymnasium.at) verarbeitet wurden. Die Auskunft hat jedenfalls Inhaltsdaten (Dateien, Dokumente, Nachrichten), Protokolldaten (Verbindungsdaten, Log-Dateien, IP-Adressen), Daten über Cookies (Cookie-Werte) und Datenübermittlungen an die Viertbeschwerdegegnerin zu umfassen. Hinsichtlich des Einsatzes von Cookies sind sämtliche Informationen gemäß Art. 15 Abs. 1 lit. a bis lit. h und Abs. 2 DSGVO bereitzustellen;
b) die Informationen nach Art. 13 Abs. 1 lit. c bis lit. f und Abs. 2 lit. a DSGVO vollständig bereitzustellen, wobei die beim Einsatz von Microsoft Education 365 gesetzten oder ausgelesenen Cookies zu beschreiben sind, insbesondere auch im Hinblick darauf, inwieweit hierbei eine Datenübermittlung an die Viertbeschwerdegegnerin erfolgt bzw. erfolgt ist.
3. Der Beschwerde gegen die Viertbeschwerdegegnerin wird stattgegeben und es wird festgestellt , dass diese in der Eigenschaft als Verantwortliche das Recht der Beschwerdeführerin auf Auskunft gemäß Art. 15 DSGVO verletzt hat, indem sie keine vollständige Auskunft über die bei der Nutzung von Microsoft Education 365 verarbeiteten Daten erteilt hat.
4. Der Viertbeschwerdegegnerin wird aufgetragen, der Beschwerdeführerin innerhalb einer Frist von vier Wochen bei sonstiger Exekution Auskunft über sämtliche sie betreffende personenbezogene Daten zu erteilen, die bei der Nutzung von Microsoft Education 365 (Account: a***.ulrike@students.***gymnasium.at) an die Viertbeschwerdegegnerin übermittelt wurden und die diese für eigene Zwecken verarbeitet hat. Hinsichtlich des Einsatzes von Cookies sind sämtliche Informationen gemäß Art. 15 Abs. 1 lit. a bis lit. h und Abs. 2 DSGVO bereitzustellen. Im Rahmen der Auskunftserteilung ist gemäß Art. 12 Abs. 1 DSGVO verständlich zu beschreiben, was unter den Begriffen „interne Berichtserstattung“, „Geschäftsmodellierung“, „Bekämpfung von Betrug“, „Cyberkriminalität oder Cyberangriffen“, „Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit“, „Datenschutz“ oder „Energieeffizienz“ zu verstehen ist. Ebenso ist zu beauskunften, ob und inwiefern Daten der Beschwerdeführerin an Drittanbieter (zumindest SocMed***, T***AI und ***tar) übermittelt wurden.
5. Dem Erst- und Drittbeschwerdegegner und der Viertbeschwerdegegnerin wird aufgetragen, innerhalb einer Frist von zehn Wochen zu überprüfen, ob zum aktuellen Zeitpunkt noch Daten aus Cookies verarbeitet werden, die sich auf den Microsoft Education 365-Account der Beschwerdeführerin (a***.ulrike@students.***gymnasium.at) beziehen und die aus technischer Sicht nicht erforderlich sind. Als technisch nicht erforderlich gelten jedenfalls die Cookies MC1, FPC, MSFPC und MicrosoftApplicationsTelemetryDeviceId. Wird eine fortbestehende Verarbeitung solcher Daten festgestellt, haben sowohl der Erst- und Drittbeschwerdegegner als auch die Viertbeschwerdegegnerin diese Daten innerhalb derselben Frist zu löschen .
6. Die Beschwerde gegen die Zweitbeschwerdegegnerin wird abgewiesen .
Rechtsgrundlagen: Art. 4 Z 7, Art. 5 Abs. 1 lit. a, Art. 12 Abs. 1, Art. 13, Art. 14, Art. 15, Art. 26, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1, Abs. 2 Z 5 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; § 4 des Bildungsdokumentationsgesetzes 2020 (BilDokG 2020), BGBl. I Nr. 20/2021 idgF; § 15 IKT-Schulverordnung, BGBl. II Nr. 382/2021 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
A.1. Mit verfahrenseinleitender Eingabe vom 4. Juni 2024 und weiteren Stellungnahmen vom 30. August 2024, 16. Jänner 2025 und vom 10. März 2025 behauptet die mj. Beschwerdeführerin (in Folge: BF) eine Verletzung im Recht auf Auskunft und im Recht auf Information. Auf das Wesentliche zusammengefasst wird vorgebracht, dass der Vater der BF einen Antrag auf Auskunft gestellt habe. Für die BF seien alle Beschwerdegegner (in Folge jeweils: 1. BG bis 4. BG) an der Bereitstellung von Microsoft 365 Education für die Schule beteiligt. Die Auskunft sei unvollständig. Darüber hinaus sei die Informationspflicht nicht erfüllt worden. Die Beschwerde richte sich ausdrücklich gegen die 4. BG und nicht gegen Microsoft Ireland Operations Limited. Die Verstöße seien durch die BG nicht beseitigt worden. Den Stellungnahmen wurden dem Verfahren dienliche Beilagen beigefügt.
A.2. Mit gemeinsamer Stellungnahme vom 1. Juli 2024 bestreiten die 1. bis 3. BG das Vorbringen der BF und beantragen - u.a. unter Hinweis auf die nachträgliche Ergänzung der Auskunft - die Abweisung der Beschwerde. Auf das Wesentliche zusammengefasst wird vorgebracht, dass Microsoft Auftragsverarbeiter sei und Microsoft Daten eingeschränkt für bestimmte eigene „legitime Geschäftstätigkeiten“ verarbeite. Die jeweilige Schulleitung sei für den jeweiligen Schulstandort verantwortlich, während der 3. BG bei Bundesschulen für die IT-Ausstattung verantwortlich sei. Die 2. BG hat am 3. Juli 2024 sowie am 8. August 2024 weitere Stellungnahmen abgegeben. Den Stellungnahmen wurden dem Verfahren dienliche Beilagen beigefügt.
A.3. Am 16. Jänner 2025 fand in den Räumlichkeiten der Datenschutzbehörde eine mündliche Verhandlung statt. Die BF wurde durch ihren Vater und die im Spruch angeführte Parteienvertretung vertreten. Die Verhandlungsniederschrift ist allen Parteien bekannt. Die 4. BG ist nicht zur Verhandlung erschienen und hat dies im Vorfeld mitgeteilt.
A.4. Die 4. BG hat mit Stellungnahme vom 21. Februar 2025 auf das Wesentliche zusammengefasst vorgebracht, dass Microsoft Ireland Operations Limited Auftragsverarbeiter für Microsoft 365 Education und die 4. BG (Sitz: USA) Unterauftragsverarbeiter sei. Es sei auf das Microsoft Products and Services Data Protection Addendum (DPA) zu verweisen. Den Stellungnahmen wurden dem Verfahren dienliche Beilagen beigefügt.
A.5. Am 4. April 2025 fand eine Einvernahme von Vertretern der 4. BG in den Räumlichkeiten der Datenschutzbehörde statt. Die Niederschrift der Einvernahme ist allen Parteien bekannt.
B. Beschwerdegegenstand
B.1. Beschwerdegegenstand ist die Frage, ob alle BG die BF im Recht auf Auskunft gemäß Art. 15 DSGVO verletzt haben, indem diese das Recht der BF
a) auf Auskunft gemäß Art. 15 DSGVO verletzt haben, indem sie in Folge des Begehrens vom 31. August 2023 und vom 3. Oktober 2023 keine vollständige Auskunft über die bei der Nutzung von Microsoft Education 365 verarbeiteten Daten erteilt haben und
b) auf Information gemäß Art. 13 und Art. 14 DSGVO verletzt haben, indem sie die BF nicht rechtzeitig über die bei der Nutzung von Microsoft Education 365 verarbeiteten Daten informiert haben.
Darüber hinaus ist über den c) Antrag auf Löschung personenbezogener Daten der BF abzusprechen, die im Zusammenhang mit Microsoft Education 365 unrechtmäßig verarbeitet wurden.
B.2. Sofern von einer Rechtsverletzung auszugehen ist, ist die Erteilung eines Leistungsauftrags gemäß Art. 58 Abs. 2 lit. c DSGVO zu prüfen.
C. Sachverhaltsfeststellungen
C.1. Der 3. BG stellt österreichischen (Bundes-)Schulen mehrere Clouddienste durch private Clouddienste-Anbieter für den IT-gestützten Unterricht zur Verfügung. Hierzu hat der 3. BG für die Republik Österreich eine Rahmenvereinbarung, welche Nutzungskonditionen beinhaltet (in Folge: Konditionen-Dachvertrag), u.a. mit der europäischen Niederlassung der 4. BG (Microsoft Ireland Operations Limited bzw. Microsoft Austria EDU) abgeschlossen.
Beweiswürdigung C.1. : Die getroffenen Feststellungen ergeben sich aus dem Vorbringen des 3. BG vom 1. Juli 2024 sowie vom 11. April 2025. Die getroffenen Feststellungen sind unstrittig.
C.2. Die Direktion des 1. BG fasste im Jahr 2018 den Beschluss, das Angebot des 3. BG anzunehmen und hat sich im Rahmen mehrerer privater Cloud-Anbieter für Microsoft Education 365 entschieden. Diese Lösung wurde in der Folge für den IT-gestützten Unterricht der Schülerinnen und Schüler des 1. BG implementiert. Microsoft 365 Education umfasst mehrere verschiedene Microsoft-Produkte und -Dienste, wie Microsoft Word, Microsoft Teams und Microsoft Sharepoint.
Beweiswürdigung C.2. : Die getroffenen Feststellungen ergeben sich aus dem Vorbringen der (ehemaligen) Direktorin des 1. BG in der Verhandlung vom 16. Jänner 2025.
C.3. Die mj. BF ist Schülerin des 1. BG (Bundesgymnasium und Bundesrealgymnasium Wien N***straße), welches für Unterrichtszwecke die Software Microsoft 365 Education nutzt. Ihr wurde durch den 1. BG eine E-Mail-Adresse (a***.ulrike@students.***gymnasium.at) samt Cloudspeicher zur Verfügung gestellt.
Beweiswürdigung C.3. : Die getroffenen Feststellungen ergeben sich unstrittig aus dem Akt, insbesondere aus dem Vorbringen des Vaters der BF in der Verhandlung vom 16. Jänner 2025.
C.4. Am 31. August 2023 und am 19. September 2023 stellte die BF, vertreten durch den obsorgeberechtigten Vater, einen Antrag auf Auskunft an die 4. BG unter Verwendung eines Online-Formulars:
[Anmerkung Bearbeiter/in: Der an dieser Stelle im Original als grafische Datei wiedergegebene Auskunftsantrag mit dem Namen und der E-Mail-Adresse der Beschwerdeführerin kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Die 4. BG verwies in ihren Antworten vom 2. September 2023 und 19. September 2023 auf die entsprechende Schule, welche nach Ansicht des 4. BG in diesem Fall Verantwortlicher sei.
Am 3. Oktober 2023 richtete die BF, vertreten durch den obsorgeberechtigten Vater, einen Antrag auf Auskunft an den 1. BG. Der 1. BG reagierte am 29. Oktober 2023 auf den Antrag auf Auskunft. Am 26. Juni 2024 beantwortete der 1. BG erneut den Antrag auf Auskunft - mit Ergänzungen der ursprünglichen Auskunft - wie folgt:
[Anmerkung Bearbeiter/in: Das im Original an dieser Stelle als Faksimile im grafischen Format JPG dargestellte Schreiben wurde in ein Textdokument umgewandelt und wird hier (unter nur annähernder Wiedergabe der Formatierung) pseudonymisiert und leicht gekürzt wiedergegeben.]
„ Wer ist Datenschutzrechtlich Verantwortlicher am Schulstandort?
Bisherige Beantwortung :
Datenschutzrechtlich Verantwortlicher iSd DSGVO ist am Schulstandort die Schulleiterin.
Ergänzung :
Die Verordnung des Bundesministers für Bildung, Wissenschaft und Forschung über IKT-gestützten Unterricht und Datensicherheitsmaßnahmen im Schulwesen (IKT-Schulverordnung) sieht in § 15 einen Dualismus datenschutzrechtlicher Verantwortlichkeit von schulischen Datenverarbeitungen vor:
Die Schulleitung ist verantwortlich hinsichtlich der Rechtmäßigkeit der Verarbeitung personenbezogener Daten und Einhaltung der Grundsätze des Art. 5 DSGVO durch die Bildungseinrichtung sowie hinsichtlich der Wahrung des Datenschutzes am Schulstandort gemäß § 4 Abs. 1 BilDokG 2020.
Jene Stelle, die als Maßnahme bezüglich der IT-Ausstattung an Schulen die Entscheidung darüber trifft (etwa für Bundesschulen das BMBWF), ist verantwortlich hinsichtlich der Gewährleistung der Datensicherheit der nötigen IT-Systeme und Dienste für Datenverarbeitungen.
Frage 2.A.
Welche personenbezogenen Daten werden in Office 365 verarbeitet?
Bisherige Beantwortung :
Gemäß Anlage 2 BilDokG 2020 ist die Schulleitung verpflichtet, für die Vollziehung der schulrechtlichen Normen u.a. folgende schülerinnenbezogene Daten zu verarbeiten (d.h. ermitteln, speichern, aufbewahren, abfragen, benützen, löschen etc.): für die Anzeige von und Arbeit mit Unterrichtsmitteln und Lernplattformen erforderliche Daten; Daten für den IKT-gestützten Unterricht (insbesondere Verwaltung von Schülergeräten), einschließlich jener der Leistungsfeststellung und Leistungsbeurteilung mittels elektronischer Kommunikation. Gemäß § 4 Z 4 IKT- Schulverordnung sind unter dem Begriff „IT-Services für pädagogische Zwecke" Maßnahmen zur Schaffung der technischen Rahmenbedingungen für IKT-gestützten Unterricht und elektronische Kommunikation, insbesondere die Zurverfügungstellung von Lernplattformen sowie die Einrichtung von Schülerinnen- und Schüler-Mail-Postfächern, Online-Office-Umgebungen, Onlinespeicherplatz und Webpräsenzen (zB für Projekte) zu verstehen.
Ergänzung :
Name: Ulrike A***
Benutzername: A***.Ulrike@students.***gymnasium.at
Ergänzend wird darauf hingewiesen, dass im Schulrechtsvollzug am Schulstandort grundsätzlich weitere personenbezogene Daten zur Beschwerdeführerin vorliegen (etwa Stammdaten in der Schülerinnen- und Schülerverwaltung). Der Umfang des Auskunftsbegehrens wurde durch Sie jedoch explizit auf den Einsatz von Microsoft Office 365 eingeschränkt:
[Anmerkung Bearbeiter/in: hier gekürzt, Zitat aus dem Auskunftsantrag der Beschwerdeführerin]
Frage 2.B.
Zu welchem Zweck werden diese Daten verarbeitet?
Bisherige Beantwortung :
Die Daten der Schüler:innenevidenz werden für das Account-Management von Office 365 zum Zweck der Kommunikation mit den Erziehungsberechtigten sowie der Erteilung des IKT-gestützten Unterrichts verarbeitet: Die Verarbeitung dieser Daten dient der Arbeit mit elektronischen Unterrichtsmitteln gemäß § 14 SchUG, der Durchführung des IT-gestützten Unterrichts gemäß § 14a und § 17 SchUG, der Leistungsbeurteilung gemäß § 18 SchUG sowie der elektronischen Kommunikation gemäß § 70a SchUG.
Ergänzung :
Zur Bereitstellung einer Plattform für alle Lehrer:innen und Schüler:innen zur digitalen Kommunikation zwischen Lehrkraft und Schüler:innen sowie zur Organisation des IT-gestützten Unterrichts.
Microsoft verarbeitet diese Daten zur Bereitstellung der bestehenden Produktfunktionen, zur Problembehandlung sowie zur kontinuierlichen Zurverfügungstellung von Updates und Verbesserungen in Bezug auf Benutzerproduktivität, Zuverlässigkeit, Effektivität und Sicherheit der Anwendung.
Frage 2.C.
Welche Kategorien von personenbezogenen Daten werden in Office 365 verarbeitet?
Bisherige Beantwortung :
s. Antwort zu 2.A. Es wird ausschließlich die E-Mail-Adresse Ihrer Tochter in Office 365 verarbeitet. Für alle anderen personenbezogenen Daten verwenden wir die von der Schulbehörde vorgeschriebenen österreichischen Programme Sokrates (Bitmedia) und Untis.
Ergänzung :
Die nachfolgenden Datenkategorien können im Zuge der Verarbeitungstätigkeit von Microsoft Office 365 grundsätzlich verarbeitet werden:
Namen (Vor-, Nachname, allfälliger Nickname, allfälliger Titel), E-Mail-Adresse, Lichtbild, Mitgliedschaft und Rollen (Zuordnung zu Klasse, Kurs, Gruppe), Leistungsdokumentation (gemäß § 18 SchUG iVm Leistungsbeurteilungsverordnung), Aufgaben (Schul- und Hausaufgaben gem. § 4 Leistungsbeurteilungsverordnung), Lernmaterialien (individuelle Sammlung von Unterrichtsmaterialien, Lern- Lehrbehelfe), Kalendereinträge (schulbezogen und persönliche zB Ferien, schulautonome Tage, Schularbeitstermine), Systemdaten (Logindaten, technische Protokolldaten), durch die Schülerin selbst in Office 365 verarbeitete Daten, die im Zuge der Verwendung von E-Mail, Textverarbeitung, Folienpräsentation, Tabellenkalkulation etc entstehen.
Die tatsächlich verarbeiteten Datenkategorien (eigene Daten) hängen auch von der aktuellen Nutzung der Schülerinnen und Schüler ab, da beispielsweise Lichtbilder optional durch diese selbst aber keinesfalls verpflichtend bereitgestellt und verarbeitet werden. Die Schule hat keinen Zugriff auf die eigenen Daten der Schülerinnen und Schüler wie etwa Hausaufgaben oder Powerpoint Präsentationen, die innerhalb der Microsoft Office 365 Umgebung verarbeitet werden.
Frage 2.D.
Welchem Empfänger oder Kategorien von Empfängern wurden diese Daten offengelegt? Für welche Empfänger oder Kategorien von Empfängern sollen diese Daten noch offengelegt werden?
Bisherige Beantwortung :
Die E-Mail-Adressen unserer Schüler:innen werden von der Schule an keine externen Personen oder Organisationen weitergegeben. Sie dienen ausschließlich der schulinternen Kommunikation.
Nähere Informationen zu den Rahmenbedingungen für den Einsatz privater Clouddienste im IT-gestützten Unterricht finden Sie auf der Homepage des Bundesministeriums für Bildung, Wissenschaft und Forschung unter https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html, wo auch die Eigenerklärungen, Datenschutzinformationen sowie Datenschutzvereinbarungen der Clouddiensteanbieter J*** Schul-System, M*** Schulpaket sowie Microsoft Office 365 abzurufen sind.
Ergänzung :
Microsoft legt diese Daten keinen weiteren Empfängern offen. Dritten gegenüber wird weder ein direkter, indirekter, pauschaler oder uneingeschränkter Zugriff auf verarbeitete Daten, noch der für die Sicherung der verarbeiteten Daten verwendete Verschlüsselungsschlüssel für die Plattform bereitgestellt.
Frage 2.E.
Wurden diese Daten an Empfänger in Drittländern oder bei internationalen Organisationen offengelegt? Sollen diese Daten an Empfänger in Drittländern oder bei internationalen Organisationen offengelegt werden? Falls ja, teilen Sie bitte die geeigneten Garantien gemäß Art. 46 im Zusammenhang mit der Übermittlung mit.
Bisherige Beantwortung :
S. Antwort zu 2.E. ( erg. Anmerkung: gemeint 2.D. )
Nähere Informationen zu den Rahmenbedingungen für den Einsatz privater Clouddienste im IT-gestützten Unterricht finden Sie auf der Homepage des Bundesministeriums für Bildung, Wissenschaft und Forschung unter https://www.bmbwf,gv.at/Themen/schule/schulrecht/ds.html, wo auch die Eigenerklärungen, Datenschutzinformationen sowie Datenschutzvereinbarungen der Clouddiensteanbieter J*** Schul-System, M*** Schulpaket sowie Microsoft Office 365 abzurufen sind.
Ergänzung :
Die Verarbeitung der betroffenen Daten erfolgt im Zuge der EU - Data Boundary ausschließlich in Rechenzentren innerhalb der Europäischen Union.
Darüber hinaus wurden unabhängig vom bestehenden Data Privacy Framework als aktuell gültigen Angemessenheitsbeschluss die Standardvertragsklauseln (SCCs) der Europäischen Kommission sowie die neueste Version des Data Protection Addendums (DPA) im Zeitpunkt des Vertragsabschlusses seitens des Bundesministeriums für Bildung, Wissenschaft und Forschung vereinbart.
Frage 3.
Gibt es eine Datenschutzerklärung, die weitere Informationen zur Verarbeitung personenbezogener Daten im Zusammenhang mit Office 365 enthalt?
Bisherige Beantwortung :
s. Antwort zu Frage 2.E.
Ergänzung :
Das Bundesministerium für Bildung, Wissenschaft und Forschung stellt als Datenschutzerklärung auf der Webseite „Datenschutz in der Schule" umfassende Informationen im Rahmen der Schulverwaltung zur Verfügung.
Die Webseite ist unter folgender URL abrufbar:
https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html
Unter folgender URL ist ein Dokument zu Rahmenbedingungen für den Einsatz privater Clouddiensteanbieter im IT-gestützten Unterricht abrufbar:
https://www.bmbwf.gv.at/dam/jcr:609b6a2a-ce4d-4S5f-906e-
dacl4452461b/clouddienste rahmenbedingungen.pdf
Allgemeine Informationen zu Microsoft-Datenschutzbestimmungen sind unter folgenden URLs abrufbar:
-) https://privacymicrosoft.com/de-de/privacvstatement
-) https://www.microsoft.com/de-at/trust-center/privacv/gdpr-overviev/
Frage 4.
Welche Einstellungen hinsichtlich der Datenverarbeitung in Office 365 stehen der Schule zur Verfügung? Hat die Schule bestimmte Einstellungen für Datenverarbeitungen in Office 365 vorgenommen?
Bisherige Beantwortung :
Die Schule hat die Möglichkeit, die E-Mail-Adressen der Schülerinnen zu Verteilergruppen und zu Teamsgruppen zusammenzufassen. Es werden außer den E-Mail-Adressen der Schüler:innen keine anderen Schüler:innendaten in Office 365 verarbeitet. Es besteht, da unser Vorgehen den oben genannten bzw. zitierten Bestimmungen entspricht, keine Notwendigkeit, weitere Einstellungen in Office 365 vorzunehmen.
Ergänzung :
Das Bundesministerium für Bildung, Wissenschaft und Forschung hat eine Handreichung für IT-Kustoden mit technischen Konfigurationsempfehlungen zum datenschutzfreundlichen Einsatz von Microsoft Office 365 in österreichischen Schuten zur allgemeinen Verfügung gestellt.
Bis zum Zeitpunkt der gegenständlichen Beantwortung wurden diese technischen Konfigurationsempfehlungen bereits teilweise umgesetzt. Weitere Anforderungen, die sich im Zuge des anhängigen Beschwerdeverfahrens vor der Datenschutzbehörde ergeben, werden angemessen berücksichtigt.“
Beweiswürdigung C.4. : Die getroffenen Feststellungen ergeben sich aus der verfahrenseinleitenden Eingabe vom 4. Juni 2024 samt den beigefügten Unterlagen.
C.5. Im Rahmen der Verwendung von Microsoft Office 365 durch Schülerinnen und Schüler werden jedenfalls folgende Datenkategorien verarbeitet:
Namen (Vor-, Nachname, allfälliger Nickname, allfälliger Titel);
E-Mail-Adresse;
Lichtbild;
Mitgliedschaft und Rollen (Zuordnung zu Klasse, Kurs, Gruppe);
Leistungsdokumentation;
Aufgaben;
Lernmaterialien;
Kalendereinträge (schulbezogen und persönliche, z.B. Ferien, schulautonome Tage, Schularbeitstermine);
Systemdaten (Logindaten, technische Protokolldaten);
durch die jeweilige Person selbst in Office 365 verarbeitete Daten, die im Zuge der Verwendung von u.a. E-Mail, Textverarbeitung, Folienpräsentation oder Tabellenkalkulation entstehen.
Beweiswürdigung C.5. : Die getroffenen Feststellungen ergeben sich aus dem Vorbringen der 1. bis 3. BG vom 1. Juli 2024.
C.6. Mittels Cookies lassen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert wurden. Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kbyte), die von einer Website über den Browser eines Internetnutzers auf der Festplatte des Endgeräts platziert wird.
Ein Cookie erlaubt es der Website, sich an die Aktionen oder Vorlieben des Nutzers zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer können ihre Browser so einstellen, dass sie die Cookies abweisen. Sie können die Cookies auch jederzeit löschen.
Websites nutzen Cookies, um Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und es den Nutzern zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen.
Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln. Unternehmen verwenden zum Beispiel Software, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzern Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist.
Beweiswürdigung C.6. : Die getroffenen Sachverhaltsfeststellungen zur grundsätzlichen Funktionsweise von Cookies stammen aus den Schlussanträgen des Generalanwalts vom 21. März 2010, C-673/17, Rz 36 ff mwN. Da es sich um eine einzelfallunabhängige und allgemeine technische Beschreibung zu den Funktionen von Cookies handelt, waren diese Ausführungen auf Sachverhaltsebene - und nicht in der rechtlichen Beurteilung - aufzunehmen.
C.7. Im Rahmen der Nutzung von Microsoft 365 Education mit der E-Mail-Adresse der BF (a***.ulrike@students.***gymnasium.at) wurden Cookies gesetzt und ausgelesen. Einige dieser Cookies enthalten einen einzigartigen, zufallsgenerierten Wert. Dieser Wert wurde zusammen mit weiteren Metadaten an die Server der 4. BG übermittelt. Einige der genannten Cookies sind in der folgenden Tabelle aufgeführt:
Die von der BF im Rahmen ihrer Eingabe vom 4. Juni 2024 übermittelte Anlage 14 (Excel-Datei) wird den Sachverhaltsfeststellungen zugrunde gelegt.
Aus der seitens der BF im Rahmen ihrer Eingabe vom 4. Juni 2024 übermittelten Anlage 13 geht 245x der Treffer „SocMed***“ und 2x der Treffer „Z**ChatAI“ hervor. Aus der Anlage 11 geht 2x der Treffer „***tar“ hervor. Die Anlagen 11 und 13, die die BF übermittelt hat, werden den Sachverhaltsfeststellungen zugrunde gelegt.
Weder die BF noch der Vater als ihr gesetzlicher Vertreter haben Informationen zum Einsatz von Cookies - etwa in Form einer Datenschutzerklärung - erhalten. Eine Einwilligung der BF für den Einsatz der genannten Cookies liegt nicht vor.
Eine Auskunft darüber, welche konkreten Cookies zu welchen Zwecken eingesetzt und an welche Empfänger übermittelt werden, wurde in Folge der Auskunftsanträge der BF (vgl. Sachverhaltsfeststellung C.4.) nicht erteilt.
Beweiswürdigung C.7. : Die getroffenen Sachverhaltsfeststellungen zu den Cookies ergeben sich aus der Eingabe der BF vom 4. Juni 2024 und den übermittelten Anlagen. Die Ausführungen der BF zur Funktionsweise der jeweiligen Cookies in der mit der Eingabe vom 4. Juni 2024 übermittelten Anlage 15 sind nachvollziehbar und stimmen mit den amtswegigen Recherchen unter https://cookiedatabase.org/ sowie https://cookiesearch.org/ überein. Zudem hat die BF ihre Darlegungen durch Verweise auf die jeweiligen Erklärungen der 4. BG bzw. des Microsoft-Konzerns untermauert. Demgegenüber haben die BG diesem Vorbringen der BF trotz ausdrücklicher Nachfrage nichts Substanzielles entgegengesetzt.
Die Sachverhaltsfeststellungen, wonach keine Informationen über die eingesetzten Cookies erteilt wurden und keine Einwilligung für deren Einsatz vorliegt, ergeben sich aus dem Vorbringen des Vaters der BF in der Verhandlung vom 16. Jänner 2025. Der Vater der BF vermittelte gegenüber der Datenschutzbehörde einen glaubwürdigen Eindruck. Der Umstand, dass keine Auskunft über die eingesetzten Cookies erteilt wurde, ergibt sich darüber hinaus aus dem Verwaltungsakt. Insbesondere kann die seitens der 4. BG am 27. Februar 2025 übermittelte Cookie-Liste nicht als Auskunft über Cookies gewertet werden, da es sich lediglich um eine allgemeine Aufstellung ohne erkennbaren Bezug zur BF handelt und zudem keine näheren Informationen (Verarbeitungszweck, Speicherdauer, Empfänger, o.ä.) zu den einzelnen Cookies bereitgestellt wurden.
C.8. Im Rahmen der Verhandlungen zum Konditionen-Dachvertrag mit der 4. BG (vgl. Sachverhaltsfeststellung C.1.) lagen dem 1. BG oder 3. BG keine vollständigen Informationen darüber vor, welche Cookies zu welchem Zweck im Zusammenhang mit dem Einsatz von Microsoft Education 365 gesetzt oder ausgelesen werden. Ebenso lagen dem 1. BG oder 3. BG keine vollständigen Informationen darüber vor, inwieweit die an die 4. BG übermittelten Daten im Zusammenhang mit Microsoft Education 365 von dieser zu eigenen Zwecken verwendet werden.
Beweiswürdigung C.8. : Die getroffenen Sachverhaltsfeststellungen ergeben sich aus der Einvernahme des 3. BG im Rahmen der mündlichen Verhandlung vom 16. Jänner 2025. Trotz ausdrücklicher Nachfrage seitens der Datenschutzbehörde konnte der 3. BG nicht erklären, welche Cookies zu welchem Zweck eingesetzt werden. Ebenso konnte der 3. BG nicht erklären, was unter bestimmten Begriffen von Verarbeitungszwecken - wie etwa „Geschäftsmodellierung“ - zu verstehen ist, zu denen die 4. BG Daten zu eigenen Zwecken verarbeitet.
Obwohl sich die Vertreter des 3. BG bemühten, bei der mündlichen Verhandlung vollständige Antworten zu geben, gewann die Datenschutzbehörde dennoch den Eindruck, dass die 4. BG als Vertragspartner im Zuge der Vertragsverhandlungen nicht alle Informationen vollständig offengelegt hat.
C.9. Die 2. BG stellt unter https://www.bmb.gv.at/Themen/schule/schulrecht/ds.html#08 (Datenschutzerklärung) u.a. folgende Informationen zur Verfügung (Formatierung nicht 1:1 übernommen):
„[…] Rahmenbedingungen für den Einsatz privater Clouddienste im IT-gestützten Unterricht
IT-gestützter Unterricht ist seit langem in den meisten Bildungssystemen ein wesentliches Element. Wie auch in IT-Anwendungsszenarien in anderen Gesellschaftsbereichen wird eine verstärkte Bedeutung von Clouddiensten privater Anwender (etwa J***, M***, Microsoft) festgestellt. Aufgrund der Größe des Benutzerkreises (1,2 Millionen Schülerinnen und Schüler, 120.000 Lehrerinnen und Lehrer an 6.000 Schulen) ist (derzeit) eine Hostinglösung, die für diese Größe performant skaliert, in Rechenzentren der öffentlichen Hand nicht für jede Verarbeitungstätigkeit (etwa Schülerinnen- und Schüler-Postfächer, Distance Learning-Tools) et cetera realisierbar. Verlagerung der Server auf einzelne Schulstandorte beziehungsweise eine BYOD-Lösung am schülereigenen Endgerät würden zu deutlich höheren IT-Sicherheitsrisiken als der Betrieb bei einem privaten Clouddiensteanbieter führen […]“.
Auf der genannten Website wird auf das Dokument „Microsoft Cloud Dienste für österreichische Schulen – FAQ“ verwiesen. Darin werden u.a. folgende Informationen zur Verfügung gestellt:
[…]
Das Dokument „Microsoft Cloud Dienste für österreichische Schulen – FAQ“ wird den Sachverhaltsfeststellungen zugrunde gelegt.
Beweiswürdigung C.9. : Die getroffenen Feststellungen ergeben sich aus dem Vorbringen der 1. bis 3. BG vom 1. Juli 2024 und sind unbestritten. Darüber hinaus ergeben sich die Feststellungen aus einer amtswegigen Recherche unter https://www.bmb.gv.at/Themen/schule/schulrecht/ds.html#08. Aufgerufen wurde das Dokument „Datenschutzinformation (PDF, 85 KB) (Mai 2022)“ unter dem Punkt Microsoft Office 365.
C.10. Die 2. BG hatte keinen Einfluss auf den Konditionen-Dachvertrag (vgl. Sachverhaltsfeststellung C.1.) und war auch sonst nicht in den Einsatz von Microsoft 365 Education an österreichischen (Bundes-)Schulen involviert.
Beweiswürdigung C.10. : Die getroffenen Feststellungen ergeben sich aus dem Vorbringen der 2. BG in der Verhandlung vom 16. Jänner 2025. Das Vorbringen der 2. BG wurde in Folge auch von keiner Partei bestritten. Auch sonst liegen keine Anhaltspunkte vor, das Vorbringen der 2. BG in Zweifel zu ziehen.
C.11. Bei der 4. BG handelt es sich um ein weltweit führendes Technologieunternehmen, das vor allem durch sein Betriebssystem Windows bekannt wurde. Die 4. BG ist insbesondere im Bereich der Entwicklung und Bereitstellung von Softwarelösungen tätig, zu denen auch Microsoft Education 365 für den Bildungsbereich gehört.
Der Microsoft-Konzern verfügt über mehrere Niederlassungen weltweit. Der Hauptsitz der 4. BG befindet sich in den USA. Microsoft Ireland Operations Limited ist eine Tochtergesellschaft der 4. BG.
Vom Hauptsitz der 4. BG werden grundsätzliche Entscheidungen getroffen, welche die Ausrichtung und Tätigkeit der internationalen Niederlassungen maßgeblich beeinflussen. Die 4. BG ist in die Einführung neuer Produkte in Märkten wie dem EWR involviert.
Das Produkt Microsoft Education 365 wurde in den USA entwickelt. Auch die Weiterentwicklung findet im Wesentlichen in den USA durch die 4. BG statt. Die Unternehmensrichtlinien werden von der 4. BG vorgegeben.
Beweiswürdigung C.11. : Die getroffenen Feststellungen zur grundsätzlichen Tätigkeit der 4. BG sowie zu den Niederlassungen sind allgemein bekannt und unstrittig. Die getroffenen Feststellungen zum Konzernverhältnis (Mutter- bzw. Tochtergesellschaft) ergeben sich aus der Einvernahme der 4. BG vom 4. April 2025.
Die getroffenen Feststellungen, dass vom Hauptsitz der 4. BG grundsätzliche Entscheidungen getroffen werden und dass die 4. BG in die Einführung neuer Produkte in Märkten wie dem EWR involviert ist, ergeben sich aus mehreren Faktoren:
Aus Sicht der Datenschutzbehörde liegt es schon aufgrund der allgemeinen Lebenserfahrung nahe, dass nicht andere kleinere Standorte des Microsoft-Konzerns, sondern die 4. BG die grundsätzliche Konzernstrategie festlegt und darüber entscheidet, inwiefern die Einführung von Produkten (wie Microsoft Education 365) innerhalb gewisser Märkte angestrebt wird. Dem festgestellten Einfluss der 4. BG auf die internationalen Standorte des Microsoft-Konzerns schadet es nicht, dass die näheren Umstände der Einführung von Produkten innerhalb eines gewissen Markts den jeweiligen Tochtergesellschaften (etwa Microsoft Ireland Operations Limited) überlassen werden. Für die Schlussfolgerung der Datenschutzbehörde spricht auch der Umstand, dass es sich bei der 4. BG um eine beherrschende Muttergesellschaft handelt und ein derart großer Konzern eine zentrale Stelle benötigt, welche maßgebliche Entscheidungen trifft und die Konzernstrategie festlegt.
Die getroffenen Feststellungen, dass Microsoft Education 365 in den USA entwickelt wurde und auch die Weiterentwicklung von der 4. BG erfolgt, ergeben sich aus der Einvernahme der 4. BG vom 4. April 2025.
D. In rechtlicher Hinsicht folgt daraus:
Zur Rollenverteilung
D.1. Allgemeines zur Rollenverteilung
Zunächst ist die datenschutzrechtliche Rolle der jeweiligen BG zu bestimmen, da sich die in Kapitel III DSGVO vorgesehenen Betroffenenrechte ausdrücklich nur an den Verantwortlichen gemäß Art. 4 Z 7 DSGVO richten.
Nach Art. 4 Z 7 DSGVO ist ein „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Die Eigenschaft als Verantwortlicher kann sich gemäß Art. 4 Z 7 erster HS DSGVO daher daraus ergeben, dass eine Stelle aus Eigeninteresse auf die Verarbeitung personenbezogener Daten (faktisch) Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt (vgl. EuGH 10. Juli 2018, C‑25/17 Rz 68).
Darüber hinaus kann sich die Eigenschaft als Verantwortlicher gemäß Art. 4 Z 7 zweiter Halbsatz DSGVO auch daraus ergeben, dass eine nationale Regelung oder das Unionsrecht eine Stelle als Verantwortlichen benennt und daraus der Umfang der Datenverarbeitung ausdrücklich oder implizit hervorgeht (vgl. EuGH 27. Februar 2025, C-638/23 Rz 40).
Ausgehend von diesen Überlegungen ist für den gegenständlichen Fall Folgendes festzuhalten:
D.2. Rollenverteilung in der Sache
a) Rolle des 1. BG
Gemäß § 4 Abs. 1 Z 1 BilDokG 2020 iVm § 15 Z 1 IKT-Schulverordnung ist die jeweilige Schulleitung Verantwortlicher nach Art. 4 Z 7 DSGVO für die Rechtmäßigkeit der Datenverarbeitung und die Datenschutzgrundsätze, die Wahrung der organisatorischen Datensicherheitsmaßnahmen gemäß § 9 IKT-Schulverordnung und die Wahrung der Betroffenenrechte von Schülerinnen und Schüler. Zu den Betroffenenrechten zählt auch das Recht auf Auskunft und das Recht auf Information.
Wie festgestellt, hat sich der 1. BG bzw. dessen Schulleitung für den Einsatz von Microsoft Education 365 entschieden (vgl. Sachverhaltsfeststellung C.2.).
Daraus ergibt sich, dass der 1. BG für den Einsatz von Microsoft Education 365 und die damit verbundene Datenverarbeitung sowie die Erfüllung des gegenständlichen Auskunftsantrags der BF verantwortlich ist.
b) Rolle der 2. BG
Im Rahmen des Verfahrens ist nicht hervorgekommen, dass der 2. BG für die hier relevante Datenverarbeitung eine datenschutzrechtliche Verantwortung zukommt. Ebenso hat der 2. BG keinen (faktischen) Einfluss auf die Datenverarbeitung genommen (vgl. Sachverhaltsfeststellung C.10.).
Daraus ergibt sich, dass die 2. BG datenschutzrechtlich nicht verantwortlich ist.
c) Rolle des 3. BG
Gemäß § 4 Abs. 1 Z 4 lit. c BilDokG 2020 iVm § 15 Z 2 IKT-Schulverordnung ist der 3. BG Verantwortlicher nach Art. 4 Z 7 DSGVO für alle IT-Systeme und Dienste, die von diesem bereitgestellt werden oder in denen Daten aus dem Datenverbund der Schulen zu Zwecken des Schulrechtsvollzugs verarbeitet werden.
Wie festgestellt, hat der 3. BG den (Bundes-)Schulen mehrere technische Lösungen, darunter Microsoft Education 365, zur Verfügung gestellt (vgl. Sachverhaltsfeststellung C.1.).
Daraus ergibt sich, dass der 3. BG jedenfalls für die Bereitstellung von Microsoft Education 365 datenschutzrechtlich verantwortlich ist.
d) Gemeinsame Verantwortung zwischen 1. BG und 3. BG
§ 4 Abs. 1 BilDokG 2020 iVm § 15 IKT-Schulverordnung benennt den 1. BG und den 3. BG jeweils als Verantwortliche für die Einhaltung unterschiedlicher Aspekte der DSGVO im Zusammenhang mit der Bereitstellung von IT-Systemen und Diensten.
Aus einer unionsrechtskonformen Auslegung dieser Bestimmungen kann nur folgen, dass der 1. BG und der 3. BG im Sinne des Art. 26 DSGVO gemeinsam Verantwortliche für den Einsatz von Microsoft Education 365 sind. Die Zuweisung unterschiedlicher Pflichten im Innenverhältnis zwischen dem 1. BG und dem 3. BG stellt lediglich eine Umsetzung der Vorgaben des Art. 26 Abs. 1 DSGVO dar.
Eine andere Auslegung stünde im Widerspruch zum Konzept des Verantwortlichen gemäß Art. 4 Z 7 DSGVO, der nicht auf einzelne Aspekte der DSGVO reduziert werden kann. Mit anderen Worten: Die Verantwortlichkeit nach Art. 4 Z 7 DSGVO bezieht sich stets auf die Gesamtheit eines Verarbeitungsvorgangs und kann nicht auf Teilbereiche - etwa ausschließlich auf Datensicherheit - beschränkt werden.
Daran ändert auch § 4 Abs. 1 Z 1 lit. c BilDokG 2020 nichts, wonach der 1. BG bzw. die Schulleitung für die Erfüllung der Betroffenenrechte verantwortlich sein soll. Denn nach Art. 26 Abs. 3 DSGVO kann eine betroffene Person ihre Rechte – ungeachtet einer internen Vereinbarung zwischen gemeinsam Verantwortlichen – gegenüber jedem einzelnen der gemeinsam Verantwortlichen geltend machen.
e) Rolle der 4. BG
Wie festgestellt, werden bei der Verwendung von Microsoft Education 365 Daten für nicht näher definierte „legitime Geschäftstätigkeiten“ verarbeitet, die den Microsoft-Konzern betreffen. In diesem Zusammenhang werden u.a. interne Berichtserstattung und Geschäftsmodellierung, Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen sowie Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz angeführt (vgl. Sachverhaltsfeststellung C.9.).
Ebenso wurde die Entscheidung getroffen, dass bei der Verwendung von Microsoft Education 365 Cookies mit unterschiedlichen Funktionalitäten gesetzt oder ausgelesen werden (vgl. Sachverhaltsfeststellung C.7.). Es lagen weder dem 1. BG noch dem 3. BG Informationen darüber vor, welche konkreten Cookies im Rahmen der Verwendung von Microsoft Education 365 gesetzt oder ausgelesen wurden (C.8.).
Unbeschadet ihrer Rolle als (Unter-)Auftragsverarbeiterin für die bloße Bereitstellung einer technischen Lösung verarbeitet die 4. BG jedenfalls im in den Sachverhaltsfeststellung zu C.9. dargestellten Umfang (interne Berichtserstattung und Geschäftsmodellierung, Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen sowie Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz) personenbezogene Daten aus Eigeninteresse .
Diese Schlussfolgerung steht im Einklang mit der Judikatur des EuGH, wonach Akteure in verschiedenen Phasen einer Datenverarbeitung in unterschiedlichem Ausmaß einbezogen sein können (vgl. EuGH 29. Juli 2019, C‑40/17 Rz 70 ff).
Der Verweis der 4. BG darauf, dass es sich bei den in Sachverhaltsfeststellung C.9 beschriebenen Tätigkeiten lediglich um ein „kundenorientiertes Marketing-FAQ-Papier“ handle, überzeugt nicht. Zum einen handelt es sich um vom Microsoft-Konzern selbst veröffentlichte Informationen, zum anderen räumt die 4. BG in ihrer Stellungnahme vom 21. Februar 2025 selbst ein, dass Daten für bestimmte eigene Geschäftstätigkeiten verarbeitet werden. Insbesondere hat die BF im Rahmen der verfahrenseinleitenden Eingabe vom 4. Juni 2024 auch Nachweise für den Einsatz von (Tracking-) Cookies vorgelegt (vgl. Sachverhaltsfeststellung C.7.)
f) Verhältnis zwischen 4. BG und Microsoft Ireland Operations
In Folge ist auf das Verhältnis zwischen 4. BG und Microsoft Ireland Operations einzugehen.
Der EuGH erachtete es für eine datenschutzrechtliche Verantwortlichkeit als ausreichend, dass eine Stelle hinsichtlich der Datenverarbeitung Richtlinien, Anweisungen, technischen Spezifikationen, Protokolle und vertraglichen Verpflichtungen vorgibt, die es sowohl dem Anbieter einer Website oder Anwendung als auch Datenbrokern oder Werbeplattformen ermöglichen, personenbezogene Daten eines Nutzers einer Website oder Anwendung rechtmäßig zu verarbeiten (vgl. EuGH 7. März 2024, C‑604/22 Rz 62 ff).
In einem anderen Fall bekräftigte der EuGH erneut das weite Verständnis eines datenschutzrechtlichen Verantwortlichen. Demnach ist es für eine Verantwortlichkeit ausreichend, wenn eine Stelle bei der Entwicklung einer mobilen Anwendung eine aktive Rolle gespielt und gewisse Parameter der Anwendung vorgegeben hat, selbst wenn die Entwicklung durch eine andere Stelle erfolgte (vgl. EuGH 5. Dezember 2023, C‑683/21 Rz 28 f und Rz 32 ff).
In Anbetracht der angeführten Judikatur kann für die 4. BG nichts Anderes gelten:
Wie festgestellt, trifft die 4. BG die grundsätzlichen Entscheidungen über den Microsoft-Konzern und beeinflusst maßgeblich die Ausrichtung der internationalen Niederlassungen. Zudem ist die 4. BG in die Einführung neuer Produkte in Märkten wie dem EWR involviert und erfolgt die Weiterentwicklung und Koordinierung von Microsoft Education 365 durch die 4. BG. Die Unternehmensrichtlinien werden von der 4. BG vorgegeben (vgl. Sachverhaltsfeststellung C.11.).
Der Einfluss der 4. BG beschränkt sich dabei nicht nur auf geschäftliche oder strategische Fragen. Wie oben ausgeführt, werden beim Einsatz von Microsoft Education 365 Daten zwecks eigener Geschäftstätigkeiten verarbeitet. Da die 4. BG Microsoft Education 365 laut eigenen Angaben entwickelt hat und weiterhin maßgeblich an dessen Weiterentwicklung beteiligt ist, nimmt sie auch Einfluss auf die technischen und organisatorischen Spezifikationen der damit verbundenen Datenverarbeitung.
Dieser Schlussfolgerung schadet auch nicht der Verweis der 4. BG im Rahmen der Einvernahme vom 4. April 2025, dass die seitens der 4. BG entwickelten Unternehmensrichtlinien „von Microsoft Ireland Operations auf den europäischen Markt angepasst werden“ und insofern ein Einfluss der irischen Tochtergesellschaft auf die Datenverarbeitung im Zusammenhang mit Microsoft Education 365 besteht.
Wie der EuGH bereits ausgeführt hat, kann die Mitwirkung an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen, als auch aus übereinstimmenden Entscheidungen solcher Einrichtungen ergeben. In letzterem Fall müssen sich diese Entscheidungen in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und ‑mittel auswirkt. Zudem schadet es einer gemeinsamen Verantwortlichkeit nicht, dass die Entscheidungen im unterschiedlichen Ausmaß und zu unterschiedlichen Phasen (also Zeitpunkten) der Datenverarbeitung getroffen werden (vgl. EuGH 7. März 2024, C‑604/22 Rz 58 f).
Im Sinne der obenstehenden Überlegungen ist die 4. BG daher als Verantwortliche nach Art. 4 Z 7 DSGVO zu qualifizieren.
Die Einflussnahme von Microsoft Ireland Operations kann zwar zu einer gemeinsamen Verantwortung mit der 4. BG führen; da Microsoft Ireland Operations jedoch nicht Partei des gegenständlichen Verfahrens ist, wird hierauf nicht näher eingegangen.
Spruchpunkt 1 (Feststellung von Rechtsverletzungen durch 1. BG und 3. BG)
D.3. Spruchpunkt 1.a) (Rechtsverletzung Auskunft)
Der 1. und 3. BG sind für den Einsatz von Microsoft Education 365 und der damit verbundenen Datenverarbeitung verantwortlich (vgl. Punkt D.2.).
Die BF hat einen Antrag auf Auskunft an den 1. und 3. BG gestellt (vgl. Sachverhaltsfeststellung C.4; vgl. auch Art. 26 Abs. 3 DSGVO, wonach eine betroffene Person an alle gemeinsam Verantwortlichen einen Antrag auf Auskunft stellen kann).
Der 1. BG und 3. BG haben zwar reagiert und grundsätzliche Informationen über den Einsatz von Microsoft Education 365 zur Verfügung gestellt (vgl. Sachverhaltsfeststellung C.4.).
Wie festgestellt, wurde der BF bis zum Abschluss des Verfahrens jedoch keine Auskunft über die konkret verarbeiteten Daten im Zusammenhang mit den (Tracking-)Cookies erteilt (vgl. Sachverhaltsfeststellung C.7.). Insbesondere blieb unklar, welche konkreten Daten auf welcher Rechtsgrundlage im Rahmen des Einsatzes von Microsoft Education 365 an die 4. BG übermittelt wurden.
Ebenso wurden keine diesbezüglichen Informationen im Umfang von Art. 15 Abs. 1 lit. a bis lit. h DSGVO zur Verfügung gestellt.
Unbeauskunftet blieb auch, weshalb in den von der BF vorgelegten Protokolldaten, die im Zuge der Nutzung von Microsoft Education 365 durch die BF (bzw. deren Parteienvertretung) gesichert wurden, Drittanbieter wie SocMed***, Z**ChatAI (bzw. T***AI) oder ***tar aufscheinen (vgl. Sachverhaltsfeststellung C.7.).
Vor dem Hintergrund dieser Überlegungen kann von keiner vollständigen Auskunft ausgegangen werden. Die Rechtsverletzung war gemäß Art. 58 Abs. 6 DSGVO iVm § 24 DSG festzustellen.
Die Unvollständigkeit der Auskunft betrifft aber nur den Umstand, dass nicht dargelegt wurde, in welchem Umfang personenbezogene Daten im Rahmen des Einsatzes von Microsoft Education 365 an die 4. BG übermittelt wurden. Die Verantwortlichkeit des 1. BG und des 3. BG erstreckt sich hingegen nicht auf die Datenverarbeitung durch die 4. BG, die nach Erhalt der Daten in deren eigenem Interesse erfolgt (vgl. zum unterschiedlichen Grad der Verantwortlichkeit beim Einsatz von Social-Media-Plugins näher EuGH 29. Juli 2019, C‑40/17 Rz 85).
D.4. Spruchpunkt 1.b) (Rechtsverletzung Information)
Wie festgestellt, wurden der BF keine rechtzeitigen und vollständigen Informationen über den Einsatz von Microsoft Education 365 sowie die damit verbundene Datenverarbeitung zur Verfügung gestellt (vgl. C.7.).
Hinsichtlich der Unvollständigkeit der Informationen wird auf die Ausführungen unter Punkt D.3. verwiesen. Diese Ausführungen können auf das Recht auf Information gemäß Art. 13 DSGVO übertragen werden.
Die Rechtsverletzung war gemäß Art. 58 Abs. 6 DSGVO iVm § 24 DSG festzustellen (vgl. zur Feststellung einer Verletzung des Rechts auf Information VwGH 20. März 2025, Ro 2023/04/0050).
Spruchpunkt 2
D.5. Spruchpunkt 2.a) (Leistungsauftrag Auskunft)
Der Leistungsauftrag stützt sich auf Art. 58 Abs. 2 lit. c DSGVO iVm § 24 Abs. 5 DSG.
Es ist ausreichend, wenn entweder der 1. BG oder der 3. BG die Auskunft erteilt (vgl. Art. 26 Abs. 3 DSGVO).
Der 1. BG und 3. BG können sich nicht darauf stützen, dass sie keinen Zugang zu gewissen Daten haben (vgl. EuGH 29. Juli 2019, C‑40/17 Rz 69).
Vielmehr besteht eine Verpflichtung der 4. BG, den 1. BG und 3. BG bei der Erfüllung der Betroffenenrechte zu unterstützen (vgl. Art. 26 Abs. 1 DSGVO). Selbst unter der Annahme, dass es sich bei der 4. BG (nur) um eine Auftragsverarbeiterin handelt, ergibt sich eine Unterstützungspflicht aus Art. 28 Abs. 3 lit. e DSGVO.
Vor dem Hintergrund, dass der 1. BG und 3. BG zur Erfüllung des Leistungsauftrags voraussichtlich in Austausch mit der 4. BG treten müssen, um die erforderlichen Informationen zu beschaffen, wurde eine Frist von zehn Wochen festgelegt.
D.6. Spruchpunkt 2.b) (Leistungsauftrag Information)
Der Leistungsauftrag stützt sich auf Art. 58 Abs. 2 lit. d DSGVO.
Im Übrigen wird auf die Ausführungen unter Punkt D.5. verwiesen.
Spruchpunkt 3
D.6. Spruchpunkt 3 (Rechtsverletzung Auskunft)
Die 4. BG ist für die personenbezogenen Daten, die diese aufgrund der Verwendung von Microsoft Education 365 durch die BF erhält und für eigene Zwecke verarbeitet, verantwortlich (vgl. Punkt D.2.).
Die BF hat einen Antrag auf Auskunft an die 4. BG gestellt (vgl. Sachverhaltsfeststellung C.4; vgl. auch Art. 26 Abs. 3 DSGVO, wonach eine betroffene Person an alle gemeinsam Verantwortlichen einen Antrag auf Auskunft stellen kann).
Die 4. BG hat reagiert und hinsichtlich der Verantwortlichkeit auf den jeweiligen Betreiber von Microsoft Education 365 verwiesen (vgl. Sachverhaltsfeststellung C.4.).
Wie festgestellt, wurde der BF bis zum Abschluss des Verfahrens seitens der 4. BG jedoch keine Auskunft über die konkret verarbeiteten Daten im Zusammenhang mit den (Tracking-)Cookies erteilt (vgl. Sachverhaltsfeststellung C.7.). Ebenso wurden keine diesbezüglichen Informationen im Umfang von Art. 15 Abs. 1 lit. a bis lit. h DSGVO zur Verfügung gestellt.
Die seitens der 4. BG am 27. Februar 2025 übermittelte Cookie-Liste kann nicht als Auskunft über Cookies gewertet werden, da es sich lediglich um eine allgemeine Aufstellung ohne erkennbaren Bezug zur BF handelt und zudem keine näheren Informationen (Verarbeitungszweck, Speicherdauer, Empfänger, o.ä.) zu den einzelnen Cookies bereitgestellt wurden.
Bis zum Abschluss des Verfahrens blieb auch unklar, welche konkreten Daten auf welcher Rechtsgrundlage im Rahmen des Einsatzes von Microsoft Education 365 an die 4. BG übermittelt wurden und was konkret unter Begriffen wie „interne Berichtserstattung“, „Geschäftsmodellierung“, „Bekämpfung von Betrug“, „Cyberkriminalität oder Cyberangriffen“, „Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit“, „Datenschutz“ oder „Energieeffizienz“ im gegenständlichen Kontext zu verstehen ist. Nach eigenen, öffentlich zugänglichen Angaben verarbeitet die 4. BG Daten zu den genannten Zwecken (vgl. Sachverhaltsfeststellung C.9.).
Daran ändert auch die Stellungnahme der 4. BG vom 21. Februar 2025 nichts, da darin allgemeine Begriffe wie „Geschäftstätigkeiten“ lediglich durch weitere allgemeine Begriffe erläutert wurden.
Der Abstraktionsgrad dieser Erklärungen ist zu hoch und genügt den Anforderungen nach Art. 12 Abs. 1 DSGVO an sprachliche Klarheit und inhaltliche Präzision nicht. Vielmehr wäre eine wesentlich detailliertere und konkretisierte Auskunft erforderlich. Insbesondere ist zu berücksichtigen, dass es sich bei der BF um eine minderjährige Person handelt und die sprachlichen Anforderungen daher noch höher anzusetzen sind (arg. „[…] dies gilt insbesondere für Informationen, die sich speziell an Kinder richten“ ).
Unbeauskunftet blieb auch, weshalb in den von der BF vorgelegten Protokolldaten, die im Zuge der Nutzung von Microsoft Education 365 durch die BF (bzw. deren Parteienvertretung) gesichert wurden, Drittanbieter wie SocMed***, Z**ChatAI (bzw. T***AI) oder ***tar aufscheinen (vgl. Sachverhaltsfeststellung C.7.) und inwiefern die 4. BG Daten an diese Drittanbieter (weiter-) übermittelt hat.
An diesen Schlussfolgerungen ändert auch der Hinweis der 4. BG vom 21. Februar 2025 nichts, wonach zur Erstellung aggregierter Statistiken (nur) Daten verarbeitet würden, die pseudonymisierte Identifikatoren enthalten.
Selbst wenn davon auszugehen ist, dass ausschließlich eine derartige Verarbeitung stattfindet, setzt die Entfernung des Personenbezugs zu statistischen Zwecken zwingend voraus, dass die Daten zunächst an die 4. BG übermittelt werden. Für diese Datenübermittlung hat die BF eindeutige Nachweise vorgelegt (vgl. Sachverhaltsfeststellung C.7.).
Zudem hat die Datenschutzbehörde bereits klargestellt, dass auch die Entfernung des Personenbezugs einen Verarbeitungsvorgang im Sinne des Art. 4 Z 2 DSGVO darstellt und damit dem sachlichen Anwendungsbereich der DSGVO unterliegt (vgl. DSB 5. Dezember 2018, GZ: DSB D123.270/0009 DSB/2018).
Vor diesem Hintergrund kann von keiner vollständigen Auskunft ausgegangen werden.
Die Rechtsverletzung war gemäß Art. 58 Abs. 6 DSGVO iVm § 24 DSG festzustellen.
Spruchpunkt 4
D.6. Spruchpunkt 4 (Leistungsauftrag Auskunft)
Der Leistungsauftrag stützt sich auf Art. 58 Abs. 2 lit. c DSGVO iVm § 24 Abs. 5 DSG.
Die in Spruchpunkt 4 verwendete Formulierung „verständliche Auskunft“ ist am Maßstab des Art. 12 Abs. 1 DSGVO zu messen. Insbesondere hat die 4. BG darauf zu achten, dass die dort genannten Informationen nicht in einem zu hohen Abstraktionsgrad, sondern in einer für die BF klar nachvollziehbaren und konkretisierten Form zur Verfügung gestellt werden.
Eine Frist von vier Wochen ist aus Sicht der Datenschutzbehörde angemessen.
Spruchpunkt 5
D.6. Spruchpunkt 5 (Leistungsauftrag Löschung)
Schließlich ist über den Antrag auf Löschung personenbezogener Daten der BF abzusprechen, die im Zusammenhang mit Microsoft Education 365 unrechtmäßig verarbeitet wurden.
Soweit Microsoft Education 365 bereitgestellt wird und die Datenverarbeitung ausschließlich zu schulischen Zwecken erfolgt, ist aus Sicht der Datenschutzbehörde keine unrechtmäßige Datenverarbeitung gegeben.
Anders verhält es sich jedoch hinsichtlich des Einsatzes von (Tracking-)Cookies:
Nach gefestigter Judikatur des BVwG handelt es sich bei in Cookies enthaltenen Daten um personenbezogene Daten nach Art. 4 Z 1 DSGVO (vgl. zuletzt BVwG 13. August 2025, W291 2272970-1 mwN).
Diese Überlegung kann auf den vorliegenden Fall übertragen werden, zumal eine Verknüpfung der Daten mit dem Nutzerkonto der BF (a***.ulrike@students.***gymnasium.at) möglich ist.
Für den Einsatz technisch nicht notwendiger Cookies ist eine vorherige Einwilligung erforderlich. Cookies zu Werbe-, Tracking- oder Analysezwecken sind aus technischer Sicht nicht erforderlich (vgl. erneut BVwG a.a.O.). Eine solche Einwilligung liegt im gegenständlichen Fall nicht vor (vgl. Sachverhaltsfeststellung C.7.).
Daraus folgt, dass der Einsatz von technisch nicht erforderlichen Cookies unrechtmäßig erfolgte und nach Art. 17 Abs. 1 lit. d DSGVO die Löschung geboten ist.
Der 1. BG, 3. BG und die 4. BG haben daher zu überprüfen, ob und inwiefern zum aktuellen Zeitpunkt noch entsprechende Daten aus Cookies vorhanden sind. Bejahendenfalls sind diese nach vollständiger Auskunftserteilung zu löschen.
Der Leistungsauftrag stützt sich auf Art. 58 Abs. 2 lit. d DSGVO.
In Anbetracht der Vielzahl an Cookies, die gegenständlich zum Einsatz kommen und zu überprüfen sind, erscheint eine Frist von zehn Wochen angemessen.
Spruchpunkt 6
D.6. Spruchpunkt 6 (Abweisung)
Die 2. BG ist für den Einsatz von Microsoft Education 365 und der damit verbundenen Datenverarbeitung nicht verantwortlich (vgl. Punkt D.2.).
Die Beschwerde gegen die 2. BG war deshalb abzuweisen.
Es war daher spruchgemäß zu entscheiden.