Eine minderjährige Schülerin kann einen juristischen Erfolg gegen die Microsoft Corporation verbuchen: Die österreichische Datenschutzbehörde hat einer Beschwerde des Kindes aus dem Jahr 2024 stattgegeben. Anlass ist, dass Microsoft in der von der Schule für die Kinder gemieteten Software Microsoft 365 Education personenbezogene Cookies platziert. Diese Cookies könnten dazu genutzt werden, das Online-Verhalten der Kinder für Werbezwecke zu verfolgen. Die Speicherung erfolgt ohne Zustimmung, was laut Datenschutzbehörde rechtswidrig ist. Das österreichische Bildungsministerium und die Schule wollen von der Datenernte nichts gewusst haben.

„Laut Microsofts eigener Dokumentation analysieren (die Cookies) das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet”, schildert die Datenschutzorganisation Noyb, welche die Schülerin im Verfahren vertreten hat. Microsoft hingegen hat im Verfahren argumentiert, die Cookies bloß pseudonymisiert für statistische Zwecke auszuwerten. Und dafür seien die Cookies technisch notwendig.

Tatsächlich erfolgt die Pseudonymisierung erst, nachdem die personenbezogenen Daten zu Microsoft gelangt sind. Und diese Datenübertragung fällt laut Bescheid unter die Datenschutzgrundverordnung (DSGVO), unabhängig von etwaiger nachfolgender Pseudonymisierung. Und dass die Cookies für Reichweitenmessungen erforderlich seien, spiele keine Rolle, weil Reichweitenmessungen selbst nicht notwendig sind.

Somit stellt die Behörde fest, dass die Microsoft Corporation „gegen die Rechtmäßigkeit der Verarbeitung sowie den Grundsatz der Rechtmäßigkeit und Treu und Glauben verstoßen hat, indem sie ohne erforderlichen Erlaubnistatbestand des Art 6 Abs 1 DSGVO personenbezogene Daten der Beschwerdeführerin im Zusammenhang mit dem Einsatz von Cookies beim Produkt ‚Microsoft 365 Education‛ verarbeitet hat.” Das bedeutet, dass Microsoft keine Zustimmung eingeholt hat und sich auch auf keine andere Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten stützen kann.

Umprogrammieren oder Rechtsmittel

Daher trägt die Datenschutzbehörde Microsoft auf, ihr rechtswidriges Verhalten einzustellen. Konkret soll sie „den Einsatz technisch nicht notwendiger Cookies unterlassen, sofern hierfür kein geeigneter Erlaubnistatbestand (Einwilligung) vorliegt und dadurch personenbezogene Daten der Beschwerdeführerin verarbeitet werden. Als technisch nicht erforderlich gelten jedenfalls die Cookies MC1, FPC, MSFPC, MicrosoftApplicationsTelemetryDeviceId und ai-session.”

Microsoft akzeptiert das nicht. Es meint nach wie vor, alle notwendigen Datenschutzvorgaben einzuhalten. „Microsoft 365 for Education erfüllt alle vorgeschriebenen Datenschutzstandards, Bildungseinrichtungen können es weiter unter Einhaltung der DSGVO einsetzen“, sagte eine Sprecherin zu heise online. Ob Microsoft die Cookies umprogrammieren oder Rechtsmittel ergreifen wird, ist demnach noch nicht entschieden. Für beides hat Microsoft vier Wochen Zeit, gerechnet ab Zustellung des am 21. Jänner erlassenen Bescheides (GZ 2025-0.768.263, D135.026).

Ausrede auf „kundenorientiertes Marketing” zieht nicht

Vergebens hat Microsoft versucht, sich dem österreichischen Verfahren zu entziehen. Einerseits brachte der Konzern vor, für die Datenverarbeitung gar nicht verantwortlich zu sein. Er sei lediglich (Unter-)Auftragnehmer österreichischer Bildungseinrichtungen. Doch geriet Microsofts Eigenmarketing zum Bumerang: Demnach dienen die mit Microsoft 365 Education geernteten Daten allen möglichen Zwecken, von „interner Berichterstattung und Geschäftsmodellierung” bis „Energieeffizienz”.

Diese Zwecke verfolge Microsoft nicht im Auftrag der Schule sondern im eigenen Interesse, hält die Datenschutzbehörde fest, weshalb sie Microsoft für diese Datenverarbeitung verantwortlich macht. Die Ausrede, das „kundenorientierte Marketing-FAQ-Papier“ sei für Feststellungen nicht geeignet, lässt die Behörde nicht gelten.

Keine Ausflucht nach Irland

Andererseits hat die belangte Microsoft Corporation die Zuständigkeit der österreichischen Datenschutzbehörde bestritten. Das Unternehmen habe eine Tochterfirma in Irland, weshalb die dortige Behörde zuständig sei. Dieser wird nachgesagt, besonders datenkonzernfreundlich zu sein.

Die österreichische Datenschutzbehörde weist jedoch darauf hin, dass die wesentlichen Entscheidungen nicht in Irland sondern in der amerikanischen Konzernzentrale getroffen werden. Laut EuGH (Az. CǦ604/22 Rz 62 ff) reicht für die Verantwortung aus, „dass eine Stelle hinsichtlich der Datenverarbeitung Richtlinien, Anweisungen, technische Spezifikationen, Protokolle und vertragliche Verpflichtungen vorgibt”, was zweifelsohne in den USA erfolge. Weil die darauf beruhenden Cookies in Österreich gesetzt werden, könnten österreichische Behörden einschreiten.

Allenfalls könne es gemeinsame Verantwortung der Microsoft Corporation und ihrer irischen Tochterfirma geben. Noyb hat sich aber nur über den Mutterkonzern beschwert, nicht über die irische Tochter, womit diese nicht Verfahrenspartei wurde. Damit sieht die österreichische Behörde keinen Anlass zur Verlagerung des Verfahrens nach Irland.

Zweite Niederlage gegen österreichische Schüler

Für Microsoft ist dies bereits die zweite Niederlage gegen eine von Noyb vertretene Schülerin. Im Oktober hat die österreichische Datenschutzbehörde festgestellt, dass Microsoft geltendes Datenschutzrecht verletzt hat, indem es der Schülerin die erbetene Datenschutzauskunft nicht hinreichend erteilt hat. (GZ 2025-0.477.534, D135.027). Zusätzlich kamen das Gymnasium der Schülerin und das Bildungsministerium zum Handkuss, weil sie die Schülerin nicht vorab über Erhebung und Weitergabe ihrer personenbezogenen Daten aufgeklärt hatten.

(ds)

Simone Baumeister fotografiert bereits seit vielen Jahren. Doch der Weg von ihren ersten Bildern, die sie noch mit einer einfachen Kompaktkamera gemacht hat, bis hin zur mehrfach ausgezeichneten Naturfotografin, war ein Prozess – einer, der eng mit persönlichen Erfahrungen und ihrer Liebe zur Natur verknüpft ist. Zunächst hielt sie mit kleinen Schnappschüssen ihre Katze fest, wie sie selbst erzählt. „Das hatte keinen Anspruch, ich wollte einfach Erinnerungen behalten.“ Erst später, in einer schwierigen Lebensphase, fand sie in der Naturfotografie einen persönlichen Anker und ihre fotografische Bestimmung.

Diese Zeit bedeutete für sie eine Wende. Allein und in abgelegenen Gegenden suchte sie Ruhe – und fand sie schließlich in der Natur und in Tieren. Aus den Spaziergängen wurden Beobachtungen und aus diesen wiederum eine Leidenschaft. „Es hat mich komplett in den Bann gezogen, mich fokussiert, beruhigt und abgelenkt – und ich konnte einfach nicht mehr aufhören.“ Heute ist die Fotografie für Baumeister mehr als nur ein Hobby, sie ist für sie Ausdruck von Achtsamkeit und eine Form des Loslassens. Ihre Aufnahmen zeigen auch, dass eine tiefe Verbundenheit zu Motiven nicht aus Anspruch, sondern aus Nähe entsteht.

Das Münsterland als Motivlandschaft

Wenn Baumeister über ihre westfälische Heimat spricht, schwingt sowohl Bewunderung als auch Herausforderung mit. Die Fotografin beschreibt das Münsterland als schwieriges Terrain für Naturmotive: Es gibt viele Felder, jedoch nur wenige Wälder und kaum unberührte Orte. „Unsere Waldstücke sind so klein, dass man fast überall nach zwanzig Metern wieder auf einem Spazierweg steht“, sagt sie. Selbst größere Seen sind meist touristisch genutzt oder aufgrund des Naturschutzes nicht zugänglich. Hinzu kommt ein hoher Jagddruck, der die Wildtiere scheu macht.

Das war die Leseprobe unseres heise-Plus-Artikels „Stille Naturfotografie aus dem Münsterland – Portfolio Simone Baumeister“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Die EU-Kommission hat am Montag im EU-Parlament für ihre Gesetzesvorstöße zu Digitalisierung und KI-Regulierung geworben – mit mäßigem Erfolg. Fast alle Fraktionen kritisieren die im Dezember 2025 vorgelegten Vorschläge und warnten davor, hart erkämpfte Schutzstandards zugunsten von „Big Tech“-Unternehmen aufzuweichen.

Vereinfachte Regeln, offener Datenmarkt

Die Kommission will mit einem digitalen Omnibusgesetz die Regeln im Digitalbereich vereinfachen und vier verschiedene Normenkomplexe unter ein Dach bringen: Die Verordnung für den freien Verkehr nicht-personenbezogener Daten, die Open-Data-Richtlinie, den Data Governance Act und den Data Act. Auch die in verschiedenen Digitalgesetzen verstreuten Meldepflichten bei Datenverlust sollen zusammengefasst werden, sodass Unternehmen eine zentrale Anlaufstelle dafür bekommen.

Das sei eine echte Verbesserung für Unternehmen, betonte Renate Nikolay, stellvertretende Generaldirektorin der DG Connect der EU-Kommission. Die Vereinfachung europäischer Normen und mehr Wettbewerbsfähigkeit für europäische Unternehmen seien die zentralen Ziele des Pakets.

Wunschliste der Lobbyisten abgearbeitet?

Im Innenausschuss des Parlaments war hingegen von einer „Deregulierungsinitiative“ der Kommission die Rede. Vereinfachte Regulierung und mehr Wettbewerbsfähigkeit klängen gut, sagt der irische Berichterstatter zum KI-Akt, Michael McNamara (Renew), und nennt es erstaunlich, wenn die Kommissionsentwürfe „Artikel für Artikel Vorschläge der großen Big-Tech-Firmen wiedergeben“.

Abgeordnete von Piraten/Grünen und Sozialdemokraten warnten bei dieser ersten Erörterung des Pakets vor allem vor einer Neudefinition persönlicher Daten. Pseudonymisierte Daten etwa können künftig an Dritte weitergegeben werden, wenn sie von diesen nicht mehr re-identifiziert werden können. Welche Art von Pseudonymisierung dabei „sicher“ ist, will die Kommission selbst in Implementierungsbeschlüssen festlegen.

Birgit Sippel (S&D) kritisierte die Möglichkeit für KI Firmen, sich selbst als „High Risk“ einzustufen oder eben nicht. Ihre Parteikollegin und stellvertretende Vorsitzende des Innenausschusses, Marina Kaljurand, stellte das geplante Privileg für KI-Firmen infrage, das ihnen die Nutzung sensibler Daten erlaubt: „Ist die Verarbeitung personenbezogener Daten in KI Modellen automatisch sicherer als die Verarbeitung durch andere Anwendungen?“

Geschüttelt und gerührt, aber nicht einfacher?

Axel Voss (EVP) anerkannte, dass die Kommission die DSGVO und den AI Act zusammenführen wolle. Ob die Neumischung im Sinne von Rechtssicherheit und Klarheit gelänge, sei bei dem vorgelegten Entwurf noch unklar. Voss mahnte, sich nicht wegen der laufenden Umsetzung des AI Acts unter Zeitdruck zu setzen. Die Ausschusssitzung war die erste zu dem Paket, aber, wie Kaljurand unterstrich, nicht die letzte.

(vbr)