Sagen Microsoft sporer elever har bragt en af verdens største teknologivirksomheder i modvind i Europa.
Den østrigske databeskyttelsesmyndighed har konkluderet, at Microsoft 365 Education overtrådte GDPR ved at spore skoleelever og nægte adgang til indsamlede data.
Afgørelsen afslører alvorlige privatlivsproblemer i uddannelsesteknologi, der anvendes i klasseværelser over hele EU.
Den østrigske afgørelse
Østrigs Datenschutzbehörde (DPA) fastslog, at Microsoft brugte sporingscookies i sin Microsoft 365 Education-platform uden gyldigt samtykke.
Efterforskningen viste, at elevers aktivitetsdata blev overført til USA og analyseret til ukendte formål.
Myndigheden fandt også, at Microsoft undlod at efterkomme en anmodning om indsigt fra en elev.
Virksomheden nægtede at give fuld information om, hvilke data der blev indsamlet, og hvordan de blev behandlet.
Ifølge DPA udgjorde denne afvisning en overtrædelse af gennemsigtighedskravene i GDPR.
Microsoft forsøgte at overføre ansvaret til lokale skoler og sit irske datterselskab, men DPA konkluderede, at Microsoft Corporation i USA fortsat er den primære dataansvarlige for elevdata.
Juridiske konsekvenser
Afgørelsen i Microsoft sporer elever-sagen pålægger Microsoft at slette ulovligt indsamlede oplysninger og forklare, hvordan virksomheden behandler data fra mindreårige.
Skoler, der anvender Microsoft 365, skal desuden gennemgå deres kontrakter for at sikre, at de overholder EU’s databeskyttelseslovgivning.
Juridiske eksperter vurderer, at sagen kan skabe et præcedens i hele Europa.
Den fastslår, at både uddannelsesinstitutioner og softwareudbydere deler et fælles ansvar for at beskytte elevdata.
Datatilsyn i andre EU-lande kan nu begynde at undersøge, om lignende platforme lever op til GDPR-kravene.
Privatlivs- og etiske spørgsmål
Privatlivsfortalere mener, at sagen afslører dybere problemer i edtech-branchen.
Mange digitale læringsværktøjer indsamler langt flere oplysninger end nødvendigt – ofte uden tydeligt samtykke.
Børn udgør en af de mest sårbare grupper under databeskyttelsesloven.
Afgørelsen i Microsoft sporer elever-sagen understreger, at virksomheder skal udvikle produkter med ”privacy by default”, så børns personlige data beskyttes mod uautoriseret brug eller overførsel.
Microsofts svar
Microsoft har udtalt, at virksomheden fortsat er forpligtet til at overholde EU’s regler og vil samarbejde med myndighederne for at løse sagen.
Virksomheden hævder, at det er skolerne – ikke Microsoft – der har ansvaret for, hvordan data håndteres i henhold til deres uddannelsesaftaler.
Men ifølge DPA har Microsoft det endelige ansvar for, hvordan data lagres og overføres.
Det betyder, at virksomheden ikke fuldt ud kan fralægge sig ansvaret ved at henvise til tredjepart eller partnere.
Konklusion
Sagen Microsoft sporer elever viser, hvordan GDPR-håndhævelsen nu også gælder uddannelsesteknologi.
Den østrigske afgørelse mod Microsoft skaber et tydeligt eksempel for andre EU-myndigheder at følge.
Efterhånden som undersøgelsen fortsætter, kan resultatet ændre, hvordan globale teknologivirksomheder håndterer børns data i klasseværelser over hele Europa.
0 svar til “Microsoft sporer elever: Østrig fastslår, at Microsoft 365 overtræder GDPR”