Først Google - nu Microsoft: Microsoft sanktioneres i ny afgørelse fra det østrigske Datatilsyn
Den 8. oktober 2025 traf det østrigske Datatilsyn afgørelse i en sag mod et østrigsk gymnasium og Microsoft. Afgørelsen kommer i kølvandet på lignende sager – herunder den danske Chromebook-sag – og rejser endnu en gang spørgsmålet om, hvordan techgiganter håndterer elever og borgeres personoplysninger. Læs med og bliv klogere på, hvad danske virksomheder og offentlige myndigheder kan lære af afgørelsen.
Far anmodede skole om indsigt i behandling af personoplysninger
Sagen begyndte, da en far til en gymnasieelev ønskede indsigt i, hvilke personoplysninger skolen behandlede om hans datter og til hvilke formål. I sin anmodning om indsigt pegede faren på, at alle de indklagede parter (bl.a. gymnasiet og Microsoft) var involveret i leveringen af Microsoft 365 Education til skolen.
Datatilsynet fandt, at de oplysninger, som blev udleveret til faren på baggrund af anmodningen, var mangelfulde, og at oplysningspligten ikke var blevet overholdt.
Hvad siger GDPR?
Fysiske personer har efter GDPR bl.a. to rettigheder, der omfatter retten til indsigt og oplysningspligten.
Retten til indsigt (GDPR art. 15) giver borgere ret til at se, hvilke oplysninger en dataansvarlig behandler om dem. Anmodninger om indsigt skal som udgangspunkt besvares inden for én måned.
Oplysningspligten (GDPR art. 13) forpligter den dataansvarlige til at oplyse den registrerede om en række forhold - herunder hvilke oplysninger der behandles, hvilke tredjeparter der modtager dem, behandlingsgrundlaget og opbevaringsperioden mv.
Paralleller til Chromebook-sagen
Afgørelsen minder på mange måder om den danske Chromebook-sag fra 2019, hvor Datatilsynet satte en stopper for brugen af Chromebook pc’er i danske skoler, fordi det ikke kunne udelukkes eller oplyses, hvordan Google brugte elevers personoplysninger til egne formål, som var uforenelige med det oprindelige formål.
Læs mere om Chromebook-sagen her
Deling med tredjeparter og ulovlige cookies
Det østrigske Datatilsyn bemærkede bl.a. i den nye afgørelse, at Microsoft ikke kunne redegøre for, hvorfor elevens personoplysninger blev delt med tredjeparter såsom OpenAI, LinkedIn og Xandr.
Derudover konstaterede tilsynet, at Microsoft havde placeret cookies på elevernes enheder uden gyldigt samtykke – en klar overtrædelse af databeskyttelsesreglerne.
Datatilsynet fandt, at der, i forbindelse med elevernes brug af Microsoft 365, behandles følgende oplysninger om eleverne:
- Navn og kælenavn
- E-mailadresse
- Fotos
- Klasse og gruppe
- Uploadede dokumenter
- Opgaver
- Lærermateriale
- Kalenderindlæg
- Login-data mv.
- Data som eleven selv indtaster
Samlet fandt det østrigske datatilsyn, at Microsoft Education ikke lever op til GDPR.
HjulmandKaptains vurdering: Dette bør være kommunernes næste skridt
Afgørelsen fra Østrig føjer sig til en række europæiske sager, der sætter fokus på kommunernes ansvar i selv at undersøge og vurdere databeskyttelsesrisici ved brugen af tech-giganternes digitale produkter.
Hos Kombit, kommunernes IT-fællesskab, arbejder flere af landets kommuner i øjeblikket på en konsekvensanalyse af brugen af Microsoft 365 Education.
Afgørelsen understreger, at offentlige myndigheder - herunder kommuner - bør undersøge alle problemstillinger forbundet med at bruge et Microsoft produkt, da det har vist sig at være nær umuligt at gennemskue, hvad Microsoft anvender data til.
Helt generelt står det klart, at databeskyttelse skal være tænkt ind fra begyndelsen, og at alle digitale løsninger, der håndterer personoplysninger, skal vurderes for deres overholdelse af GDPR, før de tages i brug i skoler og andre institutioner. Det gælder ikke kun Microsoft-produkter, men alle digitale løsninger, der håndterer personoplysninger.
Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig
Har du brug for sparring om, hvordan din organisation sikrer korrekt behandling af personoplysninger eller lever op til GDPR’s krav, så er du altid velkommen til at kontakte vores specialister i databeskyttelse. Vi har indgående erfaring med rådgivning af kommuner og virksomheder, og vi tilbyder altid en uforpligtende samtale.
Vores specialister i GDPR
Nyheder
Se flere-
Nyhed04.11.2025Først Google - nu Microsoft: Microsoft sanktioneres i ny afgørelse fra det østrigske Datatilsyn
Læs nyhed
-
Nyhed08.10.2025
”En firmatur er mere end fællesskab – det er en investering i trivsel, udvikling og kunder”
Læs nyhed
-
Nyhed01.10.2025
HjulmandKaptain fejrer 25-års jubilæum
Læs nyhed
-
Nyhed01.10.2025
Advokat og ejerpartner Casper Nørgaard kan fejre 20-års jubilæum hos HjulmandKaptain
Læs nyhed
-
Nyhed30.09.2025
Østre Landsret fastlægger ramme: Sådan skal immateriel skade vurderes efter GDPR
Læs nyhed
-
Nyhed11.09.2025
ILVA får tidoblet GDPR-bøde - hele koncernens omsætning blev taget med
Læs nyhed
-
Nyhed10.09.2025
Ny EU-forordning om data træder i kraft – er din virksomhed klar til Data Act?
Læs nyhed
-
Nyhed08.09.2025
Advokat og ejerpartner har 20-års jubilæum hos HjulmandKaptain
Læs nyhed
-
Nyhed05.09.2025
Afgørelse i principiel GDPR-sag: EU-Domstolen har taget stilling til fortolkning af, hvad der er en personoplysning
Læs nyhed
Tilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.