Foto: Shutterstock / MikeDotta.

Microsoft sporer elevene ulovlig, ifølge datatilsynet i Østerrike

En elev i Østerrike ba Microsoft om å gi henne alle data som selskapet hadde samlet inn om henne i skoleløsningen. Det er en rett hun har i GDPR-reglene, men Microsoft nektet.

Publisert |Av Sjur Jansen|KategorierSkole, Myndigheter, Personvern

Datatilsynet i Østerrike (DSB) mener at Microsoft opererer ulovlig med sin skoleløsning «Microsoft 365 Education».

Ulovlighetene går ut på at Microsoft:

  • sporer elever
  • bruker elevenes data til Microsofts egne formål
  • besvarer ikke elevkrav om innsyn i sine egne data i skoleløsningen

Saken startet i 2023 da en elev ba om innsyn i alle data som Microsoft sitter på om henne, slik artikkel 15 i GDPR-regkene gir henne rett til.

Men Microsoft sendte eleven videre til skolen og sa at det er skolen som må samle alle opplysninger og sende dem. Skolen kunne ikke gjøre det, for skolen har ikke tilgang til alt som Microsoft samler inn om elevene.

Det hele ble til en formell klage i juni 2024 som gikk til:

  • Den videregående skolen og skolens ledelse
  • Utdanningsdirektoratet
  • Kunnskapsdepartementet
  • Microsoft

Hun fikk hjelp av sin far og  organisasjonen Noyb til å sende klagen. Noyb ledes av Max Schrems som er kjent for å ha kjørt saker mot blant annet Facebook.

Microsoft har ti uker på seg til å følge GDPR

8. oktober 2025 bestemte Datatilsynet i Østerrike at Microsoft har ti uker på seg til å levere eleven alle data, det gjelder for eksempel dokumenter, meldinger, tilkoblingssdata, loggfiler, ip-adresser, informasjonskapsler og lignende.

Så langt Barnevakten forstår, fikk aldri eleven anledning til å samtykke til at informasjonskapsler ble benyttet. Datatilsynet i Østerrike krever derfor at Microsoft også sletter alle data som er samlet inn uten lov.

I den samlede leveransen av datafiler som gjelder eleven må Microsoft også opplyse om noen data har blitt delt med tredjeparter som Linkedin, OpenAI eller lignende. For i saken ble det avslørt 245 treff på Linkedin og to treff på ChatGPT. I tillegg fant man spor etter reklametjenesten Xandr.

Datatilsynet i Østerrike skriver at når elever benytter Microsoft Office 365, blir dette samlet inn:

  • Fornavn, etternavn, kallenavn og tittel
  • E-postadresse
  • Foto
  • Medlemsskap og roller (tildeling til klasse, kurs og grupper)
  • Dokumentasjon av ytelse
  • Oppgaver
  • Læringsmateriell
  • Kalenderoppføringer, både skolerelaterte og personlige, samt skolearbeidsavtaler
  • Systemdata som for eksempel innloggingsdata
  • E-poster, tekstbehandling, lysbildepresentasjoner, regneark og så videre
Kan anke saken

Microsoft har fire uker på seg til eventuelt å anke beslutningen. Gebyret for å anke er 50 euro, det har nok Microsoft råd til.

Les mer i artikkel fra Noyb.

Har sluttet å bruke KI fra Microsoft

Det danske datatilsynet er blant dem som har sluttet å bruke den kunstige intelligensen Microsoft Copilot fordi det er ikke åpenbart hva som skjer med dataene. Den danske avisen skriver Version2 skriver: «Microsoft samler inn brukernes persondata gjennom Copilot, men det er så vanskelig å få innsikt i hva tech-giganten gjør med opplysningerne, at selv ikke Danmarks GDPR-vakthund makter å få et overblikk.»

Et annet sikkerhetsproblem med Microsoft er at maskinen kan ta bilde av skjermen din hvert femte sekund.

(Illustrasjonsbilde øverst: Shutterstock / MikeDotta.)