Sérti az EU és Németország adatvédelmi szabályait (GDPR) a Microsoft 365, így azt iskolákban nem lehet jogszerűen használni. Erre jutott a németek legfőbb adatvédelmi testülete, a Datenschutzaufsichtsbehörden des Bundes und der Länder. (A szervezetet működési módja után röviden Datenschutzkonferenznek vagy DSK-nak is nevezik.)

A döntés nem érhette váratlanul a Microsoftot, mivel jelentése (PDF) kiadása előtt a DSK két évig egyeztetett a vállalattal. 2020-ban külön munkacsoportot hoztak létre, hogy a vállalat szolgáltatásait közös erővel összehangolják az Európai Bíróság egy korábbi, ún. Schrems II. határozatával. (A Maximilian Schrems osztrák adatvédelmi aktivista beadványa nyomán született ítéletről egy kattintásnyira olvashat bővebben.)

A német hatóságok két súlyos kifogást fogalmaztak meg. A Microsoft 365 működése sérti a GDPR azon rendelkezéseit, melyek a kiskorúak adatainak kezelését szabályozzák: 13 év alatti gyermekekről egyáltalán nem lehet adatokat gyűjteni, míg 16 és 13 éves életkor között ehhez szülői beleegyezés kell (Magyarország is ezt a szabályt alkalmazza). A másik kifogásuk az volt, hogy a Microsoft 365 több szolgáltatásának olyan felhasználási feltételei vannak, hogy azáltal a vállalat hozzáfér titkosítatlan és nem álnevesített adatokhoz.

Microsoft: a DSK félreértelmez

A Microsoft szerint a DSK értékelése téves. Redmond szerint a Microsoft 365 csomag termékei nem csak megfelelnek a GDPR-nek, hanem több esetben annál szigorúbban védik a személyes adatokat. Így ügyfeleik Németországban és az EU más tagállamaiban az adatvédelmi előírásoknak mindenben megfelelő termékeket használhatnak.

A Microsoft arra hivatkozott, hogy 2022 szeptemberében már módosította a telemetriai és diagnosztikai adatok felhasználására vonatkozó szabályait. A DSK viszont ezeket úgy értékelte, hogy bár a szóhasználat némileg finomodott, a gyakorlat mit sem változott. A Microsoft 365-öt használó uniós polgárokat továbbra sem védi semmi két amerikai törvény, a 2018-as CLOUD Act és a FISA 702 rendelkezéseivel szemben. Előbbi értelmében az amerikai bűnüldöző szervek bizonyos esetekben akár a határokon túlról is begyűjthetnek személyes adatokat, míg utóbbi szinte korlátlan hozzáférést biztosít az amerikai titkosszolgálatoknak minden olyan adathoz, amit amerikai joghatóság alá tartozó vállalkozás kezel.

A DSK verdiktje éppen ezért az, hogy a Microsoft 365 nem használható a közszférában, és különösen nem az iskolákban. A határozat külön kitér arra, hogy a Microsoft jelen esetben nem hivatkozhat a GDPR 6. cikke szerinti jogos érdekre sem.

A Microsoft nem ért egyet a Datenschutzkonferenz aggályaival. Nyilvános reakciójukban felhozták, hogy milyen szorosan együttműködtek a DSK-val, és az egyeztetések nyomán több változtatást eszközöltek az adatkezelési szabályaikban. Ugyanakkor azt ígérték, hogy folytatják az egyeztetéseket, mert szeretnék a fennmaradt aggályokat is megnyugtatóan orvosolni.

Máshol is van probléma

Mint a The Register írja, nem csak a németeknek van gondjuk Redmond irodai csomagjával. Franciaországban a többek között az oktatás irányításáért is felelős miniszter, Pap Ndiaye kezdte pedzegetni, hogy a Microsoft 365-öt és a Google Workspace-t nem szabadna használni az iskolákban.

A Datenschutz – Schule – News című oldal pedig arra hívja fel a figyelmet, hogy a döntés nemcsak a Microsoftnak fájhat. Az oktatási intézményeknek szintén feladja a leckét. Egy nyílt forráskódú átállást, amit megoldásként egy szakértő vetett fel a The Registernek, ugyanis nem lehet végrehajtani egyik napról a másikra.