Hur påverkar det österrikiska beslutet mot Microsoft 365 Education vår ansvarsfördelning som datatillsägare?

Beslutet bekräftar att utbildningsinstitutioner inte kan avstå från sitt eget GDPR-ansvar genom att överlåta efterlevnaden på techjättar. Ni bär det fulla juridiska ansvaret för insyn och tillgångsrättigheter oavsett leverantörens komplexa företagsstruktur.

Vilka konkreta risker löper vi om vi fortsätter använda amerikanska molntjänster för känsliga data?

Ni riskerar att bryta mot GDPR:s krav på insyn och oförmågan att styrka efterlevnad vid revisioner, vilket kan leda till tvingad radering av data. Den skeva maktbalansen gör att ni saknar inflytande över databehandlingsregister och är juridiskt sårbara.

Vad rekommenderas för att säkerställa datasuveränitet och efterlevnad framöver?

Det akuta behovet av datasuveränitet innebär att ni bör behandla data lokalt inom EU eller Sverige. Detta eliminerar beroendet av amerikanska leverantörer och säkerställer full kontroll över insyn, tillgångsrättigheter och jurisdiktion.

Microsofts dom krossar molnkompliance-myten

Den österrikiska datatillsynsmyndigheten har fastslagit att Microsoft 365 Education olagligt spårar elever och vägrat lämna ut personuppgifter vid tillgångsförfrågningar. Beslutet spränger myten om att utbildningsinstitutioner kan avstå från sitt eget ansvar genom att lägga över efterlevnaden på techjättarna. För svenska CTO:er och CISO:er är detta en tydlig varning: att lita på amerikanska molnleverantörer för känsliga uppdrag skapar omedelbara juridiska risker och operativa blindfläckar.

Myndigheten fann att Microsoft använt spårningskakor utan samtycke och underlåtit att ge fullständig tillgång till användardata enligt artikel 15 i GDPR. Avgörande nog avvisade tillsynsmyndigheten Microsofts försök att flytta jurisdiktionen till dess irländska dotterbolag, vilket bekräftar att Microsoft US fortfarande ansvarar för besluten kring databehandling. Det innebär att europeiska företag inte kan gömma sig bakom komplexa företagsstrukturer eller påstå sig vara okunniga om hur deras leverantörer använder data för affärsmodeller eller energieffektivitet.

Konsekvenserna för svenska företag är direkta och allvarliga. Om du använder Microsoft 365 bryter du sannolikt mot GDPR:s krav på insyn, eftersom leverantören inte tillhandahåller tillräcklig information för att uppfylla kraven i artiklarna 13 och 14. Du löper konkreta risker som tvingad radering av data och oförmåga att styrka efterlevnad vid revisioner. Maktbalansen är skev; lokala enheter saknar inflytande för att kräva detaljerade databehandlingsregister från amerikanska techjättar, vilket lämnar dem juridiskt sårbara.

Detta fall understryker det akuta behovet av datasuveränitet. När din leverant kontrollerar berättelsen och infrastrukturen kan du inte följa europeiska dataskyddslagar. Att behandla data lokalt inom EU eller Sverige eliminerar detta beroende och säkerställer att du behåller full kontroll över insyn, tillgångsrättigheter och jurisdiktion. Det är inte längre enbart ett tekniskt val utan en juridisk nödvändighet för robust styrning.