Kommentar und Bericht aus der Perspektive eines Journalisten, Aktivisten und Datenschützers.

Worum es geht

Im Kreis Viersen ist nach Angaben aus dem Umfeld der Grundschulen ein Fall diskutiert worden, in dem der Datenschutzbeauftragte (DSB) für den Bereich Grundschulen aus einem konkreten Vorgang rund um Microsoft 365 herausgenommen worden sein soll. Offizielle Details zu einer solchen Maßnahme sind öffentlich nicht dokumentiert. Fest steht aber: Für die Schulen im Bezirk des Schulamts Viersen ist ein DSB benannt und erreichbar (Kontaktseite des Schulamts). Damit stellt sich die Grundsatzfrage: Darf ein Verantwortlicher den DSB aus einem Einzelfall „abziehen“ – und wenn ja, wer dürfte das überhaupt?

Die Rechtslage in klaren Worten

1) Unabhängigkeit und Weisungsfreiheit des DSB (EU-Recht)

Die Datenschutz-Grundverordnung ist hier eindeutig: Der DSB arbeitet unabhängig und ist weisungsfrei. Artikel 38 DSGVO verpflichtet den Verantwortlichen, den DSB frühzeitig einzubinden und nicht wegen der Erfüllung seiner Aufgaben zu benachteiligen oder abzuberufen. Siehe den Normtext der DSGVO (Art. 38) im Original bei EUR-Lex:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679

Die europäischen Aufsichtsbehörden haben das in den Leitlinien zum Datenschutzbeauftragten (WP243 rev.01) noch einmal praxisnah ausgeführt: keine Weisungen zu Art und Ergebnis seiner Prüfungen; organisatorische Behinderung („Abziehen“) kann bereits eine unzulässige Einflussnahme sein. PDF der EDPB-Leitlinien:
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dpo_de.pdf

2) Abberufung nur aus wichtigem Grund (deutsches Recht)

Für öffentliche Stellen – dazu zählen die kommunalen Schulträger und Schulämter – präzisiert das BDSG die Stellung des DSB. § 6 BDSG schützt den DSB besonders: Eine Abberufung oder Kündigung ist unzulässig, es sei denn, es liegt ein wichtiger Grund vor. Der Gesetzestext:
https://www.gesetze-im-internet.de/bdsg_2018/__6.html

Der Europäische Gerichtshof hat 2023 bestätigt, dass nationale Regeln einen strengen Schutz der DSB-Unabhängigkeit vorsehen dürfen, solange der Kern der DSGVO-Vorgaben gewahrt bleibt. Zwei Urteile sind hier zentral:

• C-453/21 (Urteil vom 09.02.2023) – zur strengen Bindung an „wichtige Gründe“ bei Abberufungen:
  https://curia.europa.eu/juris/document/document.jsf?text=&docid=270323&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1
• C-560/21 (ebenfalls 09.02.2023) – u. a. zur Unabhängigkeit und möglichen Pflichtenkollisionen:
  https://curia.europa.eu/juris/document/document.jsf?text=&docid=270324&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

Konsequenz: Ein schlichtes „Abziehen“ des DSB aus einem einzelnen, politisch oder organisatorisch heiklen Fall – etwa Microsoft-Cloud an Schulen – ist rechtlich hochproblematisch. Es kann als unzulässige Weisung oder Benachteiligung bewertet werden. Nur echte Interessenkonflikte (z. B. wenn der DSB denselben Bereich verantwortet) oder schwerwiegende Pflichtverstöße rechtfertigen Maßnahmen. Auch dann braucht es Dokumentation und rechtskonforme Vertretungslösungen – nicht die Abkoppelung vom Thema.

3) Speziell: Microsoft 365 im Schulbereich

Der Einsatz von Microsoft-Cloud-Diensten an Schulen ist seit Jahren streitbefangen. Maßgeblich sind u. a.:

• Orientierungshilfe der Datenschutzkonferenz (DSK) zu Microsoft 365:
  https://www.datenschutzkonferenz-online.de/media/oh/2022_oh_microsoft.pdf
• Handreichung der LDI NRW zu Microsoft Cloud (einschließlich Schulen):
  https://www.ldi.nrw.de/system/files/media/document/file/ldi_handreichung_nr_13_-_MS_Cloud.pdf

Diese Dokumente zeigen: Es gibt erhebliche Anforderungen an Rechtsgrundlagen, Verträge, Datenflüsse und Technikgestaltung. Gerade deshalb ist die frühzeitige und kontinuierliche Einbindung des DSB zwingend. Ihn aus genau diesem Thema herauszuziehen, untergräbt die geforderte Kontrolle.

Wer dürfte überhaupt entscheiden?

Formell ist der Verantwortliche Abberufungs- oder Umsetzungsadressat – bei öffentlichen Schulen in NRW sind das je nach Konstellation Schulamt/Schulträger für die Bestellung des Schul-DSB und die jeweilige Schulleitung als Verantwortliche für konkrete Verarbeitungen. Im Kreis Viersen ist für die Schulen ein DSB benannt; die offizielle Kontakt- und Übersichtsseite des Schulamts für den Kreis Viersen findest du hier:
https://www.kreis-viersen.de/themen/bildung/schulamt-fuer-den-kreis-viersen

Aber: Auch wenn organisatorisch „jemand“ entscheiden kann, setzt das Recht enge Grenzen. Jede Maßnahme, die den DSB daran hindert, seine Aufgaben neutral wahrzunehmen, kollidiert mit Art. 38 DSGVO und § 6 BDSG.

Was Betroffene tun können – konkret

1. Dokumentieren. E-Mails, Protokolle, Zeitabläufe, Zeugen. Ohne Emotion, mit Datum.
2. DSB (Schule) kontaktieren. Höflich, sachlich, um Stellungnahme bitten.
   Kontakt/Info über das Schulamt Viersen: https://www.kreis-viersen.de/themen/bildung/schulamt-fuer-den-kreis-viersen
3. Schulleitung und Schulträger anschreiben. Unter Hinweis auf Art. 38 DSGVO (Einbindung/Weisungsfreiheit) um Klarstellung und Rücknahme eines etwaigen „Abziehens“ bitten.
4. Aufsichtsbehörde einschalten (Art. 77 DSGVO). In NRW: LDI NRW – Online-Beschwerde:
   https://www.ldi.nrw.de/kontakt/ihre-beschwerde
5. Rechtsgrundlagen/Technik prüfen lassen. Wenn es um Microsoft 365 geht, die oben verlinkte DSK-Orientierungshilfe und die LDI-Handreichung beiziehen und auf Risikofolgenabschätzung (DPIA) drängen.
6. Transparenz einfordern. Der DSB hat nach Art. 39 DSGVO Beratungs- und Überwachungsaufgaben. Verlange, dass er offen beteiligt wird – und dass Ergebnisse dokumentiert werden.

Als Journalist und Datenschützer sage ich klar: Ein Abziehen des DSB aus genau den Fällen, in denen er am meisten gebraucht wird, ist ein Alarmzeichen. Rechtlich hält das in der Regel nicht – organisatorisch ist es ein Bärendienst für die Schule. Wer Transparenz und Vertrauensschutz ernst nimmt, lässt den DSB arbeiten: unabhängig, unbequem, aber rechtsstaatlich.

Quellen (Auswahl, geprüft am 15.08.2025)

• DSGVO (EUR-Lex), insbes. Art. 38: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679
• BDSG § 6 – Stellung des Datenschutzbeauftragten: https://www.gesetze-im-internet.de/bdsg_2018/__6.html
• EuGH, Urteil C-453/21 (09.02.2023): https://curia.europa.eu/juris/document/document.jsf?text=&docid=270323&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1
• EuGH, Urteil C-560/21 (09.02.2023): https://curia.europa.eu/juris/document/document.jsf?text=&docid=270324&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1
• EDPB-Leitlinien zum Datenschutzbeauftragten (WP243 rev.01): https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dpo_de.pdf
• DSK-Orientierungshilfe Microsoft 365 (2022): https://www.datenschutzkonferenz-online.de/media/oh/2022_oh_microsoft.pdf
• LDI NRW, Handreichung Microsoft Cloud: https://www.ldi.nrw.de/system/files/media/document/file/ldi_handreichung_nr_13_-_MS_Cloud.pdf
• Schulamt für den Kreis Viersen (Kontakt/Infos): https://www.kreis-viersen.de/themen/bildung/schulamt-fuer-den-kreis-viersen
• LDI NRW, Ihre Beschwerde (Art. 77 DSGVO): https://www.ldi.nrw.de/kontakt/ihre-beschwerde

Siehe auch

• Digitale Souveränität oder nur Souveränitätswashing?
• 324.000 Euro für nichts: Hannovers Microsoft-Desaster und das systematische Versagen beim Datenschutz
• Vier Jahrzehnte strukturelle Überwachung: Warum die Microsoft-365-Problematik keine Trump-Erfindung ist
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird