Eugen Ehmann

Manuela Gürtler-Bayer, Der behördliche Datenschutzbeauftragte


Manuela Gürtler-Bayer, Der behördliche Datenschutzbeauftragte. Eine Analyse rechtlicher Probleme in der Konzeption des behördlichen Datenschutzbeauftragten unter Berücksichtigung der EU-Datenschutz-Grundverordnung, Hamburg (Dr. Kovač) 2014, ISBN 978-3-8300-8013-8, € 99,80

ZD-Aktuell 2015, 04126     Der behördliche Datenschutzbeauftragte ist – ganz im Unterschied zum betrieblichen Datenschutzbeauftragten in Unternehmen – eine Art Stiefkind der datenschutzrechtlichen Lit. Auch der Gesetzgeber würdigt seine Bedeutung oft nicht genug, was man etwa daran sieht, dass er in manchen Bundesländern wie Hamburg (worauf die Autorin auf S. 60 angemessen kritisch hinweist) eine lediglich fakultative Einrichtung darstellt.

Nur ausgesprochen selten rückt er ins Blickfeld der Öffentlichkeit. Dies war etwa der Fall, als das Publikum erstaunt feststellen musste, dass nicht weniger als mindestens 1.165 Bedienstete der bayerischen Finanzverwaltung Zugriff auf die Steuerakte Hoeneß hätten nehmen können und dass keineswegs jedes einzelne Finanzamt in Bayern über einen eigenen behördlichen Datenschutzbeauftragten verfügte, weil das bayerische Landesrecht (wie die anderen Landesrechte auch) die Bestellung eines gemeinsamen Datenschutzbeauftragten für mehrere (durchaus auch jeweils sehr große) Behörden zulässt. Zumindest dies wurde in der praktischen Umsetzung inzwischen auf Grund einer Intervention des Bayerischen Landesbeauftragten für den Datenschutz dahingehend geändert, dass nunmehr in jedem einzelnen Finanzamt ein behördlicher Datenschutzbeauftragter bestellt wird (s. dazu die Berichterstattung etwa in der Tageszeitung Die Welt v. 25.8.2014). So hofft man zu verhindern, dass es auch künftig – wie im Fall Hoeneß durch die unzulässiger Weitergabe von Steuerdaten an Medien ganz offensichtlich eingetreten – zu Verletzungen des Steuergeheimnisses kommt, die schlicht deshalb nicht aufgeklärt werden können, weil der Kreis der möglichen Täter zwar behördenintern exakt zu benennen ist, aber schlicht eine Größe aufweist, die jegliche Aufklärung des Sachverhalts illusorisch macht.

Die Autorin konnte zwar dieses Beispiel bei der Abfassung ihrer Arbeit noch nicht heranziehen, bezeichnet jedoch die Möglichkeit, einen gemeinsamen Datenschutzbeauftragten für mehrere öffentliche Stellen zu bestellen, mit treffsicherem Gespür als nur „zunächst harmlos“ scheinende Regelung und brandmarkt sie als „eine empfindliche Hürde für die öffentlichen Stellen, die mit dem Ziel einer effektiven Datenschutzkontrolle nicht vereinbar ist.“ (S. 101 der Arbeit). Wie zutreffend, wenn diese Lösung (auch diese Gefahr benennt die Autorin) durch personelle Not leidende Behörden vor allem dazu benutzt wird, um an der sachgerechten Ausstattung für den behördlichen Datenschutzbeauftragten zu sparen!

Das Beispiel der Finanzverwaltung zeigt, dass behördliche Datenschutzbeauftragte für die Wahrnehmung der Rechte von Bürgern durchaus eine wesentliche Funktion haben -  dies schon deshalb, weil behördliche Abläufe höchst eigenen Regeln folgen, die Außenstehende in der Regel selbst dann nicht durchschauen könnten, wenn sie nach außen transparent wären, was keineswegs durchgängig der Fall ist und (Steuergeheimnis! Sozialgeheimnis!) vielfach auch gar nicht der Fall sein darf. Es trifft deshalb zu, wenn die Autorin hervorhebt, dass jedenfalls in einer modernen, überwiegend elektronisch arbeitenden Verwaltung die Bedeutung des Datenschutzbeauftragten keineswegs geringer ist als in einem Unternehmen (S. 62). Diese Erkenntnis mag banal klingen, sie ist es jedoch keineswegs, wie jeder bestätigen wird, der schon einmal in der Praxis mit dem Argument konfrontiert war, wegen der besonderen Bindung der Verwaltung sei so etwas wie ein behördlicher Datenschutzbeauftragter letztlich doch eine Luxusangelegenheit.

Bei seiner Tätigkeit unterliegt der behördliche Datenschutzbeauftragte einer ganzen Reihe von Rahmenbedingungen, die es so in Unternehmen nicht gibt. So ist die Gefahr einer Kündigung wegen „unbotmäßigen Verhaltens“ in Form einer von der Behördenleitung als zu strikt empfundenen Auslegung der datenschutzrechtlichen Vorgaben in der Regel zwar tatsächlich nicht gegeben. Doch weist die Autorin (S. 62) zutreffend darauf hin, dass etwa ein Übergehen bei einer Beförderung nicht weniger einschneidend wirken kann. Dies gilt umso mehr, als (so zutreffend S. 133) es keine gesetzliche Regelung gibt, wonach ein für diese Aufgabe vollständig freigestellter Datenschutzbeauftragter entsprechend einem vollständig freigestellten Personalratsmitglied bei dienstlichen Beurteilungen nicht benachteiligt werden darf (S. 133/134). Das Postulat der Autorin, es müsse insoweit dasselbe gelten wie für ein vollständig freigestelltes Personalratsmitglied, ist nachvollziehbar, hat aber ohne ausdrückliche gesetzliche Grundlage in der Praxis so gut wie keine Chance auf Umsetzung.

Diese und andere Besonderheiten (so etwa das fehlende Recht, sich – wie ein betrieblicher Datenschutzbeauftragter – in Zweifelsfragen an die Datenschutzaufsicht zu wenden, s. S. 271) stellt die Autorin zuverlässig dar. Dabei geht sie – was unvermeidlich erscheint – in einem Ausblick auch darauf ein, welches Schicksal der behördliche Datenschutzbeauftragte in der geplanten EU-Datenschutz-Grundverordnung erfahren könnte (S. 275 ff.). Diese Ausführungen sind jedoch angemessen kurz gehalten, da es im Augenblick noch völlig unklar erscheint, wann und in welcher Form die Grundverordnung kommen wird. Nicht mehr berücksichtigen konnte die Arbeit leider die Entscheidung des VGH Kassel zu der Frage, ob der Personalrat bei der Bestellung des Vertreters eines betrieblichen Datenschutzbeauftragten (so ein solcher denn nach der Gesetzeslage überhaupt erforderlich ist, was bekanntlich von der Mehrheit der Lit. auch für den betrieblichen Datenschutzbeauftragten verneint wird) mitzubestimmen hat (VGH Kassel ZD 2015, 98). Die Problemstellung der Mitbestimmung des Personalrats an sich ist in der Arbeit jedoch dargestellt (S. 258 ff.).

Positiv zu vermerken ist, dass die an sich angekündigte Beschränkung auf die Regelungen des BDSG (so S. 21) jedenfalls dort, wo ein Eingehen auf landesrechtliche Regelungen geboten erscheint, vielfach nicht durchgehalten ist. Dass andererseits nicht zu jedem Punkt sämtliche landesrechtlichen Regelungen nachgewiesen sind, ist kein Mangel, sondern erleichtert schlicht und einfach die Lesbarkeit der Arbeit. Kein Luxus wäre es gewesen, die Arbeit mit einem Verzeichnis zu versehen. Dies würde die Suche nach konkreten Einzelfragen doch deutlich abkürzen.

Insgesamt kann die Lektüre jedem, der sich für die Institution des behördlichen Datenschutzbeauftragten interessiert, ohne weiteres empfohlen werden.

Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken.