Heiko Markus Roth, LL.M., ist seit mehreren Jahren interner Datenschutzbeauftragter im Konzernumfeld. Die hier geäußerten Ansichten spiegeln ausschließlich die private Meinung des Autors wider.
ZD-Aktuell 2024, 04511 Auch im Datenschutz gibt es Bücher, die nur für den gelegentlichen oder durch Hausarbeiten geforderten Besucher einer Bibliothek geschrieben sind. Und es gibt Bücher, auf die die Praxis (lange) gewartet hat. Zur zweiten Gruppe gehört, nach meiner Meinung, das Buch von Dr. Patrick Grosmann, erschienen 2024: „Die Interessenkonflikte der betrieblichen und behördlichen Datenschutzbeauftragten - Eine Analyse der Konfliktlagen und Verbundenheiten“.
1. Ausgangsfragen
Grosmann greift mit seinem Buch zwei bisher fast sträflich vernachlässigte Fragen auf: „Welche Interessenskonflikte und Spannungsverhältnisse bestehen bezüglich der Rolle des betrieblichen und behördlichen Datenschutzbeauftragten?“ Und weiter: „Welche multivektoriellen Verbundenheiten ergeben sich aus diesen Interessenskonflikten und wie geht das Recht mit diesen Konfliktlagen um?“.
Mit „multivektoriellen Verbundenheiten“ ist die Situation gemeint, in der sich viele DSB nicht selten wiederfinden: die zwischen den Stühlen. Nach den ersten Seiten musste ich mich selbst fragen: Kann ein DSB wirklich frei von Interessenskonflikten sein, die seine Schutzfunktion beeinträchtigen können, wenn er bei seiner Aufgabenerledigung mehreren heterogenen Adressatengruppen gegenübersteht? Liefert das Recht ausreichende Ansätze zur Konfliktlösung? - die Antworten, so viel sei verraten, liefert das Buch sukzessive.
2. Struktur
Mich hat während der Lektüre des einheitlich strukturierten und prägnant formulierten Werks zunächst überzeugt, dass Grosmann mit den Grundlagen beginnt, namentlich:
# Was ist ein „Interesse“?
# Was ist ein „Interessenkonflikt“?
# Wann ist dieser Konflikt auch „rechtlich relevant“?
# Ist der Konflikt im Einzelfall nur theoretischer Natur oder kann er sich auch objektiv-real manifestieren?
# Was hat die „Verbundenheit“ des DSB mit verschiedenen Adressatengruppen mit Interessenskonflikten zu tun?
Diesen Grundlagen folgend untersucht Grosmann in vier sukzessiv aufgebauten Kapiteln, wie es um relevante Interessenkonflikte und deren Lösung durch das bestehende Recht steht: Konflikte ...
# in der unabhängigen Stellung,
# aus dem Aufgabenregime,
# aus dem Pflichtenregime und
# aus den Rechtsbeziehungen des DSB.
Jedes Kapitel beginnt mit einem „Deep Dive“ zur Rechtslage und nimmt sich dabei die zentralen Tatbestände der Art. 37-39 DS-GVO vor, zB zur Reichweite der Pflicht zur „Geheimhaltung“ und „Vertraulichkeit“, zur Fortbildung, zur Erreichbarkeit oder zu Aufbewahrungspflichten des DSB. Die Kenntnis dieser Basics ist auch für die Haftung von DSB von hoher Relevanz (s. jüngst Kühne ZD 2024, 243 ff.).
Diesem Aufriss folgt jeweils eine Skizze der relevanten Interessenskonflikte und der Verbundenheiten sowie eine Auswertung, ob und wie das bestehende Recht auf diese Konflikte reagiert. Die Frage, ob und wie die Rechtsdurchsetzung gelingen kann rundet jedes Kapitel ab.
Sofern geboten, arbeitet Grosmann die Unterschiede und die Gemeinsamkeiten heraus, die zwischen den verschiedenen Typen eines DSB bestehen:
# betrieblicher vs. behördlicher DSB
- behördlich: angestellt vs. verbeamtet
# interner vs. externer DSB
- extern: anwaltlich vs. nicht-anwaltlich
# pflichtiger vs. fakultativ benannter DSB
# einzelner vs. gemeinsamer DSB.
3. Tiefe
Grosmann gräbt bei seinen Analysen tief. Dabei macht er auch auf Unterlagen aus dem Normsetzungsverfahren der DS-GVO aufmerksam. Beispiel: ein - final nicht umgesetzter - Vorschlag der EU-Kommission (A7-0402/2013, abrufbar unter: https://www.europarl.europa.eu/doceo/document/A-7-2013-0402_DE.html), ein Qualifikationsniveau des DSB vorzugeben (war als Erwägungsgrund 75a vorgesehen). Neben dem Literatur- fällt auch der Rechtsprechungsapparat großzügig aus.
Auf der tatbestandlichen Ebene überzeugt Grosmann mit durchdachten Vergleichen und Abgrenzungen zu anderen Rechtsnormen und -instituten. Beispiel: Wie unterscheidet sich Art. 38 Abs. 6 DS-GVO von § 43a Abs. 4 BRAO oder § 105 Abs. 1 AktG mit Blick auf Interessenskonflikte durch Wahrnehmung „anderer Aufgaben“?
Grosmann wählt viele griffige Beispiele und zeigt, etwa in Übereinstimmung mit der jüngeren Rechtsprechung des EuGH (zB EuGH ZD 2023, 334 mAnm Moos/Dirkers), wie sehr es bei der Prüfung von relevanten Interessenskonflikten auf die konkreten Umstände des Einzelfalls ankommt. Pauschal-typisierende Vergleiche, wie sie etwa via Social Media Posts ohne weitere Differenzierung vertrieben werden – etwa frei nach dem Motto „externe DSB sind unabhängiger als interne DSB“ – wird hier mit Leichtigkeit der Boden entzogen.
In der Praxis ist zu beobachten, dass Konflikte aus der Stellung, den Aufgaben, Pflichten und Rechtsbeziehungen des DSB ab und an vermischt werden. Grosmann arbeitet richtigerweise heraus, dass die Stellung – dh die organisatorische Einbindung – ein „Fundament“ bildet. Treten bereits im Fundament „Brüche“ auf (hier: ungelöste reale Konflikte), hat dies direkte Auswirkung auf die Aufgaben- und Pflichtenerfüllung sowie die Rechtsbeziehungen des DSB.
4. Praxisnähe
Das Werk von Grosmann liefert Antworten auf sehr viele Einzelfragen, die sich viele DSB selbst schon (mindestens) einmal gestellt haben (sollten). Nur ein paar ausgewählte Beispiele:
# Dürfen Compliance-, IT- und Informationssicherheitsbeauftragte, Syndikus- und Prozessanwälte, Betriebsrats-Vorsitzende, Aufsichtsrats- oder Ethikkommissions-Mitglieder auch DSB sein?
# Ergibt sich für den externen DSB bei der Beratung von Mitbewerbern als Auftraggeber ein relevantes Konfliktpotential?
# Führt die Übernahme von konfliktauslösenden „anderen Aufgaben“ zu einer Unwirksamkeit der Benennung oder zu einer Handlungspflicht des Verantwortlichen?
# Wie weit muss ein DSB zur Erfüllung seiner Aufgaben den Sachverhalt aufklären?
# Der RA muss für seinen Mandaten den 'sichersten' Weg aufzeigen, der DSB den 'datenschutzkonformsten' Weg - was sind die Unterschiede?
# Muss oder kann der DSB selbst schulen oder nur die Erfüllung der Schulungspflicht überwachen?
# Welche Rolle wird dem DSB in der Datenschutz-Compliance einer Organisation oder bei der Konzeption und Umsetzung eines DSMS zuteil?
# Muss der DSB jeden (potenziellen) Verstoß nachgehen, über den ihn eine betroffene Person informiert?
# Lässt sich eine Auditpflicht des DSB aus der DS-GVO ableiten?
# Erbringt ein externer DSB erlaubnispflichtige Rechtsdienstleistungen nach dem RDG?
# Darf der DSB betroffene Personen zu Möglichkeiten der Rechtsdurchsetzung beraten?
# Können bei Einbezug des DSB in die Vertragsverhandlung Interessenskonflikte entstehen?
# Muss der DSB ohne oder gegen den Willen des Verantwortlichen Datenschutzverstöße melden?
# Muss der DSB von sich aus den oder die Verantwortlichen auf Interessenskonflikte hinweisen oder kann er die Annahme konfligierender Aufgaben ablehnen?
# Wer kontrolliert die dem DSB eigenen Verarbeitungstätigkeiten?
# Führen bestimmte Interessenkonflikte automatisch zu einer Unzuverlässigkeit des DSB?
# Ist im Rahmen der Verhältnismäßigkeitsprüfung der §§ 102 StPO auf die „besondere Vertrauensbeziehung“ zwischen DSB und seinen Aufgabenadressaten zu achten?
# Wann darf der DSB in Erfüllung seiner Aufgaben selbst personenbezogene Daten offenlegen?
# Muss der DSB positiv feststellen, welche Fortbildungen er für die geforderte Fachkunde benötigt bzw. muss der DSB ihm zugewiesene Fortbildungen akzeptieren, wenn der Verantwortliche diese für geeignet hält?
# Welche Wirkung können Mindestvertragslaufzeiten mit dem DSB auf dessen Unabhängigkeit entfalten?
# Welche Anforderungen sind mit Blick auf Qualifikation und Unabhängigkeit der Stellung an Hilfspersonen des DSB zu stellen?
# In welchen Fällen kann bei externen DSB das Kündigungsrecht nach § 627 BGB zum Tragen kommen?
# Was ist die Folge, wenn eine gesetzliche Benennungspflicht für den Benennenden nicht mehr greift oder durch Gesetzesänderung wegfällt?
# Sind die Benennung und die Einstellung eines DSB mitbestimmungspflichtige personelle Einzelmaßnahmen?
5. Aktualität
Viele dieser Fragen sind nach wie vor aktuell, da Exekutive, Legislative und Judikative den Artt. 37-39 DS-GVO mehr und mehr Beachtung schenken. Ich persönlich denke in den letzten zwei Jahren zB an:
# die vergangene CEF-Prüfung der EDSA 2023/24 zum DSB (abrufbar unter: https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en) und andere nationale Momentaufnahmen zum DSB (zB IT, GPDP/ABI, abrufbar unter: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9985928; LT, VDAI, abrufbar unter: https://vdai.lrv.lt/lt/naujienos/apibendrinti-duomenu-apsaugos-pareigunu-veiklos-patikrinimu-rezultatai/).
# die Diskussion, ob ein DSB auch interne Meldestelle nach § 12 HinSchG sein kann (abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/faq-hinweisgeberschutzgesetz/#9_kann_eine_behoerdliche_oder_betriebliche_datenschutzbeauftragte_bzw_ein_behoerdlicher_oder_betrieblicher_datenschutzbeauftragter_interne_meldestelle_im_sinne_von_12_hinschg_sein).
# die Diskussion, ob und welche Organisationspflichten der KI-VO der DSB mit übernehmen oder ob ein DSB auch ein sog. „AI Officer“ (Rolle ist nicht in der KI-VO vorgesehen) sein soll (Link: https://cedpo.eu/wp-content/uploads/The-DPO-and-the-AI-Officer.pdf).
# verschiedene Positionierungen der Aufsichtsbehörden (zB HBDI, TB 2023, Kap. 5.4, abrufbar unter: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2024-04/52-tb-online.pdf).
# Bußgeldverfahren (zB aus Belgien: überlasteter DSB in Teilzeit kann seine Aufgaben nicht nachkommen, abrufbar unter: https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_87/2024) oder gerichtlich bestätigte Bußgelder (zB aus Luxemburg: mangelnde Ressourcen und fehlender Einbezug des DSB, abrufbar unter: https://gdprhub.eu/index.php?title=TADM_-_46401).
Das Werk von Grosmann hilft jedem Interessierten oder Betroffenen, diese Diskussionen, Entscheidungen und neuen Entwicklungen besser einordnen zu können.
6. Abschluss
Grosmann leitet am Ende seines Buches drei „Core Values“ des DSB ab („herausragende Grundpflichten“) und schließt mit der Feststellung, dass aktuell noch kein einheitliches und autonomes Berufsrecht der DSB existiert (u.a. mangels einer Berufsordnung und durch bestehende Öffnungsklauseln wie Art. 37 Abs. 4 Ziff. 1 DS-GVO). Sollten sich der europäische bzw. der nationale Gesetzgeber de lege ferenda an einem Berufsrecht der DSB versuchen, ich würde ihnen das Werk von Grosmann empfehlen - auf den letzten drei Seiten finden sich 10 konkrete Regelungsvorschläge.
7. Fazit
Das Buch von Grosmann zeigt auf, wie nutzbringend und integrativ, aber auch wie anspruchsvoll und potenziell konfliktbehaftet die Rolle eines DSB ist, wenn sie in voller Kenntnis und Überzeugung des Aufgaben- und Rollenprofils ausgeübt wird. Nicht jedem taugt diese Rolle und nicht jedem Außenstehenden ist diese Rolle „zwischen den Stühlen“ bekannt. Daher ist dieses Buch nicht nur ein geeigneter Weggefährte für aktuelle DSB, sondern auch ein Praxisbericht für solche geeignet, die überlegen, selbst DSB zu werden und für solche, die die Rolle des DSB relativieren, diffamieren oder sie ganz abschaffen möchten.
P.S.: Ein Satz blieb mir besonders im Gedächtnis hängen: „Der Datenschutzbeauftragte ist dem Datenschutz verbunden, eine Gewährleistung und Stärkung der Grundsätze der Datenverarbeitung durch ernsthafte und dauerhafte Bemühungen zu realisieren“ (S. 132) - ein guter Merksatz.