„Für den Datenschutzbeauftragten wird die Zukunft komplexer“
Autor Patrick Grosmann im Interview mit der BvD-News.
Patrick Grosmann hat in seiner Dissertation „Die Interessenkonflikte der betrieblichen und behördlichen Datenschutzbauftragten“ die komplexen Herausforderungen, denen sich Datenschutzbeauftragte täglich stellen müssen, analysiert. Über seine Forschung, die Beweggründe für das Thema und über die Perspektiven auf die Entwicklung des Datenschutzrechts sprachen die BvD-News mit dem Rechtsanwalt.
BvD-News: Können Sie uns etwas über ihren beruflichen Werdegang erzählen? Wie sind Sie zum Datenschutzrecht gekommen?
Patrick Grosmann: In den vergangenen fünf Jahren war ich als Berater im Datenschutzrecht und als interner Datenschutzbeauftragter tätig. Parallel zu dieser Tätigkeit habe ich meine Dissertation verfasst. Seit dem letzten Jahr bin ich Rechtsanwalt im IT- und Datenschutzrecht. Zum Datenschutz bin ich vor Geltung der DSGVO eher zufällig gekommen. Damals war ich als Werksstudent in einem mittelständischen Unternehmen tätig. Als der interne Legal Counsel Unterstützung bei der Umsetzung der DSGVO suchte, fiel die Wahl auf mich.
BvD-News: Wie haben Sie Ihre Tätigkeit als Rechtsanwalt mit Ihrer wissenschaftlichen Arbeit verbunden? Gibt es Synergien zwischen Ihrer Praxis und Forschung?
Patrick Grosmann: Absolut. Ich versuche die Erfahrungen und Fallstricke aus der praktischen Arbeit in meine Publikationen einfließen zu lassen und so eine gute Anbindung an die Praxis zu gewährleisten.
BvD-News: Das Buch ist das erste, dass die Konfliktlagen und Interessenkonflikte der Datenschutzbeauftragten analysiert. Dann auch gleich noch die beiden „Sparten“, sowohl den betrieblichen als auch den behördlichen. Was war der Anlass, für das Thema Ihrer Dissertation und letztendlich auch für Ihr Buch?
Patrick Grosmann: Mein Anspruch war es, eine praxisnahe Arbeit im Datenschutzrecht zu verfassen. Mein Doktorvater hatte zunächst einen Themenvorschlag gemacht, der sich dann jedoch leider nicht realisieren ließ. Die Idee zum finalen Thema hat sich aus diesem Prozess ergeben.
BvD-News: Was ist Ihrer Meinung nach die größte Herausforderung für betrieblichen und behördlichen DSB?
Patrick Grosmann: Die praktischen Herausforderungen der Datenschutzbeauftragten hängen aus meiner Sicht stark von der jeweiligen Organisation ab. Oftmals stehen Datenschutzbeauftragte meiner Erfahrung nach vor der Herausforderung, (rechtzeitig) alle nötigen Informationen zu erhalten und anschließend mit den Empfehlungen an die jeweils zuständige Stelle durchzudringen. Diese Herausforderung kann für externe Datenschutzbeauftrage besonders ausgeprägt sein. Insbesondere behördliche Datenschutzbeauftragte stehen vor der Herausforderung, dass die Rechtsgrundlagen für die Datenverarbeitung besonders komplex zu bestimmen sind. Die rasanten Entwicklungen von Technik und Recht, etwa in Bezug auf den Einsatz von KI, werden die Datenschutzbeauftragten in Zukunft vor weitere erhebliche Herausforderungen stellen: Die datenschutzrechtliche Einordnung etwa von KI-Anwendungen erfordert ein sehr gutes technisches Verständnis und besondere Rechtskenntnisse. Für den Datenschutzbeauftragten wird die Zukunft somit komplexer. Zugleich wächst das Bedürfnis up-to-Date zu bleiben.
BvD-News: Halten Sie es für sinnvoll, den DSB bei den europäischen Digitalisierungs-Acts mehr mit ins Boot zu nehmen? Würde das die Konfliktlage eher entzerren oder eher verschärfen?
Patrick Grosmann: Die neuen EU-Regulierungen zur Erhöhung des IT-Sicherheitsniveau, beispielsweisse die NIS-2-Richtlinie und DORA, werden branchenspezifisch zur Erhöhung des Schutzniveau der technischen und organisatorischen Maßnahmen führen. Die Bestimmung der geeigneten Maßnahmen dürfte dem Datenschutzbeauftragten somit in den betroffenen Sektoren leichter fallen. Eine Verschärfung der Konfliktlagen kann sich jedoch ergeben, wenn der Datenschutzbeauftragte zu besonders eingriffsintensiven IT-Sicherheitsmaßnahmen berät: Der Datenschutzbeauftragte muss dabei gleichzeitig den Schutz der Betroffenen vor umfassenden Analysen und den Schutz der IT-Infrastruktur des Verantwortlichen im Blick behalten. Eine Beratung im Kontext des Data Acts kann den Datenschutzbeauftragten etwa vor komplexe Fragen zu Überschneidungen des Data Act und der DSGVO stellen. Wesentliche Auswirkungen auf die Konfliktlagen erkenne ich darin bisher aber nicht.
BvD-News: In Kapitel 2 Ihres Buches über die Stellung des DSB analysieren Sie die Verbundenheit des DSB in vielerlei Konstellationen, auch gegenüber und vor allem dem Datenschutz. Ist diese Verbundenheit nicht das wichtigste? Oder muss man es doch differenzierter betrachten?
Patrick Grosmann: Aus dem Wortlaut der Art. 37 bis 39 DSGVO ergibt sich nach meinem Verständnis keine abstufende Wertung zwischen den von mir identifizierten Adressatengruppen – der Verantwortliche, die Betroffenen, die Aufsichtsbehörden und der Datenschutz – des Datenschutzbeauftragten. In der Praxis dürfte es nach meiner Wahrnehmung jedoch eine stärkere Zuwendung zu dem Verantwortlichen geben. Die Klammer um den Begriff „unabhängige“ soll klarstellen, dass in dem Kapitel sowohl die Stellung des Datenschutzbeauftragten im Allgemeinen als auch die unabhängige Stellung des Datenschutzbeauftragten im Speziellen beleuchtet wird.
BvD-News: Wie wichtig ist die Unabhängigkeit eines Datenschutzbeauftragten? Wie kann man sicherstellen, das der DSB tatsächlich unabhängig agieren kann?
Patrick Grosmann: Die Unabhängigkeit des Datenschutzbeauftragten ist zentral, um eine umfassende Überwachung des Verantwortlichen durch den Datenschutzbeauftragten zu gewährleisten. Auch die Beratungsaufgabe kann unter einer eingeschränkten Unabhängigkeit leiden. Erheblichen Einfluss auf die Unabhängigkeit des Datenschutzbeauftragten hat dessen Weisungsfreiheit. Diese kann (dies gilt für den betrieblichen und den behördlichen Datenschutzbeauftragten gleichermaßen) insbesondere durch die konkrete Einbindung in die Organisation gewährleistet werden. Ein wichtiger Faktor, insbesondere betreffend die externen Datenschutzbeauftragten, ist in der Praxis die wirtschaftliche Abhängigkeit von einzelnen Kunden.
BvD-News: Das Thema Datenschutz erledigt sich ja nicht mit dem Beauftragten beziehungsweise mit der Benennung des DSB – das denken aber immer noch viele Verantwortliche. Ist das ein Thema des „Images“?
Patrick Grosmann: Diese Erfahrung habe ich in der Praxis ebenfalls gemacht. Ebenso teile ich die Einschätzung, dass das Image des Datenschutzbeauftragten einen deutlichen Boost vertragen könnte. Durch eine pragmatische und gleichzeitig fundierte Beratung können wir aus meiner Sicht zu einer Image-Verbesserung beitragen. Sicherlich nicht förderlich ist eine Beratungshaltung, die allzu schnell auf ein „Nein. Das geht nicht.“ hinausläuft.
BvD-News: Das Literaturverzeichnis ihrer Dissertation ist beeindruckend. Bislang wird viel über die Aufgaben des DSB geredet und kommentiert. Sie haben jetzt erstmalig die Konfliktlagen analysiert. Welches Thema fehlt jetzt noch?
Patrick Grosmann: Im thematischen Umfeld meiner Arbeit ergeben sich noch diverse weitere Forschungsfelder. Besonders praxisrelevant dürften aus meiner Sicht beispielsweise Fragen zur zivilrechtlichen Haftung, zur Rolle des Datenschutzbeauftragten im Zusammenhang des Einsatzes von KI-Anwendungen durch den Verantwortlichen oder zur zulässigen Rechtsberatung durch Datenschutzbeauftragten sein.
