Unternehmen ab einer gewissen Größe müssen in Deutschland zwingend einen Datenschutzbeauftragten benennen und dies auch gegenüber der zuständigen Aufsichtsbehörde melden. Grundlage für diese Verpflichtung ist die Vorgabe gem. § 38 Abs. 1 BDSG, wonach ab einem Schwellenwert von 20 Mitarbeitern, die mit der Verarbeitung personenbezogener Daten befasst sind, zwingend ein Datenschutzbeauftragter benannt werden muss. Für das Unternehmen besteht dabei die Wahl, entweder einen eigenen Mitarbeiter zum Datenschutzbeauftragten zu ernennen oder gem. Art. 37 Abs. 6 DSGVO auf einen externen Datenschutzbeauftragten zurückzugreifen. Es liegt dabei auf der Hand, die Funktion des Datenschutzbeauftragten dem Rechtsanwalt anzutragen, der das Unternehmen ohnehin in rechtlichen Fragestellungen aus diesem Bereich vertritt. Wir bieten wie einige andere Kanzleien entsprechend diese Leistung für unsere Mandanten an und sehen dabei explizit den Vorteil, dass nicht nur die reine Beratung abgedeckt werden kann, sondern im Bedarfsfall auch eine streitige Auseinandersetzung mit anderen Beteiligten und Behörden.
Für Verwunderung hat daher ein Artikel in der neuen juristischen Wochenschrift gesorgt, in dem die Auffassung vertreten wurde, ein Rechtsanwalt, der ein Unternehmen anwaltlich berät, könne nicht zugleich als Datenschutzbeauftragter benannt werden (Träger, NJW-Spezial 2020, 446). Begründet wurde diese Auffassung vor allem damit, dass ein berufsrechtliches Tätigkeitsverbot für den Rechtsanwalt gem. § 45 Abs. 1 Nr. 4 BRAO bestehen könne, weil er zuvor schon in anderer Funktion – nämlich als Datenschutzbeauftragter – tätig geworden wäre. Diese Sichtweise ist natürlich falsch und bedarf daher einer Klarstellung. In datenschutzrechtlicher Hinsicht ist zu berücksichtigen, dass durch Art. 38 Abs. 6 DSGVO klargestellt ist, dass neben der Tätigkeit als Datenschutzbeauftragter auch noch weitere Aufgaben wahrgenommen werden können, solange dies nicht zu einer Interessenkollision führt. Für den vorliegenden Fall ist dies allerdings ausgeschlossen, weil es die Aufgabe des Rechtsanwaltes ist, seinen Mandanten über die für ihn geltenden rechtlichen Bestimmungen zu informieren, was gerade auch im Einklang mit der Tätigkeit als Datenschutzbeauftragter steht. Es handelt sich insoweit also immer um gleichgelagerte Interessen des Mandanten, so dass eine Interessenkollision ausgeschlossen ist.
Berufsrechtlich ist zu berücksichtigen, dass die Regelungen für Interessenkollisionen vor allem solche Fälle abdecken, in denen der Rechtsanwalt in einem Zweitberuf tätig wird. Wenn der Rechtsanwalt aber zugleich die Funktion des Datenschutzbeauftragten wahrnimmt, handelt es sich allerdings nicht um einen Zweitberuf in diesem Sinne. Der Rechtsanwalt wird schließlich nicht neben seiner anwaltlichen Tätigkeit die Beratung zu datenschutzrechtlichen Themen übernehmen, sondern er soll diese Aufgabe gerade als Rechtsanwalt wahrnehmen. Insoweit ist es selbstverständlich zulässig, dass ein Unternehmen „seinen“ Rechtsanwalt als Datenschutzbeauftragten benennt. Erst recht gilt dies natürlich dann, wenn die Aufgaben von verschiedenen Rechtsanwälten in einer Kanzlei übernommen werden. Berufsrechtlich werden ohnehin die Regelungen zu den Tätigkeitsverboten und Interessenkollisionen überarbeitet, so dass es zukünftig alleine darauf ankommt, dass nicht für verschiedene Personen mit widerstreitenden Interessen eine Tätigkeit erfolgt. Dies ist bei der einheitlichen Übernahme der Funktion des Datenschutzbeauftragten für ein Unternehmen oder eine Gruppe von Unternehmen im Regelfall ausgeschlossen.
Eine ausführlichere Darstellung der gesamten Thematik findet sich in dem Beitrag „Vereinbarkeit der Tätigkeit als Rechtsanwalt und Datenschutzbeauftragter“ in der Februar-Ausgabe der Fachzeitschrift RDV, die in Kooperation mit der GDD herausgegeben wird (Meyer, RDV 2021, 31). Bei Interesse stellen wir den Artikel gerne zur Verfügung oder informieren auch persönlich genauer über mögliche Gestaltungen zur Benennung eines Rechtsanwaltes als externen Datenschutzbeauftragten. Ansprechpartner ist insoweit Dr. Sebastian Meyer.
