DA+

Aufsätze : Der externe Datenschutzbeauftragte

Lesezeit 18 Min.
Behörden und private Stellen können bei der Erfüllung ihrer Pflicht zur Benennung eines Datenschutzbeauftragten die Aufgabe einem ihrer Beschäftigten oder einem externen Dienstleister übertragen (Art. 37 Abs. 6 DS-GVO; für Bundesbehörden wiederholend und relevant für vom Geltungsbereich der JI-RL erfasste Behörden in § 5 Abs. 8 BDSG). Der
Beitrag zeigt auf, welche Kriterien öffentliche oder private Verantwortliche bei der Benennung externer Beauftragter zu
beachten haben und inwieweit Unterschiede zu internen Datenschutzbeauftragten bestehen.

Vorbemerkung

Die durch Art. 37 Abs. 6 DS-GVO weiterhin eröffnete Möglichkeit der Benennung eines externen Datenschutzbeauftragten kann insbesondere bei kleineren Unternehmen und Behörden sinnvoll sein, wenn diese keine eigenen für die Übernahme der Funktion geeignete Mitarbeiter haben und bei denen u.a. auf Grund des Umfangs der anfallenden Tätigkeit nur eine Teilzeitaufgabe anfällt, für deren Wahrnehmung das Eingehen eines Arbeitsverhältnisses u.a. aus Kostengründen nicht sinnvoll erscheint. Zudem ist zwar auch der externe Beauftragte in seiner Rechtsposition durch den Abberufungsschutz aus Art. 38 Abs. 3 S. 2 DS-GVO geschützt, nicht aber durch den nur dem im Arbeitsverhältnis beschäftigten DSB zustehenden Kündigungsschutz (§ 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG), so dass eine Beendigung seiner Tätigkeit um einiges leichter ist als bei einem internen DSB. Für eine Entscheidung zugunsten eines externen Datenschutzbeauftragten spricht ferner, dass dessen Expertise und Erfahrungen sofort in Anspruch genommen werden können und der initiale Aufwand für die Ausbildung eines eigenen Mitarbeiters zum Datenschutzbeauftragten entfällt. Vorteile des internen Datenschutzbeauftragten sind demgegenüber die regelmäßig bessere Kenntnis der Prozesse und Spezifika der benennenden Stelle. Der Beauftragte kann seinen Aufgaben in der Regel nur dann umfassend nachkommen, wenn er sich möglichst nahe am Ort des Geschehens befindet und nicht nur nachträglich kontrolliert, sondern kontinuierlich berät und bereits bei der Planung und Vorbereitung von Datenverarbeitungsvorhaben dahingehend mitwirkt, dass dem Datenschutz frühzeitig Rechnung getragen wird. Die erforderliche Nähe zu dem Unternehmen oder der Behörde geht ggf. auch nicht verloren, wenn gleichen Tätigkeiten nachgehende Stellen einen gemeinsamen Datenschutzbeauftragten bestellen. Als externer Datenschutzbeauftragter fungiert auch der Konzerndatenschutzbeauftragte (Art. 37 Abs. DS-GVO) und zwar bei all denjenigen Konzernunternehmen, für die er zwar benannt, bei denen er jedoch nicht beschäftigt ist. Gleiches gilt ggf. für einen für mehrere Behörden gemeinsam bestellten Beauftragten (Art. 37 Abs. DS-GVO). Für Behörden gilt seit dem 25.5.2018 zudem, dass diese nicht nur einem Bediensteten einer anderen öffentlichen Stelle, sondern auch einem privaten Dienstleister die DSB-Funktion übertragen können.

I. Der Dienstleitungsvertrag des externen Beauftragten

1. Ein Dienstleistungsvertrag als Basis der Benennung

Die Basis der Tätigkeit externer Datenschutzbeauftrage bildet ein, zwecks Erfüllung der diesbezüglichen Dokumentationspflicht, schriftlich zu schließender Dienstleistungs- bzw. Geschäftsbesorgungsvertrag, mit oder neben dem ein an sich einseitig ergehender Bestellungsakt verbunden ist. Mindestinhalt dieses Vertrages müssen neben den im Einzelnen hinsichtlich Zeitumfang und Häufigkeit aufzulistenden Leistungen Aussagen sein zu der Abwicklung der Arbeit bzw. organisatorischen Eingliederung, dem Einsatz von Hilfspersonal, der Unabhängigkeit, der Vergütung und einem Aufwendungsersatz, der Haftung, der Schweigepflicht und der Laufzeit und Beendigung.

2. Der externe DSB als „datenschutzrechtlicher“ Teil der verantwortlichen Stelle

Nimmt der externe Datenschutzbeauftragte im Rahmen seiner Kontrollfunktion sein Recht auf Zugang zu den in der verantwortlichen Stelle gespeicherten personenbezogenen Daten wahr (Art. 38 Abs. 2 DS-GVO), handelt es sich nicht um eine – wenn auch erlaubte – Datenweitergabe an einen anderen Verantwortlichen oder einen Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO). Vielmehr wird auch der externe Beauftragte auf Grund der gesetzlich geregelten Stellung als Teil der verantwortlichen Stelle tätig. Gleiches gilt, wenn sich Betroffene an den Beauftragten wenden (Art. 38 Abs. 4 DS-GVO) und der DSB den Vorgang speichert. Diesem Tatbestand hat der mit ihm abzuschließende Vertrag Rechnung zu tragen.

3. Mitbestimmung

Die Entscheidung, die Funktion des Datenschutzbeauftragten mit einem Arbeitnehmer oder einem externen Dienstleister zu besetzen, liegt in der Organisationshoheit des Arbeitgebers. Entscheidet er sich für die externe Besetzung, scheidet ein Mitbestimmungsrecht aus. Auch wenn der externe Datenschutzbeauftragte datenschutzrechtlich Teil der ihn benennenden Stelle ist, ist das arbeitsrechtlich nicht der Fall, d.h. mangels Arbeitnehmereigenschaft bestehen Mitbestimmungsrechte bei der Bestellung regelmäßig nicht, es sei – so das LAG Frankfurt – dass doch eine Eingliederung des DSB in das betriebliche Geschehen erfolgt, was dadurch zum Ausdruck kommen kann, dass das Unternehmen dem DSB einen Büroraum zur Verfügung stellt. In einigen Bundesländern ist dagegen Mitbestimmung klar geregelt, indem ihre Personalvertretungsgesetze generell Mitbestimmung bei der Bestellung eines behördlichen DSB einräumen, d.h. also unabhängig davon, ob es sich um einen Bediensteten oder einen externen Beauftragten handelt.

 

II. Gemeinsame Datenschutzbeauftragte

1. Allgemeines

Die DS-GVO gestattet sowohl mehreren privaten als auch öffentlichen Stellen, einen für sie tätigen „gemeinsamen“ Datenschutzbeauftragten zu bestellen (Art. 37 Abs. 2 und 3 DS-GVO). Handelt es sich hierbei um einen bei einer der Stellen beschäftigten Bediensteten, ist dieser hier interner und bei den anderen Stellen externer Datenschutzbeauftragter.

2. Gemeinsamer Datenschutzbeauftragter bei Unternehmensgruppen

a) Der Bestellvorgang

Die DS-GVO gestattet Unternehmensgruppen (Art. 4 Nr. 10 DS-GVO) in Artikel 37 Abs. 2 die Benennung eines gemeinsamen Datenschutzbeauftragten, vorausgesetzt, dieser ist aus allen Niederlassungen leicht erreichbar. Eine Unternehmensgruppe ist in Art. 4 Ziffer 16 DS GVO dahingehend definiert, dass sie aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Diese Definition entspricht der des Konzerns in § 18 AktG. Die Bestellung wird dann – auch wenn Art. 35 Abs. 1 DS GVO den für die Verarbeitung Verantwortlichen als „Besteller“ vorsieht – von dem herrschenden Unternehmen zu erfolgen haben. In Betracht kommt aber auch das Unternehmen, mit dem der Beauftragte einen Arbeits- oder Dienstvertrag hat. In jedem Falle kann ein Konzern nunmehr für alle konzernangehörigen Unternehmen verpflichtende oder freiwillige Benennungen in einem Akt vornehmen. Die Benennung derselben Person für alle Konzerngesellschaften bietet vor allem den Vorteil, dass eine einheitliche Behandlung von Datenschutzfragen konzernweit gewährleistet ist.

b) Die leichte Erreichbarkeit

Die DS-GVO zieht mit der in Art. 7 Abs. 2 DS-GVO geforderten leichten Erreichbarkeit des DSB eine bisher nicht bekannte tatsächliche Grenze für die Benennung von Konzerndatenschutzbeauftragten. Der Begriff der Erreichbarkeit bezieht sich dabei auf die Wahrnehmung der Aufgaben des Datenschutzbeauftragten als Ansprechpartner für Betroffene (Artikel 38 Abs. 4 DS-GVO) und die Aufsichtsbehörde (Art. 39 Abs. 1 lit. e DS-GVO), gilt aber auch für dessen Aufgaben als einrichtungsinterner Ansprechpartner (Art. 39 Abs.1 lit. a DS-GVO). Die leichte Erreichbarkeit erfordert zunächst, dass mit dem Datenschutzbeauftragten nicht nur per Telefon oder über andere gesicherte Kommunikationskanäle, sondern nötigenfalls auch persönlich Kontakt aufgenommen werden kann, indem er in der Niederlassung regelmäßig oder fallbezogen anwesend ist oder er unter zumutbarem Aufwand von der Niederlassung aus aufgesucht werden kann. Ob insoweit eine Tagesreise für Hin- und Rückfahrt noch akzeptabel ist, mag dahinstehen. Leichte Erreichbarkeit setzt in internationalen Konzernen die – ggf. unter Einsatz von Hilfspersonal – bestehende Möglichkeit der sprachlichen Verständigung voraus. Der Verweis auf die Arbeitssprache des Konzerns ist nicht ausreichend; maßgebend ist die Landessprache. Die leichte Erreichbarkeit bedingt zudem die Kommunikation, auf welchem Wege der Datenschutzbeauftragte erreicht werden kann, die ggf. mehr umfassen muss, als die in Art. 37 Abs. 7 DS-GVO vorgeschriebene Mitteilung der Kontaktdaten und z.B. Sprechzeiten in den Niederlassungen oder die Veröffentlichung der Kontaktdaten des Hilfspersonals im Intranet beinhalten kann.

3. Gemeinsame Datenschutzbeauftragte mehrerer Behörden

a) Die Erlaubnisnorm

Nach Art. 37 Abs. 3 DS-GVO und Art. 32 Abs. 3 JI-RL und den die JI-RL umsetzenden nationalstaatlichen Normen (vgl. § 5 Abs. 2 BDSG, § 5 Abs. 2 HDSIG, § 37 Abs. 2 Rh-PflDSG) kann von mehreren öffentlichen Einrichtungen und Stellen in Anbetracht ihrer Organisationsstruktur und Größe ein gemeinsamer DSB benannt werden. Das Verfahren wird durch die Verwaltungsorganisation bestimmt. So kann beispielsweise bei einer Ober- oder Mittelbehörde ein Datenschutzbeauftragter benannt werden, der gleichzeitig auch die DSB-Funktion für die nachgeordneten Behörden wahrnimmt. Für kleinere Kommunen kann sich aufgrund ihrer personellen und organisatorischen Strukturen bei der Benennung eines eigenen Beschäftigten die Gefahr einer möglichen Interessenkollision mit den sonstigen Aufgaben (sog. „Linienaufgaben“) dieser Person ergeben. Daher mag insoweit angezeigt sein, dass mehrere kleinere Kommunen oder Schulen einen gemeinsamen (Vollzeit)-Datenschutzbeauftragten benennen. Das ULD Schleswig Holstein weist dazu darauf hin, dass der Datenschutzbeauftragte bei allen Stellen, für die er benannt ist, die Aufgaben auch zeitlich wahrnehmen können muss. Dies sei nicht mehr der Fall, wenn die Zeitanteile für eine benennende Stelle so gering werden, dass eine ernsthafte Wahrnehmung der Aufgaben nicht mehr erwartet werden kann. So wären z.B. die Benennung eines gemeinsamen Datenschutzbeauftragten für einen Kreis und sämtliche kreisangehörigen Ämter nicht mehr von der Privilegierung nach Art. 37 Abs. 3 DSGVO erfasst. Ebenso könnte etwa die Benennung eines gemeinsamen Datenschutzbeauftragten für mehrere kreisfreie Städte oder Kreise nicht auf Art. 37 Abs. 3 DSGVO gestützt werden, es sei denn, dass es nach den Gegebenheiten genügt, wenn ihm ein Team zur Unterstützung bereitgestellt wird. Im Gegensatz zu „gemeinsamen betrieblichen Beauftragten“ (Art. 37 DS-GVO) fordert der Wortlaut des Art. 37 nicht eine leichte Erreichbarkeit des gemeinsamen behördlichen DSB, dies vielleicht deshalb, weil hier das Problem regelmäßig nicht auftreten wird. Gleichwohl ist sie aber unter dem Gesichtspunkt der Organisationsstruktur zu berücksichtigen.

b) Durchführung der Benennung

Bei der Benennung eines gemeinsamen behördlichen Datenschutzbeauftragten stellen sich Fragen des Vollzugs dieses Vorgangs. Dabei geht es einmal darum, ob trotz der Zuständigkeit des Beauftragten für mehrere Behörden ein einseitiger Benennungsakt genügt, und zum anderen darum, dass dieser einseitige Akt arbeits- bzw. dienstrechtlich mit dem Beschäftigungsverhältnis kompatibel sein muss. Dazu ist festzuhalten, dass die Benennung kein Beschäftigungsverhältnis begründet, sondern ein solches als Grundverhältnis voraussetzt, sei es dass es bereits besteht oder dass es parallel mit der Benennung begründet oder abgeändert wird und der benannte Datenschutzbeauftragte auf Grund der Pflichten aus dem Arbeitsvertrag, des beamtenrechtlich übertragenen Amts oder eines Dienstleistungsvertrages zur Übernahme der Tätigkeit verpflichtet ist. Ansonsten müsste eine freiwillige Übernahme der Aufgabe, also die Zustimmung zur Ernennung vorliegen. Des Weiteren muss die Stelle, die die Benennung durchführt, gegenüber den Behörden, für die der Datenschutzbeauftragte tätig werden soll, organisationsbefugt sein. Voraussetzung dafür ist die Zu- bzw. eine Übereinstimmung zwischen den Stellen, für die der DSB zuständig sein soll, es sei denn, dass eine übergeordnete Stelle die Entscheidungsbefugnis hat oder an sich zieht. Liegt also der Fall vor, dass eine Ober- oder Mittelbehörde im Rahmen ihrer Kompetenz einen auch für die nachgeordneten Behörden zuständigen Datenschutzbeauftragten benennt, so ist die Benennung wirksam, wenn der Benannte auch arbeits-/dienstrechtlich die Aufgabe übernehmen muss. In Bayern ist eine entsprechende Kompetenzzuweisung in Art. 12 Abs. 3 BayDSG erfolgt, der staatlichen Behörden gestattet, die Bestellung des Datenschutzbeauftragten durch eine höhere Behörde vorzunehmen. Soll ein gemeinsamer Datenschutzbeauftragter für mehrere Kommunen benannt werden, so ist der Arbeitgeber/Dienstherr der zu Benennenden zu einer diesbezüglichen einheitlichen Benennung nur berechtigt, wenn alle betroffenen Kommunen hiermit einverstanden sind und die Befugnis delegiert haben. Gleiches gilt – abhängig von der Schulorganisation des Landes – für Schulen, indem ggf. jeder betroffene Schulleiter der Beauftragung zustimmen muss.

III. Juristische Person als externer Datenschutzbeauftragter?

Die DS-GVO lässt es offen, ob der Datenschutzbeauftragte nur eine natürliche Person sein kann oder ob einer juristischen Person als externer Dienstleister die Aufgabe übertragen werden kann. Die Formulierungen der Art. 37 f. DSGVO können jedoch dahingehend interpretiert werden, dass die Funktion des Datenschutzbeauftragten nur von einer natürlichen Person wahrgenommen werden kann. Die Aufsichtsbehörden bejahten dies bereits im Hinblick auf die Regelungen des BDSG a.F. und halten auch mehrheitlich an dieser Auffassung fest. Diese Meinung wird in der Literatur wohl weitgehend geteilt, wobei zumindest im Hinblick auf das drohende Bußgeldszenario geraten wird, dass „besser eine natürliche Person benannt werden“ sollte. Die Aufsichtsbehörden dokumentieren ihre Auffassung mehrheitlich auch u.a. dadurch, dass sie nur die Meldung natürlicher Personen in ihrem Online-Meldeverfahren ermöglichen. Andererseits sieht das Meldeformular des Hessischen Landesdatenschutzbeauftragten auch die Meldung juristischer Personen vor, wobei gleichzeitig die dortige „Kontaktperson“ anzugeben ist. Dies mag der Auffassung der BfDI entsprechen. Die BfDI macht gegenüber der Meinung, dass auch eine juristische Person ein externer DSB sein kann, zutreffend geltend, dass es auch dann nach der DS-GVO einer (natürlichen) Person bedarf, die innerhalb dieser Organisation Funktionen des Datenschutzbeauftragten wahrnimmt und dabei sämtliche Voraussetzungen für die Benennung als Datenschutzbeauftragter erfüllt. Nur insoweit bestehen keine Bedenken, einen oder kumulativ mehrere qualifizierte Angehörige, einer juristischen Person namentlich und verantwortlich zum Datenschutzbeauftragten zu benennen, wobei der entsprechende Geschäftsbesorgungsvertrag mit dem Beratungsunternehmen etc. abgeschlossen wird, das den zu benennenden Mitarbeiter stellt. Wohl auch der europäische Datenschutzausschuss (EDSA) geht in Auslegung von Art. 37 Abs. 6 DSGVO von diesem Konzept aus, so dass der Verantwortliche oder Auftragsverarbeiter mit einem Dritten (natürliche oder juristische Person) einen Dienstleistungsvertrag schließen kann, nach dem eine natürliche Person allein oder mehrere Personen als „Team“, d.h. als kumulativ benannte Datenschutzbeauftragte die „Funktion des Datenschutzbeauftragten“ übernehmen sollen. Dabei muss die erforderliche Weisungsfreiheit des/der DSB aber auch gegenüber dem sie abstellenden Dienstleister gewährleistet sein. Ansonsten ist die Benennung juristischer Personen als Datenschutzbeauftragte unzulässig, da Wortlaut und Systematik der DS-GVO nur natürliche Personen als Datenschutzbeauftragte vorsehen. Dies macht u.a. Artikel 37 Absatz 5 DS-GVO deutlich, nach dem Datenschutzbeauftragte auf Grundlage ihrer beruflichen Qualifikation und ihres Fachwissens benannt werden. Nur natürliche Personen können die nötige „berufliche“ Fachkunde und Zuverlässigkeit aufweisen, und nur zu diesen ist eine vertrauliche Beziehung der Beteiligten möglich. Für diese einzelnen natürlichen Personen dürfen keine Interessenkonflikte bei der Wahrnehmung von Aufgaben für einen Verantwortlichen oder Auftragsverarbeiter bestehen. Weiterhin spricht auch die Zubilligung eines Zeugnisverweigerungsrechts gegenüber dem Datenschutzbeauftragten unter den Voraussetzungen des § 38 Abs. 2 BDSG n. F. i.V.m. § 6 Abs. 6 BDSG n. F. für diese Auffassung.

IV. Inkompatibilitäten bei Benennung externer Datenschutzbeauftragter

1. Allgemeines

Art. 37 Abs. 6 DS-GVO gestattet dem Datenschutzbeauftragten, auch andere Aufgaben und Pflichten wahrzunehmen, wobei die den DSB benennende Stelle sicherstellen muss, dass sich hieraus nicht Interessenkonflikte ergeben. Diese Regelung gilt auch für externe Datenschutzbeauftragte, bedarf jedoch sinngemäßer Interpretation. Sie bedeutet zunächst, dass der externe DSB diese Aufgabe bei mehreren Verantwortlichen wahrnehmen kann und dass der ihn beauftragende Verantwortliche ihm auch andere Funktionen übertragen kann. Im letztgenannten Fall liegt es dann eindeutig in der Hand des Verantwortlichen, hierbei möglicherweise entstehende Interessenkonflikte auszuschließen. Im erstgenannten Fall hat die benennende Stelle keine „Sicherstellungsmöglichkeiten“ außer dem Verlangen einer diesbezüglichen vertraglichen Verpflichtung. Die Regelung des Art. 37 Abs. 6 2. Hs DS-GVO enthält damit nicht nur eine Organisationspflicht, sondern auch eine Benennungsvoraussetzung eines externen Datenschutzbeauftragten. Dies allein schon deswegen, weil es bei der Benennung externer Datenschutzbeauftragter eben auch um Interessenkonflikte geht, die nicht die benennende Stelle, sondern nur der externe Dienstleister lösen kann. Ist er hierzu nicht in der Lage, muss seine Benennung unterbleiben, bzw. es bedarf zwingend der Abberufung und der Kündigung oder bei entsprechender diesbezüglicher Täuschung der Anfechtung des Dienstleistungsvertrags. Bestehende Interessenkonflikte führen nämlich nicht zur Unwirksamkeit der Bestellung, sondern zur Pflicht des Verantwortlichen, diese zu beseitigen. Die Aufsichtsbehörde kann von dem Verantwortlichen, der Privatwirtschaft die Abberufung eines Datenschutzbeauftragten bei Vorliegen eines Interessenkonflikts verlangen (§ 40 Abs. 6 S. 2 BDSG), wobei generell ein „hinweisartiges“ Einschreiten bei Behörden auch schon nach Art. 58 lit. DS-GVO angezeigt ist.

2. Beispiele

Auch bei dem externen Datenschutzbeauftragten gilt, dass er in Erfüllung seiner Aufgaben nach Art. 39 DS-GVO nicht die Ergebnisse seiner in anderer Funktion ausgeübten Arbeit kontrollieren kann. Einem externen Dienstleister kann z.B. nicht die Aufgabe des DSB übertragen werden, wenn er bereits für den Verantwortlichen als Wirtschaftsprüfer oder Steuerberater tätig ist, da er insoweit zur Wahrnehmung von Mandanteninteressen verpflichtet ist. Gleiches gilt, wenn er bereits als externer Dienstleister das IT-Sicherheitskonzept des Unternehmens entwickelt hat und betreut. Konflikte können auch auftreten, wenn der Beauftragte auch Datenschutzbeauftragter bei Auftragsverarbeitern der benennenden Stelle ist. Der DSB kann sich vor die Frage gestellt sehen, ob er bei dem Auftragnehmer festgestellte Unregelmäßigkeiten dem Auftraggeber mitzuteilen darf bzw. muss. Um hier nicht gegen die Treuepflicht gegenüber dem einen oder anderen „Besteller“ zu verstoßen, sollte die Problematik in dem Bestellschreiben geklärt werden. Das gilt auch für gemeinsam benannte Beauftragte eines Konzerns (Art. 37 Abs. 2 DS-GVO). Auch wenn theoretisch in der Praxis in Konzernunternehmen die Interessen gleichlaufen sollten, können ggf. gleichwohl Interessenkonflikte auftreten. Auch Verwandtschaftsbeziehungen mit dem Inhaber oder dem Geschäftsführer des Unternehmens bzw. dem Leiter der Behörde sind kritisch zu prüfen.

3. Wahrnehmung der DSB-Funktion durch Rechtsanwälte

a) Die doppelte Problematik

Die Frage, ob ein Rechtsanwalt als Datenschutzbeauftragter tätig werden kann, stellt sich unter zwei Aspekten. Und zwar zum einen, ob ein Arbeitnehmer parallel zur Tätigkeit als interner oder auch externer DSB oder auch Syndikus Anwalt seines Arbeitgebers sein kann und zum anderen, ob er als selbstständiger Rechtsanwalt neben der Tätigkeit als externer DSB für seinen Auftraggeber generell oder nur in Sachen Datenschutz nicht als Anwalt tätig werden darf. Keine berufs- oder datenschutzrechtlichen Bedenken bestehen jedoch, wenn ein Anwalt zugleich den Beruf des Datenschutzbeauftragten ausübt und für seine Mandanten nur entweder in der einen oder der anderen Funktion tätig wird. Dabei stellt sich dann die weitere Frage, ob die Tätigkeit als Datenschutzbeauftragte eine Anwaltstätigkeit oder eine der Gewerbesteuer unterliegende Tätigkeit ist.

b) Der Rechtsanwalt als DSB und Vertreter in (gleichgelagerten) Rechtssachen

Der Fall, dass der als DSB bestellte Rechtsanwalt seinen Auftraggeber zugleich als Rechtsanwalt in Datenschutzfragen vor Gericht vertritt, wird in der Regel zu einer Interessenkollision führen. Dies kann nicht deshalb grundsätzlich verneint werden, weil Rechtsanwälte „als Organe der ,Rechtspflege zur objektiven Beratung geeignet und verpflichtet sind.“ Vielmehr ist unter dem Gesichtspunkt des Datenschutzes zu bedenken, dass der Anwalt nur die Interessen seines Mandanten zu vertreten hat, während der Datenschutzbeauftragte die Interessen der betroffenen Personen zu wahren und mit der Aufsichtsbehörde zusammenzuarbeiten hat (Art. 39 DS-GVO). Keine Bedenken bestehen wohl zu Recht, wenn die Beratung oder gerichtliche Vertretung in anderen Rechtsfragen erfolgt. Dieses sich im Rahmen der Beurteilung des nach Art. 38 Abs. 6 DS-GVO zu vermeidenden Interessenkonflikts ergebende Ergebnis folgt auch aus dem anwaltlichen Berufsrecht. Gemäß § 45 Abs. 1 Nr. 4 BRAO darf ein Rechtsanwalt nicht tätig werden „wenn er in derselben Angelegenheit außerhalb seiner Anwaltstätigkeit … bereits beruflich tätig war; dies gilt nicht, wenn die berufliche Tätigkeit beendet ist.“ Wer in seinem Zweitberuf als DSB arbeitet, darf die benennende Stelle in dieser Angelegenheit nicht mehr anwaltlich beraten und vertreten. Hat ein Unternehmen einen Anwalt zum betrieblichen Datenschutzbeauftragten bestellt, führt dies somit auch zu einem berufsrechtlichen Verbot, in datenschutzrechtlichen Angelegenheiten für das Unternehmen anwaltlich tätig zu werden. Dieses Tätigkeitsverbot beschränkt sich nicht auf die Person des Anwalts, sondern bezieht sich nach § 45 Abs. 3 BRAO auf „die mit dem Rechtsanwalt in Sozietät oder in sonstiger Weise zur gemeinschaftlichen Berufsausübung verbundenen oder verbunden gewesenen Rechtsanwälte.“

c) Der Syndikusanwalt und der DSB als externer DSB in Personalunion

Wer als Angestellter für Kunden seines Arbeitgebers als externer Datenschutzbeauftragter tätig ist, kann nach Auffassung des BGH nicht als Syndikusrechtsanwalt zugelassen werden. Der Mitarbeiter werde nicht in Rechtsangelegenheiten des Arbeitgebers tätig, wenn er die Kunden seines Arbeitgebers berate, nehme er nicht Rechtsangelegenheiten des Arbeitgebers wahr, was tatbestandliche Voraussetzung für die Zulassung als Syndikusrechtsanwalt sei.

d) Der Syndikusanwalt und der der interne DSB in Personalunion

Ob die Funktionen von Syndikusanwalt und internem betrieblichen oder behördlichen Datenschutzbeauftragten in der Hand einer Person liegen können, ist ebenfalls einmal eine Frage des anwaltlichen Berufsrechts und zum anderen der datenschutzrechtlich verbotenen Interessenkollision. Berufsrechtlich ist die Tätigkeit als Datenschutzbeauftragter ein „Zweitberuf“ des Anwalts. Ein Zweitberuf ist dem Anwalt erlaubt, wenn der Beruf mit dem Anwaltsberuf „vereinbar“ ist. Datenschutzrechtlich ist die Übertragung der Funktion des DSB an einen angestellten Rechtsanwalt jedenfalls nicht per se ausgeschlossen.

V. Haftung im Verhältnis zur benennenden Stelle

Werden die sich aus dem mit dem externen Datenschutzbeauftragten bestehenden Dienstleistungs- bzw. Geschäftsbesorgungsvertrag (§ 675 BGB) ergebenden Pflichten von dem DSB schuldhaft verletzt, kann die verantwortliche Stelle nach § 280 Abs. 1 BGB Ersatz des ihr hieraus entstandenen Schadens verlangen, der auch in einem Bußgeld oder darin bestehen kann, dass die Datenverarbeitung unter finanziellem Aufwand an die Vorgaben der Aufsichtsbehörde angepasst werden muss. Vom Fall der aktiven Falschberatung zu unterscheiden ist der Fall, dass der Datenschutzbeauftragte seinem Überwachungsauftrag (Art. 39 Abs.1 lit. b DS-GVO) nicht ordnungsgemäß nachgekommen ist mit der Folge, dass eine datenschutzwidrige Maßnahme mit für den Arbeitgeber negativen vermögensrechtlich Folgen durchgeführt wurde. Sofern die Haftung darauf gestützt wird, dass der Datenschutzbeauftragte den Verstoß gegenüber dem Verantwortlichen bzw. Auftragsverarbeiter nicht moniert hat, stellt sich die Frage nach der haftungsbegründenden Kausalität. Selbst wenn der Datenschutzbeauftragte gebotene Kontrollmaßnahmen unterlassen und nicht auf bestehende Rechtsverstöße hingewiesen hat, so bedeutet dies nicht zwingend, dass die Unternehmens- bzw. Behördenleitung entsprechende Hinweise andernfalls auch umgesetzt hätte und damit die Rechtsverletzung unterblieben wäre. Liegt der Vorwurf gegenüber dem Datenschutzbeauftragten in einem Unterlassen, ist im Übrigen stets zu prüfen, ob der Datenschutzbeauftragte über die betreffende Datenverarbeitung überhaupt rechtzeitig informiert war. Hinsichtlich dieser Haftungsvoraussetzungen bestehen keine Unterschiede zwischen internen und externen Datenschutzbeauftragten. Anderes gilt jedoch hinsichtlich der Frage des Verschuldens. Da dem externen DSB nicht die im Arbeitsverhältnis geltenden Haftungserleichterungen zugutekommen, haftet er für jedes Verschulden. Somit empfiehlt sich hier der Abschluss einer entsprechenden Vermögensschadenhaftpflichtversicherung. Zudem kann eine Haftungseinschränkung vertraglich vereinbart werden. Möglich ist ein pauschaler Haftungsausschluss für leicht fahrlässig verursachte Schäden, wie er dem internen Datenschutzbeauftragten von der Rechtsprechung im Rahmen des innerbetrieblichen Schadensausgleichs zugestanden wird. Ebenfalls möglich ist eine summenmäßige Beschränkung, wenn die Haftung für vertragstypische, vorhersehbare und vorsätzlich herbeigeführte Schäden abgedeckt bleibt. Die Haftungssumme sollte dann mit der Deckungssumme der Berufshaftpflichtversicherung identisch sein. Hingewiesen werden muss aber auch darauf, dass eine Haftung des DSB bei falscher oder unterlassener Beratung in Zweifel gezogen wird, da die gesetzliche Beratungspflicht und damit auch die – regelmäßig identische – vertragliche Verpflichtung nicht existiere, um die benennende Stelle vor Schäden zu bewahren. Der Beratungsauftrag diene dem Schutz betroffener Personen und schütze die benennende Stelle lediglich im Rahmen einer Reflexwirkung.

VI. Fazit

Nachdem der Gesetzgeber die Benennung von betrieblichen Datenschutzbeauftragten erst bei der Zahl von 20 einschlägig Beschäftigten verpflichtend machen will, werden mit Minimal“-Summen per Standard-Fernberatung abgewickelte Betreuungen dem gesetzlichen Auftrag des DSB nicht mehr gerecht werden. Die Verantwortlichen müssen sachbezogen entscheiden, ob ein externer oder ein interner DSB den betrieblichen Belangen besser nachkommen kann, wobei Kostengesichtspunkte erst nachrangig eine Rolle spielen dürfen.