Mehr als ein Jahr gilt die EU-DSGVO in Deutschland als unmittelbar anwendbares Recht – parallel zum reformierten Bundesdatenschutzgesetz. In Rechtsanwaltskanzleien ist eine erhöhte Sensibilität für die Anforderungen der DSGVO feststellbar.[1] Dennoch stellen wir bei Soldan in unserer Funktion als Dienstleister noch immer Handlungsbedarf in vielen Kanzleien fest. Dazu kommen viele Fragen unserer Kunden zum Datenschutz, die bisher noch nicht abschließend geklärt sind. Das ist in einem Rechtsgebiet, das stark in der Entwicklung begriffen ist, nicht verwunderlich. Umso wichtiger ist es, diese Entwicklungen zu beobachten und rechtzeitig Maßnahmen in der eigenen Kanzleiorganisation zu treffen.
Eine GmbH als externer Datenschutzbeauftragter?
Unsicherheiten können z.B. durch Verlautbarungen von Behörden entstehen, wie die der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, wonach die Benennung juristischer Personen als Datenschutzbeauftragte unzulässig sei.[2] Tatsächlich wird der externe Datenschutzbeauftragte als Dienstleistung jedoch häufig von einer juristischen Person angeboten und Datenschutzexperten nehmen in Literaturveröffentlichungen auch gegenteiligen Standpunkt ein. Hier muss zwischen dem Dienstleistungsverhältnis und der Benennung unterschieden werden. In der Praxis beauftragt die mitteilungspflichtige Stelle
die juristische Person mit der Dienstleistung eines externen Datenschutzbeauftragten. Die juristische Person (Dienstleister) trägt in NRW mit der Erstmeldung im Meldeportal der LDI NRW, neben den Angaben zum Meldenden, auch immer eine natürliche Person mit den Angaben zum Datenschutzbeauftragten ein, weil das bereits die Pflichtangaben des Onlineformulars vorsehen.
Was Kanzleien jetzt noch in Angriff nehmen sollten
Handlungsbedarf besteht in vielen Kanzleien noch immer in der Schulung der Kanzleimitarbeiter. Die Vorstellung, dass nur wer zur Benennung eines Datenschutzbeauftragten verpflichtet ist auch die Mitarbeiter in Datenschutzfragen sensibilisieren muss, ist falsch.[3]
Entscheidet sich die Kanzlei zur Benennung eines internen Datenschutzbeauftragten, sei noch einmal auf das Ausschließen eines Interessenkonflikts, Art. 38 VI 2 DSGVO, hingewiesen. Dieser wäre anzunehmen, wenn z.B. ein Partner als interner Datenschutzbeauftragter benannt wird, da dieser regelmäßig ein wirtschaftliches Interesse am Kanzleierfolg haben wird.[4]
Ein interner Datenschutzbeauftragter oder für den Datenschutz in der Kanzlei Verantwortlicher hat regelmäßig auch noch andere Aufgaben, so dass Fortbildung, Ausstattung mit Informationen und die Zeit, in Datenschutzfragen am Ball zu bleiben, zu kurz kommen können. Damit Kanzleimitarbeiter ihrer Verantwortung trotzdem gerecht werden können, raten wir auch hier regelmäßig zu entsprechenden Dienstleistungen, welche den Mitarbeiter mit aktuellen datenschutzrechtlichen Arbeitshilfen und Informationen zu Entwicklungen im Datenschutz versorgen.
[1] Vgl. Interview mit Rechtsanwalt Dr. Robert Kazemi https://www.soldan.de/insights/die-sensibilitaet-der-anwaelte-fuer-den-datenschutz-ist-stark-gestiegen/ abgerufen am 10.07.2019
[2] Vgl. FAQ „Können juristische Personen als Datenschutzbeauftragte benannt werden“ https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DS-GVO_und_der_JI-RL/Inhalt/I_Benennung_von_Datenschutzbeauftragten__Artikel_37_DS-GVO_Artikel_32_JI-Richtlinie/Koennen_juristische_Personen_als_Datenschutzbeauftragte_benannt_werden_.php abgerufen am 10.07.2019
[3] Vgl. Die Pflicht zur datenschutzrechtlichen Sensibilisierung trifft jede Rechtsanwaltskanzlei https://www.foreno.de/blog/die-pflicht-zur-datenschutzrechtlichen-sensibilisierung-trifft-jede-rechtsanwaltskanzlei/ abgerufen am 10.07.2019
[4] Vgl. Kühling/Buchner, DS-GVO BDSG, Art. 38, Rn. 41 zum wirtschaftlichen Interesse des Datenschutzbeauftragten am Unternehmenserfolg
