Nicht erst seitdem das neue Datenschutzrecht nach Maßgabe der DSGVO gilt, sind auch kleinere Kanzleien zur Bestellung eines eigenen Datenschutzbeauftragten (DSB) verpflichtet. Unabhängig von dem Schwellenwert in § 38 BDSG enthält das BDSG eine weitere in der Praxis oft übersehene Verschärfung gegenüber der DSGVO. Denn die Pflicht zur Bestellung eines DSB wird auch ausgelöst, sobald Datenverarbeitungen vorgenommen werden, die eine Datenschutz-Folgenabschätzung erforderlich machen, § 67 BDSG, Art. 35 DSGVO. Eine Rechtsanwaltssozietät, die über ihre Mandate Informationen zur Begehung von Straftaten einschließlich strafrechtlicher Verurteilungen bzw. damit zusammenhängender Sicherungsmaßregeln verarbeitet, muss einen Datenschutzbeauftragten benennen. Da auch diese Datenverarbeitungen nicht nur der internen Verwaltung der Sozietät, sondern auch ihrem Außenwirken dienen, sind sie als Kerntätigkeiten zu bewerten.[1]
Das heißt auch auf Strafrecht spezialisierte Einzel-Rechtsanwälte oder Fachanwälte für Strafrecht müssen einen Datenschutzbeauftragten ernennen, sofern die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO) oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO besteht (Art. 37 Abs. 1 lit. c DSGVO).[2]
Vor dem Hintergrund der geforderten Unabhängigkeit empfiehlt sich für viele gerade kleinere Kanzleien häufig nur die Ernennung eines externen Datenschutzbeauftragten.
[1] Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 37 Rn 39
[2] Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht 1. Auflage 2019
RA Ulf Haumann, LL.M. beschäftigt sich intensiv als Fachanwalt für IT-Recht mit dem Thema Datenschutz. Seit Inkrafttreten der DSGVO vertritt er als externer Datenschutzbeauftragter zahlreiche Unternehmen, Freiberufler, Ärzte, Schulen und Versicherungsagenturen.