DSB und gleichzeitig Rechtsanwalt des Verantwortlichen: Interessenkollision?

Interessenkollision

Können Unternehmen der Privatwirtschaft die Funktion der oder des Datenschutzbeauftragten auch an ihre Rechtsanwältin beziehungsweise ihren Rechtsanwalt übertragen oder besteht im Hinblick auf die Verarbeitung personenbezogener Daten eine Unvereinbarkeit, die eine solche Übertragung nicht zulässt? Diese Frage kann naturgemäß auch so gestellt werden, ob es zu Interessenkollisionen führen kann, wenn der bzw. die interne DSB (der/die oftmals als Syndikusrechtsanwalt zugelassen ist), die Organisation nicht nur als DSB, sodern als Rechtswanwalt vertreten soll.

Wenn man sich die Tätigkeitsberichte der Datenschutz-Aufsichtsbehörden durchliest, scheint dies keine sonderlich exotische Frage zu sein. Die Konstellation, im Rahmen einer Personalunion sowohl als DSB als auch Rechtsanwalt einer Organisation aufzutreten, scheint auf den ersten Blick naheliegend und eine Win-Win-Situation zu sein.

Zuletzt musste sich die LfDI Bremen (5. Jahresbericht, Ziffer 5.4) mit dieser Frage beschäftigen. Auch der 3. Jahresbericht enthielt bereits detaillierte Ausführungen zu dieser Frage (Ziffer 4.1).

Zwar können nach Auffassung LfDI Bremen Datenschutzbeauftragte nach Artikel 38 Absatz 6 DS-GVO beim Verantwortlichen auch andere Aufgaben wahrnehmen. Das jeweilige Unternehmen habe hinsichtlich seiner personenbezogenen Datenverarbeitung aber sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, weil sie die Datenschutzbeauftragten etwa in eine Situation bringen, die ihre ordnungsgemäße und unabhängige Aufgabenerfüllung in Frage stellen kann.

Eine solche unabhängige Aufgabenerfüllung kann nach Wertung der LfDI Bremen gefährdet sein, da Datenschutzbeauftragte bei der Beurteilung datenschutzrechtlicher Sachverhalte im Hinblick auf die Umsetzung und Einhaltung datenschutzrechtlicher Vorgaben in ihren Positionen und Entscheidungen unabhängig und frei von Weisungen der Unternehmensleitung sein müssen. Darüber hinaus gehöre es zu den Aufgaben der Datenschutzbeauftragten nach Artikel 39 Absatz 1 lit. d DS-GVO, mit der Datenschutzaufsichtsbehörde im Hinblick auf die Umsetzung und Einhaltung der Verordnung in ihren Unternehmen zusammen zu arbeiten und dort den Datenschutzbestimmungen gemeinsam mit der Datenschutzaufsichtsbehörde wie vom Gesetzgeber gewollt Geltung zu verschaffen.

Die Aufsichtsbehörde befürchtet, dass Personen, die diese Rollen in Personalunion ausüben, d.h. Angelegenheiten der personenbezogenen Datenverarbeitung anwaltlich für das von ihnen vertretene Unternehmen wahrnehmen und gleichzeitig in die Situation geraten, bei der Prüfung der rechtlichen Zulässigkeit einer Datenverarbeitung von ihnen selbst vorgenommene Beurteilungen überprüfen zu müssen, in eine Interessenkollision geraten, die die Zuverlässigkeit der wahrgenommenen Funktion gefährdet.

Auch könnte ihre anwaltliche Verpflichtung zur Vertretung der Interessen ihrer Mandantschaft mit der Zusammenarbeitsverpflichtung mit der Aufsichtsbehörde kollidieren.

(Foto: Andrii Yalanskyi – stock.adobe.com)


Letztes Update:04.04.23

  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
  • Backup Strategie Ransomware

    Ransomware-Angriff: Mangelhafte Datensicherung führt zu Totalverlust

    Der aktuelle Tätigkeitsbericht 2025 der Landesbeauftragten für den Datenschutz Brandenburg (LDA) dokumentiert einen abgeschlossenen Fall (S. 47), der die Grenzen rein formaler Backup-Konzepte verdeutlicht: Eine Arztpraxis meldete der Aufsichtsbehörde nach Art. 33 DS-GVO eine Datenschutzverletzung infolge eines Ransomware-Angriffs. Betroffen waren rund 75 Gigabyte medizinischer und administrativer Daten von über 8.000 Patientinnen und Patienten. Ein Datenabfluss

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner