DSB und gleichzeitig Rechtsanwalt des Verantwortlichen: Interessenkollision?

Können Unternehmen der Privatwirtschaft die Funktion der oder des Datenschutzbeauftragten auch an ihre Rechtsanwältin beziehungsweise ihren Rechtsanwalt übertragen oder besteht im Hinblick auf die Verarbeitung personenbezogener Daten eine Unvereinbarkeit, die eine solche Übertragung nicht zulässt? Diese Frage kann naturgemäß auch so gestellt werden, ob es zu Interessenkollisionen führen kann, wenn der bzw. die interne DSB (der/die oftmals als Syndikusrechtsanwalt zugelassen ist), die Organisation nicht nur als DSB, sodern als Rechtswanwalt vertreten soll.

Wenn man sich die Tätigkeitsberichte der Datenschutz-Aufsichtsbehörden durchliest, scheint dies keine sonderlich exotische Frage zu sein. Die Konstellation, im Rahmen einer Personalunion sowohl als DSB als auch Rechtsanwalt einer Organisation aufzutreten, scheint auf den ersten Blick naheliegend und eine Win-Win-Situation zu sein.

Zuletzt musste sich die LfDI Bremen (5. Jahresbericht, Ziffer 5.4) mit dieser Frage beschäftigen. Auch der 3. Jahresbericht enthielt bereits detaillierte Ausführungen zu dieser Frage (Ziffer 4.1).

Zwar können nach Auffassung LfDI Bremen Datenschutzbeauftragte nach Artikel 38 Absatz 6 DS-GVO beim Verantwortlichen auch andere Aufgaben wahrnehmen. Das jeweilige Unternehmen habe hinsichtlich seiner personenbezogenen Datenverarbeitung aber sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, weil sie die Datenschutzbeauftragten etwa in eine Situation bringen, die ihre ordnungsgemäße und unabhängige Aufgabenerfüllung in Frage stellen kann.

Eine solche unabhängige Aufgabenerfüllung kann nach Wertung der LfDI Bremen gefährdet sein, da Datenschutzbeauftragte bei der Beurteilung datenschutzrechtlicher Sachverhalte im Hinblick auf die Umsetzung und Einhaltung datenschutzrechtlicher Vorgaben in ihren Positionen und Entscheidungen unabhängig und frei von Weisungen der Unternehmensleitung sein müssen. Darüber hinaus gehöre es zu den Aufgaben der Datenschutzbeauftragten nach Artikel 39 Absatz 1 lit. d DS-GVO, mit der Datenschutzaufsichtsbehörde im Hinblick auf die Umsetzung und Einhaltung der Verordnung in ihren Unternehmen zusammen zu arbeiten und dort den Datenschutzbestimmungen gemeinsam mit der Datenschutzaufsichtsbehörde wie vom Gesetzgeber gewollt Geltung zu verschaffen.

Die Aufsichtsbehörde befürchtet, dass Personen, die diese Rollen in Personalunion ausüben, d.h. Angelegenheiten der personenbezogenen Datenverarbeitung anwaltlich für das von ihnen vertretene Unternehmen wahrnehmen und gleichzeitig in die Situation geraten, bei der Prüfung der rechtlichen Zulässigkeit einer Datenverarbeitung von ihnen selbst vorgenommene Beurteilungen überprüfen zu müssen, in eine Interessenkollision geraten, die die Zuverlässigkeit der wahrgenommenen Funktion gefährdet.

Auch könnte ihre anwaltliche Verpflichtung zur Vertretung der Interessen ihrer Mandantschaft mit der Zusammenarbeitsverpflichtung mit der Aufsichtsbehörde kollidieren.

(Foto: Andrii Yalanskyi – stock.adobe.com)