Verpflichtung zur Bestellung des Datenschutzbeauftragten
In einer Anwaltskanzlei muss zum Zwecke des Datenschutzes ein Datenschutzbeauftragter bestellt werden (§ 4 BDSG). Dies gilt insbesondere dann, wenn von mehr als vier Arbeitnehmern in einer Kanzlei personenbezogene Daten automatisiert erhoben, verarbeitet oder genutzt werden.
Personenbezogene Daten?
Bereits mit der Anlage des Handaktenblatts und der Eintragung des Namens und der Anschrift eines Mandanten sind personenbezogene Daten erhoben worden. Ruft der Anwalt oder ein Mitarbeiter diese Daten am Bildschirm auf oder liest er das Handaktenblatt, so nutzt er die Daten.
Regelmäßig liegt auch eine Datenverarbeitung in der Kanzlei vor. Hierfür reicht schon die Verbuchung von Zahlungseingängen auf den Aktenkonten, durch die Datenverarbeitung erfolgt, aus.
Aufgaben des Datenschutzbeauftragten
Verschwiegenheitspflicht
Der betriebliche Datenschutzbeauftragte ist verpflichtet und berechtigt, über die Identität eines Betroffenen Stillschweigen zu bewahren. Darüber hinaus hat er folgende Aufgaben:
· Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten in der Kanzlei verarbeitet werden.
· Er hat die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Gesetzesvorschriften über den Datenschutz und mit den jeweils besonderen Erfordernissen des Datenschutzes vertraut zu machen.
Wen können Sie zum Datenschutzbeauftragten bestimmen?
Ein Datenschutzbeauftragter braucht bei einer nicht öffentlichen Stelle nicht bestellt zu werden, wenn höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind (§ 4f Abs. 1 Satz 4 BDSG). Für kleinere Anwaltskanzleien könnte diese Ausnahme durchaus in Betracht kommen.
Die mittelgroße und große Kanzlei hat die Wahl, ob sie einen „internen“ oder „externen“ Datenschutzbeauftragten bestellt. In beiden Fällen sind nach § 4f Abs. 2 BDSG folgende Voraussetzungen zu erfüllen:
· Nicht der Kanzleiinhaber!
Es darf keine Person bestimmt werden, bei der aufgrund der Ausübung datenschutzrechtlicher Aufgaben ein Interessenkonflikt vorliegt. Der Kanzleiinhaber, Gesellschafter, Sozius oder Partner ist deshalb von der Bestellung zum Datenschutzbeauftragten der eigenen Kanzlei ausgeschlossen. Ansonsten bestände die Gefahr, dass sich der Kontrollierende selbst kontrolliert.
· Persönliche Integrität
Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Es wird also niemand zum betrieblichen Datenschutzbeauftragten bestellt werden können, der im Betrieb durch persönliche Unzuverlässigkeit aufgefallen ist. Somit wird verhindert, dass ein für andere Arbeiten nicht qualifizierter Mitarbeiter auf die Position des Datenschutzbeauftragten „abgeschoben“ wird.
· Der Beauftragte benötigt die entsprechende Fachkunde
Diese umfasst sowohl das allgemeine Grundwissen (vor allem über das Datenschutzrecht) als auch die Kenntnisse über die Organisation der eigenen Kanzlei.
Interner Datenschutzbeauftragter
Ein interner Datenschutzbeauftragter kann diese Tätigkeit hauptamtlich oder nebenamtlich ausüben.
Nebenamtlicher Datenschutzbeauftragter
Bei der Beauftragung eines nebenamtlichen internen Datenschutzbeauftragten müssen Sie vorab das Problem einer möglichen Interessenkollision prüfen, damit die Kanzlei nicht Gefahr läuft, eine Person zu bestellen, die aufgrund ihrer übrigen Tätigkeit den Zuverlässigkeitsbegriff nicht erfüllen kann. Rechtsanwälte und Notare, die in eigener Praxis tätig sind, scheiden grundsätzlich als Datenschutzbeauftragte aus. Bei Kanzleien, die als Kapitalgesellschaft organisiert sind, scheidet die Bestellung des organschaftlichen Vertreters aus.
Hinweis
Eine zweckmäßige und nicht zu beanstandende Kombination ist die Bestellung eines angestellten Rechtsanwalts zum Datenschutzbeauftragten.
Externer Datenschutzbeauftragter
Aus den Schwierigkeiten, die sich bei der Bestellung eines internen Datenschutzbeauftragten ergeben können, wird vielfach der Wunsch geäußert, einen externen Datenschutzbeauftragten zu bestellen.
Vorteil
Ein externer Datenschutzbeauftragter hat oft aufgrund seiner Mehrfachtätigkeit für verschiedene Kanzleien/Unternehmen nicht nur die erforderliche Fachkunde, sondern einen umfangreichen Praxisbezug. Derartige Synergieeffekte sind bei einem internen Datenschutzbeauftragten nicht oder nur gering vorhanden.
Aus welchem Bereich?
Ein externer Datenschutzbeauftragter kann sowohl aus dem Bereich der Informationstechnologie kommen, was ihn insbesondere in technischen Fragen befähigt, aber auch Jurist sein, was ihn insbesondere in rechtlichen Fragestellungen auszeichnet.
Entscheidet sich eine Rechtsanwaltskanzlei zur Bestellung eines externen Datenschutzbeauftragten, so ist zu berücksichtigen, dass der Rechtsanwalt gem. § 43a Abs. 2 Satz 1 BRAO zur Verschwiegenheit verpflichtet ist. Gemäß § 18 Abs. 1 Satz 1 BNotO ist der Notar ebenfalls zur Verschwiegenheit verpflichtet. Diese Verschwiegenheitspflichten beziehen sich auf alles, was dem Berufsträger bei Ausübung seines Amtes bekannt geworden ist. Demnach unterliegt der gesamte Datenbestand der Kanzlei der berufsrechtlichen Verschwiegenheitsverpflichtung, die durch § 203 Abs. 1 Nr. 3 StGB auch strafbewehrt ist.
Zustimmung des Mandanten bei Bestellung eines externen Datenschutzbeauftragten
Einwilligung des Mandanten
Es stellt sich die Frage, ob der Mandant damit einverstanden ist, dass seine Daten nicht nur dem Rechtsanwalt sowie dessen Mitarbeitern bekannt werden, sondern auch einem externen Datenschutzbeauftragten. Denn das Tatbestandsmerkmal des „unbefugten Offenbarens“ scheidet aus, wenn die Einwilligung des Betroffenen vorliegt. Grundsätzlich ist davon auszugehen, dass die Einwilligung bei beruflicher Notwendigkeit i.d.R. stillschweigend erteilt ist, z.B. für Mitteilungen des Rechtsanwalts an seinen Mitarbeiter oder an Vertreter.
Praxistipp
Am sichersten ist es allerdings immer, bei der Bestellung eines externen Datenschutzbeauftragten das Einverständnis des Mandanten einzuholen. Dies wird aber gerade bei einem größeren Mandantenstamm praktisch kaum möglich sein. Wenn Sie einen Berufsträger zum externen Datenschutzbeauftragten bestellen, setzen Sie deshalb lieber den Mandanten schriftlich davon in Kenntnis und weisen Sie ihn dabei auf sein Widerspruchsrecht hin.
Sanktionen
Die Nichtbestellung eines Datenschutzbeauftragten stellt eine Ordnungswidrigkeit gem. § 43 Abs. 1 Nr. 2 BDSG dar und kann mit einer Geldbuße bis zu 25.000 € geahndet werden (§ 43 Abs. 3 BDSG). Die Nichtbestellung eines Datenschutzbeauftragten wird auch angenommen, wenn der bestellte Datenschutzbeauftragte nicht über die erforderliche Fachkunde und Zuverlässigkeit verfügt.
Bestellung des Datenschutzbeauftragten
Bestellung und Amtsende
Die Bestellung des Datenschutzbeauftragten muss schriftlich erfolgen, wobei auch seine Aufgabe und die organisatorische Stellung zu konkretisieren sind.
Das Amt des betrieblichen Datenschutzbeauftragten endet mit dem Widerruf durch die bestellende Kanzlei oder durch das Verlangen der Aufsichtsbehörde, die Abberufung des Datenschutzbeauftragten zu veranlassen, wenn er nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt.
Das Unternehmen ist verpflichtet, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Dem Datenschutzbeauftragten sind insbesondere personelle, sachliche und finanzielle Mittel zur Verfügung zu stellen.
Letztlich bleibt es aber der Entscheidung des Arbeitgebers überlassen, welche Hilfsmittel er für erforderlich ansieht.
Auszug aus PraxisModul Reno Online Deubner Verlag
Quelle: Armbrust - Beitrag vom 10.09.07