ZAP 9/2022, Die digitale Kanzlei: Datenschutz-Bestandsau ... / II. Verantwortlichkeiten klären/Aufgaben verteilen

In einem ersten Schritt müssen die internen Verantwortlichkeiten geklärt werden. Damit ist nicht gemeint, dass die datenschutzrechtliche Verantwortlichkeit i.S.v. Art. 4 Nr. 7 DSGVO und eine damit einhergehende Haftung auf einzelne Mitarbeiter verlagert werden könnte. Es geht dabei viel mehr um die tatsächliche Umsetzung der Datenschutzanforderungen, die naturgemäß durch einen oder mehrere Menschen erfolgen muss. Die datenschutzrechtliche Verantwortlichkeit nach außen liegt und bleibt bei der Kanzlei bzw. beim Einzelanwalt, egal ob es einen DSB oder ggf. zusätzlich noch weitere für die Umsetzung des Datenschutzrechts zuständige Personen gibt. Insbesondere ein DSB kann mit seinem Fachwissen bei der praktischen Umsetzung helfen, er ist aber im Außenverhältnis etwa zu einer betroffenen Person oder zu einer Datenschutzaufsichtsbehörde regelmäßig nicht haftbar. Wenn kein Dienstleister als externer DSB benannt ist, sondern einer der vorhandenen Mitarbeiter als interner DSB tätig wird, kann dieser nur unter den Voraussetzungen der Arbeitnehmerhaftung (sog. Haftungsquart analog zu § 254 BGB, Regress abhängig vom Verschuldensgrad) zur Verantwortung gezogen werden. Einzige Ausnahme: der sog. Mitarbeiterexzess. Wenn ein Beschäftigter seine arbeitsvertraglichen Pflichten dahingehend verletzt, dass er personenbezogene Daten aus der Sphäre seines Arbeitgebers in rechtsmissbräuchlicher Weise bzw. für sachfremde Zwecke verarbeitet, dann wird er ausnahmsweise selbst zum Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO und haftet selbst für seine Handlung.

Beispiele:

Ein Polizeibeamter sucht unzulässigerweise, also ohne dienstliche Veranlassung, mit Hilfe der ihm im Dienst zur Verfügung stehenden Datenbanken die Kontaktdaten einer Rechtsanwältin heraus, um die Daten anschließend an Dritte weiterzugeben, die wiederum Drohnachrichten an die Anwältin versenden. Oder: Ein angestellter Anwalt hat in seinem vom Arbeitgeber bereitgestellten Fahrzeug selbstständig und ohne Rücksprache eine sog. Dashcam verbaut, also eine kleine Kamera an seinem Rückspiegel angebracht und auf die Fahrbahn ausgerichtet, um beispielsweise bei einem Verkehrsunfall evtl. Beweise sichern zu können.

In beiden Beispielfällen kann von einem Mitarbeiterexzess ausgegangen werden. Abgesehen von solchen Ausnahmekonstellationen ist und bleibt aber regelmäßig die Kanzlei für die Verarbeitung personenbezogener Daten verantwortlich. Und um den Verpflichtungen nachzukommen, sollten so früh wie möglich klare Strukturen geschaffen und Rollen verteilt werden. Es muss festgelegt werden, wer für die Koordination der Umsetzung der datenschutzrechtlichen Vorgaben verantwortlich sein soll und wer die tatsächliche Umsetzung in die Praxis vornimmt. Im Idealfall wird ein ganzes Datenschutzteam (DST) eingerichtet, bei dem der DSB als koordinierende Kraft den Gesamtüberblick behält und weitere Mitarbeiter die eigentlichen Aufgaben verrichten (sog. Datenschutzkoordinatoren oder -manager). Dabei kann es sich beispielsweise um jeweils einen Mitarbeiter aus einzelnen Fachbereichen handeln, also z.B. einer aus der Personal-, einer aus der Buchhaltungs-, einer aus der IT-Abteilung usw. So etwas ist natürlich nur in großen Kanzleien mit entsprechendem Personal und Geld möglich. Aber auch in kleineren Einheiten lässt sich ein DST bilden, dann eben mit weniger bzw. mit nicht zwingend aus einzelnen Fachbereichen stammenden Personen. Wenn etwa die eigene Buchhaltung nur aus einem Mitarbeiter besteht, muss man sich entscheiden, ob dieser dann auch Mitglied des DST werden soll oder ob dessen Arbeitsauslastung diese Zusatzaufgabe nicht zulässt. Egal, wie viele Mitarbeiter aus welchen Bereichen ein DST bilden, es muss letztlich zur individuellen Situation jeder einzelnen Kanzlei passen. Bei Einzelanwälten bleibt naturgemäß ohnehin die ganze Arbeit an einer Person hängen. Diese sind allerdings von Gesetzes wegen auch nicht dazu verpflichtet, einen (externen) DSB zu benennen. Allerdings kann es sich als sinnvoll erweisen, gleichwohl das Know-how eines DSB einzukaufen, insb. dann, wenn das eigene Grundlagenwissen und/oder schlichtweg die Zeit fehlen.