Sollten externe Datenschutzbeauftragte Anwälte sein?

Wenn es um die Auswahl eines externen Datenschutzbeauftragten geht, fragen sich viele Unternehmen, ob sie dafür lieber auf einen zugelassenen Rechtsanwalt setzen sollten. Hierbei gilt es jedoch einige Besonderheiten zu beachten. Denn es spielt durchaus eine Rolle, ob der externe Datenschutzbeauftragte als Freiberufler oder Gewerbetreibender tätig ist, sprich ob er seine Tätigkeit als Rechtsanwalt oder für eine Beratungsfirma ausübt. Antworten hierzu liefern sowohl das Steuerrecht als auch das anwaltliche Berufsrecht.

Anwaltliches Berufsrecht

Auch ein externer Anwalt darf grundsätzlich als Datenschutzbeauftragter bestellt werden. Dabei gilt jedoch, dass die Tätigkeit als Datenschutzbeauftragter losgelöst von der anwaltlichen Tätigkeit zu erfolgen hat. Der Anwalt darf eine Nebentätigkeit nur dann ausüben, wenn diese mit dem Anwaltsberuf vereinbar ist und das Vertrauen in seine Unabhängigkeit nicht gefährdet wird. Diese Vereinbarkeit liegt nach § 14 Bundesrechtsanwaltsordnung (BRAO) üblicherweise bei einer Nebentätigkeiten dann nicht vor, wenn vertrauliche Informationen im Rahmen der Rechtsberatung auch für kaufmännische Zwecke genutzt werden können. Dies muss bei einer Tätigkeit als Datenschutzbeauftragter nicht zwingend der Fall sein.

Allerdings kann die berufsrechtliche Interessenkollision dazu führen, dass ein das Unternehmen beratender Rechtsanwalt nicht gleichzeitig für dieses als Datenschutzbeauftragter tätig sein darf. Denn arbeitsrechtliche und vertragsrechtliche Fragestellungen könnten die Unabhängigkeit und Weisungsfreiheit des Datenschutzbeauftragten gefährden.

Dieses Verbot erstreckt sich nicht nur auf den Anwalt selbst, sondern auch auf die ganze Kanzlei, für die er tätig ist (§ 45 BRAO). Ein Verstoß gegen diese Regelungen kann sogar einen Entzug der Anwaltszulassung zur Folge haben.

Steuerrecht

Nach langem Hin und Her hat der Bundesfinanzhof in seinem Urteil vom 14. Januar 2020 (Az.: VIII R 27/17) aus steuerrechtlicher Sicht abschließend entschieden, dass die Tätigkeit als Datenschutzbeauftragter gemäß § 15 Einkommensteuergesetz (EStG) als gewerblich zu qualifizieren und demzufolge auch Gewerbesteuer abzuführen bzw. ab einem bestimmten Umsatz sogar eine Bilanz zu erstellen ist.

Qualifiziert man die sonst freiberufliche Tätigkeit eines Rechtsanwalts im Falle einer Tätigkeit als externer Datenschutzbeauftragter darüber hinaus als gewerbliche, besteht ein Risiko der nicht eindeutigen Trennbarkeit beider Tätigkeiten. Die freiberuflichen Tätigkeiten würden dann gegebenenfalls zu gewerblichen Einkünften umqualifiziert und dementsprechend auch unter die Gewerbesteuerpflicht fallen. Steuerrechtlich spricht man in diesem Zusammenhang von einer „gewerblichen Infizierung“. Um dieses Risiko zu vermeiden, bieten viele Kanzleien keine Dienstleistungen als externe Datenschutzbeauftragte an.

Eigenes Berufsbild des Datenschutzbeauftragten

Eine berufsrechtliche Entscheidung des Bundesgerichtshofs (BGH) aus 2018 legt jedoch nahe, dass mit der Datenschutz-Grundverordnung (DSGVO) der rechtliche Charakter der Aufgaben eines Datenschutzbeauftragten stark zugenommen hat. Dessen Aufgabe sei nämlich grundsätzlich darauf hinzuwirken, dass der Verantwortliche die nationalen und europäischen datenschutzrechtlichen Vorgaben auslegt, anwendet und deren Umsetzung überwacht.

Aufgrund dieser oft schwierigen rechtlichen Fragestellungen liegt die Kerntätigkeit des Datenschutzbeauftragten in einer zunehmend rechtlich beratenden Funktion. Ob sich der BGH daher der steuerrechtlichen Auslegung des BFH anschließen wird, bleibt abzuwarten. Im Zweifelsfall könnte es deshalb zur Vermittlung zwischen BGH und BFH kommen, um Einheitlichkeit der Rechtsprechung zu erzielen.

Fazit: Beachten Sie bei der Auswahl mögliche Interessenkollisionen und die Qualifikationen zugleich

Die obige Diskussion ist zwar vorwiegend für die Anbieter externer Datenschutzbeauftragter relevant. Doch auch Verantwortliche sollten bei der Auswahl eines Datenschutzbeauftragten ebenfalls Sorgfalt walten lassen.

Der Datenschutzbeauftrage muss von Gesetzes wegen unabhängig sein und weisungsfrei agieren können. In der überwachenden Funktion auch des Verantwortlichen (vertreten durch die Geschäftsleitung) entstehen im Rahmen einer darüber hinaus bestehenden rechtsberatenden Funktion oftmals unauflösbare Interessenskonflikte.

Bestellt man hingegen keinen Anwalt als Datenschutzbeauftragten, muss man dafür Sorge tragen, dass dieser die notwendige Fachkunde besitzt, sämtliche Sachverhalte auch in rechtlicher Hinsicht ausreichend würdigen zu können. Kernbereich der Tätigkeit eines Datenschutzbeauftragten ist die Unterrichtung und Beratung des Verantwortlichen hinsichtlich dessen rechtlicher Verpflichtungen sowohl aus der DSGVO als auch aus den jeweiligen nationalen Datenschutzvorschriften.

Die Wahl sollte zudem nur auf Datenschutzbeauftragte fallen, die außer juristischen Kenntnissen auch vertiefte technische Kenntnisse aufweisen. Darüber hinaus sind Grundkenntnisse betriebswirtschaftlicher Prozesse, des Projektmanagements sowie Soft-Skills in Verhandlungsführung und ggfs. Mediation als notwendiges Rüstzeug vorauszusetzen.

Hinweis: Mehr Informationen dazu finden Sie in unseren Tipps für die Auswahl eines externen Datenschutzbeauftragten!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.