23.05.2025 Dr. Jochen Notholt

Beratung durch Kanzlei und Datenschutzbeauftragte:n in Personalunion – wie geht das? Ein Praxisbeispiel

Was tun, wenn man sich selbst widerspricht – und dabei völlig im Recht ist? Ein Praxisfall aus unserer Beratung zeigt, wie in der Doppelrolle von Kanzlei und Datenschutzbeauftragter bzw. Datenschutzbeauftragtem (DSB) unterschiedliche Maßstäbe zur Anwendung kommen – und warum das kein Widerspruch sein muss.

Der Fall: Internationaler App-Rollout mit sensiblen Daten

Unsere Mandantin – ein innovatives Tech-Unternehmen – bereitet den internationalen Roll-out einer von ihr entwickelten Smartphone-App vor. In der App werden umfangreiche personenbezogene Daten verarbeitet, darunter auch und gerade solche von Minderjährigen. Es handelt sich um eine Lern- und Community-Plattform mit potenziell sensiblen Inhalten. Nachdem der Roll-out in mehreren europäischen Ländern bereits erfolgt ist, steht nun ein Beta-Test in einem nordafrikanischen Land an. Der Beta-Test findet als sog. „friendly user test“ mit einem zahlenmäßig stark eingeschränkten Nutzer:innenkreis statt.

Die juristische Frage: Muss unsere Mandantin vor dem Start zwingend eine Kanzlei in diesem Land beauftragen, um die Datenschutzlage zu prüfen? Die Nutzungsbedingungen und Datenschutzhinweise liegen in französischer Sprache vor – das deckt die Verwaltungssprache Tunesiens ab. Außerdem sind die Rechtstexte von einer befreundeten französischen Kanzlei geprüft. Reicht das jetzt aus?

Aus Sicht der/des externen Datenschutzbeauftragten

Als externe:r DSB fällt meine Einschätzung eindeutig aus: Der eingeschränkte Nutzer:innenkreis ändert nichts am datenschutzrechtlichen Maßstab. Wenn personenbezogene Daten von Nutzer:innen in einem Drittland verarbeitet werden – insbesondere von Kindern – gelten dieselben Anforderungen wie bei einem vollständigen Marktstart.

Datenschutzrechtlich ist es unerheblich, ob der Roll-out nur „testweise“ erfolgt. Sobald die Verarbeitung beginnt, greifen die Prüf- und Nachweispflichten – einschließlich der Pflicht zur rechtmäßigen Information der Betroffenen gemäß Art. 13, 14 DSGVO (bzw. entsprechender tunesischer Vorschriften, falls anwendbar). Aus dieser Sicht: Ja, es sollte eine tunesische Kanzlei konsultiert werden, um für die DSGVO-Konformität auf Nummer sicher zu gehen.

Aus Sicht der Kanzlei – Risikoabwägung im Unternehmensinteresse

Anders fällt die Einschätzung als beratende Kanzlei aus: Natürlich bleibt die Rechtslage dieselbe – doch die tatsächliche Risikolage ist eine andere. Und als beratende Kanzlei haben wir nicht nur die Rechtslage im Blick, sondern vertreten die Interessen unserer Mandant:innen in einem größeren Kontext. Wir sehen uns hier auch und gerade als Risikomanager:in.

Der Beta-Test ist auf einen engen Nutzer:innenkreis beschränkt, das Projekt wird aktiv gesteuert, die Sichtbarkeit ist gering. Eine kostenintensive Rechtsprüfung zum jetzigen Zeitpunkt würde die Ressourcen der Mandantin stark – und aus unserer Sicht eher unverhältnismäßig – beanspruchen. Unser pragmatischer Rat lautet daher: Solange es bei einem begrenzten Test bleibt, ist das Risiko eines behördlichen Eingreifens so verschwindend gering, dass eine Prüfung im nordafrikanischen Staat vertagt werden kann. Bei einem vollständigen Markteintritt sähe das anders aus – und dann sollte die Prüfung nachgeholt werden.

Die „Doppelrolle“: DSB und Kanzlei – geht das überhaupt?

Der Fall zeigt exemplarisch ein Thema, das uns bei comp/lex immer wieder beschäftigt: Was passiert, wenn ein externe:r Datenschutzbeauftragte:r gleichzeitig auch Teil der beratenden Kanzlei ist?

Tatsächlich gibt es rechtliche Graubereiche und auch Stimmen, welche eine Bestellung einer/eines bereits beratenden Anwältin/Anwalts als externe:n DSB für unzulässig halten. Wir sehen das nicht ganz so streng, weisen Interessent:innen, die wir bereits als Kanzlei beraten, auf den möglichen Konflikt hin und lassen sie die Entscheidung treffen, ob sie uns bestellen möchten oder nicht.

Die Datenschutz-Grundverordnung verlangt von Datenschutzbeauftragten Unabhängigkeit (Art. 38 DSGVO) und Konfliktfreiheit (Art. 39 Abs. 6 DSGVO). Wir meinen, die gleichzeitige Tätigkeit als externe:r DSB und beratende:r Anwältin/Anwalt ist zulässig – wenn organisatorisch sauber getrennt wird, Rollenklarheit herrscht und die Mandant:innen immer wissen, in welcher Rolle wir beraten.

Wir bei comp/lex stellen sicher:

  • dass die Beratung in der Rolle der/des DSB keine wirtschaftlichen Eigeninteressen verfolgt,
  • dass Empfehlungen aus Sicht der/des DSB stets datenschutzrechtlich „reinen Tisch“ machen,
  • und dass unsere Mandant:innen im Kanzleimodus eine bewusste Risikoabwägung treffen können.

Transparenz ist dabei entscheidend. Im Fall der App-Beratung wurden beide Bewertungen – DSB-Ansicht und anwaltliche Risikoanalyse – klar voneinander getrennt kommuniziert und dokumentiert.

Fazit: Unterschiedliche Antworten – aber kein Widerspruch

Die Doppelrolle ist herausfordernd, aber kein Problem – wenn man die Regeln kennt und transparent arbeitet. Der Fall zeigt: Mandant:innen profitieren sogar davon, wenn sie beide Perspektiven aus einer Hand bekommen – die des juristisch sauberen Datenschutzes und die der pragmatischen wirtschaftlichen Beratung.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:

  • Abonnieren Sie unsere Tipps und Tricks und erhalten Sie zugleich Zugang zu unserem Mitgliederbereich mit kostenlosen E-Books, Videos und vielem mehr.

  • Informieren Sie sich über unsere Leistungen.

  • Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.

  • Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter

Ihre Ansprechperson

Unsere Top-Artikel:

Themen:

Ähnliche Artikel:

Unser Datenschutz-Update im Januar 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Januar 2024....

Unser Datenschutz-Update im August 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den August 2024....