Berufseinstieg im Datenschutzrecht – die „spezialisierten Allrounder:innen“

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 wurde einhellig befürchtet, dass eine praktische Umsetzung ihrer Vorgaben so gut wie unmöglich sei. Die Sinnhaftigkeit der zahlreichen Pflichten wurde ernsthaft in Frage gestellt. Auch wenn es unstrittig Aspekte des Datenschutzrechts gibt, die alle Beteiligten vor Schwierigkeiten stellen, liegt gerade hierin die spannende Herausforderung für Berater:innen im Datenschutzrecht. Die Tätigkeit in diesem Bereich ist ohne Frage anspruchsvoll, doch die anwaltliche Tätigkeit als Datenschutzrechtler:in in einer multidisziplinären Kanzlei ist vor allem spannend und aus verschiedenen Gründen geeignet, insbesondere Berufseinsteiger:innen schnell viel Freude an der Arbeit zu vermitteln.

Der schlechte Ruf der DSGVO

Der schlechte Ruf der DSGVO entstand vor allem durch zahlreiche öffentlich verkündete Hiobsbotschaften im Vorfeld ihres Inkrafttretens. Es bestanden Bedenken, personalisierte Klingelschilder an Wohnungen anzubringen, Kleinstvereinen sollten Millionenbußgelder drohen und der freie Journalismus stehe vor dem Ende.

Keine dieser Prophezeiungen hat sich bewahrheitet. Die Posse um die angeblich erforderliche grundsätzliche Entfernung personalisierter Klingelschildern wurde schon wenige Monate nach Inkrafttreten der DSGVO durch eine Stellungnahme der damaligen Bundesdatenschutzbeauftragen für Datenschutz beendet (1). Dem deutschen Journalismus geht es – zumindest aus datenschutzrechtlicher Sicht – hervorragend und Bußgelder in Millionenhöhe gegen Kleintierzüchtervereine sind ebenfalls nicht bekannt.

Dennoch, auch heute, drei Jahre nach Inkrafttreten der Verordnung, gibt es zahlreiche Aspekte, die Unternehmen bei der Umsetzung der DSGVO vor Herausforderungen stellen. Auch die Angst vor einem empfindlichen Bußgeld ist nach wie vor präsent und dies nicht ganz zu Unrecht.

Datenschutz: Hohe Bußgelder gegen H&M und notebooksbilliger.de

So hat der Hanseatische Datenschutzbeauftrage im Oktober 2020 ein „Rekord“-Bußgeld in Höhe von 35,3 Millionen Euro gegen H&M verhängt (2) und der Online-Händler notebooksbilliger.de musste Anfang 2021 ebenfalls tief in die Tasche greifen, nachdem die niedersächsische Datenschutzbehörde ein Bußgeld in Höhe von 10,4 Millionen Euro gegen das Unternehmen verhängte (3). Die beeindruckende Höhe der Bußgelder folgte daraus, dass es sich bei den vorgeworfenen Verstößen um schwerwiegende intensive Eingriffe in das Persönlichkeitsrecht der Betroffenen durch systematische Überwachung ihres Privat- oder Berufslebens handelte.

Doch auch vermeintlich weniger schwerwiegende Datenschutzverstöße werden immer wieder geahndet. Die Hamburger Verkehrsbund GmbH zahlte beispielsweise ein Bußgeld in Höhe von 20.000 Euro, weil sie eine datenschutzrelevante Sicherheitslücke zwar unverzüglich nach Kenntnis behoben hatte, den Vorfall aber erst fünf Tage später den Behörden meldete (4). Die Facebook Germany GmbH versäumte, dem Hanseatischen Datenschutzbeauftragten die (erfolgte) Benennung eines Datenschutzbeauftragen für Deutschland mitzuteilen, was ein Bußgeld in Höhe von 51.000 Euro zur Folge hatte (5). Die Behörde stellte in diesem Zusammen- hang fest, dass dieser Fall allen anderen Unternehmen eine deutliche Warnung sein soll und: „Schon kleinere Verstöße gegen derartige Pflichten können zu nicht unerheblichen Geldbußen führen“.

Insbesondere die Tatsache, dass die Datenschutzbehörden die in der DSGVO vorgesehenen Bußgelder regelmäßig verhängen, hat dazu geführt, dass Unternehmen den Datenschutz seit Inkrafttreten der DSGVO ernst nehmen. Genau aus diesem Grund ist die anwaltliche Beratung zum Datenschutzrecht seit Mitte 2018 ein fester Bestandteil fast jeden Mandatsverhältnisses geworden.

Als Berater:in in diesem Bereich steht man täglich vor der Aufgabe, lenkend und gestaltend tätig zu sein, …

Datenschutzrechtler als Gestalter

Vor dem Hintergrund, dass die DSGVO für den sogenannten Verantwortlichen (die datenverarbeitende Stelle) von Verboten und Pflichten geprägt ist, kann man leicht den Eindruck gewinnen, dass der oder die Datenschutzrechtler:in vor allem als „Spielverderber:in“ tätig ist. Unabhängig davon, dass keinem Mandant:in dadurch geholfen ist, ihm oder ihr nur aufzuzeigen, was alles nicht möglich sein soll, entspricht dieses Vorurteil auch in der täglichen Arbeit nicht der Realität. Im Gegenteil: Anwälte:innen im Datenschutzrecht sind Gestalter:innen!

Denn in Bezug auf die Verbote in der DSGVO wird gerne übersehen, dass es sich in der Regel um Verbote mit Erlaubnisvorbehalt handelt. Und genau diese Erlaubnisvorbehalte gilt es auszufüllen. Als Berater:in in diesem Bereich steht man täglich vor der Aufgabe, lenkend und gestaltend tätig zu sein, um Lösungen zu finden, wie das Vorhaben des Mandanten datenschutzrechtskonform umgesetzt werden kann.

Datenschutzrechtler:innen als „Allrounder“

Besonders spannend wird diese Gestaltungstätigkeit in der anwaltlichen Beratungspraxis einer multidisziplinären Kanzlei. Denn als Datenschutzrechtler:in kommt man mit praktisch allen Bereichen der Beratung und den unterschiedlichsten Wirtschaftszweigen in Berührung. Auch in der insolvenzrechtlichen und der steuerrechtlichen Praxis spielen Fragen dazu, wann, wo und wem welche personenbezogenen Daten offenbart werden dürfen, immer wieder eine Rolle. Aber vor allem im klassischen Wirtschaftsrecht ist der/die Datenschutzrechtler:in ein/e gefragte/r Ansprechpartner:in.

So sind regelmäßig bei der Vertragsgestaltung Pflichten die Einhaltung der datenschutzrechtlichen Bestimmungen betreffend zu gestalten. Vor allem im internationalen Kontext kann dies herausfordernd sein. Denn es kommt regelmäßig vor, dass einer der Vertragspartner durch seinen Sitz außerhalb der EU nicht unter den Anwendungsbereich der DSGVO fällt oder Datenverarbeitung über Dienstleister im EU-Ausland erfolgt. Hier gilt es, praxisgerechte Lösungen zu entwickeln, um solche Kooperationen rechtssicher zu ermöglichen.

Auch im Transaktionsgeschäft spielt der Datenschutz eine große Rolle. So besteht im Rahmen der rechtlichen Überprüfung des zu erwerbenden Unternehmens („Due-Diligence-Prüfung“) immer die Notwendigkeit, etwaige Datenschutzrisiken oder gar Verstöße in der Vergangenheit zu identifizieren und dieses Risiko vertraglich abzusichern. Zudem kommt es immer wieder vor, dass gerade der Kundenstamm eines Unternehmens seinen wichtigsten Vermögensgegenstand („Asset“) darstellt. Sollen nun die Kundendaten im Rahmen eines „Asset-Deals“ (eines Verkaufs von Teilen des Unternehmens ohne einen kompletten Unternehmensübergang) veräußert werden, stellt sich die Frage, ob, wann und unter welchen Voraussetzungen Kundendaten dem/der (potenziellen) Käufer:in übermittelt werden dürfen.

Da es kaum einen wirtschaftlichen Bereich gibt, in dem personenbezogene Daten keine Bedeutung haben, ist die Liste des Beratungsbedarfs in der Praxis einer Wirtschaftskanzlei lang.

Da es kaum einen wirtschaftlichen Bereich gibt, in dem personenbezogene Daten keine Bedeutung haben, ist die Liste des Beratungsbedarfs in der Praxis einer Wirtschaftskanzlei lang. Hat man nun das Glück, in einem partnerschaftlich geprägten multidisziplinären Arbeitsumfeld tätig zu sein, bietet dieser Umstand insbesondere Berufseinsteiger:innen den nicht zu vernachlässigenden Vorteil, dass man schnell zum/zur gefragten Ansprechpartner:in für andere Kolleg:innen in allen Bereichen der Kanzlei wird.

Datenschutzrecht ist nicht „trocken“

Der besondere Reiz des Datenschutzrechts ergibt sich daraus, dass das Rechtsgebiet nicht so starr und festgelegt ist, wie es auf den ersten Blick erscheint. Dies liegt auch an einer Besonderheit, die dem öffentlich-rechtlichen Ursprung der DSGVO geschuldet ist: der Möglichkeit zur Interessenabwägung. So ist eine Datenverarbeitung gemäß Art. 6 Abs. 1 lit. f ) DSGVO unter anderem dann rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Der besondere Reiz des Datenschutzrechts ergibt sich  daraus, dass das Rechtsgebiet nicht so starr und festgelegt ist, wie es auf den ersten Blick erscheint.

Insbesondere dieser häufig bemühte „Auffangtatbestand“ macht rechtliche Beurteilungen und Gestaltungen im Datenschutzrecht abwechslungsreich. Denn hierdurch kann (und muss) jeder Sachverhalt im Detail als Einzelfall betrachtet werden. So kann ein und derselbe Verarbeitungsvorgang unterschiedlich zu beurteilen sein, je nachdem, in welchem Zusammenhang die Daten ursprünglich erhoben wurden und welches Gewicht die Schutzinteressen des oder der Betroffenen demnach haben. Ebenso kann ein auf den ersten Blick fragwürdiger Verarbeitungsvorgang „gerettet“ werden, wenn man mit den Mandanten:innen Mechanismen entwickelt, welche die Interessenabwägung zugunsten des Verantwortlichen beeinflussen, insbesondere die Schaffung umfassender Transparenz bei der Erhebung der Daten.

Das Datenschutzrecht lebt

Des Weiteren eröffnen sich nahezu täglich neue Beratungsfelder. Denn insbesondere aktuelle Entwicklungen werfen immer wieder datenschutzrechtliche Probleme auf. Ein Beispiel aus der jüngeren Vergangenheit ist etwa der Brexit und die hiermit einhergehenden Unsicherheiten, welche Konsequenzen hieraus in Bezug auf den (europäischen) Datenschutz folgen.

Auch die Corona-Pandemie hatte enorme datenschutzrechtliche Relevanz. Im Rahmen ihrer Bekämpfung ist es üblich geworden, dass besonders sensibel zu behandelnde Gesundheitsdaten Eingang in die private und berufliche Korrespondenz gefunden haben. Der neue Smalltalk in Zeiten der Pandemie lautet: „Bist du schon geimpft?“ oder „Kennst du jemanden mit Covid?“ Ein entsprechend offenherziger Umgang in Bezug auf andere Viruskrankheiten wäre vorher undenkbar gewesen. Im Rahmen der Bekämpfung der Pandemie wurden aber gerade die Antworten auf diese und ähnliche Fragen zu essenziellen Daten. So sind sich beispielsweise zahlreiche Betriebe nach wie vor unsicher, ob und wem sie die Namen von erkrankten Mitarbeitern offenlegen dürfen. Was wiegt schwerer, der Schutz des Betroffenen oder die Information potenzieller Kontaktpersonen im Rahmen der öffentliche Gesundheitsvorsorge? Auch die Kontaktnachverfolgung in der Gastronomie oder im Rahmen von Tracking- und Warn-Apps sind in Bezug auf die datenschutzrechtlichen Vorgaben kritisch zu hinterfragen. Diese aktuellen Beispiele zeigen, dass sich datenschutzrechtliche Fragestellungen in beinahe jedem Zusammenhang ergeben und oftmals von gesamtgesellschaftlicher Relevanz sind.

Berufseinstieg im Datenschutzrecht: Fazit

Zusammenfassend ist daher festzuhalten, dass Anwältinnen und ein Anwälte im Datenschutzrecht insbesondere in multidisziplinären Kanzleien gefragte „spezialisierter Allrounder:innen“ sind. Aufgrund des relativ jungen Alters der DSGVO hat man zudem in kaum einem anderen Rechtsgebiet als Berufseinsteiger:in so gute Chancen, als „Pionier:in“ an vorderster Front an der Rechtsgestaltung mitzuwirken. Da das Datenschutzrecht in Bezug auf die gängigsten Normen und Grundlagen trotzdem relativ überschaubar ist, bietet sich die Chance, überdurchschnittlich schnell zu einem Experten oder einer Expertin heranzuwachsen, dessen/deren Arbeit aufgrund der ständigen Entwicklung des Rechtsgebiets dennoch täglich spannende Herausforderungen bereithält.

Dieser Artikel erschien zuerst im mylawguide 2021, dem Karrierehandbuch für Juristinnen und Juristen.

Weitere Themen