Seit 26.11.2019 müssen auch Anwaltskanzleien einen Datenschutzbeauftragten erst dann bestellen, wenn mindestens 20 Personen (allein die Kopfzahl ist entscheidend) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (derzeit liegt die Grenze nach § 38 Abs. 1 S. 1 BDSG i. d. F. v. 25.05.2018 bei 10 Mitarbeitern). Dies hat der Bundestag mit Zustimmung des Bundesrates im Rahmen des zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 20.11.2019 beschlossen (dort Art. 12 Ziff. 9.). Es steht nachfolgend zum Download bereit.
Trotz dieser Erleichterung vor allem für kleinere Kanzleien bleibt zu beachten, dass alle Kolleginnen und Kollegen an die Datenschutzregelungen der seit 25.05.2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) gebunden sind. Daher empfiehlt sich – unabhängig von einer Pflicht zur Ernennung eines Datenschutzbeauftragten – die Beschäftigung eines Mitarbeiters mit datenschutzrechtlichen Kenntnissen. Optimal ist, auch als Datenschutzbeauftragter, ein angestellter Anwalt oder ein anderer Mitarbeiter mit gewisser IT-Affinität.
Im Übrigen kann sich die Pflicht zur Benennung eines Datenschutzbeauftragten auch unabhängig von der Anzahl der Beschäftigten aus § 38 Abs. 1 S. 2 BDSG oder Art. 37 Abs. 1 DSGVO ergeben, insbesondere bei Verarbeitungen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.