Manchmal sagen DSB, die nicht zugleich Rechtsanwälte sind, „Ich darf dazu keine Auskunft geben, das wäre Rechtsberatung“. Was an diesem Satz dran ist und ob ein DSB nicht verpflichtet ist, zu datenschutzrechtlichen Fragen Stellung zu nehmen und zu beraten, klärt dieser Beitrag.
Die Antwort auf diese Punkte findet sich versteckt in einem Zusammenspiel zwischen dem Gesetz über außergerichtliche Rechtsdienstleistungen (RDG) und der Datenschutz-Grundverordnung (DSGVO).
Das sagt das RDG
Zweck des RDG ist es, die Rechtssuchungen, den Rechtsverkehr und die Rechtsordnung vor unqualifizierten Rechtsdienstleistungen zu schützen. Wer Rechtsdienstleistungen erbringen will, braucht dafür also eine Befugnis.
Eine Rechtsdienstleistung ist gemäß § 2 Abs. 1 RDG „jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.“
Das sagt die DSGVO
Die wesentlichen Aufgaben des Datenschutzbeauftragten (DSB) schreibt Art. 39 DSGVO fest. Danach hat er u.a. die Pflicht,
- den Verantwortlichen im Bereich des Datenschutzrechts und der Datenschutzpraxis zu unterrichten und zu beraten sowie
- die Einhaltung von Rechtsvorschriften mit datenschutzrechtlichem Bezug im Allgemeinen zu überwachen.
Zu seinen Aufgaben gehört also z.B., datenschutzrechtliche Stellungnahmen zu diversen Sachverhalten wie zur Zulässigkeit einer beabsichtigten Videoüberwachung zu erstellen sowie Verträge mit Dienstleistern zu prüfen und zu bewerten. Das alles erfordert eine rechtliche Prüfung im Einzelfall.
Was würde es dem Verantwortlichen auch bringen, wenn der DSB nicht den Einzelfall beleuchtet? Insofern ist der überwiegende Teil seiner Tätigkeiten unter den Begriff der Rechtsdienstleistung zu subsumieren.
Fachkunde im Datenschutzrecht und in der Datenschutzpraxis
Hinzu kommt: Wesentliche Voraussetzung für die Benennung des DSB ist seine Fachkunde im Datenschutzrecht und der Datenschutzpraxis (siehe Erwägungsgrund 97 DSGVO). Er muss also rechtliche Bewertungen vornehmen können.
Dass der konkrete Umfang stark vom Einzelfall und vom jeweiligen Unternehmen abhängt, hat keinen Einfluss.
Es dürfte praktisch keine Situation und kein Unternehmen geben, in denen der DSB nicht zumindest „einmal“ eine rechtliche Prüfung und Bewertung im Einzelfall (siehe § 2 Abs. 1 RDG) vornehmen muss.
Rechtsdienstleistung als zulässige Nebenleistung
Bei der Frage, ob der DSB die im Rahmen seiner Aufgaben zu erbringenden Rechtsdienstleistungen vornehmen darf, hilft ein Blick in § 3 RDG. Hiernach ist die selbstständige Erbringung außergerichtlicher Rechtsdienstleistungen nur in dem Umfang zulässig, wie sie das RDG oder ein anderes Gesetz erlaubt.
Der DSB könnte sich auf § 5 Abs. 1 RDG berufen. Danach ist eine Rechtsdienstleistung erlaubt, wenn sie erforderlich ist, um die Haupttätigkeit auszuüben.
DSB üben – auch nach Ansicht von Bundesfinanzhof (BFH) und Bundesgerichtshof (BGH) – einen völlig eigenständigen Beruf mit einem eigenen Berufsbild aus.
So führte der BGH u.a. aus, dass der Kern und der Schwerpunkt der Tätigkeit des DSB im Grunde die Auslegung und Anwendung datenschutzrechtlicher Vorgaben ist, was u.a. umfangreiche juristische Kenntnisse voraussetzt.
Wofür bräuchte er solche Kenntnisse, wenn er damit – aufgrund des RDG – nichts anfangen könnte?
Zur Haupttätigkeit „DSB“ gehört daher zweifelsohne die Erbringung von Rechtsdienstleistungen. Diese sind auch zwingend erforderlich, da sie im Hinblick auf die gesetzlichen Aufgaben des DSB untrennbar mit dieser Funktion verbunden sind.
Folglich darf und muss der DSB im Rahmen seiner Tätigkeit Rechtsdienstleistungen erbringen.
In der Praxis sieht man leider allzu oft DSB, die nicht selbst datenschutzrechtlich beraten, sondern auf einen externen Anwalt verweisen – mit zusätzlichen Kosten für den Verantwortlichen.
Das ist in der Regel eine schwerwiegende Verletzung der gesetzlichen Pflichten des DSB, selbst wenn sie auf dem Trugschluss beruht, nicht beraten zu dürfen. Das kann zur fristlosen Kündigung und Abberufung führen.
Fazit: Ein DSB darf und muss beraten
Ein DSB darf also Rechtsdienstleistungen erbringen – und er muss es im Rahmen seiner Tätigkeiten gemäß Art. 37 bis 39 DSGVO auch. Das RDG sieht entsprechende Ausnahmetatbestände vor.
Tut er dies nicht, kann das erhebliche Konsequenzen für den Verantwortlichen und für den Datenschutzbeauftragten selbst haben.
Es ist unklar, woher dieser Mythos stammt. Umso wichtiger ist es, allen DSB klar zu machen, dass es sich um einen solchen handelt. Sofern der Datenschutzbeauftragte die bestehenden Grenzen (und Graubereiche) beachtet, stehlt einer rechtsberatenden Tätigkeit nichts im Weg.