Externe Datenschutzbeauftragte im Konflikt mit dem RDG?

Fachbeitrag

Spätestens seit Inkrafttreten der DSGVO ist der Beratungsbedarf in datenschutzrechtlichen Fragen immens angestiegen. Unternehmen legen verstärkt ihren Fokus auf datenschutzrechtliche Themen und sind darauf bedacht, Datenschutzverstöße und daraus folgende Bußgelder zu vermeiden. Genau an diesen Schrauben kann der Datenschutzbeauftragte drehen. Aufgrund der Funktion gibt die Stellung des Datenschutzbeauftragten Anlass für Diskussionen und wirft hinsichtlich der Einordung der Tätigkeit Fragen auf.

Qualifikation eines Datenschutzbeauftragten

Als Voraussetzung wird vor allem das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis für die Nennung als Datenschutzbeauftragter genannt (vgl. Art. 37 Abs. 5 DSGVO). Weitere Mindestanforderungen sieht die DSGVO soweit nicht vor.

Rechtsdienstleistung im Sinne des RDG

Es stellt sich die Frage, ob die Tätigkeit des externen Datenschutzbeauftragten mit dem Rechtsdienstleistungsgesetz (RDG) vereinbar ist. Entscheidend ist zunächst, ob überhaupt eine Rechtsdienstleistung im Sinne des RDG vorliegt. In § 2 Abs. 1 RDG heißt es:

„Rechtsdienstleistung ist jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.“

Für eine Einordnung bestimmter Tätigkeiten des externen Datenschutzbeauftragten unter § 2 Abs. 1 RDG spricht der Wortlaut des Art. 39 Abs. lit. a-e DSGVO. Dort werden explizit die wesentlichen Aufgabenbereiche des Datenschutzbeauftragten genannt:

  • Unterrichtung und Beratung
  • Überwachung und Einhaltung von Rechtsvorschriften
  • Durchführung von Datenschutzfolgenabschätzungen
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Vom Datenschutzbeauftragten wird durchaus ein breitgefächertes Kompetenzportfolio erwartet. Durch das ausgeprägte Aufgabenspektrum obliegt es dem Datenschutzbeauftragten beispielsweise (Rechts-)Gutachten zu erstellen, Verträge mit Dienstleistern, Betriebsvereinbarungen und Unternehmensrichtlinien zu prüfen, Auskünfte zu erteilen oder mit Behörden zu kommunizieren. Der konkrete Umfang hängt dabei stark von den tatsächlichen Gegebenheiten im jeweiligen Unternehmen ab. Daraus lässt sich unschwer erkennen, dass der Datenschutzbeauftragte auch rechtliche Prüfungen im Einzelfall im Sinne von § 2 Abs. 1 RDG vornehmen muss.

Zulässigkeit der Rechtsdienstleistung als Nebenleistung

In § 3 RDG heißt es:

„Die selbständige Erbringung außergerichtlicher Rechtsdienstleistungen ist nur in dem Umfang zulässig, in dem sie durch dieses Gesetz oder durch oder aufgrund anderer Gesetze erlaubt wird.“

Demzufolge muss eine Erlaubnis für die Rechtsdienstleistung vorliegen. In Betracht kommt hier die Erbringung der Rechtsdienstleistung als Nebenleistung nach § 5 Abs. 1 RDG. Demnach ist eine Rechtsdienstleistung erlaubt,

„wenn diese zur Ausübung der Haupttätigkeit erforderlich ist.“

Die bisherige Rechtsprechung lässt sich dahingehend interpretieren, dass die Aufgabe des Datenschutzbeauftragten ein eigenständiges Berufsbild darstellt. So sah auch der Bundesfinanzhof das breite Aufgabenspektrum des Datenschutzbeauftragten in der juristischen Beratung in Fragen des Datenschutzrechtes. Nicht anders urteilte der Bundesgerichtshof mit einer jüngeren Rechtsprechung:

„Denn der Kern und der Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten liegen, wie der Anwaltsgerichtshof richtig gesehen hat, grundsätzlich in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung der Einhaltung dieser Vorgaben. Dies ergibt sich bereits aus dem Inhalt der Vorschriften nationalen Rechts und des Unionsrechts über die Aufgaben des Datenschutzbeauftragten.“

Eine gesetzliche Befugnis könnte sich aber auch aus einem Spezialgesetz wie die DSGVO selbst ergeben. Zwar gilt das RDG als allgemeines Gesetz zur Reglementierung von Rechtsdienstleistungen. Jedoch lässt sich aus § 1 Abs. 3 RDG herleiten, dass auch Regelungen aus anderen Gesetzen genügen, aus denen sich die Befugnis ergibt:

 „Regelungen in anderen Gesetzen über die Befugnis, Rechtsdienstleistungen zu erbringen, bleiben unberührt.“

Die DSGVO käme in diesem Sinne durchaus als ein „anderes Gesetz“ in Betracht.

Fazit

Es ist inzwischen unumstritten, dass die Tätigkeit des externen Datenschutzbeauftragten auch durch Nicht-Anwälte mit dem RDG vereinbar ist. Daneben bleiben noch einige Fragen offen. So steht im kommenden Jahr die Entscheidung an, ob der externe Datenschutzbeauftragte durch einen Rechtsanwalt als freiberufliche oder gewerbliche Tätigkeit einzuordnen ist.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Völlig korrekt!
    Bereits im engeren datenschutzrechtlichen Bereich unterlaufen vielen vermeintlichen Datenschutzexperten viel zu häufig Fehler – völlig ungeachtet, ob diese als interner oder externer Beauftragter tätig sind. Verlässt man den datenschutzrechtlichen Kernbereich wird dann meist nur noch hahnebüchener Unsinn fabriziert und dem bestellenden Unternehmen trotzdem als Rat eines Fachmanns verkauft. Die Auseinandersetzung mit solchen „Fachleuten“, die juristisch nicht oder kaum augebildet sind, ist zeitraubend, nervtötend und sollte überflüssig sein. Dennoch wird sie bei fast jedem auszuhandelnden Vertrag notwendig.
    Ein hartes Drehen an der Qualifikationsschraube und eine wirksame Zugangsbeschränkung wäre dringend nötig!
    Ob nun Rechtsanwälten die Tätigkeit als Datenschutzbeauftragte ermöglicht wird oder aber Beauftragte entsprechend qualifiziert sein müssen, ist im Ergebnis egal.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.