Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
20. Juli 2020

DSB und die Rechtsberatung

DP+
DSB und die Rechtsberatung
Bild: iStock.com / http://www.fotogestoeber.de
0,00 (0)
Gefährliche Zurückhaltung
Manchmal sagen DSB, die nicht zugleich Rechtsanwälte sind, „Ich darf dazu keine Auskunft geben, das wäre Rechtsberatung“. Was an diesem Satz dran ist und ob ein DSB nicht verpflichtet ist, zu datenschutzrechtlichen Fragen Stellung zu nehmen und zu beraten, klärt dieser Beitrag.

Die Antwort auf diese Punkte findet sich versteckt in einem Zusammenspiel zwischen dem Gesetz über außergerichtliche Rechtsdienstleistungen (RDG) und der Datenschutz-Grundverordnung (DSGVO).

Das sagt das RDG

Zweck des RDG ist es, die Rechtssuchungen, den Rechtsverkehr und die Rechtsordnung vor unqualifizierten Rechtsdienstleistungen zu schützen. Wer Rechtsdienstleistungen erbringen will, braucht dafür also eine Befugnis.

Eine Rechtsdienstleistung ist gemäß § 2 Abs. 1 RDG „jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.“

Das sagt die DSGVO

Die wesentlichen Aufgaben des Datenschutzbeauftragten (DSB) schreibt Art. 39 DSGVO fest. Danach hat er u.a. die Pflicht,

  • den Verantwortlichen im Bereich des Datenschutzrechts und der Datenschutzpraxis zu unterrichten und zu beraten sowie
  • die Einhaltung von Rechtsvorschriften mit datenschutzrechtlichem Bezug im Allgemeinen zu überwachen.

Zu seinen Aufgaben gehört also z.B., datenschutzrechtliche Stellungnahmen zu diversen Sachverhalten wie zur Zulässigkeit einer beabsichtigten Videoüberwachung zu erstellen sowie Verträge mit Dienstleistern zu prüfen und zu bewerten. Das alles erfordert eine rechtliche Prüfung im Einzelfall.

Was würde es dem Verantwortlichen auch bringen, wenn der DSB nicht den Einzelfall beleuchtet? Insofern ist der überwiegende Teil seiner Tätigkeiten unter den Begriff der Rechtsdienstleistung zu subsumieren.

Fachkunde im Datenschutzrecht und in der Datenschutzpraxis

Hinzu kommt: Wesentliche Voraussetzung für die Benennung des DSB ist seine Fachkunde im Datenschutzrecht und der Datenschutzpraxis (siehe Erwägungsgrund 97 DSGVO). Er muss also rechtliche Bewertungen vornehmen können.

Dass der konkrete Umfang stark vom Einzelfall und vom jeweiligen Unternehmen abhängt, hat keinen Einfluss.

Es dürfte praktisch keine Situation und kein Unternehmen geben, in denen der DSB nicht zumindest „einmal“ eine rechtliche Prüfung und Bewertung im Einzelfall (siehe § 2 Abs. 1 RDG) vornehmen muss.

Rechtsdienstleistung als zulässige Nebenleistung

Bei der Frage, ob der DSB die im Rahmen seiner Aufgaben zu erbringenden Rechtsdienstleistungen vornehmen darf, hilft ein Blick in § 3 RDG. Hiernach ist die selbstständige Erbringung außergerichtlicher Rechtsdienstleistungen nur in dem Umfang zulässig, wie sie das RDG oder ein anderes Gesetz erlaubt.

Der DSB könnte sich auf § 5 Abs. 1 RDG berufen. Danach ist eine Rechtsdienstleistung erlaubt, wenn sie erforderlich ist, um die Haupttätigkeit auszuüben.

DSB üben – auch nach Ansicht von Bundesfinanzhof (BFH) und Bundesgerichtshof (BGH) – einen völlig eigenständigen Beruf mit einem eigenen Berufsbild aus.

So führte der BGH u.a. aus, dass der Kern und der Schwerpunkt der Tätigkeit des DSB im Grunde die Auslegung und Anwendung datenschutzrechtlicher Vorgaben ist, was u.a. umfangreiche juristische Kenntnisse voraussetzt.

Wofür bräuchte er solche Kenntnisse, wenn er damit – aufgrund des RDG – nichts anfangen könnte?

Zur Haupttätigkeit „DSB“ gehört daher zweifelsohne die Erbringung von Rechtsdienstleistungen. Diese sind auch zwingend erforderlich, da sie im Hinblick auf die gesetzlichen Aufgaben des DSB untrennbar mit dieser Funktion verbunden sind.

Folglich darf und muss der DSB im Rahmen seiner Tätigkeit Rechtsdienstleistungen erbringen.

In der Praxis sieht man leider allzu oft DSB, die nicht selbst datenschutzrechtlich beraten, sondern auf einen externen Anwalt verweisen – mit zusätzlichen Kosten für den Verantwortlichen.

Das ist in der Regel eine schwerwiegende Verletzung der gesetzlichen Pflichten des DSB, selbst wenn sie auf dem Trugschluss beruht, nicht beraten zu dürfen. Das kann zur fristlosen Kündigung und Abberufung führen.

Was darf der DSB nicht?

In der Praxis gibt es jedoch einige Sachverhalte, die der DSB nicht erledigen darf. Beispiel: Der Inhaber einer Arztpraxis möchte weitere Praxen zum Ausbau seines Unternehmens erwerben. Er bittet seine DSB darum, entsprechende Verträge zu erstellen (z.B. Übernahmevertrag und Verwahrvertrag für die Patientenakten).

Zwar besitzen die Verträge auch datenschutzrechtliche Inhalte, etwa Klauseln, wie die Übergabe der Patientenakten nach erfolgter Einwilligung zu handhaben ist. Jedoch darf die DSB nur im Hinblick auf diese Klauseln beraten, nicht hingegen hinsichtlich der sonstigen Klauseln abseits des Datenschutzrechts.

Die Beratung in rein zivilrechtlichen Fragen lässt sich weder als Nebenleistung zum Berufsbild und zur Haupttätigkeit zählen, noch ergibt sich etwas anderes aus der DSGVO.

Auch wenn die Abgrenzung im Einzelfall nicht immer einfach ist, so sollte sich jeder DSB auf das besinnen, was er kann, nämlich die Vorschriften des Datenschutzrechts auszulegen und anzuwenden.

Dem Datenschutzrecht (sach-)fremde Fragen sollte und muss der DSB unbeantwortet lassen.

Was ist keine Rechtsdienstleistung im Sinne des RDG?

Einige Tätigkeiten fallen erst gar nicht unter den Begriff der Rechtsdienstleistung. Diese Dienste kann grundsätzlich jeder erbringen.

Hierzu zählen gemäß § 2 Abs. 3 RDG etwa wissenschaftliche Gutachten zu einem bestimmten Thema oder an die Allgemeinheit gerichtete Darstellungen von Rechtsfragen und Rechtsfällen in den Medien.

Fazit: Ein DSB darf und muss beraten

Ein DSB darf also Rechtsdienstleistungen erbringen – und er muss es im Rahmen seiner Tätigkeiten gemäß Art. 37 bis 39 DSGVO auch. Das RDG sieht entsprechende Ausnahmetatbestände vor.

Tut er dies nicht, kann das erhebliche Konsequenzen für den Verantwortlichen und für den Datenschutzbeauftragten selbst haben.

Es ist unklar, woher dieser Mythos stammt. Umso wichtiger ist es, allen DSB klar zu machen, dass es sich um einen solchen handelt. Sofern der Datenschutzbeauftragte die bestehenden Grenzen (und Graubereiche) beachtet, steht einer rechtsberatenden Tätigkeit nichts im Weg.

In diesem Zusammenhang hat der BvD e.V. übrigens erst kürzlich gefordert, klarzustellen, dass die Tätigkeit des DSB kein Verstoß gegen das RDG ist (https://ogy.de/bvd-rdg).

Dr. Kevin Marschall
+

Weiterlesen mit DP+

Sie haben noch kein Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Kevin Marschall
Dr. Kevin Marschall

Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und ist zudem als externer Datenschutzbeauftragter tätig.

Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.