Die Tätigkeit eines Datenschutzbeauftragten (DSB) bringt immer wieder Fragen zur rechtlichen Zulässigkeit mit sich – insbesondere im Hinblick auf das Rechtsdienstleistungsgesetz (RDG). Ein Urteil des Anwaltsgerichtshofs Nordrhein-Westfalen (AGH NRW) vom 12.03.2021 (Az.: 1 AGH 9/19) hat hierzu eine klare Aussage getroffen und die Vereinbarkeit der DSB-Tätigkeit mit dem RDG bestätigt.
Hintergrund: Datenschutzbeauftragte als eigenständiger Beruf
Schon seit Jahrzehnten wird der Datenschutzbeauftragte als eigenständige Berufstätigkeit anerkannt. Das Landgericht Ulm stellte bereits 1990 fest, dass Datenschutzbeauftragte durch ihre kontinuierliche Tätigkeit einen dauerhaften Beitrag zur Gesellschaft leisten und damit einen eigenständigen Beruf ausüben. Auch der Bundesfinanzhof hat 2020 bestätigt, dass die Tätigkeit eines Datenschutzbeauftragten als Beruf anzusehen ist.
Ein häufiger Streitpunkt ist, ob nur Rechtsanwälte als Datenschutzbeauftragte tätig sein dürfen, da das RDG grundsätzlich die Erbringung von Rechtsdienstleistungen reguliert. Der AGH NRW hat sich in seinem Urteil klar gegen diese Ansicht positioniert.
Entscheidung des Anwaltsgerichtshofs NRW
Der AGH NRW stellte fest, dass die Tätigkeit eines DSB eine Rechtsdienstleistung im Sinne des § 2 RDG darstellt. Allerdings ist diese Tätigkeit nach den §§ 1 und 3 RDG zulässig, sofern es eine spezifische Erlaubnis gibt. Genau diese Erlaubnis ergibt sich aus der Datenschutz-Grundverordnung (DSGVO), insbesondere aus Artikel 39 DSGVO. Dort wird die „Beratung und Unterrichtung über die Rechte und Pflichten nach dieser Verordnung“ als zentrale Aufgabe des DSB genannt. Das bedeutet, dass Datenschutzbeauftragte in ihrem Fachbereich durchaus rechtliche Beratung leisten dürfen – allerdings nur im Rahmen ihrer definierten Aufgaben.
Abgrenzung: Welche Rechtsberatung darf ein DSB erbringen?
Die Tätigkeit eines Datenschutzbeauftragten umfasst verschiedene Beratungsbereiche:
-
Betriebswirtschaftliche Beratung: Optimierung von Datenschutzprozessen innerhalb der Organisation.
-
Technisch-organisatorische Beratung: Umsetzung und Einhaltung datenschutzrechtlicher Sicherheitsmaßnahmen.
-
Datenschutzrechtliche Beratung: Unterstützung bei der Einhaltung der DSGVO.
Während Datenschutzbeauftragte also in gewissem Umfang rechtliche Beratung anbieten dürfen, sind sie nicht befugt, allgemeine Rechtsberatung oder vertiefte juristische Analysen durchzuführen. Das bedeutet auch, dass selbst wenn ein Rechtsanwalt als DSB benannt ist, er in dieser Rolle nicht über die datenschutzrechtliche Beratung hinaus tätig werden darf. Eine weitergehende Rechtsberatung müsste er in seiner Funktion als Rechtsanwalt und nicht als DSB anbieten.
Fazit: Klare Befugnisse für Datenschutzbeauftragte
Die Hauptaufgabe eines Datenschutzbeauftragten liegt nicht in der Klärung komplexer Rechtsfragen, sondern in der Kontrolle und Überwachung der Datenschutzkonformität. Die DSGVO als EU-Verordnung hat hierbei Vorrang vor nationalen Regelungen wie dem RDG, sodass Datenschutzbeauftragte ihre gesetzlich festgelegten Aufgaben rechtssicher ausüben können. Datenschutzbeauftragte dürfen und sollen innerhalb ihrer Rolle rechtliche Beratung leisten, sofern diese im Zusammenhang mit der DSGVO und der datenschutzrechtlichen Praxis eines Unternehmens steht. Dies umfasst beispielsweise die Unterstützung bei der Umsetzung von Datenschutzmaßnahmen, die Interpretation der DSGVO-Vorgaben sowie die Beratung zu datenschutzrechtlichen Prozessen.
Wichtig ist die Abgrenzung zur klassischen anwaltlichen Rechtsberatung, die über den datenschutzrechtlichen Rahmen hinausgeht. Wer als Unternehmen also Datenschutzexpertise benötigt, ist mit einem kompetenten und praxiserfahrenen Datenschutzbeauftragten am besten beraten – für darüber hinausgehende juristische Fragestellungen kann gegebenenfalls eine anwaltliche Beratung sinnvoll sein. Datenschutzbeauftragte sind keine Konkurrenz zu Anwälten, sondern spezialisierte Fachkräfte mit einer klar definierten und gesetzlich verankerten Rolle.