| Spätestens seit Inkrafttreten der DSGVO ist der Beratungsbedarf in datenschutzrechtlichen Fragen immens angestiegen. Unternehmen legen verstärkt ihren Fokus auf datenschutzrechtliche Themen und sind darauf bedacht, Datenschutzverstöße und daraus folgende Bußgelder zu vermeiden. Genau an diesen Schrauben kann der Datenschutzbeauftragte drehen. Aufgrund der Funktion gibt die Stellung des Datenschutzbeauftragten Anlass für Diskussionen und wirft hinsichtlich der Einordung der Tätigkeit Fragen auf. Qualifikation eines Datenschutzbeauftragten Als Voraussetzung wird neben vor allem das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis für die Nennung als Datenschutzbeauftragter genannt (vgl. Art. 37 Abs. 5 DSGVO). Weitere Mindestanforderungen sieht die DSGVO soweit nicht vor. Rechtsdienstleistung im Sinne des RDG Es stellt sich die Frage, ob die Tätigkeit des externen Datenschutzbeauftragten mit dem Rechtsdienstleistungsgesetz (RDG) vereinbar ist. Entscheidend ist zunächst, ob überhaupt eine Rechtsdienstleistung im Sinne des RDG vorliegt. In § 2 Abs. 1 RDG heißt es: „Rechtsdienstleistung ist jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.“ Für eine Einordnung bestimmter Tätigkeiten des externen Datenschutzbeauftragten unter § 2 Abs. 1 RDG spricht der Wortlaut des Art. 39 Abs. lit. a-e DSGVO. Dort werden explizit die wesentlichen Aufgabenbereiche des Datenschutzbeauftragten genannt: • Unterrichtung und Beratung • Überwachung und Einhaltung von Rechtsvorschriften • Durchführung von Datenschutzfolgenabschätzungen • Zusammenarbeit mit der Aufsichtsbehörde • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde Vom Datenschutzbeauftragten wird durchaus ein breitgefächertes Kompetenzportfolio erwartet. Durch das ausgeprägte Aufgabenspektrum obliegt es dem Datenschutzbeauftragten beispielsweise (Rechts-)Gutachten zu erstellen, Verträge mit Dienstleistern, Betriebsvereinbarungen und Unternehmensrichtlinien zu prüfen, Auskünfte zu erteilen oder mit Behörden zu kommunizieren. Der konkrete Umfang hängt dabei stark von den tatsächlichen Gegebenheiten im jeweiligen Unternehmen ab. Daraus lässt sich unschwer erkennen, dass der Datenschutzbeauftragte auch rechtliche Prüfungen im Einzelfall im Sinne von § 2 Abs. 1 RDG vornehmen muss. Zulässigkeit der Rechtsdienstleistung als Nebenleistung In § 3 RDG heißt es: „Die selbständige Erbringung außergerichtlicher Rechtsdienstleistungen ist nur in dem Umfang zulässig, in dem sie durch dieses Gesetz oder durch oder aufgrund anderer Gesetze erlaubt wird.“ Demzufolge muss eine Erlaubnis für die Rechtsdienstleistung vorliegen. In Betracht kommt hier die Erbringung der Rechtsdienstleistung als Nebenleistung nach § 5 Abs. 1 RDG. Demnach ist eine Rechtsdienstleistung erlaubt, "wenn diese zur Ausübung der Haupttätigkeit erforderlich ist." Die bisherige Rechtsprechung lässt sich dahingehend interpretieren, dass die Aufgabe des Datenschutzbeauftragten ein eigenständiges Berufsbild darstellt. So sah auch der Bundesfinanzhof das breite Aufgabenspektrum des Datenschutzbeauftragten in der juristischen Beratung in Fragen des Datenschutzrechtes. Nicht anders urteilte der Bundesgerichtshof mit einer jüngeren Rechtsprechung: „Denn der Kern und der Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten liegen, wie der Anwaltsgerichtshof richtig gesehen hat, grundsätzlich in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung der Einhaltung dieser Vorgaben. Dies ergibt sich bereits aus dem Inhalt der Vorschriften nationalen Rechts und des Unionsrechts über die Aufgaben des Datenschutzbeauftragten.“ Eine gesetzliche Befugnis könnte sich aber auch aus einem Spezialgesetz wie die DSGVO selbst ergeben. Zwar gilt das RDG als allgemeines Gesetz zur Reglementierung von Rechtsdienstleistungen. Jedoch lässt sich aus § 1 Abs. 3 RDG herleiten, dass auch Regelungen aus anderen Gesetzen genügen, aus denen sich die Befugnis ergibt: „Regelungen in anderen Gesetzen über die Befugnis, Rechtsdienstleistungen zu erbringen, bleiben unberührt.“ Die DSGVO käme in diesem Sinne durchaus als ein „anderes Gesetz“ in Betracht. Konsequenzen für "Nichtanwälte" Aus Kostengründen setzen Verantwortliche häufig Personen als Datenschutzbeauftragte ein, die keine Rechtsanwälte sind – insbesondere auch, wenn interne Mitarbeiter die Rolle des Datenschutzbeauftragten übernehmen. Denn die Rolle des Datenschutzbeauftragten bezieht sich in der Regel nicht vornehmlich auf die Erteilung von Rechtsrat, sondern schließt insbesondere die Unterstützung sowie die Beratung zur technischen Umsetzung der rechtlichen Vorgaben ein. Die Anwendbarkeit bzw. die weite Auslegung des RDG würde dazu führen, dass nichtanwaltliche (externe) Datenschutzbeauftragte in datenschutzrechtlichen Fragen, wie z.B. bei der Erstellung einer Datenschutzerklärung nur die Befugnis bleibt, die Prüfung durch einen Rechtsanwalt vornehmen zu lassen. Mehr Rechtssicherheit wünschenswert Nach den geschilderten Auffassungen spricht vieles für eine Vereinbarkeit der Tätigkeit des Datenschutzbeauftragten mit dem RDG. Ausschlaggebend hierfür sind vor allem die Fachkenntnisse, die für die beratende Tätigkeit als Hauptleistung erforderlich sind und somit nach Maßgabe von § 5 Abs. 1 RDG als Nebenleistung erlaubt sind. Dennoch wäre eine genauere Beschreibung der Qualifikationen des Datenschutzbeauftragten über die bisher bestehenden in der DSGVO normierten Mindestanforderungen wünschenswert. Hier ist allerdings noch nicht absehbar, wann und in welcher Form eine solche Konkretisierung erfolgen wird. Derzeit steht im kommenden Jahr erstmal die Entscheidung an, ob der externe Datenschutzbeauftragte durch einen Rechtsanwalt als freiberufliche oder gewerbliche Tätigkeit einzuordnen ist. Beitrag hier kommentieren | 