Dürfen Mitarbeiter eines bestellten DSB datenschutzrechtlich beraten?

Wählt man eine strenge Auslegung nach dem Wortlaut des Gesetzes, dann dürfen Mitarbeiter eines bestellten DSB nicht beratend tätig werden.

Begründung:
Bei einem DSB kann es sich nach der gesetzgeberischen Konzeption nur um eine natürliche und keine juristische Person handeln. Der DSB wird gemäß Artikel 37 Abs. 1 DSGVO von dem Verantwortlichen benannt. Außerdem muss der DSB gemäß Artikel 37 Abs. 5 DSGVO eine hinreichende berufliche Qualifikation besitzen.
Aus der Zusammenschau der Normen geht recht eindeutig hervor, dass die Stellung des Datenschutzbeauftragten personengebunden ist.
Datenschutzbeauftragter im Sinne DSGVO ist folglich nur die Person, die von dem Verantwortlichen benannt wurde. Damit können die einem DSB nach Artikel 39 DSGVO auferlegten Aufgaben und damit einhergehenden Rechte auch nur von dieser Person ausgeübt werden. Rechtsberatung – also Einzelfallberatung (§ 2 Abs. 1 RDG) – durch andere (nicht bestellte) Personen (inklusive Mitarbeiter) ist damit aufgrund des RDG ausgeschlossen. Artikel 39 DSGVO gestattet als Ausnahmevorschrift gem. § 1 Abs. 3 RDG und § 3 RDG eine Rechtsberatung nur durch den benannten DSB.

Eine andere – weitere – Auffassung, vertritt die Art. 29 Datenschutzgruppe:

Im Rahmen eines Dienstleistungsvertrags beschäftigte DSB:

Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen oder Auftragsverarbeiters angehört. In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können). Ebenso wichtig ist es, dass jedes Mitglied durch die Bestimmungen der DS-GVO geschützt ist (keine ungerechtfertigte Kündigung von Dienstleistungsverträgen in Bezug auf Tätigkeiten als DSB und keine ungerechtfertigte Entlassung einer der Einrichtung angehörigen natürlichen Person, welche die Aufgaben eines DSB wahrnimmt). Zugleich lassen sich individuelle Qualifikationen und Stärken so miteinander kombinieren, dass Einzelpersonen durch die Zusammenarbeit im Team ihren Mandanten noch wirksamere Dienste leisten können.

Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.

Was gilt, wenn der bei der Aufsichtsbehörde gemeldete DSB durch Krankheit oder Urlaub nicht erreichbar ist?

Aus dem Gesetz heraus lässt sich weder ein Verbot, noch eine Verpflichtung zur Benennung eines Vertrertes herauslesen. Möglich wäre es z.B., einem externen DSB (vgl. Art. 36 Abs. 6 DSGVO) dienstvertraglich ein solches Recht einzuräumen.


Die sicherste Variante wäre die Benennung eines Vertreters des DSB durch den Verantwortlichen selbst. Wie aus dem Wortlaut von Artikel 37 Abs. 1 DSGVO hervorgeht, kann der Verantwortliche mehr als einen Datenschutzbeauftragen benennen (soweit dieser die fachlichen Voraussetzungen des Abs. 5 erfüllt). Dementsprechend halten wir es für möglich, dass ein Verantwortlicher einen Ersatzbeauftragen benennt, der bei fehlenden Erreichbarkeit des Haupt-DSB einspringen kann.

Dürfen andere „fachkundige“ Mitarbeiter dann datenschutzrechtliche Beratungsleistungen erbringen?

Ja, das halten wir mit der Artikel 29-Datenschutzgruppe für möglich. Allerdings gibt es noch keine Urteile dazu.

 Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.

Stand: 16.11.2022