Dürfen Mitarbeiter eines bestellten DSB datenschutzrechtlich beraten?

Wählt man eine strenge Auslegung nach dem Wortlaut des Gesetzes, dann dürfen Mitarbeiter eines bestellten DSB nicht beratend tätig werden.

Begründung:
Bei einem DSB kann es sich nach der gesetzgeberischen Konzeption nur um eine natürliche und keine juristische Person handeln. Der DSB wird gemäß Artikel 37 Abs. 1 DSGVO von dem Verantwortlichen benannt. Außerdem muss der DSB gemäß Artikel 37 Abs. 5 DSGVO eine hinreichende berufliche Qualifikation besitzen.
Aus der Zusammenschau der Normen geht recht eindeutig hervor, dass die Stellung des Datenschutzbeauftragten personengebunden ist.
Datenschutzbeauftragter im Sinne DSGVO ist folglich nur die Person, die von dem Verantwortlichen benannt wurde. Damit können die einem DSB nach Artikel 39 DSGVO auferlegten Aufgaben und damit einhergehenden Rechte auch nur von dieser Person ausgeübt werden. Rechtsberatung – also Einzelfallberatung (§ 2 Abs. 1 RDG) – durch andere (nicht bestellte) Personen (inklusive Mitarbeiter) ist damit aufgrund des RDG ausgeschlossen. Artikel 39 DSGVO gestattet als Ausnahmevorschrift gem. § 1 Abs. 3 RDG und § 3 RDG eine Rechtsberatung nur durch den benannten DSB.

Eine andere – weitere – Auffassung, vertritt die Art. 29 Datenschutzgruppe:

Im Rahmen eines Dienstleistungsvertrags beschäftigte DSB:

Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen oder Auftragsverarbeiters angehört. In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können). Ebenso wichtig ist es, dass jedes Mitglied durch die Bestimmungen der DS-GVO geschützt ist (keine ungerechtfertigte Kündigung von Dienstleistungsverträgen in Bezug auf Tätigkeiten als DSB und keine ungerechtfertigte Entlassung einer der Einrichtung angehörigen natürlichen Person, welche die Aufgaben eines DSB wahrnimmt). Zugleich lassen sich individuelle Qualifikationen und Stärken so miteinander kombinieren, dass Einzelpersonen durch die Zusammenarbeit im Team ihren Mandanten noch wirksamere Dienste leisten können.

Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.

Was gilt, wenn der bei der Aufsichtsbehörde gemeldete DSB durch Krankheit oder Urlaub nicht erreichbar ist?

Aus dem Gesetz heraus lässt sich weder ein Verbot, noch eine Verpflichtung zur Benennung eines Vertrertes herauslesen. Möglich wäre es z.B., einem externen DSB (vgl. Art. 36 Abs. 6 DSGVO) dienstvertraglich ein solches Recht einzuräumen.


Die sicherste Variante wäre die Benennung eines Vertreters des DSB durch den Verantwortlichen selbst. Wie aus dem Wortlaut von Artikel 37 Abs. 1 DSGVO hervorgeht, kann der Verantwortliche mehr als einen Datenschutzbeauftragen benennen (soweit dieser die fachlichen Voraussetzungen des Abs. 5 erfüllt). Dementsprechend halten wir es für möglich, dass ein Verantwortlicher einen Ersatzbeauftragen benennt, der bei fehlenden Erreichbarkeit des Haupt-DSB einspringen kann.

Dürfen andere „fachkundige“ Mitarbeiter dann datenschutzrechtliche Beratungsleistungen erbringen?

Ja, das halten wir mit der Artikel 29-Datenschutzgruppe für möglich. Allerdings gibt es noch keine Urteile dazu.

 Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.

Stand: 16.11.2022

Wo sind die Grenzen der zulässigen Beratung bei Datenschutzbeauftragten?

In Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten geregelt:

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a)Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b)Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c)Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

d)Zusammenarbeit mit der Aufsichtsbehörde;

e)Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Neben Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten zudem weiter in Erwägungsgrund 97 sowie § 7 BDSG definiert.

Bei aktuellen Google Fonts Abmahnungen handelt es sich um relativ geringe Gegenstandswerte (geringe Schadensersatzforderungen von ca. 100,- – 200,- €). Für betroffene Unternehmen ist es daher ökonomisch nicht sinnvoll, hierfür einen Rechtsanwalt zu beauftragen, um die Forderung abzuwehren. Viele Unternehmen greifen für solche Thematiken daher gerne auf ihren externen Datenschutzbeauftragten zurück. Aber ist der DSB berechtigt, seine Kunden bei einer Google Fonts Abmahnung zu beraten?

Wo sind die Grenzen zulässiger Rechtsberatung von DSB?

Urteil des AGH NRW vom 12.03.2021 - 1 AGH 9/19: Verhältnis von Art. 38, 39 DSGVO und dem Rechtsdienstleistungsgesetz (RDG):

-Zum Aufgabenbereich gehört gem. Art. 39 DSGVO u.a. die Beratung des Verantwortlichen hinsichtlich seiner datenschutzrechtlichen Verpflichtungen sowie die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften. Analysiert der DSB einen Einzelfall rechtlich, handelt es sich um eine Rechtsdienstleistung nach
§ 2 Abs. 1 RDG (vgl. auch BGH, Urteil vom 22.06.2020 - AnwZ (Brfg) 23/19). Diese Dienstleistung ist entsprechend der überzeugenden Ausführungen des AGH NRW gem. § 1 Abs. 3 und § 3 RDG erlaubt.

-Dies bedeutet der DSB darf den Verantwortlichen in allen datenschutzrechtlichen Fragestellungen, auch wenn sie einen Einzelfall betreffen, beraten. Würde er nach einer Einzelfallprüfung zu dem Ergebnis kommen, dass der Verantwortliche gegen die DSGVO verstoßen hat, müsste er aufgrund seiner Überwachungsfunktion sogar den Verantwortlichen darauf hinweisen, dass dieser den Verstoß abstellen solle.

-Die Beratungserlaubnis umfasst damit auch Fälle, in denen vom Verantwortlichen Schadensersatz gefordert wird. Denn auch hier berät der DSB hinsichtlich der Pflichten des Verantwortlichen und überwacht die Einhaltung der DSGVO.

-Die Beratungserlaubnis und Überwachungspflicht findet dort ihre Grenzen, wo Gegenstand der Beratung nicht mehr Datenschutzrecht, sondern eine andere Materie ist. Der DSB darf damit, z.B. insbesondere nicht Stellung zu allgemein zivilrechtlichen, allgemein verwaltungsrechtlichen oder prozessrechtlichen Gesichtspunkten eines Einzelfalls nehmen. Hierbei sind Grenzfälle denkbar. Im Zweifelsfall sollte der DSB sich zu diesen Gesichtspunkten nicht äußern.

-Zu beachten ist: Die gesetzliche Erlaubnis der §§ 38, 39 DSGVO zur Erbringung einer „datenschutzrechtlichen“ Rechtsdienstleistung gilt nur für Datenschutzbeauftragte. Handelt es sich bei den Externen also nur um ein allgemeinen oder technischen Berater, ohne dass dieser die Stellung des DSB innehat, so ist es diesem nicht erlaubt, eine rechtliche Einzelfallanalyse durchzuführen.

Was soll man tun?

Ergebnis:

DSB kann bei den Google-Fonts-Abmahnungen eine rechtliche Würdigung hinsichtlich der Frage vornehmen, ob der Schadensersatzanspruch berechtigt geltend gemacht wird.

DSB kann keine prozessrechtliche Einschätzung zu einem potenziellen Gerichtsverfahren geben, da hier Fragen der ZPO betroffen sind.

Darf der externe DSB fachlich qualifizierte Mitarbeiter:innen mit „datenschutzrechtlicher Beratung“ beauftragen oder muss diese explizit immer durch den bestellten DSB erfolgen?

Bei fachlichen Fragestellungen, die Fachkenntnisse eines Datenschutzbeauftragten erfordern, kann eine Zuarbeit stattfinden, wie man das bei bestimmten Berufsträgern (Rechtsanwälten, Steuerberatern, Ärzte, etc.) kennt. Hier sind speziell ausgebildete Mitarbeiterinnen und Mitarbeiter mit Aufgaben betreut, die zur Erledigung der Rechtsberatungsleistungen notwendig sind. Eine Rechtsanwaltsfachangestellte wird aber keine Rechtsberatung leisten und eine Arzthelferin sollte keine ärztlichen Heilbehandlungen vornehmen.

Mit diesem  Begründungsmuster raten wir zu einer klaren Trennung der Arbeit von Mitarbeiter:innen eines Datenschutzbeauftragten: Zuarbeit und Unterstützungsleistungen sind möglich, eine eigene Beratung der Mandanten stellt wohl einen Verstoß gegen das Rechtsdienstleistungsgesetz dar.

Stand: 26.10.2022