Wo sind die Grenzen der zulässigen Beratung bei Datenschutzbeauftragten?

In Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten geregelt:

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a)Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b)Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c)Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

d)Zusammenarbeit mit der Aufsichtsbehörde;

e)Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Neben Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten zudem weiter in Erwägungsgrund 97 sowie § 7 BDSG definiert.

Bei aktuellen Google Fonts Abmahnungen handelt es sich um relativ geringe Gegenstandswerte (geringe Schadensersatzforderungen von ca. 100,- – 200,- €). Für betroffene Unternehmen ist es daher ökonomisch nicht sinnvoll, hierfür einen Rechtsanwalt zu beauftragen, um die Forderung abzuwehren. Viele Unternehmen greifen für solche Thematiken daher gerne auf ihren externen Datenschutzbeauftragten zurück. Aber ist der DSB berechtigt, seine Kunden bei einer Google Fonts Abmahnung zu beraten?

Wo sind die Grenzen zulässiger Rechtsberatung von DSB?

Urteil des AGH NRW vom 12.03.2021 - 1 AGH 9/19: Verhältnis von Art. 38, 39 DSGVO und dem Rechtsdienstleistungsgesetz (RDG):

-Zum Aufgabenbereich gehört gem. Art. 39 DSGVO u.a. die Beratung des Verantwortlichen hinsichtlich seiner datenschutzrechtlichen Verpflichtungen sowie die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften. Analysiert der DSB einen Einzelfall rechtlich, handelt es sich um eine Rechtsdienstleistung nach
§ 2 Abs. 1 RDG (vgl. auch BGH, Urteil vom 22.06.2020 - AnwZ (Brfg) 23/19). Diese Dienstleistung ist entsprechend der überzeugenden Ausführungen des AGH NRW gem. § 1 Abs. 3 und § 3 RDG erlaubt.

-Dies bedeutet der DSB darf den Verantwortlichen in allen datenschutzrechtlichen Fragestellungen, auch wenn sie einen Einzelfall betreffen, beraten. Würde er nach einer Einzelfallprüfung zu dem Ergebnis kommen, dass der Verantwortliche gegen die DSGVO verstoßen hat, müsste er aufgrund seiner Überwachungsfunktion sogar den Verantwortlichen darauf hinweisen, dass dieser den Verstoß abstellen solle.

-Die Beratungserlaubnis umfasst damit auch Fälle, in denen vom Verantwortlichen Schadensersatz gefordert wird. Denn auch hier berät der DSB hinsichtlich der Pflichten des Verantwortlichen und überwacht die Einhaltung der DSGVO.

-Die Beratungserlaubnis und Überwachungspflicht findet dort ihre Grenzen, wo Gegenstand der Beratung nicht mehr Datenschutzrecht, sondern eine andere Materie ist. Der DSB darf damit, z.B. insbesondere nicht Stellung zu allgemein zivilrechtlichen, allgemein verwaltungsrechtlichen oder prozessrechtlichen Gesichtspunkten eines Einzelfalls nehmen. Hierbei sind Grenzfälle denkbar. Im Zweifelsfall sollte der DSB sich zu diesen Gesichtspunkten nicht äußern.

-Zu beachten ist: Die gesetzliche Erlaubnis der §§ 38, 39 DSGVO zur Erbringung einer „datenschutzrechtlichen“ Rechtsdienstleistung gilt nur für Datenschutzbeauftragte. Handelt es sich bei den Externen also nur um ein allgemeinen oder technischen Berater, ohne dass dieser die Stellung des DSB innehat, so ist es diesem nicht erlaubt, eine rechtliche Einzelfallanalyse durchzuführen.

Was soll man tun?

Ergebnis:

DSB kann bei den Google-Fonts-Abmahnungen eine rechtliche Würdigung hinsichtlich der Frage vornehmen, ob der Schadensersatzanspruch berechtigt geltend gemacht wird.

DSB kann keine prozessrechtliche Einschätzung zu einem potenziellen Gerichtsverfahren geben, da hier Fragen der ZPO betroffen sind.

Darf der externe DSB fachlich qualifizierte Mitarbeiter:innen mit „datenschutzrechtlicher Beratung“ beauftragen oder muss diese explizit immer durch den bestellten DSB erfolgen?

Bei fachlichen Fragestellungen, die Fachkenntnisse eines Datenschutzbeauftragten erfordern, kann eine Zuarbeit stattfinden, wie man das bei bestimmten Berufsträgern (Rechtsanwälten, Steuerberatern, Ärzte, etc.) kennt. Hier sind speziell ausgebildete Mitarbeiterinnen und Mitarbeiter mit Aufgaben betreut, die zur Erledigung der Rechtsberatungsleistungen notwendig sind. Eine Rechtsanwaltsfachangestellte wird aber keine Rechtsberatung leisten und eine Arzthelferin sollte keine ärztlichen Heilbehandlungen vornehmen.

Mit diesem  Begründungsmuster raten wir zu einer klaren Trennung der Arbeit von Mitarbeiter:innen eines Datenschutzbeauftragten: Zuarbeit und Unterstützungsleistungen sind möglich, eine eigene Beratung der Mandanten stellt wohl einen Verstoß gegen das Rechtsdienstleistungsgesetz dar.

Stand: 26.10.2022