Datenschutzbeauftragter: Wer eignet sich?
Im Hinblick auf die Frage, wer überhaupt als Datenschutzbeauftragter in Frage kommt, ist bislang keine ergiebige Rechtsprechung ersichtlich. Momentan setzen viele Unternehmen auf Datenschutzbeauftragte, die nicht Juristen sind. Dafür gibt es gute Gründe. Doch ist ihr Einsatz gesetzeskonform? Mit dieser Frage beschäftigt sich der folgende Beitrag.
Ab wann muss ein Datenschutzbeauftragter benannt werden?
Die Beantwortung dieser Frage ergibt sich aus Art. 37 DSGVO. Danach muss ein Datenschutzbeauftragter benannt werden, sofern die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Das Gleiche gilt, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Allerdings ist das deutsche BDSG strenger. Gemäß § 38 I BDSG ist die Benennung eines Datenschutzbeauftragten über die DSGVO-Bestimmungen hinaus verpflichtend, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.
Welche Qualifikationen benötigt der Datenschutzbeauftragte?
Voraussetzung der Benennung einer Person zum Datenschutzbeauftragten ist seine berufliche Qualifikation für diese Position (Art. 37 Abs. 5 DSGVO). Dabei ist insbesondere sein Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis von entscheidender Bedeutung.
Insoweit wird von einem Datenschutzbeauftragten ein breit gefächerter Kompetenzbereich erwartet, der nicht nur auf die Erbringung von Rechtsdienstleistungen beschränkt ist. Diesbezüglich muss er in solchen Feldern, in denen er eine geringere Qualifikation aufweist, auf fachkundige Dritte zurückgreifen.
Muss ein Datenschutzbeauftragter Jurist sein?
Diese Frage muss zunächst auf eine andere heruntergebrochen werden, nämlich: Ist das RDG auf die Tätigkeit eines Datenschutzbeauftragten anwendbar, und wenn ja, unterfällt die Tätigkeit gegebenenfalls einem Ausnahmetatbestand des RDG?
Anwendbarkeit des RDG
In diesem Sinne müssten sich die Tätigkeiten des Datenschutzbeauftragten als „Rechtsdienstleistung“ gemäß § 2 RDG darstellen. Der Begriff erfasst regelmäßig jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.
Im Hinblick auf die fremden Angelegenheiten stellt sich die Tätigkeit eines internen Datenschutzbeauftragten nicht als eine Rechtsdienstleistung heraus, da dieser vielmehr in eigener Angelegenheit tätig werden.
Weiterhin fraglich bleibt aber die Tätigkeit eines externen Datenschutzbeauftragten. Denn zumindest dieser wird in fremden Angelegenheiten tätig. Insofern muss verdeutlicht werden, was genau „eine rechtliche Prüfung des Einzelfalls“ darstellt. Darunter wird generell jede Subsumtion eines Sachverhalts unter die maßgeblichen rechtlichen Bestimmungen verstanden, die über eine bloß schematische Anwendung von Rechtsnormen hinausgeht.
Ob eben diese Prüfung des Einzelfalls vorliegt oder nicht, muss für jede Tätigkeit einzeln untersucht werden:
- Unterrichtung und Beratung (Art. 39 Abs. 1 Lit. a DSGVO)
Unter einer Unterrichtung ist die Erläuterung nationaler und europäischer datenschutzrechtlicher Vorgaben zu verstehen. Insoweit ist also die Kenntnis der einschlägigen Normen eine Voraussetzung, aber nicht ihre konkrete Anwendung auf einen Sachverhalt. Dementsprechend liegt für diese Tätigkeit keine Prüfung des Einzelfalls vor.
Die Beratung erfasst nicht lediglich die bloße Wiedergabe der Rechtsnormen, sondern vielmehr eine Unterstützung beim Lösen konkreter datenschutzrechtlicher Herausforderungen bei der Umsetzung und das Unterbreiten eigener Umsetzungsvorschläge. Im Ergebnis ist bei der Beratung also von einer Rechtsdienstleistung auszugehen.
- Überwachung der Einhaltung von Rechtsvorschriften (Art. 39 Abs. 1 Lit. b DSGVO)
Um die Einhaltung datenschutzrechtlicher Vorgaben wirksam zu kontrollieren und technisch-organisatorische Maßnahmen auf ihre Vereinbarkeit mit Rechtsvorschriften (insbesondere) der DSGVO zu prüfen, sind konkrete und detaillierte Rechtsanwendungen notwendig. Deshalb muss auch bei dieser Tätigkeit von einer Rechtsdienstleistung ausgegangen werden.
- Datenschutzfolgenabschätzung (Art. 39 Abs. 1 Lit. c DSGVO)
Nicht notwendigerweise aber vielfach wird die Beratung und Überwachung der ordnungsgemäßen Durchführung einer Datenschutzfolgeabschätzung voraussetzen, dass der Datenschutzbeauftragte die Einhaltung rechtlicher Vorgaben zu den konkreten Abläufen in Bezug setzt. Gerade aber um dieser Aufgabe nachzukommen wird grundsätzlich ebenfalls das Erbringen einer rechtlichen Prüfung des Einzelfalls notwendig sein und folglich auch das Erbringen von Rechtsdienstleistungen.
- Zusammenarbeit mit und Anlaufstelle für Aufsichtsbehörden (Art. 39 Abs. 1 Lit. d, e DSGVO)
Diese Tätigkeit dient lediglich dem Außenkontakt mit den Behörden und hat für sich genommen keinen rechtsberatenden Gehalt. Insofern folgt hieraus keine Erbringung einer Rechtsdienstleistung.
Es ist mithin festzuhalten, dass die Tätigkeiten eines Datenschutzbeauftragten zumindest teilweise „Rechtsdienstleistungen“ iSd. § 2 RDG darstellen. Fraglich ist deshalb, ob jene Tätigkeiten, die sich als Rechtsdienstleistung herausgestellt haben, etwa als eine Nebenleistung iSd. § 5 Abs. 1 RDG anzusehen sind und damit einem Ausnahmetatbestand unterfallen.
Tätigkeiten als Nebenleistung iSd. § 5 Abs. 1 RDG
Die Beantwortung dieser Frage hängt zwar von den konkreten Fakten des Einzelfalls ab. So sind etwa die betriebliche Struktur, die Komplexität der auftretenden Rechtsfragen und die vertragliche Aufgabenzuweisung entscheidend.
Allerdings kann man bei einer abstrakten Zugrundelegung der DSGVO von einer Rechtsdienstleistung als zulässige Nebenleistung ausgehen. Schließlich muss dem engen sachlichen Zusammenhang zwischen rechtsberatenden und nicht-rechtsberatenden Tätigkeiten Rechnung getragen werden. Denn ein Datenschutzbeauftragter ist (auch) für die rechtliche Bewertung von konkreten Sachverhalten verantwortlich. Darüber hinaus braucht er aber vor allem ausgeprägte IT- und betriebswirtschaftliche Kenntnisse, die mitunter sogar in den Vordergrund rücken.
Ergebnis
Die anfänglich gestellte Frage, ob der Einsatz von Nichtjuristen als Datenschutzbeauftragte gesetzeskonform ist, kann mithin positiv beantwortet werden.
Allerdings fehlt es bislang an einer eindeutigen Rechtsprechung. So äußerte sich bisher nur der BFH zu dem Thema und stellte dabei fest, dass ein externer Datenschutzbeauftragter „über umfangreiche juristische Kenntnisse zum Datenschutz verfügen (muss), was nicht nur vertiefte Kenntnisse der Regelungen des Bundes- und der jeweiligen Landesvorschriften voraussetzt, sondern auch Kenntnisse bezüglich der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht“.
Wie und ob sicher der EuGH mit dieser Frage beschäftigt bleibt also abzuwarten.