Der Datenschutzbeauftragte – ein Rechtsdienstleister?
10.07.2008
Bereits seit längerem fällt mir auf, dass als Datenschutzbeauftragte so genannte “IT-Consultants” oder “erfahrene EDVler” auftreten, die vor allem mit “langjähriger Erfahrung” punkten möchten. Ich finde das soweit OK, zumal die mir bekannten Seminare der Szene alle recht Praxisnah sind und ein praktischer Datenschützer ist ein echter Gewinn für jedes Unternehmen.
Dennoch handelt es sich um keine (ausgebildeten) Juristen, was sicherlich kein Weltuntergang ist – gäbe es nicht das Rechtsdienstleistungsgesetz (hier als PDF). Zu Zeiten des Rechtsberatungsgesetzes fand ich die Lage zu kritisch, um es überhaupt anzusprechen, jetzt aber (wo sich in der Tat Möglichkeiten bieten), möchte ich es öffentlich problematisieren: Wie sieht es denn aus, wenn ein (zumindest externer) Datenschutzbeauftragter bestellt wird?
Möchte man den §5 RDG anwenden? Ich sehe das Problem, dass die konkrete Rechtsdienstleistung bei einem aktiven DSB alles andere als nur “Nebenleistung” ist, vielmehr ist es m.E. Hauptleistung. Der §6 RDG wird regelmässig an der Unentgeltlichkeit scheitern, abgesehen davon, dass er zur konkreten Tätigkeit wieder eines Juristen bedarf (Absatz 2). Die §7-8 RDG werden im Regelfall ebenfalls nicht vorliegen, so dass nur die Registrierung nach §12 RDG i.V.m. der Verordnung zum RDG (PDF) verbleibt.
Auf die Schnelle – der Artikel ist jetzt quasi mit der “heissen Nadel” gestrickt – würde ich sagen, man sollte entweder Rechtsanwalt sein, oder sich zumindest registrieren lassen. Wie sieht das die Leserschaft? Bitte nicht politisch motiviert für eine weite Auslegung des §5 RDG plädieren, sondern fundiert argumentieren.
Einige Argumente vorab: Das Argument für eine restriktive Auslegung wäre etwa, dass Datenschutz mehr als nur die technische Analyse ist und sicherlich auch viel mehr, als das reine Abarbeiten von Handbüchern oder Lesen von Kommentaren. Andererseits wäre vielen Juristen die technische Seite schon wieder zu viel und ein bezahlbarer Datenschutz, geschweige denn eine FIrmeninterne Lösung, wäre gar nicht möglich, was nicht im Sinne des §4f BDSG ist, der ja gerade eigene Merkmale mit “Sachkunde” und “Zuverlässigkeit” setzt. Das RDG nutzt ja dabei nicht nur ebenfalls diese Kriterien, sondern geht auf den Datenschutzbeauftragten gar nicht ein, was für eine losgelöste Betrachtung sprechen könnte. Oder will man die Tätigkeit des Datenschutzbeauftragten gar nicht als Rechtsdienstleistung inordnen und so das RDG ganz aushebeln? (Fände ich kritisch, da die Tätigkeit für mich eine klare Rechtsdienstleistung ist – man denke an die Anfragen Betroffener und die konkrete Anwendung von Rechtsnomen, die im Einzelfall erfolgt).
Ein Mensch
Vorweg, wie hier jeder weiss, bin ich kein Jurist und halte Gesetze eher für eine Richtschnur und nicht die Bibel. (Also Gehirn eingeschaltet lassen und schlechte Gesetze ggf. dem gedachten Sinn nach vollziehen und bald nachbessern.)
Ein idealer Datenschutzbeauftragter hat aus meiner Sicht vermutlich eine doppelte Staatsbürgerschaft in Informatik und Juristerei. In der Praxis wird das aber in der Regel nicht zu erreichen bzw. zu bezahlen sein. Ich würde deshalb eine formale Ausbildung in einem Bereich und hinreichende praktische Erfahrung in dem anderen Bereich gelten lassen. Auch eine Zusammenarbeit eines Informatikers mit einem externen Juristen oder umgekehert scheint mir von der Sache her ausreichend. Die Beurteilung könnte man einer Aufsichtsbehörde zuordnen, die vielleicht beim Landesdatenschutzbeauftragten liegt.
Zur Erfüllung der aktuellen Formalien wird man wohl auch den §5 gelegentlich weit interpretieren müssen. Eine Registrierung nach §12 scheidet für mich wegen der aufgezählten Bereiche des §10 Abs. 1, die Datenschutz wohl nicht einschliessen und auf die sich der §12 meiner Interpretation nach bezieht, leider aus.
Malte S.
Vorweg: Eine Registrierung nach § 12 RDG setzt doch schon voraus, dass eine regsitrierungsfähige Rechtsdienstleistung ausgeübt wird. Das sind mE nur die § 10 Abs. 1 Nr. 1-3 sowie deren Teilbereiche nach der Verordnung zum RDG. Damit käme aber auch eine Registrierung nicht in Betracht.
Ob es sich um eine Nebenleistung i.S.d. § 5 RDG handelt hängt wohl maßgeblich davon ab, was genau zum Aufgabengebiet eines DS gehört.
Soweit er nur bestehende Regeln und Vorschriften zu überwachen hat (§ 4g Abs. 1 Nr. 1 BDSG) dürfte es sich tatsächlich bestenfalls um eine Nebentätigkeit handeln. Da aber nach § 4g Abs. 1 Nr. 2 BDSG auch die Einweisung der Mitarbeiter in die Rechtslage und deren konkrete Anwendung einzuweisen. Auch das könnte mE noch Nebenleistung sein, wenn die Überwachung bereits bestehender Regeln den Hauptanteil ausmacht.
Problematisch dürfte es aber spätestens dann werden, wenn der DS maßgeblich an der Entwicklung und Ausarbeitung des firmeneigenen Datenschutzkonzepts und der Regeln beteiligt ist oder diese gar hauptsächlich durchführt.
Aus einem anderen Gesichtspunkt könnte man schon die Überwachung als Hauptleistung i.S.d. § 5 RDG ansehen, wenn der DS nämlich tatsächlich bei datenschutzrechtlichen Aspekten jeweils nicht nur die Vereinbarkeit mit (nicht von ihm) vorher erstellten Datenschutzregeln prüfen soll, sondern die Vereinbarkeit mit dem geltenden Recht zu überwachen hat.
Als Ausweg könnte man in den §§ 4f, 4g BDSG eine spezialgesetzliche Erlaubnis für diese Rechtsdienstleistung sehen. Der DS im Sinne des BDSG muss zwangsläufig Rechtsdienstleistungen - egal ob Neben- oder Hauptleistung - erbringen. Das dürfte auch dem Gesetzgeber bewußt gewesen sein. Er hat daher die Anforderung an den DS schon im BDSG formuliert und dabei nicht vorausgesetzt, dass der DS ein Jurist ist.
so, das waren mal meine Gedanken dazu.
Malte S.
Nachtrag:
Soweit der DS als Angestellter in dem Betrieb tätig ist, erbringt er ja schon keine Leistungen in fremden Angelegenheiten (leider fällt mir die Quelle nicht mehr dazu ein).
Das hilft natürlich bei einem DS nicht, der mehrere Unternehmen betreut und selbstständig ist. Aber schon mal n Anfang.
Andreas Achtziger
Es ist ein wenig wie beim Versuch, dem Monopol der Schornsteinfeger beizukommen. Auch dort wurde gerne argumentiert, dass nur der fachlich und rechtlich versierte Schornsteinfegermeister gemäß FeuVo etc. korrekt seine Dienstleistungen ausüben kann.
Auch bei der Modifikation der betreffenden Gesetzesgrundlagen zur Ausübung von Rechtsdienstleistungen kann ich ein Augen zwinkerndes Grinsen nicht unterdrücken.
Generell ist es doch auch die Frage von Vorbildung und Weiterbildung, ob ein IT Berater die betreffende Leistung erbringen kann. Und wenn dieser versiert genug ist, wird er die Leistung auch nicht für 50 € nebenbei ausführen, wie so manche bereits heute. Schließlich haftet der externe DSB auch im Extremfall für seine Analysen.
"Schließlich haftet der externe DSB auch im Extremfall für seine Analysen."
Nicht im Extremfall - er haftet immer.
Malte S.
Wie sieht denn eigentlich Deine Argumentation aus? Hatte ja auf eine Stellungnahme gehofft - oder kommt die etwa in Form eines Aufsatzes?
Ehrliche Antwort: Ich weiß es noch nicht. Meine Tendenz ist dahin gehend, dass die Regelungen im BDSG Sonderregelungen sind, die jedenfalls dann greifen, wenn man bestellter DSB ist: Für seinen Auftraggeber kann man dann in engen Grenzen tätig sein, aber eben nur für den und solange die beratende Tätigkeit im Einzelfall schwerpunktmäßig im Bereich Datenschutz angesiedelt ist. Zu überlegen ist auch, ob (analog zu den neuen Regelungen des RDG) je nach Umfang der Tätigkeit neben (mehreren) nicht-juristischen DSB mindestens ein Jurist vorhanden sein muss, der alles gegenprüfen muss.
Sv
Ich spiele den Ball zurück ;) und frage Sie, wie Sie zu § 1 (3) ("Regelungen in anderen Gesetzen über die Befugnis, Rechtsdienstleistungen zu erbringen, bleiben unberührt." > DSGVO, BDSG und § 3 "Die selbständige Erbringung außergerichtlicher Rechtsdienstleistungen ist nur in dem Umfang zulässig, in dem sie durch dieses Gesetz oder durch oder aufgrund anderer Gesetze erlaubt wird." in diesem Kontext stehen?