Warum Datenschutzbeauftragte Rechtsberatung anbieten dürfen
Spätestens mit dem Wirksamwerden der DSGVO im Mai 2018 erweiterte sich das Compliance Management vieler Unternehmen und öffentlicher Stellen um den Themenbereich des Datenschutzes. Daraufhin nahm der Beratungsbedarf bei datenschutzrechtlichen Fragenstellungen, um Datenschutzverstöße und Bußgelder zu vermeiden, erheblich zu. Hinzu kam die Pflicht zur Bestellung eines internen oder externen Datenschutzbeauftragten, wenn die Voraussetzungen des Art. 37 DSGVO vorliegen. Art. 37 Abs. 6 DSGVO lässt dabei die Wahlmöglichkeit zwischen einem internen oder externen Datenschutzbeauftragten. Inhaltlich unterschiedliche Anforderungen an die Tätigkeit bestehen nicht, denn das Aufgabenfeld ist identisch. So erfordert die Tätigkeit von Datenschutzbeauftragten neben betriebswirtschaftlichen Grundkenntnissen, pädagogische Fähigkeiten, umfangreichen technischen Kenntnissen aus dem Bereich der Informationstechnologie, auch umfangreiche juristische Kenntnissen zum Datenschutzrecht. Doch viele externe Datenschutzbeauftragte sind in der Regel keine Anwält:innen. Daher besteht immer noch Unsicherheit, ob und inwieweit alle Datenschutzbeauftragten Rechtsberatung leisten dürfen. Und ob dies in einem Konflikt mit dem Rechtsdienstleistungsgesetz (RDG) steht und sogar einen Verstoß darstellt.
Ein völlig eigenständiger Beruf und die notwendige Qualifikation
Unumstritten ist, dass die Tätigkeit als externe Datenschutzbeauftragte auch durch Nicht- Anwält:innen ausgeübt werden kann. So beschreibt der Bundesfinanzgerichtshof die Tätigkeit von Datenschutzbeauftragten als eigenständigen Beruf, welcher von dem des Rechtsanwalts abzugrenzen ist. Dafür spricht, dass gem. Art. 37 Abs. 5 DSGVO die Ausübung und Benennung von Datenschutzbeauftragten nicht den Abschluss einer bestimmten akademischen Ausbildung voraussetzt. Vielmehr erfordert die Tätigkeit des Datenschutzbeauftragten Fachwissen im Gebiet des Datenschutzrechts und der Datenschutzpraxis, sowie die Fähigkeit die Aufgaben aus Art. 39 DSGVO zu erfüllen. Weitere Mindestanforderung sieht die DSGVO nicht vor. Zugleich kann die DSGVO nicht so verstanden werden, dass Mitgliedstaaten höhere Voraussetzungen für die Qualifikation von Datenschutzbeauftragten festlegen dürfen. Hingegen gilt, dass die DSGVO als EU- Verordnung Vorrang vor nationalem Recht hat. Nationales Recht ist so auszulegen und anzuwenden ist, dass es Unionsrecht nicht in seiner Wirksamkeit einschränkt.
Kein Verstoß gegen das RDG
Auch ist inzwischen anerkannt, dass die Rechtsberatung im Datenschutz durch externe Datenschutzbeauftragte keinen Verstoß gegen das Rechtsdienstleistungsgesetz (RDG) darstellt. Das RDG bezweckt die Rechtssuchenden, den Rechtsverkehr und die Rechtsordnung vor unqualifizierter Rechtsdienstleistung zu schützen. Daher ist für das Erbringen einer Rechtsdienstleistung eine Befugnis erforderlich. In § 2 Abs. 1 RDG heißt es: „Rechtsdienstleistung ist jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.“ Mit Blick auf Art. 39 Abs. 1 a) – e) DSGVO kann wohl angenommen werden, dass eine Rechtsdienstleistung im Sinne des RDG vorliegt. Dort werden explizit wesentliche Aufgaben der Tätigkeit des externen Datenschutzbeauftragten benannt. Dazu zählen unter anderem,
- die Unterrichtung und Rechtsberatung von Verantwortlichen im Bereich des Datenschutzrechts und der Datenschutzpraxis, sowie
- die Überwachung der Einhaltung von datenschutzrechtlichen Rechtsvorschriften.
In der Praxis sind das zum Beispiel datenschutzrechtliche Stellungnahmen zu verschiedenen Fragestellungen, wie die Prüfung von Auftragsverarbeitungsverträgen, oder zur datenschutzkonformen Umsetzung der 3G- Regel am Arbeitsplatz. Um diesen Aufgaben und Pflichten vollumfänglich gerecht zu werden ist es sogar häufig notwendig eine rechtliche Prüfung im Einzelfall vorzunehmen, da nur so individuelle Gegebenheiten und Prozesse der jeweiligen Unternehmen aus verschiedenen Branchen Berücksichtigung finden können.
ShapeMinds Art. 39 DSGVO als Erlaubnissatz?
Doch allein das Vorliegen einer Rechtsdienstleistung begründet nicht deren Zulässigkeit, vielmehr muss diese entweder durch das RDG oder ein anderes Gesetz erlaubt sein. Der Anwaltsgerichtshof NRW befürwortet eine erlaubte Rechtsdienstleistung und bezieht sich dabei auf §§ 1 und 3 RDG. Sinngemäß heißt es dort, dass eine Rechtsdienstleistung nicht rechtswidrig ist, wenn es ein anderes Erlaubnisgesetz außerhalb des RDG gibt. Die Erlaubnis zur rechtsberatenden Tätigkeit im Umfang des Art. 39 DSGVO ergibt sich aus Art. 39 DSGVO selbst. Insofern wird in der Rechtsprechung vertreten, dass eine zulässige Rechtsberatung nach anderen Gesetzen in Betracht kommt, wenn spezielle Rechtsdienstleistungsbefugnisse in diesen Gesetzen hinreichend konkret geregelt sind (BGH, Urt. v. 11.02.2021, I ZR 227/19). Diese Anforderung ist mit den in Art. 39 DSGVO explizit genannten Aufgaben für die Tätigkeit des Datenschutzbeauftragten, erfüllt. Dafür spricht auch das Urteil des Bundesgerichtshofs (BGH, AnwZ (Brfg) 20/18) welches den Kern und den Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten grundsätzlich in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung der Einhaltung dieser Vorgaben, sieht. Dies ergebe sich laut BGH bereits aus den nationalen Vorschriften und des Unionsrechts über die Aufgaben des Datenschutzbeauftragten.
Rechtsberatung zum Datenschutzrecht als zulässige Nebenleistung
Wenn man Art. 39 DSGVO nicht als ausreichenden Erlaubnissatz ansieht, könnten sich Datenschutzbeauftragte auf § 5 Abs. 1 RDG berufen. Demnach ist eine Rechtsdienstleistung erlaubt, „wenn diese zur Ausübung der Haupttätigkeit erforderlich ist.“ Und die Haupttätigkeit erfordert die Erfüllung der gesetzlichen Vorgaben aus Art. 39 DSGVO. Dazu zählt auch die datenschutzrechtliche Beratung. Das heißt, dass diese zumindest eine erlaubte Nebenleistung darstellt.
Keine Rechtsberatung über die DSGVO hinaus
Würde eine Rechtsprüfung über die DSGVO hinausgehen und es werden sachfremde Fragen gestellt, sollte Datenschutzbeauftragte diese unbeantwortet lassen. Denn ist es nicht die Aufgabe von Datenschutzbeauftragten arbeits- oder wettbewerbsrechtliche Fragestellungen zu bearbeiten oder Verträge zu erstellen. Der Datenschutzbeauftragte darf bei Verträgen nur hinsichtlich der datenschutzrechtlichen Inhalte beraten, nicht bezüglich der sonstigen Klauseln.
Fazit
Somit kann festgehalten werden, dass externe Datenschutzbeauftragte, welche nicht Anwält:in sind, im Rahmen ihrer Tätigkeit Rechtsdienstleistungen erbringen dürfen. Oder dies vielmehr sogar muss, um den gesetzlichen Pflichten aus Art. 37 bis 39 DSGVO nachzukommen. Natürlich unter Beachtung der bestehenden Grenzen. Zudem ist die Tätigkeit von Datenschutzbeauftragten ein völlig eigenständiger Beruf, der keine andere als die von Art. 39 DSGVO vorgegebene Qualifikation erfordert. Diese umfasst insbesondere Expertise im Zusammenspiel von technischen und organisatorischen Maßnahmen, betriebswirtschaftlichen Vorgängen sowohl als auch rechtliche Fragestellungen im Datenschutz.
Gerne stellen wir Ihnen unsere Expertise zur Verfügung.