Der externe Datenschutzbeauftragte als Rechtsdienstleister – Rechtliche Grenzen der Beratung

In der Praxis wird der externe Datenschutzbeauftragte, je nach Schwerunkt der Tätigkeit, in einem nicht unerheblichen Umfang mit rechtlichen Fragen seiner Auftraggeber konfrontiert und um Stellungnahmen und Rat gebeten. Für die außergerichtliche Rechtsberatung besteht nach deutschem Recht ein Verbot, es sei denn, dass ein Gesetz Rechtsdienstleistungen erlaubt. So enthält das Rechtsdienstleistungsgesetz (RDG) einen weitreichenden Erlaubnisvorbehalt (§§ 2, 3 und 5 RDG).  Dieser führt im Ergebnis dazu, dass außergerichtliche Rechtsdienstleistungen in der Regel der Anwaltschaft vorbehalten sind.

Das Problem

Fußend auf einer weiten Auslegung des RDG wird von einigen Autoren die Ansicht vertreten, dass die Prüfung datenschutzrechtlicher Fragen im Auftrag eines Kunden auch mit Geltung der Datenschutzgrundverordnung (DSGVO) ausschließlich der Anwaltschaft vorbehalten bleibe. (ausführlich Bergt in Kühling/Buchner, 2018, DS-GVO BDSG Art. 37 Rn. 59)

Rechtliche Beratung durch den nichtanwaltlichen Dienstleister habe damit zudem im Streitfall zwischen Dienstleiter und seinem Kunden schwerwiegende haftungsrechtliche Folgen.  Es drohten Verlust des Versicherungsschutzes sowie Rückzahlungsansprüche der geleisteten Honorarzahlungen auf Grund der Nichtigkeit des Vertrags  (§ 134 BGB). Des Weiteren wird angeführt, dass aus Gründen des Verbraucherschutzes und zur Qualitätssicherung bei der Rechtsberatung in datenschutzrechtlichen Fragen angesichts hoher Bußgelder bei Verstößen gegen die DSGVO ein „Anwaltszwang“  zu rechtfertigen sei.

Konsequenzen für den externen Datenschutzbeauftragten

Für nichtanwaltliche externe Datenschutzbeauftragte folgt aus der Argumentation zur Anwendbarkeit und einer weiten Auslegung der Regelungen des RDG, dass der Datenschutzbeauftragte seinen Kunden in datenschutzrechtlichen Fragen, wie zum Beispiel bei der Erstellung einer Datenschutzerklärung zur Website, nur bleibt, seinen Kunden anzuraten, die Prüfung der Rechtskonformität durch einen Anwalt vornehmen zu lassen.  

Denn nach der Rechtsprechung sind auch einfache Tätigkeiten, wie die Anpassung von Vertragsmustern an die Situation des Kunden außergerichtliche Rechtsdienstleistungen:

„Die rechtliche Prüfung des Einzelfalls wird aber nicht dadurch überflüssig, dass ein Musterschreiben für einen konkreten Fall angepasst wird.“ BGH, Urteil v. 12. September 2016, Az. I ZR 107/14


Datenschutzrechtliche Beratung als Rechtsdienstleistung

Die nach nationalem Recht konstituierte Erlaubnispflicht der Rechtsberatung besteht dann, wenn datenschutzrechtliche Beratung durch den externen Datenschutzbeauftragten eine Rechtsdienstleistung darstellt. Nach § 2 Abs. 1 RDG ist Rechtsdienstleistung „jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.“

Fremde Angelegenheiten im Sinne des § 2 Abs. 1 RDG

Die Legitimation des Datenschutzbeauftragten als externer Dienstleister ergibt sich aus Art. 37 Abs. 6 DSGVO und aus § 5 Abs. 1 Nr. 5 BDSG. Danach ist die Aufgabenwahrnehmung sowohl im Beschäftigtenverhältnis als Angestellter wie auch als externe Leistung auf der Grundlage eines Dienstvertrages möglich. Im Gegensatz zum angestellten Datenschutzbeauftragten ist der externe Datenschutzbeauftragte bei der Beratung des Verantwortlichen in fremden Angelegenheiten, nämlich in denen seines Kunden, tätig.

Rechtsdienstleistung im Sinne des § 2 Abs. 1 RDG

Für eine Einordnung bestimmter Tätigkeiten als Rechtsdienstleistung im Einzelfall des externen Datenschutzbeauftragten spricht der Gesetzestext der DSGVO (Art. 39 Abs. 1 DSGVO sowie die Formulierungen des § 7 Abs. 1 BDSG neu):

„Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten“. Hervorhebungen durch den Autor.

Unschwer lässt sich erkennen, dass der externe Datenschutzbeauftragte mit Beantwortungen und Stellungnahmen zu rechtlichen Fragestellungen auch rechtliche Prüfungen (Subsumtionen) vornehmen muss. Diese erfolgen unter der besonderen Berücksichtigung der Situationen des Auftraggebers und werden daher im Einzelfall getätigt.

Im Zwischenergebnis ist somit festzuhalten, dass die Tätigkeit des externen Datenschutzbeauftragten zur datenschutzrechtlichen Beratung unter Anwendung des deutschen RDG erlaubnispflichtig ist. Es ist damit nach einer Rechtsgrundlage zur Erlaubnis für datenschutzrechtliche Beratungsleistungen des externen Datenschutzbeauftragten zu fragen.

Erlaubnis zur Rechtsberatung als Nebenleistung?

Das Rechtsdienstleistungsgesetz (RDG) erlaubt Rechtsdienstleistungen, wenn diese zur Ausübung der Haupttätigkeit erforderlich sind (§ 5 Abs. 1 RDG). Es erscheint zunächst praktikabel, die Legitimation datenschutzrechtlicher Beratungen des externen Datenschutzbeauftragten hier zu suchen. (zustimmend und ausführlich Kremer/Sander in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, S. 102ff)

Dieser Lösungsweg „Beratung als Annexaufgabe“ ist angesichts der dem Datenschutzbeauftragten zugewiesenen Aufgaben sowie auch seiner täglichen Anforderungen in der Berufspraxis zweifelhaft. So sieht der Bundesfinanzhof (BFH, Urteil v. 5. Juni 2003, Az. IV R 34/01) den prägenden Umfang des Aufgabengebietes des Datenschutzbeauftragten in der juristischen Beratung in Fragen des Datenschutzrechtes. Nicht anders urteilt der Bundesgerichtshof mit jüngerer Rechtsprechung:

„Denn der Kern und der Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten liegen, wie der Anwaltsgerichtshof richtig gesehen hat, grundsätzlich in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung der Einhaltung dieser Vorgaben. Dies ergibt sich bereits aus dem Inhalt der Vorschriften nationalen Rechts und des Unionsrechts über die Aufgaben des Datenschutzbeauftragten.“ BGH, Urteil v. 15. Oktober 2018 , Az. AnwZ (Brfg) 20/18

Spezialgesetzliche Erlaubnisse – DSGVO und BDSG

Das Rechtsdienstleistungsgesetz (RDG) kann als allgemeines Gesetz zur Reglementierung von Rechtsdienstleistungen nach § 1 Abs. 3 RDG durch spezielle gesetzliche Regelungen verdrängt werden, wenn diese für den bestimmten Bereich eine Befugnis zur Rechtsberatung herstellen. „Regelungen in anderen Gesetzen über die Befugnis, Rechtsdienstleistungen zu erbringen, bleiben unberührt.“ Damit könnte die Erlaubnis zur entgeltlichen Rechtsberatung im Rahmen des Dienstvertrages aus den gesetzlichen Regelungen zum Datenschutzbeauftragten herzuleiten sein.

Gesetze im Sinne des § 1 Abs. 3 RDG sind in erster Linie gesetzliche Berufsordnungen, wie zum Beispiel die Bundesrechtsanwaltsordnung (BRAO). Für den externen Datenschutzbeauftragten existiert keine gesetzliche Berufsordnung, die Rechtsberatung erlaubt und regelt. Dennoch können die DSGVO sowie das BDSG „andere Gesetze“ im Sinne des § 1 Abs. 3 RDG sein. Dem Wortlaut nach genügen Regelungen, aus denen sich die Befugnis ergibt. Eine Herleitung der grundsätzlichen Befugnis kann damit auch aus Gesetzen erfolgen, deren Inhalt nicht primär der Berufsordnung dient. Im Ergebnis ist es damit auch richtig, wenn „die Beratungsbefugnisse nach Art. 38, 39 DSGVO als Erlaubnisnormen“ angesehen werden können. ( vgl. Frank R. Remmertz in BRAK Mitteilungen, 2018, 231 ff „Aktuelle Entwicklungen im RDG“)

Im Zwischenergebnis ist festzuhalten, dass aus den Regelungen zum Datenschutzbeauftragten der DSGVO und des BDSG die grundsätzliche Erlaubnis zur Rechtsberatung im Rahmen eines Dienstvertrages zur gesetzlichen Aufgabenerfüllung des externen Datenschutzbeauftragten herzuleiten ist. Unerheblich ist dabei, ob es sich bei der rechtlichen Beratung um eine Nebenleistung oder um eine Schwerpunkttätigkeit handelt.

Nationale Regelung zur Reichweite der Erlaubnis

Spezialgesetzliche Erlaubnisse finden wiederum ihre Grenzen in § 3 RDG:

„Die selbständige Erbringung außergerichtlicher Rechtsdienstleistungen ist nur in dem Umfang zulässig, in dem sie durch dieses Gesetz oder durch oder aufgrund anderer Gesetze erlaubt wird.“

Damit stellt sich die Frage, in welchem Umfang die DSGVO und das BDSG Rechtsberatung durch den externen Datenschutzbeauftragten erlauben.

Die DSGVO und das BDSG begrenzen Rechtsdienstleistungen des Datenschutzbeauftragten auf rechtliche Fragen zur Anwendung und Einhaltung der Datenschutzgesetze. Gegenstand und Thema der Beratungen können nur Fragen sein, die unmittelbar im Aufgabenbereich gemäß Art. 39 DSGVO des Datenschutzbeauftragten liegen. So ist auch eindeutig, dass beispielsweise der Datenschutzbeauftragte Mitarbeiterfotos seines Kunden auf Websites hinsichtlich der Einhaltung der DSGVO und des BDSG prüfen darf, nicht aber losgelöst davon die Frage, ob die urheberrechtlichen Nutzungsvereinbarungen rechtswirksam sind. Überschreitet der Datenschutzbeauftragte seine Befugnisse zur Rechtsberatung, verstößt er damit gegen das nationale Recht zur Reglementierung von Rechtsdienstleistungen entsprechend des RDG.

Welchen Personen erlauben die DSGVO und das BDSG Rechtsdienstleistungen?

Die DSGVO enthält wenig aussagekräftige Beschreibungen der Qualifikation des Datenschutzbeauftragten, die er zur Erfüllung seiner Aufgaben vorweisen muss.

Art. 37 Abs. 5 DSGVO: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Der deutsche Gesetzgeber hat die Formulierungen der DSGVO in das BDSG übernommen und bis auf das Erfordernis der Kenntnis von Verwaltungsvorschriften keine weiteren Anforderungen an die Qualifikation des (externen) Datenschutzbeauftragten statuiert.

Abstufungen der Erlaubnis über die Qualifikationen zum Schutz personenbezogener Daten

Mit der Formulierung des Erwägungsgrundes 97 zu Art. 37 DSGVO kann argumentiert werden, dass die Erlaubnis der Tätigkeit nicht zwangsläufig an Hochschulabschlüsse der Rechtswissenschaften und technischer Studiengänge gebunden ist:

„Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.“

Aus dem Erwägungsgrund 97 zur DSGVO lässt sich aber auch erkennen, dass Unterschiede zum erforderlichen Niveau des Fachwissens gemacht werden. An dieser Stelle ist auch zu diskutieren, ob die deutsche Praxis mit sogenannten Zertifikaten zum Nachweis der Fachkunde als Datenschutzbeauftragter den Anforderungen an das Niveau zum Fachwissen entspricht und der im Sinne der DSGVO Verantwortliche seinen Pflichten aus der DSGVO ausreichend nachkommt, wenn er Rechtsberatungen durch juristisch wenig sachkundige Datenschutzbeauftragte „einkauft“.

Aus dem Blickwinkel des Betroffenenschutzes  und des Verantwortlichen als Verbraucher ist auch die Argumentation zu verstehen, dass bei Beratungen „in der Tiefe“ die Befugnis des nicht zum Anwalt qualifizierten externen Datenschutzbeauftragten überschritten wird. (vgl. Frank R. Remmertz in BRAK Mitteilungen, 2018, 231 ff „Aktuelle Entwicklungen im RDG“. Der Autor gesteht dem nichtanwaltlichen externen DSB begrenzt auf kleine Unternehmen mit einfachen Fragestellungen eine Erlaubnis zur Rechtsberatung aus der DSGVO zu.)

Es lässt sich auch aus Art. 37 Abs. 5 DSGVO heraus begründen, dass bei schwierigen rechtlichen Sachverhalten hohes juristisches Fachwissen Voraussetzung zum Schutz der personenbezogenen Daten Betroffener ist. Aus dem Gedanken der Abstufung der Qualifikation entsprechend des Erwägungsgrundes 97 zur DSGVO nach Schwierigkeit und Umfang der Vorgänge kann auch geschlossen werden, dass ein externer Datenschutzbeauftragter bei nicht ausreichender Qualifikation seine aus der DSGVO bestehenden Befugnisse überschreitet. In diesem Falle wäre seine Tätigkeit nicht mehr durch die DSGVO als Spezialgesetz gedeckt. Berät der externe Datenschutzbeauftragte ohne ausreichende Rechtskenntnisse, kommt damit auch ein Verstoß gegen das Rechtsdienstleistungsgesetz in Betracht.  

Anforderungen an die berufliche Qualifikation und der „Anwaltszwang“

Mit dem der DSGVO nicht fremden Grundgedanken der Differenzierung, dass schwierige Sachverhalte eine höhere berufliche Qualifikation des Datenschutzbeauftragten erfordern als einfache Vorgänge, stellt sich die Frage, worin entsprechend der DSGVO die Qualifikation des rechtsberatenden externen Datenschutzbeauftragten bei komplexen Rechtsfragen bestehen muss.

Die nach der Ansicht einiger Autoren sowie auch eines Kammergerichtes geforderte Qualifikation zur Anwaltszulassung (Volljurist) des externen Datenschutzbeauftragten im Falle der Rechtsberatung zu komplexen Sachverhalten erscheint unter dem Gesichtspunkt Verbraucherschutz sowie auch mit den Grundsätzen zur Einschränkbarkeit der Berufsfreiheit (Art. 12 GG) unverhältnismäßig: Der externe Datenschutzbeauftragte ist bei der Beratung in datenschutzrechtlichen Fragen außergerichtlicher Rechtsdienstleister, der nicht zwingend das akademisches Wissen und die berufliche Praxis (Referendariat) des 2. Staatsexamens benötigt. Denn in prozessualen Fragen, die über den Umgang mit Aufsichtsbehörden hinausgehen, darf der externe Datenschutzbeauftragte eben nicht mehr tätig sein (siehe oben „Reichweite der Erlaubnis“). Es ist damit auch nicht zu rechtfertigen, dass nicht einmal ein Diplom-Jurist die rechtsberatenden Funktionen des externen Datenschutzbeauftragten ausüben darf.

Anwendungsvorrang der DSGVO

Fraglich ist auch, ob der nationale Gesetzgeber die Regelungskompetenz der subjektiven Berufszugangsvoraussetzungen zur inzwischen als eigenständigen Beruf anerkannten Tätigkeit des Datenschutzbeauftragten besitzt.  

Die unbestimmte Formulierung der erforderlichen Qualifikation des Datenschutzbeauftragten im Gesetzestext lässt vermuten, dass damit nur Mindestanforderungen beschrieben sind und den einzelnen Staaten eine Regelungskompetenz zur Berufszulassung zukommt.  Dem ist nicht zuzustimmen. Denn anders als Art. 37 Abs. 4 DSGVO „Besondere Pflicht zur Benennung eines Datenschutzbeauftragten“ enthält Art. 37 Abs. 5 DSGVO (Voraussetzungen zur Person des Datenschutzbeauftragten) keine Öffnungsklausel, die Konkretisierungen, Ergänzungen oder Modifikationen der subjektiven Zugangsvoraussetzungen zur Tätigkeit des Datenschutzbeauftragten durch nationale Gesetzgeber erlauben.

Ergebnis

Der externe Datenschutzbeauftragte erbringt im Rahmen seiner Aufgaben Rechtsdienstleistungen. Diese stehen nicht im Widerspruch zum Rechtsdienstleistungsgesetz, da die DSGVO eine spezialgesetzliche Erlaubnis im Sinne des RDG darstellt. Unerheblich für die spezialgesetzliche Erlaubnis ist, ob Rechtsberatung als Nebenleistung oder als Kerntätigkeit eingestuft wird.

Regelungen zur beruflichen Qualifikation können auf Grund des Anwendungsvorranges der DSGVO nicht durch nationale Gesetze vorgenommen werden. Das Erfordernis eines hohen juristischen Wissenstandes bei schwierigen Rechtsfragen folgt aus dem Gedanken des Betroffenenschutzes der DSGVO. Eine Einschränkung der Beratungstätigkeit für bestimmte Datenschutzbeauftragte in bestimmten Angelegenheiten kann darüber gerechtfertigt werden.  Jedoch lässt das Erfordernis einer Qualifikation zum Rechtsanwalt sich nicht als generelle Berufszugangsregel und auch nicht als Regelung für Einzelfälle der Beratung aus dem Verbraucherschutz herleiten. Ebenso liegt in der Hürde „Qualifikation zum Rechtsanwalt“ eine unverhältnismäßig Einschränkung der Berufsfreiheit (Art. 12 GG) eines anerkannten und eigenständigen Berufes.  

Ausblick

Eine genauere Beschreibung der Qualifikationen des Datenschutzbeauftragten, über die bisher bestehenden Formulierungen hinaus, ist zur Rechtssicherheit für Auftraggeber und Dienstleister wünschenswert.  Diese Vorgaben könnten europarechtlich zum Gemeinschaftsgut Verbraucherschutz erfolgen.

Externe Datenschutzbeauftragte, die nicht über eine Anwaltsqualifikation verfügen, können derzeit nicht darauf hoffen, dass die deutsche Rechtsprechung für diese große Gruppe eines jungen Berufes günstige Entscheidungen treffen wird.

„Aktuell setzen sich die Kammern und Gerichte sogar über die seit den Masterpatententscheidungen des EuGH und des BVerfG zum Rechtsvorgänger – dem RBerG – geltenden Grenzen einer Erlaubnispflicht für Rechtsdienstleistungen hinweg.“ Kleine-Cosack in AnwBl Online 2019, S. 6 ff, „Anfang vom Ende des Anwaltsmonopols des RDG“

Es bleibt der leider unbefriedigende Schlusssatz, wie er so ähnlich öfter ausgesprochen wird, wenn es um ungeklärte Fragen zur DSGVO geht: Wahrscheinlich ist eine Rechtssicherheit schaffende Klärung erst durch ein Urteil des EuGH herbeizuführen.

Christian W. Eggers, 18. September 2019

Der Autor ist „nichtanwaltlicher“ zertifizierter externer Datenschutzbeauftragter und als Medienrechtsdozent tätig.