Der Anwaltsgerichtshof NRW (AGH NRW) hat sich mit seinem klar begründeten Urteil vom 12.03.2021 zur Tätigkeit des Datenschutzbeauftragten und der grundsätzlichen Vereinbarkeit mit dem Rechtsdienstleistungsgesetz geäußert.
Um was geht es?
Die Tätigkeit des Datenschutzbeauftragten ist eine Berufstätigkeit. Es gibt ein Berufsbild des DSB, über welches der Bundesfinanzhof bereits im Januar 2020 entschieden hat. Nicht zu vergessen das berühmte Ulmer Urteil von 1990. So hat das Landgericht Ulm in seinem Beschluss (Az.: 5T 153/90-01 LG Ulm) festgestellt, dass betriebliche und behördliche Datenschutzbeauftragte einen Beruf ausüben, weil sie mit ihrer Tätigkeit einen auf Dauer berechneten und nicht vorübergehenden Beitrag zur gesellschaftlichen Gesamtleistung erbringen. Auch wenn sie ihre Aufgabe als Datenschutzbeauftragte neben ihrem eigentlichen Hauptberuf ausüben, sei diese Tätigkeit aus verfassungsrechtlicher Sicht als Beruf anzusehen.
Das Rechtsdienstleistungsgesetz (RDG) stattet Anwälte mit besonderen Befugnissen aus, die Nicht-Anwälten nicht zugestanden werden. Der Anwaltsgerichtshof des Landes Nordrhein-Westfalen hat sich im Urteil vom 12.03.2021 – 1 AGH 9/19 – mit der Frage beschäftigt, ob nur Anwälte als Datenschutzbeauftragte tätig sein dürfen. Die Antwort auf diese Frage interessiert vor allem viele externe Datenschutzbeauftragte, weil sie in der Regel keine Rechtsanwälte sind.
Es geht um die Diskussion, ob die Datenschutzbeauftragten durch die in der Datenschutz-Grundverordnung (DS-GVO) vorgegebene Tätigkeit, die eben auch eine datenschutzrechtliche Beratung beinhaltet, in Deutschland eine datenschutzrechtliche Beratung ausüben dürfen, oder ob diese Rechtsberatung ein Verstoß gegen das RDG darstellt.
Die Befugnis zur Rechtsberatung durch einen benannten Datenschutzbeauftragte ergibt sich laut Urteil aus Art. 39 DS-GVO (Aufgaben des Datenschutzbeauftragten). Dort steht, dass seine Aufgabe die „Überwachung der Einhaltung dieser Verordnung [oder] anderer Datenschutzvorschriften“ beinhaltet.
Was sagt der AGH NRW nun konkret?
Der Anwaltsgerichtshof NRW hat in seinem Urteil hierzu ein klar und gut begründetes Urteil gefällt und der Begründung ist nicht viel entgegenzuhalten.
Das AGH urteilte, dass die Tätigkeit des Datenschutzbeauftragten eine Rechtsdienstleistung iSd § 2 des RDG ist.
Der AGH sagt auch, dass es sich hier um eine erlaubte Rechtsdienstleistung unter Bezugnahme §§ 1 und 3 RDG handelt. Sinngemäß heißt es dort, dass Rechtsdienstleistung nicht rechtswidrig ist, wenn es ein anderes Erlaubnisgesetz außerhalb des RDG gibt. Art. 39 DS-GVO ist so eine Erlaubnisnorm. In seinem Wortlaut wird die Rechtsdienstleistung ausdrücklich erwähnt. Es heißt dort, dass die Beratung und Unterrichtung über die Rechte und Pflichten nach dieser Verordnung dazugehören. D.h. Art. 39 DS-GVO definiert hier die datenschutzrechtliche Beratung durch den Datenschutzbeauftragten. Nicht mehr, aber auch nicht weniger.
In Art. 39 DS-GVO sind, so der AGH, die Aufgaben und Befugnisse des Datenschutzbeauftragten für einen bestimmten Bereich und spezielle Tätigkeiten hinreichend definiert.
Was sind die Aufgaben des Datenschutzbeauftragten?
Die Rechtsberatung ist eines der drei Kernelemente, aber eben nur eins und in der Regel auch der kleinere Teil bei der Tätigkeit eines Datenschutzbeauftragten. Die drei Kernelemente sind: die betriebswirtschaftliche Beratung, die technisch-organisatorische Beratung und daneben eben auch die rechtliche, die datenschutzrechtliche, Beratung.
Selbst wenn Art. 39 DS-GVO kein ausreichendes Erlaubnisgesetz ist, muss man auf § 5 RDG kommen und Bezug nehmen. Die Rechtsberatung ist zumindest eine erlaubte Nebentätigkeit. Eine erlaubte Rechtsdienstleistung, die eben erbracht werden können muss, damit der DSB seine Tätigkeit gemäß gesetzlicher Vorgaben auch ausüben kann.
Wichtig dabei ist, die Rechtsdienstleistung für einen Datenschutzbeauftragten ist nur so weit erlaubt, als sie zur Tätigkeit als Datenschutzbeauftragter erforderlich ist. Also nicht darüber hinaus – ungeachtet dessen, ob der benannte Datenschutzbeauftragte ein Anwalt ist oder nicht. Es liegen hier unterschiedliche Berufsbilder und Rollen vor, welche in Ihrer Ausübung zu unterscheiden und zu trennen sind und eben nicht miteinander vermischt werden dürfen. Zu prüfen ist auch, inwieweit es nicht auch zu einem Interessenkonflikt zwischen Rechtsberatung als Datenschutzbeauftragter und anwaltlicher Beratung kommt.
Folglich kann auch ein Anwalt, welcher als Datenschutzbeauftragter benannt ist, in dieser Funktion nur, und eben nur, die (Beratungs-)Aufgaben eines Datenschutzbeauftragten wahrnehmen. Für darüber hinausgehende Rechtsberatung ist er als Datenschutzbeauftragter „nicht zuständig“ und kann er qua seiner Funktion als DSB auch nicht übernehmen.
Des Weiteren ist ggf. auch darüber zu diskutieren, was zum Datenschutzrecht noch dazu gehört; z.B. UWG, Einwilligungserklärung, AGB-Recht, SGB, etc. Wo beginnen die Grenzen, wo hören sie auf und wie tief – die vertiefte Auslegung, als Sekundärfragen auch unter Haftungsaspekten.
Einzelne Punkte aus dem Urteil:
Rn. 60: „Bereits unter Geltung des Art. 1 § 5 Nr. 1 RBerG wurde entschieden, dass Berufe, die ohne gleichzeitige Rechtsberatung nicht ausgeübt werden können, nicht am RBerG scheitern sollten.“
Rn. 65: „Angesichts des umfassenden technischen Knowhows, das diese [die Klägerin] zur Verfügung hat, wird deutlich, dass der Anteil der juristischen Tätigkeit insgesamt als Nebenleistung der Hauptleistung anzusehen ist.“
Und jetzt?
Nicht die Klärung von Rechtsfragen macht den Schwerpunkt der typischen Tätigkeit des benannten Datenschutzbeauftragten aus, dies ist eine Nebentätigkeit. Der Schwerpunkt der Tätigkeiten liegt in der Prüfung von Abläufen, Tätigkeiten, Verarbeitungen und Prozessen, d.h. in der Kontrolle und Überwachung der Datenschutzkonformität und die Einhaltung der DS-GVO durch die Organisation, dem Verantwortlichen.
Bei der DS-GVO handelt es sich um eine EU-Verordnung, welche Vorrang vor nationalem Recht hat. Nationales Recht, hier das RDG, kann nicht so ausgelegt und angewendet werden, dass das Unionsrecht in seiner Wirksamkeit eingeschränkt wird.
Das AGH-Urteil ist nicht rechtskräftig, da die VWGO (Verwaltungsgerichtsordnung) gilt und hier ist es so, dass die Berufung zugelassen werden muss, was sie noch nicht ist. Die Rechtsanwaltskammer kann innerhalb eines Monats Antrag auf Berufung stellen.
Die Frist für den Berufungsantrag ist bereits abgelaufen.
Weitere Informationen:
Text in English: https://www.efdpo.eu/national-insights-legal-counselling-of-dpos-in-germany/
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat ein Positionspapier (Stand: April 2021) veröffentlicht: https://www.bvdnet.de/wp-content/uploads/2021/05/BvD-Positionspapier-DSB-kein-Konflikt-zum-RDG.pdf
Das Urteil 1 AGH 9/19 vom 12.03.2021 ist hier abrufbar: https://openjur.de/u/2336889.html
Datenschutz PRAXIS – der Podcast: DSB-Tätigkeit nicht im Konflikt mit RDG I Podcast Folge 22 (21.05.2021): https://www.datenschutz-praxis.de/allgemein/dsb-taetigkeit-nicht-in-konflikt-mit-rdg-podcast-folge-22/ (WEKA Media GmbH & Co KG).
Belgian Data Protection Authority (DPA) – DPO and conflicts of interest, a very strict delineation, decision of April 26, 2021 https://www.lexology.com/library/detail.aspx?g=9ae05dc0-a77f-454c-ba3e-36680c4f28b0&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2021-05-18&utm_term=
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Die Autorin, Regina Mühlich, verfügt über 20-jährige Berufspraxis im Datenschutz und unterstützt als externe Datenschutzbeauftragte und Datenschutz-Auditorin Organisationen bei der Umsetzung und Einhaltung der Datenschutzgesetze.
18. Mai 2021