Der An­walts­ge­richts­hof NRW (AGH NRW) hat sich mit seinem klar be­grün­de­ten Urteil vom 12.03.2021 zur Tä­tig­keit des Da­ten­schutz­be­auf­trag­ten und der grund­sätz­li­chen Ver­ein­bar­keit mit dem Rechts­dienst­leis­tungs­ge­setz geäußert.

Um was geht es?

Die Tä­tig­keit des Da­ten­schutz­be­auf­trag­ten ist eine Be­rufs­tä­tig­keit. Es gibt ein Be­rufs­bild des DSB, über welches der Bun­des­fi­nanz­hof bereits im Januar 2020 ent­schie­den hat. Nicht zu ver­ges­sen das be­rühm­te Ulmer Urteil von 1990. So hat das Land­ge­richt Ulm in seinem Be­schluss (Az.: 5T 153/90-01 LG Ulm) fest­ge­stellt, dass be­trieb­li­che und behördliche Datenschutz­beauftragte einen Beruf ausüben, weil sie mit ihrer Tätigkeit einen auf Dauer be­rech­ne­ten und nicht vorübergehenden Beitrag zur ge­sell­schaft­li­chen Ge­samt­leis­tung er­brin­gen. Auch wenn sie ihre Aufgabe als Datenschutz­beauftragte neben ihrem ei­gent­li­chen Haupt­be­ruf ausüben, sei diese Tätigkeit aus ver­fas­sungs­recht­li­cher Sicht als Beruf anzusehen.

Das Rechts­dienst­leis­tungs­ge­setz (RDG) stattet Anwälte mit be­son­de­ren Be­fug­nis­sen aus, die Nicht-An­­wäl­­ten nicht zu­ge­stan­den werden. Der An­walts­ge­richts­hof des Landes Nor­d­rhein-Wes­t­­fa­­len hat sich im Urteil vom 12.03.2021 – 1 AGH 9/19 – mit der Frage be­schäf­tigt, ob nur Anwälte als Datenschutz­beauftragte tätig sein dürfen. Die Antwort auf diese Frage in­ter­es­siert vor allem viele externe Datenschutz­beauftragte, weil sie in der Regel keine Rechts­an­wäl­te sind.

Es geht um die Dis­kus­si­on, ob die Da­ten­schutz­be­auf­trag­ten durch die in der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) vor­ge­ge­be­ne Tä­tig­keit, die eben auch eine da­ten­schutz­recht­li­che Be­ra­tung be­inhal­tet, in Deutsch­land eine da­ten­schutz­recht­li­che Be­ra­tung ausüben dürfen, oder ob diese Rechts­be­ra­tung ein Verstoß gegen das RDG darstellt.

Die Be­fug­nis zur Rechts­be­ra­tung durch einen be­nann­ten Datenschutz­beauftragte ergibt sich laut Urteil aus Art. 39 DS-GVO (Auf­ga­ben des Da­ten­schutz­be­auf­trag­ten). Dort steht, dass seine Aufgabe die „Über­wa­chung der Ein­hal­tung dieser Ver­ord­nung [oder] anderer Da­ten­schutz­vor­schrif­ten“ beinhaltet.

Was sagt der AGH NRW nun konkret?

Der An­walts­ge­richts­hof NRW hat in seinem Urteil hierzu ein klar und gut be­grün­de­tes Urteil gefällt und der Be­grün­dung ist nicht viel entgegenzuhalten.

Das AGH ur­teil­te, dass die Tä­tig­keit des Da­ten­schutz­be­auf­trag­ten eine Rechts­dienst­leis­tung iSd § 2 des RDG ist.

Der AGH sagt auch, dass es sich hier um eine er­laub­te Rechts­dienst­leis­tung unter Be­zug­nah­me §§ 1 und 3 RDG handelt. Sinn­ge­mäß heißt es dort, dass Rechts­dienst­leis­tung nicht rechts­wid­rig ist, wenn es ein anderes Er­laub­nis­ge­setz au­ßer­halb des RDG gibt. Art. 39 DS-GVO ist so eine Er­laub­nis­norm. In seinem Wort­laut wird die Rechts­dienst­leis­tung aus­drück­lich erwähnt. Es heißt dort, dass die Be­ra­tung und Un­ter­rich­tung über die Rechte und Pflich­ten nach dieser Ver­ord­nung da­zu­ge­hö­ren. D.h. Art. 39 DS-GVO de­fi­niert hier die da­ten­schutz­recht­li­che Be­ra­tung durch den Da­ten­schutz­be­auf­trag­ten. Nicht mehr, aber auch nicht weniger.

In Art. 39 DS-GVO sind, so der AGH, die Auf­ga­ben und Be­fug­nis­se des Da­ten­schutz­be­auf­trag­ten für einen be­stimm­ten Bereich und spe­zi­el­le Tä­tig­kei­ten hin­rei­chend definiert.

Was sind die Auf­ga­ben des Datenschutzbeauftragten?

Die Rechts­be­ra­tung ist eines der drei Kern­ele­men­te, aber eben nur eins und in der Regel auch der klei­ne­re Teil bei der Tä­tig­keit eines Da­ten­schutz­be­auf­trag­ten. Die drei Kern­ele­men­te sind: die be­triebs­wirt­schaft­li­che Be­ra­tung, die tech­­nisch-or­­ga­­ni­­sa­­to­ri­­sche Be­ra­tung und daneben eben auch die recht­li­che, die da­ten­schutz­recht­li­che, Beratung.

Selbst wenn Art. 39 DS-GVO kein aus­rei­chen­des Er­laub­nis­ge­setz ist, muss man auf § 5 RDG kommen und Bezug nehmen. Die Rechts­be­ra­tung ist zu­min­dest eine er­laub­te Ne­ben­tä­tig­keit. Eine er­laub­te Rechts­dienst­leis­tung, die eben er­bracht werden können muss, damit der DSB seine Tä­tig­keit gemäß ge­setz­li­cher Vor­ga­ben auch ausüben kann.

Wichtig dabei ist, die Rechts­dienst­leis­tung für einen Da­ten­schutz­be­auf­trag­ten ist nur so weit erlaubt, als sie zur Tä­tig­keit als Da­ten­schutz­be­auf­trag­ter er­for­der­lich ist. Also nicht darüber hinaus – un­ge­ach­tet dessen, ob der be­nann­te Datenschutz­beauftragte ein Anwalt ist oder nicht. Es liegen hier un­ter­schied­li­che Be­rufs­bil­der und Rollen vor, welche in Ihrer Aus­übung zu un­ter­schei­den und zu trennen sind und eben nicht mit­ein­an­der ver­mischt werden dürfen. Zu prüfen ist auch, in­wie­weit es nicht auch zu einem In­ter­es­sen­kon­flikt zwi­schen Rechts­be­ra­tung als Da­ten­schutz­be­auf­trag­ter und an­walt­li­cher Be­ra­tung kommt.
Folg­lich kann auch ein Anwalt, welcher als Da­ten­schutz­be­auf­trag­ter benannt ist, in dieser Funk­ti­on nur, und eben nur, die (Beratungs-)Aufgaben eines Da­ten­schutz­be­auf­trag­ten wahr­neh­men. Für darüber hin­aus­ge­hen­de Rechts­be­ra­tung ist er als Da­ten­schutz­be­auf­trag­ter „nicht zu­stän­dig“ und kann er qua seiner Funk­ti­on als DSB auch nicht übernehmen.

Des Wei­te­ren ist ggf. auch darüber zu dis­ku­tie­ren, was zum Da­ten­schutz­recht noch dazu gehört; z.B. UWG, Ein­wil­li­gungs­er­klä­rung, AGB-Recht, SGB, etc. Wo be­gin­nen die Grenzen, wo hören sie auf und wie tief – die ver­tief­te Aus­le­gung, als Se­kun­där­fra­gen auch unter Haftungsaspekten.

Ein­zel­ne Punkte aus dem Urteil:

Rn. 60: „Bereits unter Geltung des Art. 1 § 5 Nr. 1 RBerG wurde ent­schie­den, dass Berufe, die ohne gleich­zei­ti­ge Rechts­be­ra­tung nicht aus­ge­übt werden können, nicht am RBerG schei­tern sollten.“
Rn. 65: „An­ge­sichts des um­fas­sen­den tech­ni­schen Know­hows, das diese [die Klä­ge­rin] zur Ver­fü­gung hat, wird deut­lich, dass der Anteil der ju­ris­ti­schen Tä­tig­keit ins­ge­samt als Ne­ben­leis­tung der Haupt­leis­tung an­zu­se­hen ist.“

Und jetzt?

Nicht die Klärung von Rechts­fra­gen macht den Schwer­punkt der ty­pi­schen Tä­tig­keit des be­nann­ten Da­ten­schutz­be­auf­trag­ten aus, dies ist eine Ne­ben­tä­tig­keit. Der Schwer­punkt der Tä­tig­kei­ten liegt in der Prüfung von Ab­läu­fen, Tä­tig­kei­ten, Ver­ar­bei­tun­gen und Pro­zes­sen, d.h. in der Kon­trol­le und Über­wa­chung der Da­ten­schutz­kon­for­mi­tät und die Ein­hal­tung der DS-GVO durch die Or­ga­ni­sa­ti­on, dem Verantwortlichen.

Bei der DS-GVO handelt es sich um eine EU-Ver­­or­d­­nung, welche Vorrang vor na­tio­na­lem Recht hat. Na­tio­na­les Recht, hier das RDG, kann nicht so aus­ge­legt und an­ge­wen­det werden, dass das Uni­ons­recht in seiner Wirk­sam­keit ein­ge­schränkt wird.

Das AGH-Urteil ist nicht rechts­kräf­tig, da die VWGO (Ver­wal­tungs­ge­richts­ord­nung) gilt und hier ist es so, dass die Be­ru­fung zu­ge­las­sen werden muss, was sie noch nicht ist. Die Rechts­an­walts­kam­mer kann in­ner­halb eines Monats Antrag auf Be­ru­fung stellen.
Die Frist für den Be­ru­fungs­an­trag ist bereits abgelaufen.

Weitere In­for­ma­tio­nen:

Text in English: https://www.efdpo.eu/national-insights-legal-counselling-of-dpos-in-germany/

Der Be­rufs­ver­band der Da­ten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. hat ein Po­si­ti­ons­pa­pier (Stand: April 2021) ver­öf­fent­licht: https://www.bvdnet.de/wp-content/uploads/2021/05/BvD-Positionspapier-DSB-kein-Konflikt-zum-RDG.pdf

Das Urteil 1 AGH 9/19 vom 12.03.2021 ist hier ab­ruf­bar: https://openjur.de/u/2336889.html

Daten­schutz PRAXIS – der Podcast: DSB-Tä­­ti­g­keit nicht im Kon­flikt mit RDG I Podcast Folge 22 (21.05.2021):   https://www.datenschutz-praxis.de/allgemein/dsb-taetigkeit-nicht-in-konflikt-mit-rdg-podcast-folge-22/  (WEKA Media GmbH & Co KG).

Belgian Data Pro­tec­tion Aut­ho­ri­ty (DPA) – DPO and con­flicts of in­te­rest, a very strict de­linea­ti­on, de­cis­i­on of April 26, 2021 https://www.lexology.com/library/detail.aspx?g=9ae05dc0-a77f-454c-ba3e-36680c4f28b0&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2021-05-18&utm_term= 

 

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

Die Autorin, Regina Mühlich, verfügt über 20-jährige Be­rufs­pra­xis im Daten­schutz und un­ter­stützt als externe Datenschutz­beauftragte und Da­ten­­­schutz-Au­­di­­to­rin Or­ga­ni­sa­tio­nen bei der Um­set­zung und Ein­hal­tung der Datenschutzgesetze.

18. Mai 2021

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!