gekennzeichnet.
Datenschutzbeauftragte (DSBs) unterstützen ihre Kunden auch in rechtlichen Fragen. Die DSGVO ist immerhin ein Datenschutzgesetz. Das Rechtsdienstleistungsgesetz (RDG) hingegen schreibt vor, dass bestimmte juristische Aktivitäten nur Anwälten vorenthalten sind. Was nun?
Einleitung
Manche Anwälte mögen es nicht, wenn andere Dienstleister, die keine Anwälte sind, ihnen das Geschäft wegnehmen. Wahrscheinlich aus diesem Grund wurde ich in meiner beruflichen Tätigkeit als Informatiker einmal von einer Anwaltskammer abgemahnt, weil die Tätigkeit meiner Firma angeblich nur Juristen vorenthalten sei.
Meine Firma bietet Webseiten-Checks an. Diese kennzeichnen sich durch eine tief gehende technische Betrachtung von Webseiten, natürlich unter Berücksichtigung der aktuellen Rechtslage.
Ist eine Rechtsdienstleistung durch einen Datenschutzbeauftragten zulässig?
Die Anwaltskammer warf mir u.a. vor, ich würde Kontaktformulare prüfen oder die Erreichbarkeit der Datenschutzerklärung unter die Lupe nehmen. Dieser Vorwurf war berechtigt. Die Schlussfolgerung, dass ich dies nicht dürfe, weil ich kein Anwalt bin, war allerdings Bullshit. Selbstverständlich darf jeder prüfen, ob auf Kontaktformularen möglicherweise zu viele Eingabefelder vorhanden sind, und zwar auch dann, wenn das Prinzip der Datenminimierung eine Rechtsvorschrift ist (siehe Art. 5 Abs. 1 c DSGVO).
Kurzum, die Abmahnung der Anwaltskammer habe ich gut begründet abgelehnt. Eine negative Feststellungsklage habe ich erwogen. Wäre es ein Unternehmen aus der Privatwirtschaft gewesen, das mich abgemahnt hatte, wäre diese Feststellungsklage von mir bereits erlassen worden.
Wie ist die Rechtslage?
Das Rechtsdienstleistungsgesetz (RDG) stattet Anwälte mit besonderen Befugnissen aus, die Nicht-Anwälten nicht zugestanden wird.
Der Anwaltsgerichtshof des Landes Nordrhein-Westfalen hat sich im Urteil vom 12.03.2021 – 1 AGH 9/19 mit der Frage beschäftigt, ob nur Anwälte als DSB tätig sein dürfen. Diese Frage interessiert viele Datenschutzbeauftragte, weil sie meist keine Anwälte sind.
Die Befugnis zur Rechtsberatung durch einen DSB ergibt sich laut Urteil sich aus Art. 39 DSGVO ("Aufgaben des Datenschutzbeauftragten"). Dort steht, dass seine Aufgaben die "Überwachung der Einhaltung dieser Verordnung [oder] anderer Datenschutzvorschriften" beinhaltet.
In Rn. 56 des Urteils führt das Gericht aus: "Die Bestellung [zum DSB] setzt demnach also keine juristische Vorbildung voraus.“.
In Rn. 60 wird festgestellt: „Bereits unter Geltung des Art. 1 § 5 Nr. 1 RBerG wurde entschieden, dass Berufe, die ohne gleichzeitige Rechtsberatung nicht ausgeübt werden können, nicht am RBerG scheitern sollten.“
Die Rn. 65 bringt es auf den Punkt: „Angesichts des umfassenden technischen Knowhows, das diese [die Klägerin] zur Verfügung hat, wird deutlich, dass der Anteil der juristischen Tätigkeit insgesamt als Nebenleistung der Hauptleistung anzusehen ist.“
Ein Datenschutzbeauftragter muss kein Anwalt sein
Fazit aus der Aktuellen Rechtsprechung
Kann eine Software eine Rechtsdienstleistung erbringen?
Nach aktuellem Stand lautet die Antwort Nein. In zehn oder zwanzig Jahren kann die Anwort theoretisch anders aufallen, nämlich dann, wenn Computer in die Nähe menschlicher Intelligenz kommen. Je nach dem, welchen Menschen man betrachtet, ist die Intelligenz mancher Computer im Einzelfall allerdings jetzt schon höher…
Das OLG Köln hat im Urteil vom 19.06.2020 – 6 U 263/19 festgestellt:
Computerprogramme erbringen keine Rechtsdienstleistung
Feststellung des OLG Köln
Sogenannten Legal Tech Software darf also von jedem angeboten werden, auch, wenn er kein Anwalt ist. In der Vorinstanz hatte das LG Köln noch etwas anderes festgestellt. Mir ist allerdings nicht klar, wie das LG Köln auf die Idee kommen konnte, dass Computerprogramme dazu fähig sein sollen, intellektuell anspruchsvollste Aufgaben zu bewältigen. Diesen Anspruch schreibe ich nicht einer bestimmten, sondern a sich allen relevanten Berufsgruppen zu.
Darf jeder Datenschutzberatung erbringen?
Die Frage geht etwas weiter als der Kern dieses Beitrags. Daher nur in Kürze: Welche Voraussetzungen erfüllt sein müssen, um als DSB zu arbeiten, lässt sich m. E. nicht abschließend klären. Der LDI NRW nennt einschlägige Kenntnisse als Voraussetzung.
Anders sieht es aus, wenn jemand für eine Firma beratend tätig ist, die entweder schon einen DSB hat und nur eine Zusatzabsicherung wünscht, oder die weniger als 20+ Mitarbeiter hat und keinen DSB bestellen muss und dies auch nicht will.
Ich sage, dass selbstverständlich jeder eine Datenschutzberatung erbringen darf, solange er sich dafür als geeignet ansieht und sein Kunde dies auch tut. Dies gilt mindestens dann, wenn der Dienstleister nicht offiziell zum DSB bestellt wird. Für eine DSB-Bestellung müssen möglicherweise weitere Bedingungen eintreffen. Ich gehe aber davon aus, dass auch hier jede geeignete Person ein DSB werden kann. Ein IHK-Nachweis nach 60 Stunden Ausbildung ist sicher nett, aber seien wir ehrlich: Eine gleiche oder höherwertige Qualifikation kann sich jede engagierte Person auch selbst aneignen.
Fazit
Datenschutzberatung darf auch derjenige leisten, der kein Anwalt ist. Dies leuchtet dem gesunden Menschenverstand ein. Auch eine Software darf rechtliche Hilfestellungen geben, weil sie (noch lange) nicht intelligent genug ist, einen Menschen zu ersetzen und insofern auch keine Rechtsberatung geben kann. Sollten Computerprogramme irgendwann die Intelligenz des Menschen erreichen werden, dann gibt es hoffentlich bis dahin andere Gesetze, und am besten gar kein RDG mehr.
Datenschutzberater darf somit grundsätzlich jeder werden, egal ob er Anwalt ist oder nicht. Wichtig wäre, wie bei jedem Beruf, allerdings eine geeignete Kompetenz.
Ganz allgemein gilt (in meinen Worten, in verkürzter, rechtsunverbindlicher Form):
Jeder darf Rechtsberatung geben, sofern es eine untergeordnete Tätigkeit ist, die keine tief gehende juristische Einzelfallbetrachtung voraussetzt.
Grundsätzlich darf jeder Rechtsberatung leisten.
Weitere Bedingungen, siehe Artikel
Forderung
Das RDG scheint mir veraltet und überholt. Andererseits scheint es keine Rechtsvorschrift zu geben, die Nicht-Anwälten besondere Rechte gibt. Als Informatiker möchte ich das gleiche Recht wie Anwälte haben, mein Tätigkeitsprofil gegenüber unqualifizierten Dienstleistern zu schützen. Warum habe ich dieses Recht nicht? Das erschließt sich mir logisch nicht.
Hiermit fordere ich, dass es Anwälten verboten wird, eine tief gehende technische Untersuchung, etwa von Webseiten, vorzunehmen, und dies nur zu erlauben, wenn ein diplomierter Informatiker oder eine andere Person mit ähnlichen, nachgewiesenen Qualifikationen hinzugezogen wird.
Warum sollen Anwälte alles dürfen, andere aber nicht? Mir sind einige Vorzüge von Anwälten bekannt. Beispielsweise würde ich nie selber Verträge verfassen, die eine gewisse Komplexität übersteigen. Mir ist aber auch bekannt, dass Anwälte im Allgemeinen so gut wie gar nichts über die technischen Abläufe auf Webseiten wissen. Einige ganz wenige Ausnahmen kenne ich persönlich.
Kernaussagen dieses Beitrags
Datenschutzbeauftragte müssen keine Anwälte sein, um ihre Aufgaben zu erfüllen.
Auch ohne Jura-Ausbildung kann man Datenschutzberatung anbieten, da Computerprogramme noch nicht intelligent genug sind, um menschliche Rechtsberatung zu ersetzen.
Es erscheint fragwürdig, dass Anwälte mehr Rechte haben als andere Berufe, besonders im Bereich der technischen Beratung.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Toller Beitrag! Bin ganz Deiner Meinung.
In meiner Tätigkeit als DSB in 12 Jahren musste ich immer wieder erfahren, dass es leider nur wenige Anwälte gibt, die wirklich auf das Thema spezialsiert sind und das Thema mit Augenmaß angehen. Ich persönlich arbeite bei technischen Themen immer mit einem kleinen Team von IT-Spezialisten zusammen. Das ist effizienter, praxisnäher und nachhaltig.
Sehr geehrter Herr Meffert, auch wenn Datenschutzbeauftragte zur Beratung in datenschutzrechtlichen Fragen berechtigt sein sollten (§ 1 Abs. 3 RDG i.V.m. Art. 37 Abs. 5 DSGVO spricht dafür und wären damit ein Beispiel für eine Rechtsvorschrift, welche Nicht-Anwälten ein besonderes Recht gibt.) ist sicherlich nicht jeder berechtigt Datenschutzberatung zu erbringen, nur weil „er sich dafür als geeignet ansieht und sein Kunde dies auch tut“. Das ist „Bullshit“, um Ihre Worte aufzugreifen. Beispiele dafür, dass auch Nichtjuristen besondere Rechte bekommen können, wären z.B. die Patentanwaltsordnung, die Bundes-Ärzteordnung, die Bundes-Apothekerordnung, das Heilpraktikergesetz und das Steuerberatergesetz. Jede Versicherung hat gemäß VVG einen Aktuar zu benennen und selbst zur gewerbsmäßigen Beförderung von Personen ist eine Erlaubnis notwendig. Dass es ein solches „Privileg“ nicht für Informatiker im Allgemeinen gibt, liegt einfach daran, dass ihre Berufsgruppe zu unwichtig ist. Insofern sind Gesetze, welche es z.B. Nichtjuristen verbieten, sich zu Fragen des Berufsrechts in rechtsberatender Weise zu äußern, durchaus zu begrüßen.
Sehr geehrter Michael X (Nachname kenne ich nicht),
danke für Ihre Rückmeldung zum Thema. Ich vermute, Sie sind Anwalt.
Ich bleibe dabei: Eine Datenschutzberatung ist zunächst jedem möglich, der qualifiziert dafür erscheint. Warum sollte dies auch anders sein? Bei einer Beratung in vielen anderen Themenfeldern ist es analog. Ein Datenschutzberater ist zudem nicht automatisch ein Datenschutzbeauftragter (so wie im Artikel von mir geschrieben).
Rechtsberatung darf zunächst, das sagen sogar Anwälte, jeder erbringen, sofern es u.a. eine untergeordnete Tätigkeit ist. Schließlich gibt es für viele Belange des alltäglichen und beruflichen Lebens Vorschriften. Diese nicht "kennen" und über diese somit beraten zu dürfen, wäre abstrus. Dann dürfte niemand ein Impressum für jemand anderen erstellen, wenn der Ersteller kein Anwalt ist.
Mir ist klar, dass manche Anwälte am liebsten alle anderen unter Berufsverbot stellen würden, um selber mehr Geld zu verdienen. Dieser Wunsch wird aber hoffentlich nie in Erfüllung gehen.
Da Sie meine Berufsgruppe für unwichtig zu halten scheinen, kann ich nur hoffen, Sie beraten weder die Bundesregierung noch sind oder werden Sie Teil dieser, noch sind Sie in tragender Position zum Thema Digitalisierung tätig. Ansonsten wird Deutschland digital noch weiter abgehängt werden (Annahme: Sie sind in Deutschland tätig).
Auch wage ich es, mich kritisch zum TTDSG zu äußern, auch wenn manche es gerne anders hätten. Hier haben Juristen leider versagt (insbesondere bei § 26 TTDSG), weil sie naturgemäß kein ausreichendes technisches Verständnis aufbringen, wie ich immer wieder auch in juristischen Ausfertigungen feststellen muss, zu denen ich zu technischen Fragen, die auch im datenschutzrechtlichen Kontext stehen, Stellung beziehen darf.
Ich bin ebenfalls der Meinung, dass Kunden von DSBs zu viel verlangen, wenn diese vom DSB verlangen, dass er/sie die Webseiten prüft. Das können weder DSBs kompetent noch Anwälte, sondern eher die in Ihren Augen "unwichtigen" technisch versierten Personen, u.a. Informatiker.
Wer in die Zukunft blickt, wird somit in der digitalen Welt eine maximale Überforderung von Anwälten und DSBs erleben, wenn sie sich nicht technischer Experten, die am besten noch die Rechtslage halbwegs gut kennen, bedienen können oder wollen.
Hallo Herr Meffert,
das Thema ist natürlich äußerst praxisrelevant für jeden tätigen Datenschutzbeauftragten.
Dahin gehend haben wir ja – wie Sie schon herausstellen – mittlerweile auch Gerichtsurteile, die eine Rechtsberatung eines DSB sozusagen als Nebentätigkeit erlauben.
Ihre Aussage "Grundsätzlich darf jeder Rechtsberatung leisten" und jeder könne "Datenschutzberater" sein ist aber m. E. nicht unkritisch zu sehen bzw. zu pauschal.
Die Rechtsberatung als bestellter DSB ist ja für diesen gerade deshalb erlaubt, weil dies für die Ausübung seiner Tätigkeit erforderlich ist (§ 5 I RDG) oder es aufgrund eines Gesetzes erlaubt wird (§ 3 I RDG, § 39 DSGVO). Andernfalls wäre keine gesetzlich geforderte Beratung des DSB zu z. B. Pflichten aus Datenschutzvorschriften für einen Verantwortlichen (Art. 39 I a DSGVO) möglich.
Die Erlaubnis zur erforderlichen Rechtsberatung hängt aber eben m. E. eng mit der Verknüpfung zur Bestellung als DSB zusammen.
Sofern eine solche Bestellung zum DSB nicht besteht, fehlt ja für einen "normalen Berater" die entsprechende Erforderlichkeit i. S. d. RDG zur Rechtsberatung. Dies ist daher für mich der Knackpunkt – auch in ihren Ausführungen.
Das natürlich nicht alles Rechtsberatung bzw. eine Rechtsdienstleistung ist bzw. sein kann, ist natürlich auch klar. Eine Abgrenzung ist hier in der Praxis aber schwierig. Ein Webseitencheck kann dabei je nach Zielrichtung der Anfrage durchaus eine Rechtsberatung darstellen, wenn z. B. danach gefragt würde, ob diese den datenschutzrechtlichen Anforderungen der DSGVO/TTDSG usw. entsprächen. Dies ist ja durchaus ein nicht selten auftretender Fall. Dies wäre dann für einen normalen Datenschutzberater im Rahmen einer Dienstleistung für einen Dritten nicht möglich. Genauso wie z. B. die datenschutzrechtliche Prüfung eines AV-Vertrages.
Zudem kommt es nach gängiger Rechtsprechung auch gerade nicht auf die Komplexität der bewerteten Rechtsfrage an. Eine rechtliche Prüfung des Einzelfalls im Sinne von § 2 RDG ist jede konkrete Subsumtion eines Sachverhalts unter die maßgebliche rechtliche Bestimmung, die über eine bloß schematische Anwendung von Rechtsnormen ohne weitere rechtliche Prüfung hinausgeht. Ob es sich um einfache oder schwierige Rechtsfragen handelt, ist unerheblich (vgl. BGH, Urt. v. 14.01.2016 – I ZR 107/14 -).
Ergo: Der DSB kann und darf m. E. in den erforderlichen Grenzen in konkreten rechtlichen Fragestellungen beraten. Der Datenschutzberater (als "Nichtanwalt") aber nicht.
Kollegiale Grüße
Vielen Dank für Ihre ausführliche Rückmeldung.
Meine Kenntnis ist die folgende:
Nahezu jeder Lebensbereich ist von rechtlichen Fragen durchzogen. Beschäftigt man sich damit, ob man etwas tun darf oder wie man es richtig machen soll, stellt man schon rechtliche Fragen.
Derjenige, der diese beantwortet, gibt dann oft eine Rechtsberatung, allerdings ist diese wohl meistens untergeordneter Natur.
Eine untergeordnete Rechtsberatung ist, soweit mir bekannt ist, jedem in jeder Tätigkeit erlaubt. Wäre es nicht so, dürfte man nicht einmal jemandem helfen, dessen Impressum, etwa für eine GmbH, an den rechtlichen Vorschriften auszurichten. Das hielte ich für grob falsch, denn dann bräuchten wir um Größenordnungen mehr Anwälte als es bereits gibt. Das mögen Anwälte vielleicht gut finden, aber eben auch nur diese. Deswegen gibt es regelmäßig eine Rechtssprechung, dass untergeordnete Rechtsberatung (ich nehme mal diesen ungenauen Begriff) jedem erlaubt ist.
Eine Anmerkung zur Bestellung. Ein angestellter, interner DSB im Unternehmen oder öffentlichen Stellen wird i.d.R. zu diesem bestellt oder benannt. Hierfür finde ich aber weder in der DSGVO noch im BDSG eine Formvorschrift. Die Bestellung kann also auch mündlich oder faktisch erfolgen. Bie externen DSB dürfte ein Vertrag ausschlaggebend sein. Auch Verträge dürfen mündlich oder faktisch erfolgen. Die Veröffentlichungspflicht für Unternehmen als zweiten Schritt lasse ich mal außen vor.
Das bedeutet, sobald sich beide Seiten, Verantwortliche Stelle und DSB einig sind, kann man von einer "Bestellung" ausgehen. Im Zweifel ließe sich diese also immer herleiten, sobald es tiefer in die Einzelheiten geht. Andernfalls wäre eine oberflächlige Betrachtung der Sachlage eher untergeordnet.
Viele mehr Gewicht in dieser Frage würde ich daher der Fachkunde beimessen. Meinem Verständnis nach geht es weniger um das Rechtsverhältnis der handelnden Personen untereinander, als vielmehr darum, dass der Beratende auch eine gewisse Kompetenz in der Materie aufweisen kann. Das wäre auch im Sinne des RDG welches ja in erster Linie "vor unqualifizierten Rechtsdienstleistungen" (§1 Abs. 1) schützen soll. Somit ergibt sich die Rechtmäßigkeit nicht an der Komplexität des Einzelfalls oder des Berufsstandes des Beratenden, sondern an der Qualität der Beratung, die einfach eine gewisse objektive Fachkunde als Voraussetzung hat.
Als Informatiker, Betriebswirt und langjähriger Datenschutzbeauftragter (intern und extern), bin ich gespannt auf Ihre Kommentare.
Das sehe ich in Summe auch so. Die Kompetenz ist entscheidend und sollte es eigentlich für jeden Job sein, den jemand ausübt.