• Die Tätigkeit und der Umfang der Tätigkeit des Datenschutzbeauftragen (DSB) ist unionsrechtlich durch die DSGVO (Artt. 37 bis 39 DSGVO) festgelegt.
Der Umfang der Tätigkeit bestimmt sich dabei insbesondere nach Art. 39 Abs. 1 DSGVO. Hieraus ergibt sich ein auch durch deutsche Rechtsprechung zwischenzeitlich anerkanntes eigenes Berufsbild (BFH, Urt. v. 14.1.2020, VIII R 27/17) für eine spezielle Tätigkeit.
Aus Art. 37 Abs. 5 DSGVO ergeben sich die Anforderungen an die berufliche Qualifikation und das Fachwissen. Ein Teil des Fachwissens besteht im Gebiet des Datenschutzrechts, eine juristische Ausbildung ist hierzu weder zwingend erforderlich, aber selbstverständlich auch nicht nachteilig.
Zu den Aufgaben des DSB gehört damit eindeutig und explizit durch die Art. 39 DSGVO geregelt die Rechtsberatung. „Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) Unterrichtung und Beratung des Verantwortlichen […] hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten“ (Zitat aus Art. 39 Abs. 1 lit. a DSGVO).
Rechtsberatende Tätigkeiten stehen aber nach Art. 39 DSGVO nicht im Vordergrund und sind nicht Schwerpunkt der typischen Tätigkeit des Datenschutzbeauftragten. Nicht die Klärung von Rechtsfragen im einzelnen Sachverhalt macht die Tätigkeit des DSB aus, sondern die Prüfung von Abläufen, Tätigkeiten und Prozessen in Bezug auf deren Datenschutzkonformität. Diese Prüfung ist ohne grundlegende technische und organisatorische Kenntnisse nicht möglich. Auch wenn – zumindest aktuell noch – die Anwendung der Datenschutzbestimmungen nicht nur einfache rechtliche Wertungen voraussetzen sollte, lässt dies eine rechtsberatende Tätigkeit nicht in den Vordergrund treten.
Die DSGVO unterscheidet dabei nicht zwischen internen und externen DSB.
• Die Tätigkeit des DSB im Rahmen des Art. 39 DSGVO ist nach § 1 Abs. 3, § 3 Alt. 2 RDG erlaubt. § 3 Alt. 2 RDG sieht explizit vor, dass die Rechtsberatung neben dem und außerhalb des RDG auch „aufgrund anderer Gesetze erlaubt wird“. Die Erlaubnis zur rechtsberatenden Tätigkeit im Umfang des Art. 39 DSGVO ergibt sich aus Art. 39 DSGVO selbst. In der deutschen Rechtsprechung ist mit Blick auf das Rechtsdienstleistungsgesetz (RDG) anerkannt, dass eine zulässige Rechtsberatung nach anderen Gesetzen in Betracht kommt, wenn spezielle Rechtsdienstleistungsbefugnisse in diesen Gesetzen hinreichend konkret geregelt sind (BGH, Urt. v. 11.02.2021, I ZR 227/19). Diese Anforderung ist durch Art. 39 DSGVO für den DSB erfüllt.
Hinzukommt, dass die DSGVO als EU-Verordnung Vorrang vor nationalem Recht hat und nationales Recht jedenfalls so auszulegen und anzuwenden ist, dass es Unionsrecht nicht in seiner Wirksamkeit einschränkt.
• Jedenfalls ist die mit der Tätigkeit des DSB nach Art. 39 DSGVO verbundene Rechtsberatung eine erlaubte Nebentätigkeit im Sinne des § 5 Abs. 1 RDG. In der deutschen Rechtsprechung ist anerkannt, dass Berufe, die ohne gleichzeitige Rechtsberatung nicht ausgeübt werden können, nicht am RDG (bzw. früheren RBerG) scheiten sollen (BGH, Urt. v. 03.07.2008, III ZR 260/07). Bei der Auslegung ist auch die durch Art. 12 GG geschützte Berufsausübung im Rahmen des Berufsbilds Datenschutzbeauftragter zu berücksichtigen.
Die Rechtsberatung hat auch kein solches Gewicht im Rahmen der Gesamttätigkeit des DSB, dass sie über eine bloße Nebenleistung hinausgehen könnte. Dies zeigt sowohl der Katalog der Anforderungen des Art. 37 DSGVO als auch die Tätigkeitsbeschreibung des Art. 39 DSGVO.
Der DSB sollte auch im Sinne eines wohlverstandenen Selbstschutzes die Schwelle zur Rechtsberatung als Schwerpunkt seiner Tätigkeit und damit das Verlassen der Rolle des DSB beachten. Der Schwerpunkt der Tätigkeit darf nicht im Bereich der Rechtsberatung liegen, sodass die Schwelle zur Nebentätigkeit nicht überschritten wird (vgl. BGH, Urt. v. 14.01.2016, I ZR 107/14).
• In konkreten Situationen kann die Beratung die vollständige Kompetenz eines Rechtsanwalts erfordern, sodass gleichwohl durch den DSB die Grenzen seiner Nebentätigkeit zu beachten sind, aber eben nicht per se eine rechtsberatende Tätigkeit im Datenschutz ausgeschlossen ist. Das gilt konsequenterweise auch für die Ausübung der Rolle „benannter DSB“ durch im Übrigen auch als Rechtsanwalt zugelassene Personen. Die unterschiedlichen Berufsbilder und Rollen sind folglich zu unterscheiden und in ihrer Ausübung zu trennen.
Im Einzelnen
Die Tätigkeit eines Datenschutzbeauftragten stellt einen völlig eigenständigen Beruf dar. Dieser Beruf stellt entsprechend der Rechtsprechung des Bundesfinanzhofs keine freiberufliche Tätigkeit im Sinne von § 18 EStG dar, insbesondere übt ein Datenschutzbeauftragter keine dem Beruf des Rechtsanwalts ähnliche Tätigkeit aus1. Ein Rechtsanwalt, der als Datenschutzbeauftragter arbeitet, übt gemäß dem Urteil des BFH einen eigenständigen, von seiner Tätigkeit als Rechtsanwalt abzugrenzenden Beruf aus2.
Die Tätigkeit eines Datenschutzbeauftragten ist durch eine Beratung in interdisziplinären Wissensgebieten gekennzeichnet, ohne dass hierfür eine spezifische akademische Ausbildung, wie diese z. B. für die Ausübung des Berufs des Rechtsanwalts notwendig ist, nachgewiesen werden muss. Zu dieser Beratung in interdisziplinären Wissensgebieten gehört insbesondere auch die Beratung in Fragen des Datenschutzrechts. Hierbei ist anzumerken, dass eine rechtsberatende Tätigkeit dem Beruf des Rechtsanwalts grundsätzlich nicht vorbehalten ist3.
Entsprechend der Rechtsprechung des BFH erfordert das Berufsbild des Datenschutzbeauftragten von Datenschutzbeauftragten, dass diese neben umfangreichen juristischen Kenntnissen zum Datenschutzrecht und betriebswirtschaftlichen Grundkenntnissen ebenso umfangreiche technische Kenntnisse aus dem Bereich der Informationstechnologie aufweisen, zudem über pädagogische Fähigkeiten und Kenntnisse verfügen4.
1. Beratung zum Datenschutzrecht als Bestandteil der Aufgabe des DSB
Die Beratung auch zum Datenschutzrecht ist Bestandteil der dem DSB nach Art. 39 DSGVO zugewiesenen Aufgaben und kann daher schon aus unionsrechtlichen Gründen insoweit nicht gegen das RDG verstoßen. Der Datenschutzbeauftragte ist im datenschutzrechtlichen Sinne keine eigenständige Einheit, sondern seine Tätigkeit wird der juristischen Einheit zugerechnet, für die er benannt wurde. Das bedeutet auch, dass nicht der DSB gegenüber dem Betroffenen oder den (Datenschutz-)Behörden verantwortlich ist, sondern der Verantwortliche, der Auftragsverarbeiter, kurz die Organisation. Der DSB dient im Rahmen seiner Aufgabenerfüllung als Anlaufstelle für Aufsichtsbehörden (Art. 39 Abs. 1 lit. c DSGVO) und Ansprechpartner für betroffene Personen (§ 6 Abs. 5 BDSG).
Im Rahmen seiner Aufgaben ist der DSB als Organ der datenschutzrechtlichen Selbstkontrolle zu verstehen. Die Stellung und Aufgaben des DSB sind in Artt. 37 bis 39 DSGVO normiert.
Art. 39 Abs. 1 lit. a DSGVO beinhaltet die Aufgabe des Datenschutzbeauftragten, den Verantwortlichen oder den Auftragsverarbeiter sowie deren Beschäftigte, die Verarbeitungen durchführen, hinsichtlich ihrer aus Datenschutzvorschriften resultierenden Pflichten zu unterrichten und beraten. Die Unterrichtung beinhaltet die Darstellung, Erklärung und somit die Auslegung nationaler und europäischer datenschutzrechtlicher Vorschriften. Die Aufgabe der „Beratung“ bedingt eine ergänzend zur Unterrichtung resultierende Erläuterung der datenschutzrechtlichen europäischen und nationalen Vorschriften und eine Unterstützung bei der Umsetzung konkreter datenschutzrechtlicher Anforderungen.
In ErwG 97 heißt es, „[…] sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt unterstützt werden. […]“ Der DSB unterstützt somit mit seiner Fachkunde als internes Beratungs- und Kontrollorgan und leistet damit zum einen einen wichtigen Beitrag zum Persönlichkeitsschutz der Betroffenen, aber vor allem trägt er zur Reduzierung von Unternehmensrisiken bei. Der Europäische Datenschutzausschuss (EDSA) hat den Datenschutzbeauftragten als „Schlüsselfigur“ bezeichnet, der die Einhaltung der DSGVO erleichtert und als Mittler zwischen den maßgeblichen Interessenträgern (z.B. Aufsichtsbehörden, betroffenen Personen, Unternehmensleitung) fungiert. [1]
2. Kein Verstoß gegen das RDG
Zunächst ist anzumerken, dass intern benannte Datenschutzbeauftragte grundsätzlich nicht in Konflikt mit dem im Rechtsdienstleistungsgesetz (RDG) definierten Begriff der „Rechtsdienstleistung“ stehen, da interne Datenschutzbeauftragte nicht in „fremden Angelegenheiten“ i. S. v. § 2 Abs. 1 RDG tätig werden. Interne Datenschutzbeauftragten sind Teil des Verantwortlichen und werden somit ausschließlich in eigenen Angelegenheiten tätig.
Insbesondere die in Art. 39 Abs. 1 lit. a DSGVO explizit zugewiesene Aufgabe der Beratung wird bei externen Datenschutzbeauftragten dazu führen, dass einzelne Tätigkeiten des externen Datenschutzbeauftragten als Rechtsdienstleistungen i. s. d. § 2 Abs. 1 RDG aufzufassen sind.
Die DSGVO ist als europäisches Recht gegenüber dem RDG vorrangiges Recht in Hinblick auf die Regelungen bzgl. der Befugnisse eines benannten Datenschutzbeauftragten, auch zur Beratung in datenschutzrechtlichen Fragen. Dabei muss Art. 37 DSGVO dahingehend interpretiert werden, dass durch die Vollharmonisierung Mitgliedstaaten keine höheren Voraussetzungen für die Qualifikation von Datenschutzbeauftragten festlegen dürfen. Art. 37 DSGVO ist insoweit als abschließende Regelung aufzufassen. Dies wird auch dadurch deutlich, dass der EU-Gesetzgeber in Art. 37 Abs. 4 DSGVO hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten eine entsprechende Möglichkeit für eine nationale Anpassung vorsieht, hinsichtlich der Qualifikation eines Datenschutzbeauftragten jedoch keine entsprechende Öffnung für den nationalen Gesetzgeber existiert.
Unabhängig vom vorrangig anzuwenden Unionsrecht sieht § 3 RDG vor, dass die selbstständige Erbringung außergerichtlicher Rechtsdienstleistungen zulässig ist, wenn die Erbringung durch das RDG selbst oder durch andere Gesetze, was selbstverständlich das Unionsrecht wie die DSGVO einschließt, erlaubt ist.
Zudem findet sich in der Literatur die Auffassung, dass "Umfang und Inhalt der sonstigen, nicht als Rechtsdienstleistung zu qualifizierenden Tätigkeiten, der enge sachliche Zusammenhang zwischen rechtsberatenden und nicht-rechtsberatenden Tätigkeiten und die umfassenden für die Hauptleistung erforderlichen Rechtskenntnisse dafür, dass die durch den externen Datenschutzbeauftragten erbrachten Rechtsdienstleistungen nach Maßgabe von § 5 RDG erlaubt sind"5.
Somit ist festzuhalten, dass auch die Tätigkeit externer Datenschutzbeauftragten nicht in Konflikt mit dem RDG steht. Denn die Tätigkeit ist durch die DSGVO ausgestaltet und angeordnet.
Der DSB „begleitet personenbezogene Daten“ innerhalb des Unternehmens mit einem datenschutzrechtlichen Auge – er überwacht und kontrolliert die Einhaltung der datenschutzrechtlichen Vorgaben und berät ausschließlich im Datenschutzrecht. Seine Aufgabe ist es nicht z.B. arbeits- oder wettbewerbsrechtliche Fragestellungen zu bearbeiten. Dies ungeachtet seiner sonstigen Qualifikation.
1 BFH, Urt. v. 14.1.2020, Az. VIII R 27/17, Leitsatz 2
2 BFH, Urt. v. 14.1.2020, Az. VIII R 27/17, Rn 15
3 BFH, Urt. v. 14.1.2020, Az. VIII R 27/17, Rn 15
4 BFH, Urt. v. 5.6.2003, Az. IV R 34/01, Rn. 16
5 Paal/Pauly/Paal, 3. Aufl. 2021, DSGVO Art. 37 Rn. 13a