Mit dem Urteil des Anwaltsgerichtshofes Nordrhein-Westfalen vom 12.03.2021 (Az. 1 AGH 9/19) liegt ein Urteil vor, welches sich mit der Frage beschäftigt, aufgrund welcher Rechtsgrundlage die Tätigkeit einer externen Datenschutzbeauftragten als Rechtsdienstleistung zulässig ist.
Da sich das Urteil auf eine externe Datenschutzbeauftragte bezog wird dies im Text beibehalten.
Rechtsdienstleistung
Dass die Tätigkeit einer benannten externen Datenschutzbeauftragten als Rechtsdienstleistung (Rechtsberatung) zu qualifizieren ist, wurde im Zusammenhang mit dem Inkrafttreten der DSGVO vielfach diskutiert und dürfte unstreitig sein.
Eine Rechtsdienstleistung ist jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert. Nach der Rechtsprechung des BGH ist damit jede konkrete Subsumtion eines Sachverhalts unter die maßgeblichen rechtlichen Bestimmungen erfasst, die über eine bloß schematische Anwendung von Rechtsnormen ohne weitere rechtliche Prüfung hinausgeht. Irrelevant sei dabei, ob es sich um einfache oder schwierige Rechtsfragen handele. Die Frage, ob eine eigene oder eine fremde Rechtsangelegenheit betroffen sei, richte sich danach, in wessen wirtschaftlichem Interesse die Besorgung der Angelegenheit liege.
Einer benannten externen Datenschutzbeauftragten obliegt unter anderem die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten. Diese Tätigkeit erfordert zwingend die Feststellung des jeweiligen Sachverhalts und die anschließende Subsumtion unter die Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften. Heranzuziehen sind zur Auslegung der Vorschriften der DSGVO und sonstiger Datenschutzvorschriften aber auch die stetig zunehmende Rechtsprechung sowie die Veröffentlichungen der Aufsichtsbehörden. Allein aufgrund teilweisen Vielfalt der zur DSGVO vertretenen Auslegungen und z.T. unterschiedlichen Rechtsprechung kann von einer „bloß schematischen Anwendung“ nicht die Rede sein.
WELCHE NORM IST ANWENDBAR?
Das Rechtsdienstleistungsgesetz
Diskutiert wurde bisher, aufgrund welcher Rechtsgrundlage externe Datenschutzbeauftragte die Rechtsdienstleistung der Datenschutzberatung erbringen dürfen. Die selbstständige Erbringung außergerichtlicher Dienstleistungen ist nur in dem Umfang zulässig, in dem sie durch das Rechtsdienstleistungsgesetz (RDG) oder durch oder aufgrund anderer Gesetze erlaubt wird.
Von daher besteht die Möglichkeit, dass die DSGVO ein „anderes Gesetz“ ist, welches die selbständige Erbringung außergerichtlicher Rechtsdienstleistungen erlaubt. Die Regelungen der DSGVO über die Befugnis, Rechtsdienstleistung zu erbringen, würden durch das RDG nicht berührt. Andererseits könnte das RDG selbst die Erbringung erlauben, weil die Datenschutzberatung i.S.d. DSGVO eine Rechtsdienstleistung ist, die im Zusammenhang mit der Tätigkeit der Datenschutzbeauftragten erfolgt. Die Beratung müsste dann eine Nebenleistung zum Berufs- oder Tätigkeitsbild der Datenschutzbeauftragten sein.
Der AGH hat ausgeführt, dass die von einer externen Datenschutzbeauftragten erbrachten Rechtsdienstleistungen durch oder aufgrund anderer Gesetze als dem Rechtsdienstleistungs-Gesetz erlaubt seien. Die Regelungen der DSGVO sowie des BDSG zur Stellung und zu den Aufgaben der Datenschutzbeauftragten würden das Aufgabenfeld der Datenschutzbeauftragten hinreichend konkret beschreiben. Somit sei die Befugnis gegeben, auch die in den Vorschriften genannten rechtsberatenden Aufgaben wahrzunehmen.
Selbst wenn man dieser Auffassung nicht folgen würde, so handele es sich bei der Rechtsdienstleistung durch Datenschutzbeauftragte um eine Nebenleistung im Sinne von § 5 Abs. 1 RDG. Danach sind Rechtsdienstleistungen im Zusammenhang mit einer anderen Tätigkeit erlaubt, wenn sie als Nebenleistung zum Berufs- oder Tätigkeitsbild gehören. Dies hat der AGH bejaht. Zwischen der Haupttätigkeit einer Datenschutzbeauftragten und der rechtsdienstleistenden Nebenleistung bestehe ein sachlicher Zusammenhang. Ebenso seien für die Erbringung der Hauptleistung einer Datenschutzbeauftragten im erheblichen Umfang Rechtskenntnisse erforderlich. Dabei stünden die rechtsdienstleistenden Tätigkeiten nach Auffassung des AGH nicht im Vordergrund der typischen Tätigkeit einer Datenschutzbeauftragten. Im Vordergrund stehe nicht die Klärung rechtlicher Verhältnisse im Einzelfall, sondern die Prüfung von Verhaltensweisen und technischen Abläufen im Hinblick auf die Konformität mit datenschutzrechtlichen Bestimmungen. Auch wenn die datenschutzrechtlichen Bestimmungen sehr komplex seien und ihre Anwendung nicht einfache rechtliche Wertung voraussetzten, so stünde doch die rechtsleistende Tätigkeit nicht im Vordergrund.
Im Ergebnis liegt somit ein Urteil vor, welches die Einordnung der Datenschutzberatung als Rechtsdienstleistung bestätigt und zwei Argumentationswege für ihre Zulässigkeit nach dem RDG bietet. Gegen das Urteil ist jedoch noch die Berufung zulässig.
ERLAUBTE RECHTSDIENSTLEISTUNG NUR BEI BENENNUNG
Das Erfordernis der Benennung
Erlaubt ist die Erbringung einer Rechtsdienstleistung jedoch nur für „benannte“ externe Datenschutzbeauftragte. Die DSGVO sieht in Art. 37 vor, wann eine Datenschutzbeauftragte zu benennen ist. Ergänzt wird diese Regelung durch die nationale Vorschrift des § 38 BDSG für Datenschutzbeauftragte nicht-öffentlicher Stellen. Nur wenn die nach § 38 BDSG oder Art. 37 DSGVO genannten Bedingungen vorliegen, hat ein Verantwortlicher oder Auftragsverarbeiter eine Datenschutzbeauftragte zu benennen. Die Stellung der benannten Datenschutzbeauftragten folgt aus Art. 38 DSGVO und die Aufgaben aus Art. 39 DSGVO.
Somit ist in den Fällen, in denen eine Datenschutzbeauftragte zwingend zu benennen ist auch kein Konflikt mit dem RDG gegeben. Daraus folgt, dass eine Datenschutzberatung nicht möglich ist, weil sie eine unerlaubte Rechtsdienstleistung darstellt, wenn keine ordnungsgemäße Benennung vorliegt.
HILFT DIE BEAUFTRAGUNG EINES RECHTSANWALTS
Beauftragung eines Rechtsanwalts
Aufgrund der Beschränkungen des RDG könnten Unternehmen, die allgemein Datenschutzberatung anbieten, oder z.B. Webagenturen, die auch die Erstellung der Datenschutzerklärung anbieten, auf die Idee kommen, zur Erfüllung ihrer Leistungen eine(n) externe(n) Rechtsanwalt(in) zu beauftragen. Dies ist jedoch rechtlich nicht zulässig. Unternehmen ohne eine Erlaubnis zur Erbringung von Rechtsdienstleistungen dürfen auch keine(n) Rechtsanwalt/Rechtsanwältin beauftragen, um die von ihnen vertraglich geschuldete Leistung zu erbringen. Vertragspartner des Kunden/der Kundin ist das Unternehmen, dass keine Erlaubnis zur Rechtsberatung hat. Auch wenn das Unternehmen zur Erfüllung seiner vertraglich geschuldeten Leistung selbst eine(n) Anwalt beauftragen würde, so bleibt es doch das Unternehmen selbst, das die Rechtsberatung schuldet. Die unzulässige Rechtsdienstleistung gegenüber dem Kunden/Kundin wird nicht dadurch rechtlich zulässig, dass sich das Unternehmen zur Erfüllung seiner Verpflichtung eines/r Rechtsanwalts/Rechstsanwältin als Erfüllungsgehilfen bedient. Dies gilt daher auch für „nicht-benannte“ Datenschutzbeauftragte oder Webagenturen, die die Erstellung der Datenschutzerklärung einer Webseite durch eine(n) von ihnen beauftragte(n) Anwalt/Anwältin vornehmen lassen. Ebenso wird eine unerlaubte Rechtsberatung in den Fällen vorliegen, in denen „benannte“ Datenschutzbeauftragte das Datenschutzrecht verlassen, um z.B. vertragliche Erklärungen zu erstellen oder datenschutzrechtliche Abmahnungen zu bearbeiten.
Diese Argumentation der unerlaubten Rechtsberatung ist aber in den Fällen ausgeschlossen, in denen die Erbringung von Rechtsdienstleistungen durch das Unternehmen selbst zulässig ist und es zusätzlich einen externen Rechtsanwalt beauftragt.
KEIN GELD BEI UNERLAUBTER RECHTSDIENSTLEISUNG
Die Nichtigkeit des Vertrages
Bleibt zu guter Letzt noch die Frage, was mit einem Anspruch auf Bezahlung ist, wenn ein Verstoß gegen das Rechtsdienstleistung-Gesetz vorliegt.
Liegt ein Verstoß gegen die Regelung des RDG durch eine unerlaubte Rechtsberatung vor, so führt dies zur (Teil) Nichtigkeit des Vertrages (§ 134 BGB). Eine Gesamtnichtigkeit wird vorliegen, wenn die rechtsberatende Tätigkeit einen nicht geringen Anteil an der Beratungstätigkeit ausmacht.
Der Schuldner der Zahlung kann sich je nach Sachlage auf die (Teil) Nichtigkeit des Vertrages berufen und somit die Zahlung des vereinbarten Entgelts an den Anspruchsteller verweigern. Eine Anspruch auf Werklohn würde somit z.B. nicht bestehen. Aufgrund der Nichtigkeit besteht keine vertragliche Forderung des Gläubigers auf Zahlung. Auch andere Rechtsgrundlagen, die einen Anspruch auf Zahlung gewähren würden, sind in der Regel nicht anwendbar. So hat das OLG Bremen in einem Urteil vom 30.09.2011 auch sogenannte bereicherungsrechtliche Ansprüche verneint, wenn dem Unternehmen der Verstoß gegen das gesetzliche Verbot durch das RDG vorgeworfen werden kann. Im entschiedenen Fall war es ein Wirtschaftsprüfungsunternehmen, dem das Gericht doch sehr deutlich, wenn auch juristisch, die Meinung sagte. Die Argumentation des Urteils ist ohne weiteres übertragbar auf „nicht-benannte“ Datenschutzbeauftragte oder Webagenturen, wenn diese datenschutzrechtlich beraten. Sie alle sind durch ihre berufliche Tätigkeit mit der Rechtslage vertraut und müssen die ihnen obliegenden Pflichten kennen. Bei Zweifeln sei auf die umfangreiche Rechtsprechung und Literatur für die genannten Berufsgruppen im Hinblick auf ihre rechtlichen Verpflichtungen verwiesen.
Zu erwähnen bleibt noch, das auch die Idee einer Vermittlungsprovision nicht hilfreich ist. So dürfen z.B. Rechtsanwälte weder Provisionen zahlen noch entgegenehmen.
Sollten Sie Fragen zum rechtlichen zulässigen Umfang der Tätigkeit als benannter externer Datenschutzbeauftragter haben berate ich Sie gern.