AGH NRW, Urt. v. 12.03.2021, 1 AGH 9/19
Die rechtsberatenden Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO sind eine durch Gesetz erlaubte Rechtsdienstleistung; eine als externe Datenschutzbeauftragte tätige Person kann als Syndikusrechtsanwältin zugelassen werden.
1. Überblick
Eine Volljuristin war als interne und externe Datenschutzbeauftragte tätig und begehrte die Zulassung als Syndikusrechtsanwältin. Streitig war, ob die Tätigkeit eines Datenschutzbeauftragten anwaltlich geprägte Rechtsberatung umfasst und ob die rechtsberatenden Aufgaben überhaupt erbracht werden dürfen, ohne gegen das Rechtsdienstleistungsgesetz zu verstoßen.
Fundstelle: AGH NRW, Urt. v. 12.03.2021, 1 AGH 9/19
2. Datenschutzberatung als erlaubte Rechtsdienstleistung
Der Anwaltsgerichtshof ging davon aus, dass die Aufgaben, die Art. 39 Abs. 1 DSGVO dem Datenschutzbeauftragten zuweist, in prägendem Umfang die rechtliche Prüfung des Einzelfalls und damit Rechtsdienstleistungen im Sinne des § 2 Abs. 1 RDG umfassen. Diese seien jedoch durch ein anderes Gesetz im Sinne des § 1 Abs. 3 RDG erlaubt: Art. 39 DSGVO weise dem Datenschutzbeauftragten ein hinreichend konkretes Aufgabenfeld zu und gestatte ihm damit zugleich, innerhalb dieses Bereichs rechtsberatend tätig zu werden. Einer gesonderten Registrierung nach dem RDG bedürfe es für diese gesetzlichen Aufgaben nicht.
3. Bedeutung für die Praxis
Die Entscheidung betrifft die Erlaubnispflicht externer Datenschutzbeauftragter nach dem RDG. Sie stützt die Auffassung, dass die gesetzlichen Aufgaben des Datenschutzbeauftragten ohne gesonderte RDG-Erlaubnis erbracht werden dürfen. Die Reichweite dieser Befugnis ist allerdings nicht abschließend geklärt: Nach der Gegenauffassung kann die Tätigkeit eines externen Datenschutzbeauftragten die Schwelle der erlaubnisfreien Nebenleistung (§ 5 Abs. 1 RDG) überschreiten, sobald im Einzelfall komplexe Rechtsfragen auch außerhalb des Datenschutzrechts zu beantworten sind. Eine höchstrichterliche Klärung steht aus.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
EuGH, Urt. v. 09.02.2023, C-453/21, X-FAB
Ein Interessenkonflikt nach Art. 38 Abs. 6 DSGVO besteht, wenn der Datenschutzbeauftragte zugleich Aufgaben wahrnimmt, mit denen er Zwecke und Mittel der Verarbeitung festlegt; die Beurteilung erfolgt im Einzelfall.
LAG Hamm, Urt. v. 06.10.2022, 18 Sa 271/22
Lohnabrechnung und Personalverwaltung für rund 80 Beschäftigte sind keine Kerntätigkeit im Sinne des Art. 37 Abs. 1 lit. b DSGVO; ein freiwillig benannter Datenschutzbeauftragter genießt keinen Sonderkündigungsschutz nach § 6 Abs. 4 BDSG.