Zu welchen Fragestellungen dürfen Dienstleister, die keine zugelassenen Rechtsanwälte sind, überhaupt im Datenschutzrecht beraten? Und was droht, wenn die Beratung unzulässig war?
Worum geht es?
Die Datenschutz-Grundverordnung (DSGVO) hat eine neue Beratungslandschaft entstehen lassen: Viele Organisationen, insbesondere kleine und mittlere Unternehmen, holen sich Hilfe bei der Umsetzung der datenschutzrechtlichen Anforderungen. Häufig werden IT-Dienstleister, Datenschutzberater oder Datenschutz-Coaches beauftragt.
Doch Vorsicht: Wer in Rechtsfragen berät, ohne dazu befugt zu sein, verstößt gegen das Rechtsdienstleistungsgesetz (RDG). Die Konsequenzen können gravierend sein – für Berater und ihre Kunden.
Wo ist das Problem?
Das RDG erlaubt Rechtsberatung in konkreten Einzelfällen nur unter engen Voraussetzungen – im Regelfall nur durch zugelassene Rechtsanwälte (§ 3 RDG). Nach § 2 Abs. 1 RDG ist eine Rechtsdienstleistung jede Tätigkeit in einer fremden Angelegenheit, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.
Gerade im Datenschutzbereich verschwimmen die Grenzen zwischen technischer Unterstützung und rechtlicher Bewertung. Wer eine Firewall einrichtet, handelt technisch. Wer aber beurteilt, ob eine Datenverarbeitung erlaubt ist, ob ein Vertrag zur Auftragsverarbeitung rechtens ist, ob eine DSFA notwendig ist und korrekt durchgeführt wurde, wer Datenschutzhinweise auf Konformität prüft oder beurteilt, ob eine Einwilligung wirksam ist, nimmt eine rechtliche Prüfung im Einzelfall vor und verstößt damit sofort gegen das RDG, falls er nicht als zugelassener Rechtsanwalt handelt.
Eine eng gesteckte (!) Ausnahme gibt es im RDG nur für (in diesem Fall: externe) Datenschutzbeauftragte, die ihre in Art. 39 DSGVO definierten Aufgaben erfüllen. Aber auch hier ist für nicht zugelassene Rechtsanwälte Vorsicht geboten: So kann man sich beispielsweise fragen, ob ein Datenschutzbeauftragter noch mitreden darf, wenn es um Haftungsverteilung, Vertragsstrafen, Regressregelungen, Kündigung usw. geht. Das hat streng genommen nichts mehr mit dem datenschutzrechtlichen Aufgaben des Datenschutzbeauftragten zu tun.
Welche Risiken bestehen für den nicht-anwaltlichen Berater?
Vertragsnichtigkeit (§ 134 BGB)
Ein Vertrag über eine nicht erlaubte Rechtsdienstleistung ist schlicht und ergreifend nichtig. Unschöne Folge: Der Berater hat keinen Anspruch auf sein Honorar – auch wenn die Leistung erbracht wurde.
Rückzahlungspflichten
Bereits gezahlte Beträge können vom Auftraggeber zurückgefordert werden. Es droht ein vollständiger Vergütungsverlust.
Bußgelder (§ 20 RDG)
Das RDG sieht Geldbußen bis zu 50.000 Euro für unbefugte Rechtsberatung vor.
Abmahnungen nach UWG
Rechtsanwälte oder aber auch Mitbewerber können den Berater unter Berufung auf § 3a UWG (Verstoß gegen Marktverhaltensregel) abmahnen.
Persönliche Haftung
Bei fehlerhafter Beratung haftet der Berater unter Umständen persönlich für Schäden oder behördliche Maßnahmen gegen das beratene Unternehmen. Zur Erinnerung: Der Vertrag, in dem möglicherweise etwas anderes geregelt war, ist nichtig.
Beispiel aus der Praxis: Architektenhaftung
Eine Entscheidung des BGH verdeutlicht, wie ernst die Rechtslage ist – auch außerhalb des Datenschutzes: In seinem Urteil vom 9. November 2000 (Az.: VII ZR 362/99) entschied der BGH, dass ein Architekt seinem Auftraggeber keine rechtliche Bewertung zu einem Bauvertrag hätte geben dürfen. Der Architekt hatte empfohlen, einen Bauvertrag zu kündigen – mit der Folge, dass der Bauherr Schadensersatz leisten musste. Der BGH stellte klar: Die Beratung war unerlaubte Rechtsdienstleistung, der Architekt haftete persönlich. Zitat:
„Ein Architekt ist […] nicht befugt, seinem Auftraggeber rechtliche Ratschläge zu erteilen, die über eine bloße Hilfestellung technischer Art hinausgehen und eine rechtliche Bewertung im Einzelfall darstellen.“
Dieser Fall lässt sich eins zu eins auf Datenschutzberater übertragen, die z. B. die Zulässigkeit bestimmter Verarbeitungen oder Vertragsgestaltungen beurteilen. Auch sie setzen sich ohne Zulassung erheblichen Haftungsrisiken aus.
Welche Risiken drohen Auftraggebern?
Auch wer eine solche Datenschutzberatung von einem nicht als Anwalt zugelassenen Consultant in Anspruch nimmt, kann am Ende die Folgen tragen:
- Scheinsicherheit: Der Auftraggeber verlässt sich auf eine Beratung, die im Zweifel rechtlich nicht voll belastbar ist.
- Keine Entlastung bei Verstößen: Die DSGVO kennt keine Exkulpation wegen „falscher Beratung“. Wer schlecht einkauft, haftet. Siehe dazu auch der Ratgeber zu Verantwortung, Haftung und Delegierbarkeit des Datenschutzes (von unserem Partner activeMind AG).
- Verantwortlichkeit bleibt: Das Unternehmen bleibt für etwaige Datenschutzverstöße immer selbst verantwortlich – völlig unabhängig vom Berater.
Fazit:
Beratung darf und sollte eingekauft werden – aber bitte rechtlich sauber und sicher!
Viele Datenschutzberater handeln in bester Absicht. Doch gute Absicht ersetzt keine rechtliche Befugnis. Wer im Einzelfall rechtlich beraten will, muss als Rechtsanwalt zugelassen sein – oder schweigen.
Empfehlungen für Unternehmen:
- Nur qualifizierte Rechtsanwälte mit der Einzelfallberatung beauftragen
- Beratungsverträge klar trennen in technische Unterstützung vs. rechtliche Beratung
