Das Thema Datenschutz beim Rechtsanwalt steht auch im Rahmen der DSGVO weiter im Fokus von Anwälten und Mandanten gleichermaßen. Dieser Beitrag gibt daher ein Update zur Rechtslage nach der DSGVO.
Der Inhalt im Überblick
Verschwiegenheitsverpflichtung des Rechtsanwalts
Die DSGVO kennt keine Bereichsausnahme für Rechtsanwälte. Daher ist grundsätzlich auch von einer Anwendbarkeit auf Rechtsanwälte auszugehen. Im Konfliktfall geht allerdings das Mandatsgeheimnis nach §§ 43 ab Abs. 2 BRAO, § 2 BORA vor. Wie zuvor § 1 Abs. 3 S. 2 BDSG aF besagt auch § 1 Abs. 2 S. 3 BDSG:
„Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.“
Die Verschwiegenheitspflicht des Anwalts ist, wie bei anderen Berufsgeheimnisträgern (z.B. Ärzten) auch, durch § 203 StGB strafrechtlich abgesichert. Sie bezieht sich auf alles, was dem Rechtsanwalt in Ausübung seines Berufes bekannt geworden ist und fasst damit alle mit dem Mandat zusammenhänge Inhalte und Daten.
Externe Dienstleister
Durch die Einbeziehung externer Dienstleister der Rechtsanwälte in den Adressatenkreis des § 203 StGB (in Abs. 3) ist eine Weitergabe von mandatsbezogenen Informationen ohne Verletzung des Mandatsgeheimnisses möglich,
„soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit (…) mitwirken.“
§ 43 e BRAO enthält Auswahlkriterien und Voraussetzungen für die Inanspruchnahme externer Dienstleister. Dienstleister sind nach § 43 a Abs. 2 BRAO wie eigene Mitarbeiter auf die Vertraulichkeit zu verpflichten.
Anforderungen an eine sichere Kommunikation
§ 2 Abs. 2 BORA regelt, dass zur Gewährleistung der Verschwiegenheitspflicht geeignete „organisatorische und technische Maßnahmen“ zu ergreifen sind. Diese müssen angemessen für den Schutz personenbezogener Daten und außerdem für die Umsetzung des Anwaltsberufs zumutbar sein.
Hinsichtlich einer sicheren Kommunikation mit dem Mandanten regelt § 2 Abs. 2 S. 5 ff. BORA:
„Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.“
Zur Verfassungskonformität und Auslegung des § 2 BORA, insbesondere im Hinblick auf den Versand unverschlüsselter E-Mails, haben wir uns in der Vergangenheit in unserem Artikel „Ist die neue BORA-Norm zur Verschluesslung DSGVO-konform?“ beschäftigt.
Auskunftsersuchen von Aufsichtsbehörden und Betroffenen
Auch nach der Datenschutz-Grundverordnung muss unter Umständen der Auskunftsanspruch der Datenschutzaufsichtsbehörden nach Artikel 58 DSGVO und Betroffener nach Artikel 15 DSGVO gegen die Verschwiegenheitsverpflichtung des Rechtsanwalts zurückstehen.
Einschränkung des Auskunftsanspruchs der Behörde
Zum Auskunftsanspruch einer Aufsichtsbehörde, die sich im Rahmen ihrer Befugnisse nach Artikel 58 DSGVO an einen Rechtsanwalt oder anderen Geheimnisträger wendet, regelt § 29 Abs. 3 S. 1 BDSG:
„Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buchstabe e und f DSGVO nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde.“
Die Einschränkung gilt nur für das Recht auf Zugang zu allen personenbezogenen Daten und Informationen zur Erfüllung der behördlichen Aufgaben nach Artikel 58 Abs. 1 lit. e DSGVO, sowie für den Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen nach Art. 58 Abs. 1 lit. f DSGVO.
In diesen Fällen besteht ggf. also kein Auskunftsanspruch der Aufsichtsbehörden.
Gegenüber wem gilt die Einschränkung des Auskunftsrechts?
Die Einschränkung des Rechts auf Auskunft der Aufsichtsbehörden aus § 29 Abs. 3 BDSG besteht gegenüber Berufsgeheimnisträgern nach 203 Abs.1 StGB, aber auch gegenüber deren Gehilfen und in die Verarbeitung einbezogene externe Dienstleister, § 203 Abs. 3 StGB.
Wann gilt die Einschränkung des Auskunftsrechts?
Bei personenbezogenen Daten i.S.d. § 29 Abs. 3 BDSG, muss es sich um Daten handeln, die bei Ausübung der geheimnisverpflichteten Tätigkeit erworben wurden.
Die Öffnungsklausel des Art. 90 Abs. 1 Satz 1 DSGVO knüpft an den Erlass von nationalen Regelungen die Bedingung, dass diese verhältnismäßig und notwendig sind, um das Recht auf Schutz der personenbezogenen Daten des Betroffenen mit der Geheimhaltungsverpflichtung zu vereinbaren. Regelmäßig wird daher davon auszugehen sein, dass die vom Auskunftsersuchen umfassten personenbezogenen Daten in Ausübung des Mandatsgehemnisses erlangt wurden. Damit wäre ein Preisgeben in den oben genannten Fällen grundsätzlich ein Verstoß gegen das Mandatsgeheimnis.
Auskunftsersuchen Dritter
Nach Artikel 15 DSGVO hat die von der Verarbeitung betroffene Person einen Auskunftsanspruch. Informationen wann ein solcher rechtmäßig ist und wie eine Auskunft richtig erteilt wird haben wir in unserem Artikel „Auskunft richtig erteilen – innerhalb der Frist“ für Sie zusammengefasst.
Zum Verhältnis Auskunftsanspruch und (berufsrechtliche) Geheimhaltungspflicht stellt § 29 Abs. 1 S. 2 BDSG klar:
„Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 DSGVO besteht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.“
§ 29 Abs. 1 Satz 2 BDSG schränkt das Auskunftsrecht aus Artikel 15 DSGVO insofern ein, als geheimhaltungsbedürftige Informationen offenbart würden.
Maßgeblich für das Bestehen einer Geheimhaltungsverpflichtung ist dem Wortlaut nach, dass die Informationen ihrem Wesen nach, insbesondere wegen der überwiegenden Interessen eines Dritten, geheim gehalten werden müssen. Durch die Verwendung des Wortes „insbesondere“, ist die Vorschrift auch auf andere, als auf berechtigtem Interesse begründete, Umstände anwendbar, soweit diese einer Geheimhaltungspflicht unterfallen.
Die Einschränkung des Auskunftsrechts besteht aber dann nicht, wenn personenbezogene Daten betroffen sind, die nicht im Rahmen eines Mandatsverhältnisses erhoben wurden, wie z.B. Lieferanten-, oder Mitarbeiterdaten.
Mitteilung der Gründe der Ablehnung des Auskunftsersuchens
Sehr umstritten ist auch, ob dem Betroffenen die Gründe für die Ablehnung des Auskunftsbegehrens durch den Berufsgeheimnisträger mitgeteilt werden müssen.
Eine entsprechende Forderung des Bundesrats im Gesetzgebungsverfahren zur Aufnahme einer ausdrücklichen Befreiung von der Erklärungspflicht wurde nicht umgesetzt (BT-Drs. 18/11655, 27). Nach altem Recht (§ 34 BDSG aF) wurde vertreten, dass eine unbegründete Ablehnung eines Auskunftsersuchens nicht zulässig war. Begründung dafür war u.a., dass dem Betroffenen mangels Kenntnis über das Vorhandensein von persönlichen Informationen, sonst die Möglichkeit genommen wurde den Rechtsweg zu beschreiten.
Der Sinn und Zweck des § 29 BDSG ist aber der umfassende Schutz von Berufsgeheimnissen. Nach der oben stehenden Ansicht, war der Schutz des Mandatsgeheimnisses allerdings nicht umfassend gewährleistet. Vielmehr sollte eine Ablehnung des Auskunftsersuchens mit Hinweis auf das Nichtbestehen eines Auskunftsanspruches ausreichend sein.
Bestellung eines Datenschutzbeauftragten
Da die DSGVO grundsätzlich auch auf Kanzleien anwendbar ist, ist ein Datenschutzbeauftragter zu benennen, wenn zumindest 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (Artikel 37 DSGVO; § 38 BDSG).
Dennoch sind auch kleine Kanzleien unter zehn Mitarbeitern nach Datenschutzrecht verantwortliche Stelle. Es ist daher auch in diesen Fällen empfehlenswert, einen Datenschutzbeauftragten zu benennen, um den datenschutzrechtlichen Anforderungen gerecht werden zu können.
Ist die Auffassung der BRAK denn trotz des § 203 Abs. 2a StGB für externe Datenschutzbeauftragte noch aktuell??
Das stimmt, vielen Dank. Wir haben einen entsprechenden Hinweis zur Klarstellung mit aufgenommen.
Vielen Dank für den Artikel. Datenschutz ist wichtig. Das gilt natürlich auch besonders für die Rechtsanwaltskanzlei .
Wie ist es jetzt unter der DSGVO?
Eine Gesamtbetrachtung übersteigt den Umfang eines Kommentars, wird diesen Monat aber noch Gegenstand eines Blogbeitrags sein.
Frage zum Auskuftsrecht nach Art. 15, Firma wurde mit Auskunftersuchen angeschrieben, hat jedoch alle Daten daraufhin gelöscht und alles bei seinem RA deponiert. Entgeht er so einer Auskuftspflicht oder muss der RA dann eine Auskunft erteilen ?
Bitte beachten Sie, dass wir im Rahmen des Blogs keine rechtliche Bewertung von Einzelfällen vornehmen dürfen. Allgemein lässt sich sagen, dass z.B. nach Ansicht der österreichischen DSB die Vorgehensweise von Verantwortlichen, nach Eingang eines Auskunftsbegehrens, die angefragten personenbezogene Daten zu löschen und danach keine oder eine Negativauskunft zu erteilen, einen Verstoß gegen den Grundsatz der Verarbeitung nach Treu und Glauben und damit verbunden eine Verletzung des Rechts auf Auskunft (Art 15 iVm Art 5 Abs. 1 lit. a DSGVO) darstellt und somit aufsichtsbehördliche Sanktionen nach sich ziehen kann.
Wie kann denn eine Kanzlei einen Newsletter an Mandanten schicken? Toller Artikel übrigens. Danke
Ich weiß nicht, ob wir die Frage richtig verstehen. Grundsätzlich werden in einem Newsletter wohl eher keine Informationen versandt, die dem Mandatsgeheimnis unterliegen, womit die Ausführungen des Beitrags nicht einschlägig wären. Vielmehr richtet sich dieser nach den allgemeinen Vorgaben der DSGVO und UWG siehe z.B: E-Mail-Werbung nach DSGVO und UWG: Was ist erlaubt?. Bei der Auswahl eines Dienstleisters ist die Drittlandsproblematik zu berücksichtigen, wie im Beitrag Unzulässiger Einsatz von Mailchimp und die Folgen geschildert.
Mit erscheint, dass im letzte Absatz vergessen wurde, die Zahl „zehn“ auf „zwanzig“ zu ändern (im vorletzten Absatz steht es noch richtig):
„Dennoch sind auch kleine Kanzleien unter zehn Mitarbeitern nach Datenschutzrecht verantwortliche Stelle.“
Vielen Dank für den Hinweis. Allerdings zielt der von Ihnen hervorgehobene Satz auf die Definition der verantwortlichen Stelle nach DSGVO nicht auf die Schwelle für die Bestellung eines Datenschutzbeauftragten ab.