Auch Rechtsanwälte müssen handeln

| Am 25.5.18 treten die neue EU-Datenschutzgrundverordnung (DSGVO) und eine Neufassung des Bundesdatenschutzgesetzes (BDSG-Neu) in Kraft. Insbesondere das in der DSGVO normierte neue Haftungsregime und die im Vergleich zur bisherigen Rechtslage empfindliche Ordnungsgeldandrohung für Datenschutzverstöße haben das Datenschutzrecht vom Rand- zu einem zentralen Compliance-Thema gemacht. Spätestens seit Veröffentlichung der DSGVO im Amtsblatt der EU im Mai 2016 ist daher ein rasanter Anstieg an rechtsanwaltlichem Beratungsbedarf aus allen Wirtschaftszweigen festzustellen. Gut für die Kolleginnen und Kollegen, die sich mit dem Themengebiet befassen. Aber sind diese wirklich die einzigen, die die Neuregelung interessieren sollte? Nein! Denn jeder Rechtsanwalt ist unmittelbar betroffen. |

1. Grundsatz: Datenschutz auch für Anwälte Pflicht

Bislang zeigte sich oft ein geringes Interesse, teilweise sogar eine gewisse Abwehrhaltung bei Rechtsanwälten, wenn es darum ging, Datenschutz und Datensicherheit in der eigenen Kanzlei zu thematisieren. Oft war die Frage zu hören: Müssen wir als Rechtsanwälte überhaupt das Datenschutzrecht beachten ‒ wir sind doch ohnehin über die berufliche Verschwiegenheitspflicht daran gebunden? Die Antwort lautet nicht nur einfach „ja“, sondern „ja, gerade weil wir als Rechtsanwälte einer besonderen Verschwiegenheitspflicht unterfallen“! Gerade diese sollte Rechtsanwälte dazu anhalten, sich mit Fragen des Datenschutzrechts und der Datensicherheit näher zu befassen, denn ein Datenleck in der eigenen Kanzlei ist nicht nur datenschutzrechtlich erheblich, sondern in der Regel zugleich straf- und berufsrechtlich relevant.

Es ist also Zeit zum Umdenken: Nur der, der Risiken erkennt, kann auch Maßnahmen ergreifen, um sie zu beseitigen. Die Risiken sind jedoch hoch und vielfältig und sie werden sich mit Inkrafttreten der DSGVO weiter erhöhen. Denn auch Rechtsanwälte unterfallen bei der Verarbeitung personenbezogener Daten dem Anwendungsbereich der DSGVO.

2. Ausnahme nur im Rahmen der Mandatsbearbeitung

Eine Ausnahme von der generellen Anwendbarkeit der DSGVO gibt es dort, wo die DSGVO und die mit ihr normierten Rechenschafts-, Transparenz-, Auskunfts- und Dokumentationspflichten mit dem anwaltlichen Berufsrecht kollidieren bzw. die Gefahr besteht, dass die Befolgung der Verordnung mit einer Aufweichung der anwaltlichen Verschwiegenheitspflichten einhergeht.

a) Keine Zutritts- und Zugangsrechte der Aufsichtsbehörden

Daher unterfällt der Rechtsanwalt auch künftig keiner Vor-Ort-Kontrolle durch die Datenschutzaufsicht. Diese kann weder Zutritt zu den Kanzleiräumlichkeiten, noch Zugang zu den mandatsbezogenen Aufzeichnungen (insbesondere also den Handakten) des Rechtsanwalts verlangen (vgl. § 29 Abs. 3 BDSG-Neu).

b) Informationspflichten, Auskunfts- und Widerspruchrechte eingeschränkt

Ebenso eingeschränkt werden die in die DSGVO aufgenommenen Verpflichtungen zur aktiven Information der betroffenen Person über aufgenommene Verarbeitungsvorgänge (Art. 13, 14 DSGVO). So besteht eine Pflicht zur Information der betroffenen Person gemäß Art. 14 Abs. 1 bis 4 DSGVO nicht, soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen (§ 29 Abs. 1 S. 1 BDSG-Neu), was insbesondere der Fall sein soll, wenn Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverhältnisses durch den Rechtsanwalt verarbeitet werden. In einem solchen Fall besteht ‒ mangels Auskunftspflicht über die für die Verarbeitung herangezogenen Rechtsgrundlagen ‒ auch ein Widerspruchsrecht der betroffenen Person (Art. 21 DSGVO) nicht. Das Anwalts-Mandanten-Verhältnis soll nicht durch Informationspflichten belastet, eine effektive Rechtsverteidigung und -vertretung nicht durch eine Benachrichtigung der generischen Partei behindert werden. Daher sind auch die Informationspflichten des Mandanten gegenüber Dritten suspendiert, soweit dieser zur Wahrnehmung seiner Rechte personenbezogene Daten Dritter (Gegner, Schuldner, Drittschuldner usw.) an einen Rechtsanwalt übermittelt (§ 29 Abs. 2 BDSG-Neu).

Der Rechtsanwalt schuldet der betroffenen Person (mit Ausnahme des eigenen Mandanten) generell auch keine Auskunft über die durch ihn verarbeiteten personenbezogenen Daten (§ 29 Abs. 1 S. 2 BDSG-Neu). Auch die Pflicht zur Benachrichtigung der betroffenen Person bei schwerwiegenden Datenschutzverstößen (Art. 34 DSGVO) besteht für Rechtsanwältet nicht (§ 29 Abs. 1 S. 3 BDSG-Neu).

c) Fraglich: Verzeichnis von Verarbeitungstätigkeiten

Art. 30 DSGVO verpflichtet jeden Verantwortlichen dazu, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. Das sog. Verarbeitungsverzeichnis geht dabei über das hinaus, was bisher als sog. internes Verfahrensverzeichnis in Deutschland bekannt war. Die Konferenz der Landesdatenschutzbeauftragten in Deutschland hat hierzu kürzlich Erstellungshinweise veröffentlicht (https://www.lfd.niedersachsen.de/download/120050). Hiernach sollen sich Inhalt und Umfang des Verzeichnisses nach Art und Größenordnung des Verantwortlichen richten. Das Verzeichnis muss die maßgeblichen Verarbeitungstätigkeiten eines Verantwortlichen in Einzelbeschreibungen erfassen, u.a. Angaben zu den von einer Verarbeitungstätigkeit betroffenen einzelnen Datenfeldern, zu Herkunft bzw. Quelle der Daten, Rechtsgrundlagen für die Verarbeitung, verantwortlichen Mitarbeiter, zugriffsberechtigten Personen sowie Zwecken denen eine Verarbeitungstätigkeit folgt. Art. 30 Abs. 5 DSGVO sieht zwar eine Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen vor, die jedoch nur eingreifen soll, wenn dort Verarbeitungen nicht nur gelegentlich erfolgen.

Die Konferenz der Landesdatenschutzbeauftragten weist darauf hin, dass bereits wegen der regelmäßig erfolgenden Lohnabrechnungen „kaum Unternehmen von der Pflicht eines solchen Verzeichnisses generell befreit sein“ dürften und eine Befreiung allenfalls bei Unternehmen, die diese Tätigkeiten komplett durch einen Steuerberater erledigen lassen, in Betracht kommen soll. Eine generelle Befreiung kleiner und mittlerer Kanzleien von der Verpflichtung zur Führung eines Verarbeitungsverzeichnisses existiert also jedenfalls nach Auffassung der deutschen Aufsichtsbehörden nicht.

Ob sich diese Rechtsauffassung durchsetzen wird, bleibt abzuwarten; jedenfalls lässt dieses restriktive Verständnis der Norm nur wenig Raum etwaige Ausnahmen. Dies wird wohl zu überdenken und ggf. durch den EuGH zu klären sein, da die in Art. 30 Abs. 5 DSGVO normierte Personengrenze gänzlich ausgehebelt wird, wenn man allein auf das Kriterium der Regelmäßigkeit abstellen möchte.

3. Anwendbarkeit der DSGVO im Übrigen

Unbeschadet der vorstehenden Bereichsausnahmen bleib die DSGVO auf für Rechtsanwälte anwendbar.

a) Technische und organisatorische Maßnahmen im Stand der Technik

Dies bedeutet: Rechtsanwälte müssen insbesondere die nach Art. 32 DSGVO geforderten Sicherheitsmaßnahmen ergreifen müssen. Diese müssen sich am Stand der Technik orientieren, der z. B. in aktuellen Normen, (ISO, DIN, EN etc.) seinen Niederschlag findet. Der Grundsatz fordert zudem die Sicherstellung der Verfügbarkeit und Belastbarkeit der Systeme (=Betriebssicherheit). So kann z. B. ein plötzlicher Stromausfall Schäden an Datenbanken auslösen oder ein Blitzschlag, Feuer oder Wasser, vollständige Unternehmensnetzwerke zerstören. Integrität und Vertraulichkeit erfordern daher mehr als die reine technische Datensicherung und -sicherheit, sodass der Rechtsanwalt etwa Folgendes vorhalten muss:

• Zugriffskonzepte,

• Zutrittspläne einschl. Schlüsseldokumentation,

• Dokumentationen der Zugänge,

• Notfallhandbücher einschließlich Datensicherungskonzepten,

• Dokumentation über durchgeführte Rücksicherungstests,

• Verschlüsselungskonzepte,
Antivirenkonzepte und

• Dokumentationen der Sicherheitskonfiguration (Firewall, Router, Gateway, Proxy-Server, etc.).

Die Übermittlung „unverschlüsselter“ E-Mails dürfte damit ebenso kritisch zu sehen sein, wie der Betrieb von Routern aus dem Bau- oder Supermarkt oder Heim-PCs, die als Server umfunktioniert werden.

b) Datenschutzbeauftragter

Rechtsanwaltskanzleien, jedenfalls die, die regelmäßig mehr als 10 Personen beschäftigen, sind zudem verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen (Art. 37 DSGVO, § 38 BDSG-Neu). Soweit die rechtsanwaltliche Tätigkeit die umfangreiche, regelmäßige und systematische Überwachung natürlicher Personen umfasst (z. B. bei Inkassotätigkeiten oder umfangreicher Abmahntätigkeit) oder primär auf die Strafverteidigung ausgerichtet ist, und diese nicht nur in geringem Umfange erfolgt, kann auch bei geringerer Beschäftigtenzahl eine Verpflichtung zur Bestellung bestehen.

c) Auftragsverarbeitungsvereinbarungen prüfen oder abschließen

Oft beschäftigen Rechtsanwälte, um die ihnen übertragenen Aufgaben zu erfüllen, Dienstleister ‒ wie regelmäßig im Zusammenhang mit der Wartung- und Pflege von Kanzleisystemen anzutreffen. Oder sie greifen auf solche Dienstleister zurück, die im Rahmen ihrer Tätigkeit mit personenbezogenen Daten von Mitarbeitern der Kanzlei, Mandanten oder sonstigen Dritten in Kontakt kommen (können). Hier ist der Anwalt verpflichtet, die Dienstleister über eine sog. Auftragsverarbeitungsvereinbarung zu verpflichten, deren Anforderungen im Einzelnen in Art. 28 DSGVO geregelt und umschrieben werden.

In diesem Zusammenhang ist auch die sich aus der Neufassung des § 203 Abs. 4 S. 1 Nr. 1 StGB erwachsende Pflicht zu beachten, mitwirkende Personen zur Geheimhaltung zu verpflichten. Gerade im Zusammenhang der Auftragsverarbeitung ist eine gewisse Nachlässigkeit der Anwaltschaft festzustellen und berichten zahlreiche Anbieter von Rechtsanwaltssoftware davon, das lediglich 2 bis 5 Prozent aller Kunden bislang überhaupt an den Abschluss einer Auftragsverarbeitungsvereinbarung gedacht haben. Hier droht indes Ungemach, nachdem zu befürchten ist, dass sich Aufsichtsbehörden gezielt an derartige Dienstleister wenden und diese um die Herausgabe derartiger Vereinbarungen mit Rechtsanwälten ersuchen. Können dann nur 3 Prozent aller Kunden eine solche Vereinbarung nachweisen, droht den restlichen 97% Prozent ein empfindliches Ordnungsgeld, das bis zu 10 Mio. EUR reichen kann (Art. 83 DSGVO).

Hinzu kommt, dass die DSGVO zukünftig nicht nur den Verantwortlichen (also den Rechtsanwalt) zum Abschluss einer Auftragsverarbeitung verpflichtet, sondern auch den Auftragsverarbeiter sanktioniert, der seinerseits ohne eine Vereinbarung Leistungen im Auftrag erbringt. Auch diesem droht ein Ordnungsgeld bis zu 10 Mio. EUR; soweit Rechtsanwälte, wie bislang üblich, die regelmäßig von ihren Dienstleistern übermittelten Auftragsvereinbarungsverträge einfach in der Ablage „P“ lagern und nicht zurücksenden, droht hier zusätzlich ein Wegfall der Leistungspflicht des jeweiligen Dienstleisters und zwar (weil in der Nichtrücksendung eine Vereitelung eines Bedingungseintritts gesehen werden muss) unter Aufrechterhaltung der dem Dienstleister zustehenden Zahlungsansprüche.

d) Beschäftigtendatenschutz

Weiterhin sind die Vorgaben zum Beschäftigtendatenschutz (§ 26 BDSG-Neu) zu beachten.

e) Kontaktformulare im Internet, Newsletter-Angebote & Co.

Schließlich ist mit Blick auf die jüngste Rechtsprechung auch Vorsicht geboten, soweit auf den Internetseiten von Rechtsanwaltskanzleien Kontaktformulare bereitgehalten oder Newsletter-Angebote abonniert werden können. Einige Gerichte (z. B. OLG Köln 11.3.16, I-6 U 121/15; OLG Hamburg 27.6.13, 3 U 26/12; LG Hamburg 7.1.16, 315 O 550/15) sehen den Anbieter von Kontaktformularen dazu verpflichtet, diese in die Datenschutzerklärung nach § 13 TMG mit aufzunehmen und stufen die Nichteinhaltung dieser Verpflichtung zugleich als Wettbewerbsverstoß ein (a.A. LG Berlin 4.2.16, 52 O 394/15; siehe auch KG 29.4.11, 5 W 88/11 Like-Button; LG Frankfurt 16.10.14, 2-03 O 27/14).

Ebenso wird dies für den Einsatz von Webtrackern, wie Google Analytics, gesehen; auch diese sind in der Datenschutzerklärung gesondert zu erwähnen: Da selbige unter Einsatz von Cookie-Technologien arbeiten, empfiehlt sich zudem, eine hierauf bezogenen Einwilligungsschaltfläche im Internetangebot der Rechtsanwaltskanzlei zu etablieren, um rechtliche Auseinandersetzung zu vermeiden.