Datenschutz im Fokus der Aufsichtsbehörden: So vermeiden Sie Ärger

| Die Aufsichtsbehörden hatten es im Jahr 2019 gleich mehrfach mit Kanzleien in Form von Auskunfts- und Informationsansprüchen der eigenen und auch der gegnerischen Mandanten, Fragen der richtigen Aktenentsorgung und der Kommunikationsverschlüsselung, sogenannten Gegnerlisten und Videoüberwachung zu tun. AK erläutert die in der Praxis des Datenschutzes entscheidenden Standpunkte der Aufsichtsbehörden und gibt Ihnen eine Richtschnur an die Hand, Ärger mit den zuständigen Aufsichtsbehörden in Ihrer Kanzlei zu vermeiden. |

1. Rechte Betroffener gegenüber Rechtsanwälten

Betroffene Personen können gegenüber von ihnen selbst mandatierten Rechtsanwälten Informations- und Auskunftsansprüche nach der DS-GVO geltend machen. Allerdings dürfen über diese Ansprüche nicht die Prozessgegner und deren Parteivertreter ausgeforscht werden.

a) Parteivertreter muss zur Auskunft verpflichtet sein

Die Aufsichtsbehörde Hessen (siehe auch 47. Tätigkeitsbericht, S. 129 ff.) erreichten in diesem Zusammenhang mehrere Beschwerden Betroffener, die Informationen und Auskünfte nach der DS-GVO über ihre personenbezogenen Daten begehrten. Diese betrafen u. a. die fehlende Datenschutzerklärung der jeweiligen Rechtsanwälte sowie mangelnde Aufklärung der Mandanten über die Rechte als Betroffene und Pflichten der Kanzleien aus der DS-GVO. Ein Betroffener rügte, dass seine an die Rechtsanwaltskanzlei gerichteten Anfragen trotz Berufung auf das „neue Datenschutzrecht“ ohne Erfolg geblieben seien. Allerdings fehlten in diesen Beschwerden oft Ausführungen dazu, in welchem Verhältnis die Beschwerdeführer zu den jeweiligen Rechtsanwälten standen. Die Aufsichtsbehörde monierte, dass häufig unklar blieb, ob es sich um eigene Mandanten der Rechtsanwälte oder um Mandanten der Gegenseite handelte. Insofern ist entscheidend, dass Mandanten gegenüber Rechtsanwälten ihre Betroffenenrechte aus der DS-GVO nur wirksam geltend machen können, wenn ein bestehendes oder wirksam beendetes Mandatsverhältnis den oder die Parteivertreter zur Auskunft verpflichtet.

b) Anwaltliche Verschwiegenheitspflicht

Nach Meinung der Aufsichtsbehörde Hessen dürfen Rechtsanwälte grundsätzlich personenbezogene Daten im Rahmen eines Mandatsverhältnisses verarbeiten, denn eine solche Verarbeitung ist zur Wahrung der berechtigten Interessen der Mandanten erforderlich (vgl. Art. 6 Abs. 1 lit. f DS-GVO). Sofern kein Mandatsverhältnis zu einer betroffenen Person besteht, die vom Rechtsanwalt Auskunft verlangt, kann und muss der Parteivertreter aufgrund der anwaltlichen Verschwiegenheitspflicht gemäß § 43a Abs. 2 BRAO die Informationen gemäß Art. 14 Abs. 5 Buchst. d DS-GVO unterlassen bzw. die Auskunft gemäß § 29 Abs. 1 S. 2 BDSG verweigern. Art. 14 Abs. 5 Buchst. d DS-GVO sieht nämlich ausdrücklich vor, dass die Pflicht zur Information gemäß Art. 14 Abs. 1 bis 4 DS-GVO nicht besteht, wenn und soweit die personenbezogenen Daten gemäß dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

Zudem gibt es nach § 29 Abs. 1 S. 2 BDSG kein Recht auf Auskunft gemäß Art. 15 DS-GVO, soweit durch diese Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach geheim gehalten werden müssen. Eine solche Rechtsvorschrift ist im Bereich der anwaltlichen Interessenvertretung die Verschwiegenheitspflicht des Rechtsanwalts gemäß § 43a BRAO.

c) Weitere Beschränkung der Informationspflicht

§ 29 Abs. 2 BDSG schränkt darüber hinaus die Informationspflicht gemäß Art. 13 Abs. 3 DS-GVO für Rechtsanwälte ein. Diese Norm betrifft die Rechtsbeziehung zwischen den Mandanten des Rechtsanwalts und vom Mandatsverhältnis betroffenen Dritten. Werden personenbezogene Daten solcher Dritter im Rahmen eines Mandatsverhältnisses an einen Rechtsanwalt weitergegeben, besteht eine Informationspflicht des Rechtsanwalts als Berufsgeheimnisträger nur dann, wenn das Interesse des Dritten ausnahmsweise die anwaltliche Schweigepflicht überwiegt. Hierbei wird im Regelfall von einem Überwiegen des Geheimhaltungsinteresses des Berufsgeheimnisträgers auszugehen sein. Diese Einschränkung der Informationspflicht dient dem Schutz der ungehinderten Kommunikation zwischen Mandant und Rechtsanwalt.

2. Entsorgung von Akten bei Berufsgeheimnisträgern

Besondere Sorgfalt ist bei der Entsorgung von Akten bei Berufsgeheimnisträgern geboten. Maßgeblich ist hier nach wie vor die DIN 66399, worauf die bayerische Aufsichtsbehörde ausdrücklich hinweist (S. 63 des 8. Tätigkeitsberichts). Diese Norm regelt die Vernichtung von Datenträgern und stellt nach Art und Sensibilität der auf den Datenträgern enthaltenen ‒ zu vernichtenden ‒ Daten Zuordnungen in drei Schutzklassen und sieben Sicherheitsstufen auf.

Bei Akten von Rechtsanwälten als Berufsgeheimnisträgern handelt es sich regelmäßig um besondere Kategorien personenbezogener Daten i. S. d. Art. 9 DS-GVO, die dem auch strafrechtlich sanktionierten Berufsgeheimnis unterliegen. Der Schutzbedarf der Daten ist deshalb sehr hoch (Schutzklasse 3). In diesem Bereich sind für die Vernichtung von Papierdatenträgern die Sicherheitsstufen P4 bis P7 vorgesehen.

Sollen die bei der Vernichtung anfallenden Papierschnipsel im normalen Hausmüll bzw. in der Papiertonne der Kanzlei entsorgt werden, ist nach der vom ganz überwiegenden Teil der Literatur geteilten Meinung der bayerischen Aufsichtsbehörde ein Schredder mit Sicherheitsstufe P5 erforderlich. Ohnehin ist die Sicherheitsstufe P5 nach DIN 66399 für Datenträger mit geheim zu haltenden Daten empfohlen, also auch solchen, die dem Berufsgeheimnis unterliegen.

3. Auskunftspflichten

Die Aufsichtsbehörde des Landes Baden-Württemberg betont in ihrem Tätigkeitsbericht (34. Tätigkeitsbericht, S. 99 ff.), dass § 29 Abs. 1 BDSG u. a. Rechtsanwälte insoweit privilegiert, als sie von bestimmten Pflichten freigestellt sind, denen andere für den Datenschutz Verantwortliche gegenüber betroffenen Personen unterliegen. Dies ist etwa die Pflicht, Verfahrens- oder Prozessgegnern Auskunft zu geben, welche Daten sie im Rahmen des Mandatsverhältnisses verarbeiten und woher diese Daten stammen (Art. 15 DS-GVO).

Viele Beschwerden an die Aufsichtsbehörde betrafen die verweigerte Auskunft über Daten, die Rechtsanwälte im Rahmen von Mandatsverhältnissen speicherten und verarbeiteten. Diesen blieb aber wegen der genannten Ausnahmebestimmung regelmäßig der Erfolg versagt. Bereits nach der bisherigen Rechtslage hatte die anwaltliche Schweigepflicht zur Folge, dass Rechtsanwälte über alles, was sie im Zusammenhang mit der Wahrnehmung eines Mandats erfahren hatten, gegenüber Dritten schweigen durften und mussten, was auch zahlreiche Gerichtsentscheidungen bestätigten. Angesichts dessen musste die Aufsichtsbehörde die Beschwerdeführer in ihrer Erwartung regelmäßig enttäuschen. Die Aufsichtsbehörde weist aber darauf hin, dass der eigene Mandant durchaus berechtigt ist, von seinem Anwalt zu erfahren, welche Daten dieser über ihn speichert und die Berufung auf das Mandatsgeheimnis und damit auf § 29 BDSG insofern fehlgeht. Entsprechende Ansprüche dürften aus der vertraglichen Beziehung (Geschäftsbesorgungsvertrag) herzuleiten sein. Konkrete Beschwerden zu diesem Themenfeld lagen der Baden-Württembergischen Aufsichtsbehörde bisher allerdings nicht vor.

4. Kommunikation per unverschlüsselter E-Mail

Nach Auffassung der Aufsichtsbehörde haben die wiederholten Warnungen vor den Risiken der unverschlüsselten Kontaktaufnahme ohne Schutzvorkehrungen gegen unbefugte Kenntnisnahme durch Dritte zu einem gesteigerten Datenschutzbewusstsein bei Mandanten geführt. Sie rügt ausdrücklich, dass gerade Rechtsanwälte, die ansonsten regelmäßig ihre anwaltliche Schweigepflicht betonen, sich in dieser Frage verhältnismäßig unbedarft und leichtfertig verhielten. Unbeschadet sonstiger rechtlicher Geheimhaltungspflichten gelte der Datenschutzgrundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DS-GVO) sowie die Verpflichtung auf die Sicherheit der Verarbeitung (Art. 32 DS-GVO) auch für Rechtsanwälte. Das bedeute insbesondere, dass personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen seien. Für die E-Mail-Kommunikation, die bekanntlich Möglichkeiten der unbefugten Kenntnisnahme eröffne, bedeute dies, dass grundsätzlich eine Pflicht zur Ende-zu-Ende-Verschlüsselung bestehe. Da dies von vielen Rechtsanwälten ignoriert werde, habe sich die Aufsichtsbehörde an die Rechtsanwaltskammern gewandt.

Beachten Sie | In der Praxis dürfte diesem Problem durch die neue Fassung des § 2 Abs. 2 BORA aber ohnehin der Boden entzogen sein. Die am 1.1.20 in Kraft getretene Neufassung dieser Norm sieht vor, dass „zwischen Rechtsanwalt und Mandant die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt ist, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt“.

5. Gegnerlisten

Die Aufsichtsbehörde Baden-Württemberg kritisiert im Zusammenhang mit sogenannten Gegnerlisten, dass durch diese im Internet unbescholtene Bürger in einem Atemzug mit Rechtsbrechern angeprangert würden. Es handele sich dabei um anwaltliche Werbemaßnahmen, mit deren Hilfe Rechtsanwälte anhand der Zahl der gewonnenen Verfahren auf ihre Fachkompetenz hinweisen wollten. Zwar habe das BVerfG (12.12.07, 1 BvR 1625/06) solche Methoden der Eigenwerbung für zulässig erklärt. Etliche Urteile der Instanzgerichte hätten diese Berechtigung jedoch insoweit eingeschränkt, als die namentliche Nennung von Privatpersonen in solchen Listen als unzulässiger Eingriff in das Persönlichkeitsrecht der Betroffenen gewertet werde. Vor dem Hintergrund der durch die DS-GVO mittlerweile geänderten datenschutzrechtlichen Rahmenbedingungen sei Eingriffen in das Datenschutzgrundrecht (Art. 8 der Grundrechte der Charta der Europäischen Union) im Verhältnis zu nationalem Recht aktuell größere Bedeutung zuzumessen. Rechtsanwälten ist deshalb zu raten, bei Werbemaßnahmen in eigener Sache künftig sensibel auch mit persönlichen Daten ehemaliger Prozessgegner umzugehen.

Weiterführender Hinweis

• Beachtet der Kanzleiinhaber die Vorgaben der DS-GVO, bleibt innerhalb dieses Rahmens vieles möglich, wie z. B. unverschlüsselte Kommunikation und das Führen von Gegnerlisten. Dies gilt auch für die Vorgaben, die § 4 Abs. 1 bis 5 BDSG und Art. 6 Abs. 1 S. 1 DS-GVO an die Zulässigkeit der Videoüberwachung innerhalb und außerhalb der Kanzlei stellen und die Gegenstand eines Folgebeitrags sein werden.