Was ist der Rechtsrahmen?

Die wichtigsten Normen für die digitale Kanzlei - BORA, BDSG und Co.

Verschwiegenheit und Datenschutz

Wer Daten verarbeitet, muss diese besonders schützen. Das gilt für analoge Daten genauso wie für digitale. Allerdings sind digitale Daten leichter verfügbar und schneller transportierbar, so dass man einige weitergehende Vorkehrungen treffen sollte.

Das Verhältnis zwischen dem Datenschutzgesetz und den Regelungen zur anwaltlichen Verschwiegenheit ist nicht ganz eindeutig. Jedenfalls sind beide Bereiche zu beachten.

Hier werden die wichtigsten rechtlichen Rahmenbedingen und die wichtigsten Thesen zur praktischen Umsetzung dargestellt.

Ganz neu und ganz spannend ist § 2 BORA. Nach einigem Hin und Her ist er am 1. Juli 2015 in Kraft getreten. Zuvor gab es u.a. Unstimmigkeiten mit dem Bundesministerium der Justiz und für Verbraucherschutz, die sich aus dem Verhältnis von § 203 StGB und der neuen berufsrechtlichen Regelung ergaben.

§ 2 BORA regelt die Pflicht zur Verschwiegenheit näher, die in § 43a Absatz 2 BRAO statuiert ist. Im Unterschied zum BDSG ist Anknüpfungspunkt nicht der Begriff der personenbezogenen, sondern der Begriff der mandatsbezogenen Daten. Die Verschwiegenheitspflicht erstreckt sich auf alle Daten, die dem Rechtsanwalt in Ausübung seines Berufes bekannt werden. Es gilt ein Verbot der Offenbarung gegenüber jedermann. Ausnahme sind lediglich offenkundige und bedeutungslose Tatsachen. Damit geht der Schutzbereich der Norm grundsätzlich über den des BDSG hinaus. Die Schutzrichtung unterscheidet sich jedoch: Die berufsrechtliche Verschwiegenheitspflicht schützt den Mandanten und den Anwalt, das BDSG schützt jeden Betroffenen.

Aber es gibt auch Ausnahmen von der Verschwiegenheitspflicht. Die in § 2 Absatz 3 BORA geregelten Konstellationen sind von enormer praktischer Bedeutung.

(1) Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet und berechtigt. Dies gilt auch nach Beendigung des Mandats.

(2) Ein Verstoß gegen die Pflicht zur Verschwiegenheit (§ 43a Abs. 2 Bundesrechtsanwaltsordnung) liegt nicht vor, soweit Gesetz und Recht eine Ausnahme fordern oder zulassen.

(3) Ein Verstoß ist nicht gegeben, soweit das Verhalten des Rechtsanwalts

a) mit Einwilligung erfolgt oder

b) zur Wahrnehmung berechtigter Interessen erforderlich ist, z. B. zur Durchsetzung oder Abwehr von Ansprüchen aus dem Mandatsverhältnis oder zur Verteidigung in eigener Sache, oder

c) im Rahmen der Arbeitsabläufe der Kanzlei einschließlich der Inanspruchnahme von Leistungen Dritter erfolgt und objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht (Sozialadäquanz).

Offen ist dabei vor allem die Frage, wie der Begriff der Sozialadäquanz in diesem Zusammenhang auszulegen ist, und wie Gerichte ihn ihm Streitfall auslegen werden. Ist die Unschärfe dieser Formulierung einerseits nachteilig, weil mit Unsicherheiten behaftet, ist sie andererseits zukunftsfähig: Sich wandelnde technische Gegebenheiten – und der Umgang damit – können ohne eine neuerliche Änderung des Wortlauts berücksichtigt werden.

Es erübrigen sich alle Fragen, wenn Sie die Einwilligung Ihres Mandanten einholen. Wenn Sie IT-Dienstleister, Cloudspeicher, ein externes Sekretariat oder andere Services nutzen, sollten Sie das jeweils aufführen. Nehmen Sie auch die Art und den Umfang der Daten oder Dokumente, die übermittelt werden, in die Einwilligungserklärung auf. Transparenz sorgt nicht nur für Rechtssicherheit, sondern auch für ein gutes Vertrauensverhältnis zwischen Mandant und Anwalt.

Besondere Aufmerksamkeit verdienen die Anforderungen, die sich aus Absatz 5 ergeben.

(4) Der Rechtsanwalt hat seine Mitarbeiter zur Verschwiegenheit schriftlich zu verpflichten und anzuhalten, auch soweit sie nicht im Mandat, sondern in sonstiger Weise für ihn tätig sind.

(5) Abs. 4 gilt auch hinsichtlich sonstiger Personen, deren Dienste der Rechtsanwalt in Anspruch nimmt und

a) denen er verschwiegenheitsgeschützte Tatsachen zur Kenntnis gibt oder

b) die sich gelegentlich ihrer Leistungserbringung Kenntnis von verschwiegenheitsgeschützten Tatsachen verschaffen können.

Nimmt der Rechtsanwalt die Dienste von Unternehmen in Anspruch, hat er diesen Unternehmen aufzuerlegen, ihre Mitarbeiter zur Verschwiegenheit über die Tatsachen gemäß Satz 1 zu verpflichten. Die Pflichten nach Satz 1 und Satz 2 gelten nicht, soweit die dienstleistenden Personen oder Unternehmen kraft Gesetzes zur Geheimhaltung verpflichtet sind oder sich aus dem Inhalt der Dienstleistung eine solche Pflicht offenkundig ergibt.

Falls noch nicht geschehen: Holen Sie Verschwiegenheitserklärungen von allen Dienstleistern ein, mit denen Sie Geschäftsbeziehungen pflegen. Und schwören sie diese Dienstleister darauf ein, wiederum ihre Mitarbeiter zur Verschwiegenheit zu verpflichten.

Können Sie den jeweils gewählten IT-Partner vor Ort vielleicht im Sinne dieser Vorschrift verpflichten, wird das bei Unternehmen wie Google oder Dropbox wohl wenig Aussicht auf Erfolg haben. Umso wichtiger ist deshalb, dass Sie die Unternehmen, derer Sie sich bedienen, sorgfältig aussuchen. Ansonsten greift unter Umständen Absatz 6 schneller als Ihnen lieb ist:

(6) Der Rechtsanwalt darf Personen und Unternehmen zur Mitarbeit im Mandat oder zu sonstigen Dienstleistungen nicht hinzuziehen, wenn ihm Umstände bekannt sind, aus denen sich konkrete Zweifel an der mit Blick auf die Verschwiegenheitspflicht erforderlichen Zuverlässigkeit ergeben und nach Überprüfung verbleiben.

PRAXISTIPP: Wenn sich Zweifel an der Zuverlässigkeit ergeben, sollten Sie Geschäftsbeziehung beenden. Es gibt immer eine Alternative.

Das BDSG schützt nach § 9 Absatz 1 personenbezogene Daten. Danach sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, die legal definiert „Betroffener“ genannt wird.

Besonders schützenswert sind gem. § 9 Absatz 9 übrigens Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Der Schutz von Arbeitnehmerdaten ist in § 32 BDSG geregelt.

Den Schutz der Daten muss auch im Rahmen der Kanzleiarbeit durch technisch-organisatorische Maßnahmen gewährleistet werden, vgl. § 9 Absatz 1 BDSG. Was mit dieser nonchalanten Formulierung gemeint ist, erklärt die Anlage zur Norm zumindest ansatzweise. Und weil es hier um die Digitale Kanzlei geht, ist der Anknüpfungspunkt der „automatisierten Verarbeitung“ immer erfüllt. Dazu genügt nämlich schon, dass Daten mit einem Computer verarbeitet oder gespeichert werden, wie aus § 3 Absatz 2 BDSG hervorgeht.

Wichtig ist noch die Auftragsdatenverarbeitung, die in § 11 BDSG geregelt ist. Damit ist gemeint, dass die für die Daten verantwortliche Stelle sich einer anderen Stelle zur Erhebung, Verarbeitung oder Nutzung eben dieser Daten bedient. Wenn Sie also einen IT-Dienstleister beschäftigen, Daten in der Cloud lagern oder Akten außer Haus vernichten lassen, sollten Sie entsprechende Verträge abschließen.

Ein besonderes Problem kann sich übrigens stellen, wenn eine Datenschutzbehörde gem. § 38 BDSG z.B. eine Auskunftspflicht oder Einsichtsrechte behauptet. Argumentativ hilfreich ist hier dieses Urteil des Kammergerichts vom 20. August 2010). Sie sollten damit umgehen wie sonst auch, und keine Auskünfte geben. § 1 Absatz 3 Satz 2 BDSG schützt die berufliche Verschwiegenheitspflicht gegen solche Ansinnen.

Eine neue Fassung des BDSG, die die Vorgaben der EU-DSGVO berücksichtigt, ist in Vorbereitung.

Natürlich spielt das Europarecht auch im Bereich des Datenschutzes eine Rolle.

Maßgeblich war bislang die „Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ die 1995 erlassen wurde. Der deutsche Gesetzgeber hatte sie seiner Ansicht nach umgesetzt. Der EuGH sah das zum Teil anders, wie aus einem Urteil aus dem Jahr 2010 hervorgeht. Einige Bundesländer haben daraufhin die Organisation ihrer Datenschutzbehörden verändert.

Die Richtlinie wurde unterdessen durch die Datenschutz-Grundverordnung der EU überholt, die ab dem 25. Mai 2018 als unmittelbar geltendes Recht anzuwenden ist. In engen Grenzen existieren Öffnungsklauseln, die die nationalen Gesetzgeber für eigenständige Regelungen nutzen können. Über die  aktuellen Entwicklungen berichtet z.B. der Bundesverband der Datenschutzbeauftragten auf seiner Website zur DSGVO.

Außerdem war das sogenannte Safe-Harbour-Abkommen der EU mit den Vereinigten Staaten praktisch sehr relevant. Denn die Datenschutzrichtlinie erlaubt es grundsätzlich nur dann, personenbezogene Daten aus Mitgliedstaaten der Europäischen Union in andere Staaten zu übertragen, wenn deren Datenschutz ein dem EU-Recht vergleichbares Schutzniveau aufweist. Für Datenübertragungen mit den USA hatte man mit dem Safe-Harbour-Abkommen eine Ausnahme gemacht. Der EuGH hat diese Ausnahme nun allerdings für ungültig erklärt. Datenübermittlungen in die USA, die insbesondere auch im Zusammenhang mit Diensten von Google, Dropbox, Facebook u.a. vorkommen, sind damit zunächst einmal unzulässig.

In praktischer Hinsicht sollten Sie folgendes beherzigen:

  1. Holen Sie eine Einwilligung zur (elektronischen) Datenverarbeitung ein, sofern möglich. Bei Ihren eigenen Mandaten sollte das ohne größere Probleme machbar sein. Auch wenn die Einwilligung konkludent erteilt werden kann, empfiehlt sich eine ausdrückliche Einwilligungserklärung.
  2. Nehmen Sie in die Erklärung auch auf, welche Dienstleister mit welchen Daten in Berührung kommen.
  3. Schließen Sie mit externen Dienstleistern, die Ihre Daten verarbeiten, Auftragsdatenverarbeitungsverträge ab.
  4. Lassen Sie Ihre Daten innerhalb der EU – besser noch in Deutschland – verarbeiten.
  5. Stellen Sie Regeln für den Umgang mit personenbezogenen Daten in Ihrer Kanzlei auf. Besonders wichtig ist, dass alle Mitarbeiter die nötige Sensibilität für das Thema haben und Daten nicht an Dritte gelangen.
  6. Verpflichten Sie Ihre Mitarbeiter und Ihre Dienstleister auf Verschwiegenheit.
  7. Wenn Ihre Kanzlei mehr als 9 Mitarbeiter hat, sollten Sie prüfen, ob Sie einen Datenschutzbeauftragen gem. § 4f BDSG bestellen müssen. Das kann ein interner aber auch ein externer Datenschutzbeauftragter sein. Fachkunde und Zuverlässigkeit müssen sichergestellt werden.
  8. Schützen Sie Ihre Daten gegen Angriffe und Unfälle. Betreiben Sie Datensicherung.
  9. Sichern Sie Ihre Kommunikation. Das schließt den Email-Verkehr genauso ein wie das Netzwerk.

Weiterführende Infos und Tipps in technischer Hinsicht finden Sie hier.