Was ist mit dem Daten­schutz?

Die wichtigsten Normen für die digitale Kanzlei - BORA, BDSG und Co.

Verschwie­genheit und Daten­schutz

Wer Daten verar­beitet, muss diese besonders schützen. Das gilt für analoge Daten genauso wie für digitale. Aller­dings sind digitale Daten leichter verfügbar und schneller trans­por­tierbar, so dass man einige weiter­ge­hende Vorkeh­rungen treffen sollte.

Das Verhältnis zwischen dem Daten­schutz­gesetz und den Regelungen zur anwalt­lichen Verschwie­genheit ist nicht ganz eindeutig. Jeden­falls sind beide Bereiche zu beachten. Hier werden die wichtigsten recht­lichen Rahmen­be­dingen und die wichtigsten Gesichts­punkte zur prakti­schen Umsetzung darge­stellt.

Unter dem Titel "Datenschutz-Grundverordnung: Jede Kanzlei muss handeln" stellt der DAV außerdem aktuelle Informationen und Muster zu Verfügung.

Ganz neu ist § 43e BRAO mit dem die Inanspruchnahme von (externen) Dienstleistungen geregelt wird. Näheres zur Verschwiegenheitserklärung hat das Anwaltsblatt ausgeführt. Ganz spannend ist auch § 2 BORA. Nach einigem Hin und Her ist er am 1. Juli 2015 in Kraft getreten. Zuvor gab es u.a. Unstimmigkeiten mit dem Bundesministerium der Justiz und für Verbraucherschutz, die sich aus dem Verhältnis von § 203 StGB und der neuen berufsrechtlichen Regelung ergaben.

§ 2 BORA regelt die Pflicht zur Verschwie­genheit näher, die in § 43a Absatz 2 BRAO statuiert ist. Im Unter­schied zum BDSG ist Anknüpfungs­punkt nicht der Begriff der perso­nen­be­zo­genen, sondern der Begriff der mandats­be­zo­genen Daten. Die Verschwie­gen­heits­pflicht erstreckt sich auf alle Daten, die dem Rechts­anwalt in Ausübung seines Berufes bekannt werden. Es gilt ein Verbot der Offen­barung gegenüber jedermann. Ausnahme sind lediglich offen­kundige und bedeu­tungslose Tatsachen. Damit geht der Schutz­be­reich der Norm grundsätzlich über den des BDSG hinaus. Die Schutz­richtung unter­scheidet sich jedoch: Die berufs­recht­liche Verschwie­gen­heits­pflicht schützt den Mandanten und den Anwalt, das BDSG schützt jeden Betrof­fenen.

Aber es gibt auch Ausnahmen von der Verschwie­gen­heits­pflicht. Die in § 2 Absatz 3 BORA geregelten Konstel­la­tionen sind von enormer prakti­scher Bedeutung.

(1) Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet und berechtigt. Dies gilt auch nach Beendigung des Mandats.

(2) Ein Verstoß gegen die Pflicht zur Verschwiegenheit (§ 43a Abs. 2 Bundesrechtsanwaltsordnung) liegt nicht vor, soweit Gesetz und Recht eine Ausnahme fordern oder zulassen.

(3) Ein Verstoß ist nicht gegeben, soweit das Verhalten des Rechtsanwalts

a) mit Einwilligung erfolgt oder

b) zur Wahrnehmung berechtigter Interessen erforderlich ist, z. B. zur Durchsetzung oder Abwehr von Ansprüchen aus dem Mandatsverhältnis oder zur Verteidigung in eigener Sache, oder

c) im Rahmen der Arbeitsabläufe der Kanzlei einschließlich der Inanspruchnahme von Leistungen Dritter erfolgt und objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht (Sozialadäquanz).

Offen ist dabei vor allem die Frage, wie der Begriff der Sozialadäquanz in diesem Zusam­menhang auszu­legen ist, und wie Gerichte ihn ihm Streitfall auslegen werden. Ist die Unschärfe dieser Formu­lierung einer­seits nachteilig, weil mit Unsicher­heiten behaftet, ist sie anderer­seits zukunftsfähig: Sich wandelnde technische Gegeben­heiten – und der Umgang damit – können ohne eine neuer­liche Änderung des Wortlauts berücksichtigt werden.

Es erübrigen sich alle Fragen, wenn Sie die Einwil­ligung Ihres Mandanten einholen. Wenn Sie IT-Dienst­leister, Cloud­speicher, ein externes Sekre­tariat oder andere Services nutzen, sollten Sie das jeweils aufführen. Nehmen Sie auch die Art und den Umfang der Daten oder Dokumente, die übermittelt werden, in die Einwil­li­gungserklärung auf. Trans­parenz sorgt nicht nur für Rechts­si­cherheit, sondern auch für ein gutes Vertrau­ensverhältnis zwischen Mandant und Anwalt.

Besondere Aufmerk­samkeit verdienen die Anfor­de­rungen, die sich aus Absatz 5 ergeben.

(4) Der Rechtsanwalt hat seine Mitarbeiter zur Verschwiegenheit schriftlich zu verpflichten und anzuhalten, auch soweit sie nicht im Mandat, sondern in sonstiger Weise für ihn tätig sind.

(5) Abs. 4 gilt auch hinsichtlich sonstiger Personen, deren Dienste der Rechtsanwalt in Anspruch nimmt und

a) denen er verschwiegenheitsgeschützte Tatsachen zur Kenntnis gibt oder

b) die sich gelegentlich ihrer Leistungserbringung Kenntnis von verschwiegenheitsgeschützten Tatsachen verschaffen können.

Nimmt der Rechtsanwalt die Dienste von Unternehmen in Anspruch, hat er diesen Unternehmen aufzuerlegen, ihre Mitarbeiter zur Verschwiegenheit über die Tatsachen gemäß Satz 1 zu verpflichten. Die Pflichten nach Satz 1 und Satz 2 gelten nicht, soweit die dienstleistenden Personen oder Unternehmen kraft Gesetzes zur Geheimhaltung verpflichtet sind oder sich aus dem Inhalt der Dienstleistung eine solche Pflicht offenkundig ergibt.

Falls noch nicht geschehen: Holen Sie Verschwie­gen­heitserklärungen von allen Dienst­leistern ein, mit denen Sie Geschäftsbe­zie­hungen pflegen. Und schwören sie diese Dienst­leister darauf ein, wiederum ihre Mitar­beiter zur Verschwie­genheit zu verpflichten.

Können Sie den jeweils gewählten IT-Partner vor Ort vielleicht im Sinne dieser Vorschrift verpflichten, wird das bei Unter­nehmen wie Google oder Dropbox wohl wenig Aussicht auf Erfolg haben. Umso wichtiger ist deshalb, dass Sie die Unter­nehmen, derer Sie sich bedienen, sorgfältig aussuchen. Ansonsten greift unter Umständen Absatz 6 schneller als Ihnen lieb ist:

(6) Der Rechtsanwalt darf Personen und Unternehmen zur Mitarbeit im Mandat oder zu sonstigen Dienstleistungen nicht hinzuziehen, wenn ihm Umstände bekannt sind, aus denen sich konkrete Zweifel an der mit Blick auf die Verschwiegenheitspflicht erforderlichen Zuverlässigkeit ergeben und nach Überprüfung verbleiben.

PRAXISTIPP: Wenn sich Zweifel an der Zuverlässigkeit ergeben, sollten Sie Geschäftsbeziehung beenden. Es gibt immer eine Alternative.

Das BDSG schützt nach § 3 Absatz 1 perso­nen­be­zogene Daten. Danach sind perso­nen­be­zogene Daten Einzel­an­gaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimm­baren natürlichen Person, die legal definiert „Betrof­fener“ genannt wird.

Besonders schützenswert sind gem. § 3 Absatz 9 übrigens Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philo­so­phische Überzeu­gungen, Gewerk­schafts­zugehörigkeit, Gesundheit oder Sexual­leben. Der Schutz von Arbeit­neh­mer­daten ist in § 32 BDSG geregelt.

Den Schutz der Daten muss auch im Rahmen der Kanzleiarbeit durch technisch-organisatorische Maßnahmen gewährleistet werden, vgl. § 9 Absatz BDSG. Was mit dieser nonchalanten Formulierung gemeint ist, erklärt die Anlage zur Norm zumindest ansatzweise. Und weil es hier um die Digitale Kanzlei geht, ist der Anknüpfungspunkt der „automatisierten Verarbeitung“ immer erfüllt. Dazu genügt nämlich schon, dass Daten mit einem Computer verarbeitet oder gespeichert werden, wie aus § 3 Absatz 2 BDSG hervorgeht.

Wichtig ist noch die Auftragsdatenverarbeitung, die in § 11 BDSG geregelt ist. Damit ist gemeint, dass die für die Daten verantwortliche Stelle sich einer anderen Stelle zur Erhebung, Verarbeitung oder Nutzung eben dieser Daten bedient. Wenn Sie also einen IT-Dienstleister beschäftigen, Daten in der Cloud lagern oder Akten außer Haus vernichten lassen, sollten Sie entsprechende Verträge abschließen.

Ein besonderes Problem kann sich übrigens stellen, wenn eine Datenschutzbehörde gem. § 38 BDSG z.B. eine Auskunftspflicht oder Einsichtsrechte behauptet. Argumentativ hilfreich ist hier dieses Urteil des Kammergerichts vom 20. August 2010). Sie sollten damit umgehen wie sonst auch, und keine Auskünfte geben. § 1 Absatz 3 Satz 2 BDSG schützt die berufliche Verschwiegenheitspflicht gegen solche Ansinnen.

Eine neue Fassung des BDSG, die die Vorgaben der EU-DSGVO berücksichtigt, wird am 25. Mai 2018 in Kraft treten.

Natürlich spielt das Europa­recht auch im Bereich des Daten­schutzes eine Rolle.

Maßgeblich war bislang die „Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ die 1995 erlassen wurde. Der deutsche Gesetzgeber hatte sie seiner Ansicht nach umgesetzt. Der EuGH sah das zum Teil anders, wie aus einem Urteil aus dem Jahr 2010 hervorgeht. Einige Bundesländer haben daraufhin die Organisation ihrer Datenschutzbehörden verändert.

Die Richtlinie wurde unterdessen durch die Datenschutz-Grundverordnung der EU überholt, die ab dem 25. Mai 2018 als unmittelbar geltendes Recht anzuwenden ist. In engen Grenzen existieren Öffnungsklauseln, die die nationalen Gesetzgeber für eigenständige Regelungen nutzen können. Über die  aktuellen Entwicklungen berichtet z.B. der Bundesverband der Datenschutzbeauftragten auf seiner Website zur DSGVO.

Außerdem war das sogenannte Safe-Harbour-Abkommen der EU mit den Vereinigten Staaten praktisch sehr relevant. Denn die Datenschutzrichtlinie erlaubt es grundsätzlich nur dann, personenbezogene Daten aus Mitgliedstaaten der Europäischen Union in andere Staaten zu übertragen, wenn deren Datenschutz ein dem EU-Recht vergleichbares Schutzniveau aufweist. Für Datenübertragungen mit den USA hatte man mit dem Safe-Harbour-Abkommen eine Ausnahme gemacht. Der EuGH hat diese Ausnahme im Oktober 2015 allerdings für ungültig erklärt. Datenübermittlungen in die USA, die insbesondere auch im Zusammenhang mit Diensten von Google, Dropbox, Facebook u.a. vorkommen, wurden damit zunächst einmal unzulässig.

In prakti­scher Hinsicht sollten Sie folgendes beher­zigen:

  1. Holen Sie eine Einwilligung zur (elektronischen) Datenverarbeitung ein, sofern möglich. Bei Ihren eigenen Mandaten sollte das ohne größere Probleme machbar sein. Auch wenn die Einwilligung konkludent erteilt werden kann, empfiehlt sich eine ausdrückliche Einwilligungserklärung.
  2. Nehmen Sie in die Erklärung auch auf, welche Dienstleister mit welchen Daten in Berührung kommen.
  3. Schließen Sie mit externen Dienstleistern, die Ihre Daten verarbeiten, Auftragsdatenverarbeitungsverträge ab.
  4. Lassen Sie Ihre Daten innerhalb der EU – besser noch in Deutschland – verarbeiten.
  5. Stellen Sie Regeln für den Umgang mit personenbezogenen Daten in Ihrer Kanzlei auf. Besonders wichtig ist, dass alle Mitarbeiter die nötige Sensibilität für das Thema haben und Daten nicht an Dritte gelangen.
  6. Verpflichten Sie Ihre Mitarbeiter und Ihre Dienstleister auf Verschwiegenheit.
  7. Wenn Ihre Kanzlei mehr als 9 Mitarbeiter hat, sollten Sie prüfen, ob Sie einen Datenschutzbeauftragen gem. § 4f BDSG bestellen müssen. Das kann ein interner aber auch ein externer Datenschutzbeauftragter sein. Fachkunde und Zuverlässigkeit müssen sichergestellt werden.
  8. Schützen Sie Ihre Daten gegen Angriffe und Unfälle. Betreiben Sie Datensicherung.
  9. Sichern Sie Ihre Kommunikation. Das schließt den Email-Verkehr genauso ein wie das Netzwerk.

Weiterführende Infos und Tipps in technischer Hinsicht finden Sie hier.