Datenverarbeitung beim Rechtsanwalt

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Datenverarbeitung beim Rechtsanwalt

Datenverarbeitung beim Rechtsanwalt

Das Thema Datenschutz beim Rechtsanwalt steht auch im Rahmen der DSGVO weiter im Fokus von Anwälten und Mandanten gleichermaßen. Dieser Beitrag gibt daher ein Update zur Rechtslage nach der DSGVO.

Verschwiegenheitsverpflichtung des Rechtsanwalts

Die DSGVO kennt keine Bereichsausnahme für Rechtsanwälte. Daher ist grundsätzlich auch von einer Anwendbarkeit auf Rechtsanwälte auszugehen. Im Konfliktfall geht allerdings das Mandatsgeheimnis nach §§ 43 ab Abs. 2 BRAO, § 2 BORA vor. Wie zuvor § 1 Abs. 3 S. 2 BDSG aF besagt auch § 1 Abs. 2 S. 3 BDSG:

„Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.“

Die Verschwiegenheitspflicht des Anwalts ist, wie bei anderen Berufsgeheimnisträgern (z.B. Ärzten) auch, durch § 203 StGB strafrechtlich abgesichert. Sie bezieht sich auf alles, was dem Rechtsanwalt in Ausübung seines Berufes bekannt geworden ist und fasst damit alle mit dem Mandat zusammenhänge Inhalte und Daten.

Externe Dienstleister

Durch die Einbeziehung externer Dienstleister der Rechtsanwälte in den Adressatenkreis des § 203 StGB (in Abs. 3) ist eine Weitergabe von mandatsbezogenen Informationen ohne Verletzung des Mandatsgeheimnisses möglich,

„soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit (…) mitwirken.“

§ 43 e BRAO enthält Auswahlkriterien und Voraussetzungen für die Inanspruchnahme externer Dienstleister. Dienstleister sind nach § 43 a Abs. 2 BRAO wie eigene Mitarbeiter auf die Vertraulichkeit zu verpflichten.

Anforderungen an eine sichere Kommunikation

§ 2 Abs. 2 BORA regelt, dass zur Gewährleistung der Verschwiegenheitspflicht geeignete „organisatorische und technische Maßnahmen“ zu ergreifen sind. Diese müssen angemessen für den Schutz personenbezogener Daten und außerdem für die Umsetzung des Anwaltsberufs zumutbar sein.

Hinsichtlich einer sicheren Kommunikation mit dem Mandanten regelt § 2 Abs. 2 S. 5 ff. BORA:

„Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.“

Zur Verfassungskonformität und Auslegung des § 2 BORA, insbesondere im Hinblick auf den Versand unverschlüsselter E-Mails, haben wir uns in der Vergangenheit in unserem Artikel „Ist die neue BORA-Norm zur Verschluesslung DSGVO-konform?“ beschäftigt.

Auskunftsersuchen von Aufsichtsbehörden und Betroffenen

Auch nach der Datenschutz-Grundverordnung muss unter Umständen der Auskunftsanspruch der Datenschutzaufsichtsbehörden nach Artikel 58 DSGVO und Betroffener nach Artikel 15 DSGVO gegen die Verschwiegenheitsverpflichtung des Rechtsanwalts zurückstehen.

Einschränkung des Auskunftsanspruchs der Behörde

Zum Auskunftsanspruch einer Aufsichtsbehörde, die sich im Rahmen ihrer Befugnisse nach Artikel 58 DSGVO an einen Rechtsanwalt oder anderen Geheimnisträger wendet, regelt § 29 Abs. 3 S. 1 BDSG:

„Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buchstabe e und f DSGVO nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde.“

Die Einschränkung gilt nur für das Recht auf Zugang zu allen personenbezogenen Daten und Informationen zur Erfüllung der behördlichen Aufgaben nach Artikel 58 Abs. 1 lit. e DSGVO, sowie für den Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen nach Art. 58 Abs. 1 lit. f DSGVO.

In diesen Fällen besteht ggf. also kein Auskunftsanspruch der Aufsichtsbehörden.

Gegenüber wem gilt die Einschränkung des Auskunftsrechts?

Die Einschränkung des Rechts auf Auskunft der Aufsichtsbehörden aus § 29 Abs. 3 BDSG besteht gegenüber Berufsgeheimnisträgern nach 203 Abs.1 StGB, aber auch gegenüber deren Gehilfen und in die Verarbeitung einbezogene externe Dienstleister, § 203 Abs. 3 StGB.

Wann gilt die Einschränkung des Auskunftsrechts?

Bei personenbezogenen Daten i.S.d. § 29 Abs. 3 BDSG, muss es sich um Daten handeln, die bei Ausübung der geheimnisverpflichteten Tätigkeit erworben wurden.

Die Öffnungsklausel des Art. 90 Abs. 1 Satz 1 DSGVO knüpft an den Erlass von nationalen Regelungen die Bedingung, dass diese verhältnismäßig und notwendig sind, um das Recht auf Schutz der personenbezogenen Daten des Betroffenen mit der Geheimhaltungsverpflichtung zu vereinbaren. Regelmäßig wird daher davon auszugehen sein, dass die vom Auskunftsersuchen umfassten personenbezogenen Daten in Ausübung des Mandatsgehemnisses erlangt wurden. Damit wäre ein Preisgeben in den oben genannten Fällen grundsätzlich ein Verstoß gegen das Mandatsgeheimnis.

Auskunftsersuchen Dritter

Nach Artikel 15 DSGVO hat die von der Verarbeitung betroffene Person einen Auskunftsanspruch. Informationen wann ein solcher rechtmäßig ist und wie eine Auskunft richtig erteilt wird haben wir in unserem Artikel „Auskunft richtig erteilen – innerhalb der Frist“ für Sie zusammengefasst.

Zum Verhältnis Auskunftsanspruch und (berufsrechtliche) Geheimhaltungspflicht stellt § 29 Abs. 1 S. 2 BDSG klar:

„Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 DSGVO besteht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.“

§ 29 Abs. 1 Satz 2 BDSG schränkt das Auskunftsrecht aus Artikel 15 DSGVO insofern ein, als geheimhaltungsbedürftige Informationen offenbart würden.

Maßgeblich für das Bestehen einer Geheimhaltungsverpflichtung ist dem Wortlaut nach, dass die Informationen ihrem Wesen nach, insbesondere wegen der überwiegenden Interessen eines Dritten, geheim gehalten werden müssen. Durch die Verwendung des Wortes „insbesondere“, ist die Vorschrift auch auf andere, als auf berechtigtem Interesse begründete, Umstände anwendbar, soweit diese einer Geheimhaltungspflicht unterfallen.

Die Einschränkung des Auskunftsrechts besteht aber dann nicht, wenn personenbezogene Daten betroffen sind, die nicht im Rahmen eines Mandatsverhältnisses erhoben wurden, wie z.B. Lieferanten-, oder Mitarbeiterdaten.

Mitteilung der Gründe der Ablehnung des Auskunftsersuchens

Sehr umstritten ist auch, ob dem Betroffenen die Gründe für die Ablehnung des Auskunftsbegehrens durch den Berufsgeheimnisträger mitgeteilt werden müssen.

Eine entsprechende Forderung des Bundesrats im Gesetzgebungsverfahren zur Aufnahme einer ausdrücklichen Befreiung von der Erklärungspflicht wurde nicht umgesetzt (BT-Drs. 18/11655, 27). Nach altem Recht (§ 34 BDSG aF) wurde vertreten, dass eine unbegründete Ablehnung eines Auskunftsersuchens nicht zulässig war. Begründung dafür war u.a., dass dem Betroffenen mangels Kenntnis über das Vorhandensein von persönlichen Informationen, sonst die Möglichkeit genommen wurde den Rechtsweg zu beschreiten.

Der Sinn und Zweck des § 29 BDSG ist aber der umfassende Schutz von Berufsgeheimnissen. Nach der oben stehenden Ansicht, war der Schutz des Mandatsgeheimnisses allerdings nicht umfassend gewährleistet. Vielmehr sollte eine Ablehnung des Auskunftsersuchens mit Hinweis auf das Nichtbestehen eines Auskunftsanspruches ausreichend sein.

Bestellung eines Datenschutzbeauftragten

Da die DSGVO grundsätzlich auch auf Kanzleien anwendbar ist, ist ein Datenschutzbeauftragter zu benennen, wenn zumindest 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (Artikel 37 DSGVO; § 38 BDSG).

Dennoch sind auch kleine Kanzleien unter zehn Mitarbeitern nach Datenschutzrecht verantwortliche Stelle. Es ist daher auch in diesen Fällen empfehlenswert, einen Datenschutzbeauftragten zu benennen, um den datenschutzrechtlichen Anforderungen gerecht werden zu können.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Datenverarbeitung beim Rechtsanwalt.