Rechtsanwalt und der Datenschutz

Datenschutz in der Kanzlei

Häufig kommt die Frage auf, inwieweit die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) auch für Rechtsanwälte und Rechtsanwaltskanzleien, gilt explizit in Bezug auf die Befugnisse der Datenschutzbehörden. Rechtsanwälte und Kanzleien haben, wie jeder Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, die Vorschriften und Vorgaben des Datenschutzes zu beachten und müssen die Konzequenzen tragen für Datenschutzverstöße. Zum Thema E-Mail-Versand hatten wir bereits etwas geschrieben.

Rechtsanwälte müssen DSGVO und BDSG beachten

Zunächst vorangestellt: Rechtsanwälte und Rechtsanwaltskanzleien müssen die Vorgaben aus der DSGVO und dem BDSG beachten, wie es von jedem anderen Verantwortlichen verlangt wird. Gemäß der Regelung in Art. 3 DSGVO gilt diese „für die ganz oder teilweise automatisierte Bearbeitung personenbezogene Daten sowie für die nichtautomatisierte Verarbeitung personenbezogene Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Anwendbarkeit DSGVO und BDSG

Es gibt hinsichtlich der Anwendbarkeit der DSGVO als auch des BDSG keine Ausnahmeregelungen für Rechtsanwälte. Verantwortlich für die Einhaltung des Datenschutzes innerhalb der Kanzlei sind der Kanzleiinhaber bzw. die Partner. Diese werden als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO betrachtet in dem es heißt: „Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen Überzweck Mittel der Farbe vom personenbezogene Daten entscheidet“

Dokumentationspflichten und Informationspflichten

Neben den allgemeinen Grundsätzen aus dem Datenschutz (Rechtmäßigkeit, Transparenz, Zweckbindung etc.) müssen naturgemäß auch die datenschutzrechtlich verlangten Dokumentationen vorgenommen werden, auch innerhalb einer Kanzlei. So muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt und geführt werden, Datenpanne müssen dokumentiert werden und zugleich müssen die entsprechenden Informationspflichten gemäß Art. 13, 14 DSGVO gegenüber Betroffenen erbracht werden. Sollte bei der Erhebung von Daten von Betroffenen, in dem Fall in der Regel von Mandanten, diese entsprechend Art. 13 DSGVO über die Verarbeitung informiert werden. Selbiges gilt, was häufig vergessen wird, für Informationspflichten gegenüber Mitarbeiter.

Des Weiteren müssen die Betroffenenrechte der Art. 15 ff. DSGVO beachtet werden und entsprechende Ansprüche innerhalb der gesetzten Frist (Art. 12 DSGVO) beantwortet bzw. erfüllt werden. Hier gibt es bei Rechtsanwälten eine Besonderheit, die sich in Bezug auf das Berufsgeheimnis und der jeweiligen Mandatsbearbeitung ergibt, wonach der Rechtsanwalt gegebenenfalls entsprechende Erfüllung hin von betroffenen Rechte mit Verweis auf diese ablehnen kann. Dies insbesondere wenn im Rahmen der Erfüllung des Auskunftsanspruches entsprechende Mandatsgeheimnisse oder aber andere Informationen die dem Berufsgeheimnis unterliegen bekannt gegeben werden würden.

Rechtsgrundlage für die Verarbeitungen

Ein Rechtsanwalt wird in der Regel personenbezogene Daten auf Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO verarbeiten, zur Erfüllung des Vertrages zum jeweiligen Mandat. Weiterhin werden einige Verarbeitungstätigkeiten sehr wahrscheinlich auf der Rechtsgrundlage des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO beruhen und im Rahmen des berechtigten Interesses inklusive einer entsprechenden Interessenabwägung vorgenommen werden.

Des Weiteren verarbeitet eine Kanzlei in der Regel die Mitarbeiterdaten im Rahmen der Erfüllung des Arbeitsvertrages gemäß § 26 Abs. 1 BDSG. Sollte er allerdings Bilder seine Mitarbeiter auf der Homepage der Kanzlei veröffentlichen wollen, bedarf es einer Einwilligung im Sinne des Art. 7 DSGVO mit den dort verankerten Informationspflichten und Transparenzangaben. Entsprechende Einwilligungen sollte die Kanzlei bzw. der Rechtsanwalt als Verantwortlicher dokumentieren. Nachteil an einer solchen Einwilligung ist immer, dass diese jederzeit für die Zukunft widerrufen werden kann. Des Weiteren gibt es seitens verschiedenster Aufsichtsbehörden Vorbehalte gegen Einwilligungen im Rahmen eines Arbeitsverhältnisses. Zwar sieht die DSGVO in den Erwägungsgründen ausdrücklich die Einwilligung für derartige Fälle vor, die Aufsichtsbehörden melden jedoch Bedenken an mit Blick auf das Über- und Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer

Verarbeitung besonderer Kategorien von personenbezogener Daten (Art. 9 DSGVO)

Ist es notwendig zum Zwecke der Mandatsbearbeitung besondere personenbezogene Daten im Sinne des Art. 9 DSGVO zu verarbeiten, bedarf es entgegen der normalen Vorgehensweise bei einer solchen Verarbeitung für den Rechtsanwalt keine ausdrückliche Einwilligung gemäß Art. 9 Abs. 1 lit a) DSGVO. Aufgrund seiner Tätigkeit als Berufsgeheimnisträgers ist der Rechtsanwalt gemäß Art. 9 Abs. 3 DSGVO i.V.m. § 43a BRAO sowie gemäß Art. 9 Abs. 2 lit. f DSGVO von diesem Einwilligungserfordernis befreit.

Beachtung der Löschungspflicht gem. Art. 17 DSGVO

Rechtsanwälte sind, wie alle anderen Verantwortlichen, ebenso verpflichtet die Löschungspflicht aus Art. 17 DSGVO zu beachten. Grundsätzlich besteht eine Pflicht zur Löschung personenbezogener Daten wenn der Zweck der Verarbeitung entfallen ist (Art. 17 Abs. 1 lit. a DSGVO und folglich keine Rechtsgrundlage mehr für die Speicherung dieser Daten bestehen. Häufig wird irrtümlich angenommen , dass eine Löschpflicht erst dann entsteht, wenn der Betroffene dies verlangt. In Art. 17 Abs. 1 DSGVO ist explizit geregelt, wann eine  Löschung zu erfolgen hat.

Ausnahmen von der Löschpflicht aufgrund der Zweckerreichung ergeben sich unter anderem aus Art. 17 Abs. 3 lit. b) DSGVO aufgrund einer rechtlichen Verpflichtung, die weiterhin eine Verarbeitung erfordert. Dazu gehört unter anderem die berufsrechtlichen Aufbewahrungspflichten von Handakten (6 Jahre gemäß § 50 Abs. 1 S. 2 BRAO), die Pflichten zur Durchführung einer Interessenkollision bei Übernahme eines Mandats (§ 43a Abs. 4 BRAO) sowie alle steuerrechtlichen und handelsrechtlichen Aufbewahrungspflichten.

Hier sollte abermals eine vollständige Dokumentation vorgenommen werden, insbesondere mit Blick auf etwaige Ausnahmen von der Löschpflicht und zugleich eine entsprechende Löschkonzept entworfen und gelebt werden.

Befugnisse der Aufsichtsbehörden (Art. 58 DSGVO)

Der Rechtsanwalt bzw. die Rechtsanwaltskanzlei als Verantwortlicher ist gemäß Art. 31 DSGVO verpflichtet mit den Aufsichtsbehörden auf Anfrage zusammenzuarbeiten und diese bei der Erfüllung ihrer Aufgaben zu unterstützen. Die Aufsichtsbehörden haben das Recht zur Einsicht in Geschäftsunterlagen und zugleich zu einer anhaltslosen Überprüfung der Einhaltung der Datenschutzvorschriften. Hierzu haben die Aufsichtsbehörden grundsätzlich das Recht, die Geschäftsräume während der  Geschäftszeiten zu betreten.

Durch die Nutzung der Konkretisierungsklausel des Art. 90 DSGVO hat der Gesetzgeber zum Schutz von Berufsgeheimnisträgern in § 29 BDSG abweichende Regelung verankert. Einer staatlichen Aufsichtsbehörde (unter anderem die Datenschutzbehörde) ist der Zugang zu personenbezogene Daten und Information eine Anwaltskanzlei ebenso verwehrt, wie der Zugang zu deren Räumlichkeiten oder Computeranlagen (§ 9 20 Abs. 3 BDSG i.V.m. Art. 58 Abs. 2 lit. e und f DSGVO).

Auf Anfrage der Aufsichtsbehörde muss der Rechtsanwalt bzw. die Rechtsanwaltskanzlei aber das Verzeichnis der Verarbeitungstätigkeiten vorlegen um der Behörde zu ermöglichen, anhand den dort verzeichneten Verarbeitungsvorgängen die Einhaltung der datenschutzrechtlichen Vorschriften zu kontrollieren (Art. 30 Abs. 4 DSGVO, Erwägungsgrund 82).

Selbiges gilt für alle anderen Dokumentation hinsichtlich der Einhaltung des Schutzes der personenbezogenen Daten, so unter anderem auch in Bezug auf die Dokumentation der technischen und organisatorischen Maßnahmen, der Dokumentation von Datenpanne, Muster zur Erfüllung der Informationspflichten und weitere Nachweisen den Dokumente. Gleichzeitig ist die Aufsichtsbehörde in der Lage und berechtigt beispielsweise die Kanzlei Homepage hinsichtlich etwaiger Verletzungen zu prüfen.

Sanktionen bei Datenschutzverstößen

Bekanntlich wurden seit 2018 durch die Aufsichtsbehörden vermehrt Bußgelder verhangen. Auch das Problem des Schadensersatzes und des entsprechenden Schadensersatzanspruchs von Betroffenen tritt in jüngster Vergangenheit verstärkt zutage.

Die Aufsichtsbehörde kann im Sinne des Art. 58 Abs. 2 lit. f) DSGVO eine Geldbuße verhängen oder andere Maßnahmen anordnen. Per se können Geldbußen von bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes verhängt werden. Des Weiteren sieht der § 42 BDSG Freiheitsstrafen oder Geldstrafen vor, wenn ein entsprechender Datenschutzverstoß gegen Entgelt oder in Absicht erfolgte, sich oder einen anderen zu bereichern bzw. einen anderen zu schädigen. Für die Verfolgung eines entsprechenden Straftatbestandes bedarf es jedoch einen Antrag.

Der Betroffene kann gegen den Verantwortlichen ein Schadensersatzanspruch aus einem materiellen oder immateriellen Schaden geltend machen. Dabei ist darauf zu verweisen, dass die aktuelle Rechtsprechung entsprechende Schadensersatzforderungen häufig als berechtigt ansehen und wenn auch noch moderat, Schadensersatzansprüche dem Betroffenen zugestehen. In der Regel handelt es sich dabei um Schadensersatzleistungen im 3-stelligen bis mittleren 4-stelligen Bereich. Diese Schadensersatzansprüche können sich natürlich schnell summieren, bei einer Vielzahl an Betroffenen.

Fazit

Es bleibt den Verantwortlichen und nicht zuletzt auch jedem Rechtsanwalt und jede Rechtsanwaltskanzlei anzuraten, die entsprechenden Anforderungen an den Datenschutz ernst zu nehmen und zu erfüllen sowie im Zweifel die aktuellen Datenschutzprozesse anzupassen. Sofern aufgrund der Vorschriften der Datenschutzgesetze ein Datenschutzbeauftragter zu benennen ist, sollte mithilfe dieses Datenschutzbeauftragten entsprechende Prozesse, Dokumentation und Vorlagen entwickelt werden. Für eine entsprechende Nachweisbarkeit gegenüber eine Aufsichtsbehörde empfiehlt sich immer ein Datenschutzmanagementsystem einzuführen und die Dokumentation regelmäßig und ausführlich vorzunehmen.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH