Neuregelung des Datenschutzes bei Rechtsanwälten (2015)

Anwaltskanzlei Ferner Alsdorf > News von Rechtsanwalt Ferner > Anwaltliches Berufsrecht > Neuregelung des Datenschutzes bei Rechtsanwälten (2015)

Rechtsanwalt Jens Ferner – Strafverteidiger & Fachanwalt für Informationstechnologierecht: Ihr Anwalt in Alsdorf in der Region Aachen/Heinsberg/Düren im: Strafrecht, Arbeitsrecht, IT-Recht & Datenschutzrecht, Urheberrecht und Markenrecht. Die Beratung von Handwerkern und mittelständischen Unternehmen wird im Vertragsrecht und Wettbewerbsrecht geboten.
Besprechungstermin in Alsdorf vereinbaren: 02404-92100

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden – daher sehen Sie von Anfragen in solchen Fällen ab! 

Auch wenn der Bundesjustizminister es zuerst anders wollte ist zum 01.07.2015 nun der neue §2 BORA in Kraft getreten, der Änderungen bzw. Konkretisierungen beim Datenschutz in Rechtsanwaltskanzleien mit sich bringt. Ein Überblick.

Bisherige Fassung

(1) Der Rechtsanwalt ist zur Verschwiegenheit berechtigt und verpflichtet.

(2) Das Recht und die Pflicht zur Verschwiegenheit beziehen sich auf alles, was ihm in Ausübung seines Berufes bekannt geworden ist, und bestehen nach Beendigung des Mandats fort.

(3) Die Pflicht zur Verschwiegenheit gilt nicht, soweit diese Berufsordnung oder andere Rechtsvorschriften Ausnahmen zulassen oder die Durchsetzung oder Abwehr von Ansprüchen aus dem Mandatsverhältnis oder die Verteidigung des Rechtsanwalts in eigener Sache die Offenbarung erfordern.

(4) Der Rechtsanwalt hat seine Mitarbeiter und alle sonstigen Personen, die bei seiner beruflichen Tätigkeit mitwirken, zur Verschwiegenheit (§ 43a Abs. 2 Bundesrechtsanwaltsordnung) ausdrücklich zu verpflichten und anzuhalten.

Fassung ab dem 01.07.2015

(1) Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet und berechtigt. Dies gilt auch nach Beendi- gung des Mandats.

(2) Ein Verstoß gegen die Pflicht zur Verschwiegenheit (§ 43a Abs. 2 Bundesrechtsanwaltsordnung) liegt nicht vor, soweit Gesetz und Recht eine Ausnahme fordern oder zulassen.

(3) Ein Verstoß ist nicht gegeben, soweit das Verhalten des Rechtsanwalts
a) mit Einwilligung erfolgt oder
b) zur Wahrnehmung berechtigter Interessen erforderlich ist, z. B. zur Durchsetzung oder Abwehr von Ansprüchen aus dem Mandatsverhältnis oder zur Verteidigung in eigener Sache, oder
c) im Rahmen der Arbeitsabläufe der Kanzlei einschließlich der Inanspruchnahme von Leistungen Dritter erfolgt und objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht (Sozialadäquanz).

(4) Der Rechtsanwalt hat seine Mitarbeiter zur Verschwiegenheit schriftlich zu verpflichten und anzu- halten, auch soweit sie nicht im Mandat, sondern in sonstiger Weise für ihn tätig sind.

(5) Abs. 4 gilt auch hinsichtlich sonstiger Personen, deren Dienste der Rechtsanwalt in Anspruch nimmt und
a) denen er verschwiegenheitsgeschützte Tatsachen zur Kenntnis gibt oder
b) die sich gelegentlich ihrer Leistungserbringung Kenntnis von verschwiegenheitsgeschützten Tat- sachen verschaffen können.
Nimmt der Rechtsanwalt die Dienste von Unternehmen in Anspruch, hat er diesen Unternehmen auf- zuerlegen, ihre Mitarbeiter zur Verschwiegenheit über die Tatsachen gemäß Satz 1 zu verpflichten. Die Pflichten nach Satz 1 und 2 gelten nicht, soweit die dienstleistenden Personen oder Unternehmen kraft Gesetzes zur Geheimhaltung verpflichtet sind oder sich aus dem Inhalt der Dienstleistung eine solche Pflicht offenkundig ergibt.

(6) Der Rechtsanwalt darf Personen und Unternehmen zur Mitarbeit im Mandat oder zu sonstigen Dienstleistungen nicht hinzuziehen, wenn ihm Umstände bekannt sind, aus denen sich konkrete Zwei-
fel an der mit Blick auf die Verschwiegenheitspflicht erforderlichen Zuverlässigkeit ergeben und nach Überprüfung verbleiben.

(7) Die Bestimmungen des Datenschutzrechts zum Schutz personenbezogener Daten bleiben unbe- rührt.

Überblick

Lesen können die Kollegen selbst, ich möchte hier nicht Content durch langatmige Vergleiche erzeugen – Zusammengefasst kann man feststellen, dass die bisherigen sehr allgemeinen und somit kurzen Ausführungen (auf den ersten Blick) präzisiert wurden, auf konkrete Fallgestaltungen Bezug nehmen und insbesondere die Thematik externer Dienste ansprechen. Es verbleibt bei der Systematik, dass eine allgemeine Verschwiegenheitspflicht auferlegt wird, die sich entsprechend dem datenschutzrechtlichen Grundsatz als Verbot mit Erlaubnisvorbehalt ausgestaltet. Insoweit findet sich im Abstaz 1 die allgemeine Pflicht, in Absatz 2 dann eine allgemeine Erlaubnis, wobei diese allgemeine Erlaubnis im Absatz 3 konkretisiert wird. Dann folgen wiederum weitere Pflichten.

Erweiterte Erlaubnis

Was Absatz 2 vorsieht ist nichts neues: Was Berufsordnung oder Gesetz erlauben ist eine Ausnahme zur Verschwiegensheitspflicht (vorheriger Absatz 3). Im nunmehrigen Absatz 3 finden sich dann konkrete Ausnahmeszenarien. Erfreulich aber keine Rechtsänderung ist die Klarstellung, dass die Einwilligung natürlich die Verschwiegenheitspflicht beseitigt (a). Beibehalten bliebt dass kein Verstoss vorliegt, wenn man Ansprüche aus dem Mandatsverhältnis verfolgt, hier sind Kollegen bis heute häufig verunsichert wenn sie Honoraransprüche einklagen – dies ist kein Berufsrechtsverstoss (b)!

Sehr viel Interessanter ist dann Punkt (c), der allen Ernstes eine Sozialadäquanz als Kriterium einfügt. Um offen zu sein erschliesst sich mir derzeit kein Szenario, dass hiervon betroffen ist. Soweit andernorts an die Nutzung von Cloud-Diensten gedacht wird, sehe ich es schon nicht als „übliche, von der Allgemeinheit gebilligten Verhaltensweise“, wenn Rechtsanwälte „in die Cloud“ vertrauliche Daten hochladen. Letztlich kann dies dahin stehen, denn Absatz 5 sieht gerade vor, dass externe Dienstleister bei vertraulichen Daten schriftlich auf Verschwiegenheit zu verpflichten sind. Soweit hier möglicherweise an einfache Telefondienste zu denken wäre (Anrufe zur Terminsvereinbarung) ist auch hierbei zu bedenken, dass bei solchen Gesprächen – schon alleine bei der Frage nach dem Grund der Besprechung – vertrauliche Informationen an Dritte gelangen.

Lösungen für die Cloud

Die Arbeit mit „der Cloud“ wird hier tatsächlich etwas konkreter geregelt – allerdings nicht in dem Sinne, dass Rechtsanwälte „einfach machen können“. Vielmehr geht es konkret darum, dass man bei externen Diensten, die mit vertraulichen Daten hantieren, schriftlich Verschwiegenheit zuzusichern hat (Absatz 5) und die Zusammenarbeit bei bekanntgewordenen Problemen sofort zu beenden hat (Absatz 6). Was streng wirkt, sind nun konkret geregelte Rahmenbedingungen unter denen Cloud-Speicherungen möglich sind.

Vorsicht aber vor allzu leichten Rückfolgerungen, wenn ich bei Haufe etwa lese

Im Zweifel – Snowden lässt grüßen – wird man daher dem Anwalt raten müssen, sich das Cloudcomputing lieber per Einwilligung vom Mandanten bestätigen zu lassen. Kommt es später etwa zu einem Datenleck bei dem IT-Dienstleister, ist der Anwalt fein raus.

dann schlage ich die Hände überm Kopf zusammen. Zum einen gibt es mit Absatz 6 eine faktische Überwachungspflicht, denn nach §42a BDSG und §15a TMG muss bei Verlust sensibler Daten jeder Anbieter die Öffentlichkeit informieren – so dass eine Kenntnisnahme möglich ist. Der Anwalt kann also nicht irgendeinen Dienst wählen und dann die Augen bei Problemen verschliessen.

Des Weiteren ist daran zu denken, dass eine Einwilligung datenschutzrechtlich gar nicht so einfach ist. Wer sich als Anwalt zusichern lässt, er dürfe Daten des Mandanten „in der Cloud“ speichern, der hat am Ende keine Einwilligung, da der Mandant weder weiss was gespeichert wird, noch wo es gespeichert wird. Da zudem regelmäßig „besondere personenbezogene Daten“ betroffen sind, sind hervorgehobene Belehrungen notwendig, denen zu entnehmen ist was gespeichert wird und vor allem – bei welchem Dienst! Um sich das zu ersparen müsste man mit dem betroffenen Dienst eine entsprechende Auftragsdatenverarbeitung nach §11 BDSG in Schriftform vereinbaren, womit aber zahlreiche „Massenanbieter“ rausfallen. Wer sich also auf die Einwilligung stützen möchte, der sollte dafür sorgen, dass er eine rechtskonforme Auftragsdatenverarbeitung bereit hält, um dann allgemein in die Speicherung und Verarbeitung (bei konkreter Benennung zumindest besonderer personenbezogener Daten) die Einwilligung zur Speicherung und Verarbeitung einzuholen.

Fazit

Die Vorschrift ist durchaus hilfreich: Wer sich einen deutschen Anbieter aussucht, sich die Verschwiegenheit zusichern lässt und eine Auftragsdatenverarbeitung vorsieht, der kann auf ein gefestigtes Gerüst zurück greifen. Dies war allerdings nach früherer Rechtslage auch möglich. Der grosse Wurf ist ausgeblieben, der Ansatz mit der „Sozialadäquanz“ ist abzulehnen, unklar und hilft nicht weiter.