Bereits im Jahr 2007 haben die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich die Anwendbarkeit des Bundesdatenschutzgesetzes auf Rechtsanwälte bestätigt. Der sächsische Landesdatenschutzbeauftragte führt in seinem 8. Tätigkeitsbericht 2017 aus, daß Rechtsanwälte e-mails verschlüsseln müssen. Auch Rechtsanwälte benötigen bei mehr als 9 Mitarbeitern, die mit personenbezogenen Daten zu tun haben, einen Datenschutzbeauftragten. Daran wird sich auch durch die DSGVO, die am 25. Mai 2018 in Kraft tritt, nichts ändern. Das BDSG-neu statuiert dieselben Pflichten ebenso, auch diese tritt am 25. Mai 2018 in Kraft.
Die Bundesregierung erklärte in ihrer Stellungnahme zum 21. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereits 2007, daß die Erhebung und Verwendung personenbezogener - auch mandatsbezogener - Daten durch Rechtsanwälte den Vorschriften des Bundesdatenschutzgesetzes unterliegt und daß die Aufsichtsbehörden der Länder zuständig sind, die Datenschutzkontrolle durchzuführen.
Der Düsseldorfer Kreis sieht darin die Bestätigung seiner Auffassung, daß das Bundesdatenschutzgesetz (BDSG) - auch hinsichtlich mandatsbezogener Daten - auf Rechtsanwälte anwendbar ist. In der Bundesrechtsanwaltsordnung (BRAO) befinden sich aus datenschutzrechtlicher Hinsicht nur punktuelle Regelungen (§ 43a Abs. 2 BRAO Schweigepflicht, § 50 BRAO Handakten). Die Vorschriften des BDSG treten gemäß § 1 Abs. 3 BDSG lediglich insoweit zurück, als bereichsspezifische Datenschutzvorschriften bestehen. Durch das anwaltliche Berufsgeheimnis werden die Informationsrechte der Aufsichtsbehörden nach § 38 BDSG in Verbindung mit § 24 Abs. 6 und 2 BDSG nicht eingeschränkt.
Aus dem 8. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten (Berichtszeitraum 1. April 2015 bis 31. März 2017) ergibt sich, daß Rechtsanwälte verpflichtet sind, ihren e-mail-Verkehr mit Mandanten zu verschlüsseln.
Wir zitieren aus diesem Tätigkeitsbericht:
"Ich betrachte den unverschlüsselten E-Mail-Versand von Schriftsätzen vor dem Hintergrund des § 203 StGB insbesondere bei Rechtsanwälten als eine absolut ungeeignete Kommunikationsform. § 203 StGB schützt die Individualinteressen Betroffener in besonderer Weise dadurch, daß er Geheimnisträgern wie Rechtsanwälten, denen Betroffene im Rahmen der Mandatserteilung regelmäßig Geheimnisse anvertrauen, für den Fall der Verletzung ihrer Geheimhaltungs- und Verschwiegenheitspflichten entsprechende Strafen androht. Soweit und solange sich also Rechtsanwälte nicht nur mit allgemeinen Fragestellungen oder Anliegen an die Aufsichtsbehörde wenden, sondern die Aufsichtsbehörde in Ausübung eines konkreten Mandats eines Betroffenen kontaktieren und dabei mandantenbezogene bzw. mandantenbeziehbare Äußerungen und Stellungnahmen tätigen, ist wegen des hohen Schutzbedarfes der Kommunikationsinhalte in jedem Fall eine Verschlüsselung
des E-Mail-Verkehrs erforderlich. Der unverschlüsselte E-Mail-Versand widerspricht auch den Vorgaben der Nr. 4 der Anlage zu § 9 BDSG, wonach zu gewährleisten ist, daß personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Satz 3 der Anlage zu § 9 BDSG ist insoweit zu entnehmen, daß dies auch durch Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren realisierbar ist.
Ich gehe daher davon aus bzw. fordere dies gegebenenfalls, daß Rechtsanwälte ihre E-Mails zukünftig verschlüsseln oder aber ihre Schriftsätze per Fax und/oder Briefpost versenden. Für Ersteres habe ich einen Zugang für mit PGP verschlüsselte E-Mails eröffnet (vgl. § 2 Abs. 1 Sätze 1 und 3 SächsEGovG). Zu beachten ist dabei, daß auch die unverschlüsselte Angabe des Betreffs keine personenbezogenen Daten enthalten darf. Es wird beobachtet werden müssen, ob und in welcher Weise der elektronische Rechtsverkehr von und mit Behörden bzw. von und mit Rechtsanwälten zukünftig noch konkreter geregelt wird."
Die Auffassung vieler Rechtsanwaltkammern zu diesem Thema ist daher nicht haltbar.
Wir gehen davon aus, daß dieselben Pflichten auch für andere Freiberufler gelten, die eine gesetzlich normierte Schweigepflicht haben, z. B. Ärzte, Apotheker, Psychologen usw.. Nach dem jetzigen BDSG und auch nach dem künftig geltenden BDSG muß jedes Unternehmen einen Datenschutzbeauftragten bestellen, wenn mehr als 9 Personen mit personenbezogenen Daten befaßt sind.
Durch die DSGVO (EU-Datenschutzgrundverordnung) werden weitaus höhere Bußgelder als bislang gesetzlich angedroht und sind damit durchsetzbar. Beschäftigen Sie sich jetzt mit dem Thema - die Uhr tickt!
Suchen Sie einen externen Datenschutzbeauftragten? Dann sprechen Sie uns an!
Dr. Inge Rötlich
Fachanwältin für Urheber- und Medienrecht
TÜV-zertifizierte Datenschutzbeauftragte und Datenschutzauditorin
Mahdentalstr. 82
71065 Sindelfingen
Tel.: 07031/418090
E-Mail: Info@roetlich.de
www.columbus-consulting.eu
