AUF DEM WEG ZUR DIGITALEN ANWALTSKANZLEI TROTZ BERUFSGEHEIMNIS UND DATENSCHUTZ - Steiger Legal
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
THEMA / QUESTION DU JOUR AUF DEM WEG ZUR DIGITALEN ANWALTSKANZLEI TROTZ BERUFSGEHEIMNIS UND DATENSCHUTZ DANIEL HÜRLIMANN Dr. iur., Rechtsanwalt, Laux Lawyers AG, Zürich, Lektor an der Universität Freiburg MARTIN STEIGER Lic. iur. HSG, Anwalt und Unternehmer für Recht im digitalen Raum, Steiger Legal AG, Zürich Stichworte: Digitalisierung, DSG, Datenschutzrecht, Anwaltsrecht, Berufsgeheimnis Gesetzgeber und Markt verlangen von allen Anwältinnen und Anwälten, den Weg zur digitalen An- waltskanzlei zu beschreiten. Die Nutzung von digitalen Arbeitswerkzeugen und insbesondere Cloud-ÿþ� Diensten ist weniger problematisch als gemeinhin angenommen. Der vorliegende Beitrag zeigt auf, was datenschutzrechtlich, anwaltsrechtlich und strafrechtlich zulässig ist. Anhand von vier beispiel- haften Onlinediensten wird aufgezeigt, was die rechtlichen Voraussetzungen in der Praxis bedeuten. I. Einleitung ten wollen. Viele Anwältinnen werden aus dem Homeof- Die Digitalisierung schreitet in der Schweiz voran. Viele fice nicht mehr vollständig an einen Arbeitsplatz in einer Anwaltskanzleien haben sich allerdings bisher darauf be- Kanzlei zurückkehren. Selbst jene, die Sehnsucht nach pa- schränkt, E-Mail zu verwenden und allenfalls das klobige pierbasiertem Arbeiten «wie früher» verspüren, werden Faxgerät zu entsorgen. Gleichzeitig setzt die wachsende, sich der Digitalisierung stellen müssen. Rechtlicher Haupt- nicht anwaltlich regulierte Konkurrenz – Legal-Tech-Start- grund ist das neue E-Justice-Gesetz 3 , das mittels Anpas- ups sowie Beratungsunternehmen und Rechtsschutzversi- sungen der Prozessordnungen ein Obligatorium für die cherungen – fast ausschliesslich auf Arbeitsmittel im digi- elektronische Übermittlung vorsieht.4 Unabhängig von talen Raum.1 der Diskussion, ob dieses Obligatorium zu begrüssen ist, Technologiefeindlichkeit ist nicht immer der Grund für wird das E-Justice-Gesetz für viele Anwaltskanzleien den die Zurückhaltung bei Anwältinnen und Anwälten. Eine Anlass bieten, auch intern grossmehrheitlich auf digitale wesentliche Rolle spielen das Berufsgeheimnis und der Arbeitsmittel zu wechseln. 5 Datenschutz. Häufig ist nicht klar, ob die Nutzung von Cloud-Diensten sowie Outsourcing überhaupt daten- schutzrechtlich, anwaltsrechtlich oder strafrechtlich zu- lässig ist. Wer sich nicht eingehend mit der Thematik be- 1ÿþ Vgl. auch SCHWANINGER ET AL., [https://perma.cc/7VJG-4SZW fassen will, verzichtet daher tendenziell auf die Nutzung Legaltech-Trends in der Schweiz], in: Anwaltsrevue 6/7/2020, S. 247 ff. solcher Arbeitsmittel. 2ÿþ Die Autoren erarbeiteten diesen Beitrag mit Google Docs. Aufgrund der COVID-19-Pandemie mussten sich viele 3ÿþ Vorentwurf vom 11. 11. 2020 zu einem Bundesgesetz über die Platt- Anwaltskanzleien in der Schweiz mit der Digitalisierung form für die elektronische Kommunikation in der Justiz (BEKJ). 4ÿþ S. dazu die im Anhang des Vorentwurfs für ein E-Justice-Gesetz ent- befassen, ob sie wollten oder nicht. Anwälte, die nicht al- haltenen Vorentwürfe für einen neuen Art. 47a VwVG, einen neuen lein tätig sind, benötigen für die Tätigkeit im Homeoffice Art. 38c BGG, einen neuen Art. 128c ZPO, einen neuen Art. 103c digitale Arbeitsmittel und Cloud-Dienste. Beispiele dafür StPO, einen neuen Art. 2c ZeugSG, einen neuen Art. 8c OHG, einen neuen Art. 31c VStrR und einen neuen Art. 37c MStP (alle mit dem sind der gemeinsame Zugriff auf Akten und Dokumente Titel «Obligatorische elektronische Übermittlung») sowie einen sowie die Kommunikation mit Mandantinnen und Mandan- neuen Art. 37a VGG («Elektronische Übermittlung») und einen ten wie auch teilweise mit Behörden per Videokonferenz. 2 neuen Art. 8 Abs. 1 Bst. e BGFA (Zustelladresse auf der E-Justiz-ÿþ� Plattform als Voraussetzung für den Anwaltsregistereintrag). Anwälte, welche die Vorteile digitaler Arbeitsmittel 5ÿþ Vgl. auch JACQUES BÜHLER/BARBARA WIDMER, Auf dem Weg zur kennengelernt haben, werden nicht mehr darauf verzich- digitalen Justiz – Ein Statusbericht, in: Anwaltsrevue 4/2021, S. 169 ff. ANWALTS REVUE DE L’AVOCAT 5/2021 199
THEMA / QUESTION DU JOUR Dieser Weg zur digitalen Anwaltskanzlei ist – bei ge- auch im revDSG die Bestimmungen über die Gewährleis- nauer Betrachtung – weniger problematisch als gemeinhin tung der Datensicherheit (Art. 7 DSG bzw. Art. 8 r evDSG) angenommen wird, wie dieser Beitrag zeigen soll. Das gilt und die Auftragsbearbeitung (Art. 10a DSG – als «Datenbe- nicht nur anwalts- und strafrechtlich, sondern auch unter arbeitung durch Dritte» bezeichnet – bzw. Art. 9 r evDSG) dem geltenden und künftigen Datenschutzgesetz in der im Vordergrund. Schweiz. Anwälte, welche die DSGVO umgesetzt haben, wer- den feststellen, dass sie das r evDSG in weiten Teilen be- reits umgesetzt haben. Für alle Anwältinnen ist es aber II. Rechtsgrundlagen empfehlenswert, sich mit den Bestimmungen des revidier- 1. Datenschutzrecht ten Datenschutzrechts zu befassen.11 Anwälte, die das Anwältinnen und Anwälte in der Schweiz unterliegen – wie revDSG nicht oder nicht rechtzeitig umsetzen, riskieren grundsätzlich alle privaten Personen, die Personendaten bei Datenschutzverletzungen eine Untersuchung sowie bearbeiten – immer und vollständig dem schweizerischen Verwaltungsmassnahmen durch den Eidge nössischen Datenschutzrecht. Das geltende Bundesgesetz über den Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB, Datenschutz (DSG) wird voraussichtlich in der zweiten Art. 49 ff. r evDSG) sowie Verfahren durch kantonale Straf- Jahreshälfte 2022 durch das vollständig revidierte DSG verfolgungsbehörden mit persönlichen Bussen bis zu (revDSG) abgelöst.6 Mit dem revDSG wird unter anderem 250 000 Franken (Art. 60 ff.).12 Immerhin besteht im versucht, mit neuen Strafbestimmungen einen Anreiz zur schweizerischen Datenschutzrecht weiterhin kein Recht- Einhaltung bestehender datenschutzrechtlicher Grund- fertigungszwang für die Bearbeitung von Personendaten, sätze und Pflichten zu schaffen. Weiter soll sichergestellt sondern die Bearbeitung ist unter Einhaltung der daten- werden, dass die Europäische Kommission weiterhin zum schutzrechtlichen Grundsätze erlaubt (Art. 6 revDSG, Ergebnis gelangt, das schweizerische Recht gewährleiste unter anderem Rechtmässigkeit, Treu und Glauben, Ver- einen angemessenen Datenschutz, um den freien Daten- hältnismässigkeit, Transparenz und Zweckbindung), so- verkehr zwischen der Schweiz und Europa zu sichern.7 lange sie nicht ausnahmsweise verboten ist (Erlaubnis mit Das absehbare Inkrafttreten des r evDSG ist – nach der Verbotsvorbehalt). Auch das gemäss DSGVO häufige Er- Anwendbarkeit der europäischen Datenschutz-Grundver- fordernis einer Einwilligung bleibt dem schweizerischen ordnung (DSGVO) per 25. 5. 2018 – eine weitere Chance für Datenschutzrecht fremd.13 Informationen in Datenschutz- Anwältinnen in der Schweiz, sich vertieft mit den Auswir- erklärungen und an anderen Stellen sollen die Personen, kungen des Datenschutzrechtes auf ihre berufliche Tätig- deren Daten bearbeitet werden, befähigen, ihre Rechte keit zu befassen. Das Datenschutzrecht zählt zu den Com- wahrzunehmen (Art. 19 ff. r evDSG), insbesondere bei einer pliance-Vorschriften, die jede Anwaltskanzlei einhalten Verletzung ihrer Persönlichkeit. muss. 8 Damals mussten schweizerische Anwälte prüfen, Beim Übergang vom geltenden DSG zum revDSG ob sie teilweise der DSGVO unterliegen und die DSGVO er- bleibt unverändert, dass das Datenschutzrecht die An- gänzend zum DSG einhalten müssen. Die DSGVO ist für waltstätigkeit in allen Aspekten erfasst. Das liegt daran, schweizerische Anwältinnen insbesondere dann teilweise dass der Geltungsbereich der «Bearbeitung von Perso- anwendbar, wenn sie sich an Mandantinnen und Man danten im Europäischen Wirtschaftsraum (EWR)9 richten (Art. 3 Abs. 2 lit. a DSGVO, Marktortprinzip) oder wenn sie sich gegenüber Mandanten vertraglich zur Einhaltung der 6 Das Datenschutzteam der Walder Wyss AG hat unter [https:// DSGVO verpflichten. Anwälte im Anwendungsbereich der datenrecht.ch/rev-dsg/] das r evDSG in lesefreundlicher Form DSGVO müssen insbesondere die Rechtmässigkeit der aufbereitet und mit Auszügen aus der bundesrätlichen Botschaft ergänzt, zuletzt abgerufen am 30. 4. 2021. Verarbeitung von personenbezogenen Daten sicherstel- 7 Vgl. Bundesamt für Justiz, [https://perma.cc/39VW-EXAK len, da die DSGVO eine solche Verarbeitung nur aus- Stärkung des Datenschutzes], Totalrevision des Bundesgesetzes nahmsweise erlaubt (Art. 6 DSGVO, Verbot mit Erlaubnis- über den Datenschutz (DSG), zuletzt abgerufen am 30. 4. 2021. 8 Vgl. auch BENOÎT CHAPPUIS/STÉPHANIE CHUFFART-FINSTER- vorbehalt). Ausserdem vereinheitlichte und verschärfte WALD, La Compliance dans les études d’avocat: Quelques sujets die DSGVO für Europa unter anderem die Anforderungen topiques choisis, in: Anwaltsrevue 3/2020, S. 121 ff. an die Gewährleistung der Datensicherheit, die Dokumen- 9 Der Europäische Wirtschaftsraum (EWR), [https://perma.cc/ 48XS-NETN Europäische Wirtschaftsraum], umfasst die tations- und Informationspflichten sowie die Vorgaben für 27 Mitgliedstaaten der Europäischen Union (EU) sowie das das Outsourcing der Verarbeitung (Auftragsverarbei- Fürstentum Liechtenstein, Island und Norwegen, zuletzt tung). Wer im Anwendungsbereich der DSGVO die Daten abgerufen am 30. 4. 2021. 10 Vgl. ausführlich: MARTIN STEIGER, Neues EU-Datenschutz-Recht: von Personen im EWR in einem Drittstaat – dazu zählt Was gilt für Anwaltskanzleien; in: Anwaltsrevue 5/2018, S. 205 ff. die Schweiz – bearbeitet, benötigt weiter in vielen Fällen 11 Vgl. ausführlich: DAVID ROSENTHAL, [https://perma.cc/J7NK- eine EU-Datenschutz-Vertretung (Art. 27 DSGVO). Daten- DQH9 Das neue Datenschutzgesetz], in: Jusletter, 16. 11. 2020. 12 Vgl. ausführlich: DAVID ROSENTHAL/SERAINA GUBLER, Die schutz-Aufsichtsbehörden erhielten mit der DSGVO neue Strafbestimmungen des neuen DSG, in: SZW 1/2021, S. 52 ff. Kompetenzen und können beispielsweise abschreckend 13 Art. 6 Abs. 7 r evDSG regelt nicht, dass in den genannten Fällen hohe Geldbussen verhängen (Art. 83 DSGVO).10 eine Einwilligung erforderlich ist, sondern stellt klar, dass eine allfällige Einwilligung – zum Beispiel als Rechtfertigungsgrund für Für die Nutzung von digitalen Arbeitswerkzeugen eine ansonsten widerrechtliche Persönlichkeitsverletzung (Art. 31 durch Anwältinnen stehen sowohl im geltenden DSG als Abs. 1 r evDSG) – in diesen Fällen ausdrücklich erfolgen muss. 200 ANWALTS REVUE DE L’AVOCAT 5/2021
THEMA / QUESTION DU JOUR nendaten natürlicher Personen» äusserst breit gefasst ist. die benötigte Unterstützung durch Dritte zu finden. Es Personendaten sind «alle Angaben, die sich auf eine be- gibt nur wenige Anbieterinnen und Anbieter mit der erfor- stimmte oder bestimmbare natürliche Person beziehen» derlichen Kompetenz, die sich an Kleinst- und Kleinunter- (Art. 5 lit. a revDSG) und Bearbeiten umfasst «jeden Um- nehmen, das heisst an die grosse Mehrheit der schweizeri- gang mit Personendaten, unabhängig von den angewand- schen Anwaltskanzleien, richten. Anwälte gelten in der ten Mitteln und Verfahren» (Art. 5 lit. d r evDSG)14 . Perso- Branche als anspruchsvolle, sparsame und ungeduldige nendaten, die von Anwältinnen bearbeitet werden, sind Kundschaft. ausserdem häufig «besonders schützenswert», zum Bei- Eine Alternative zur eigenständigen Gewährleistung spiel «Daten über die Gesundheit, die Intimsphäre oder die der Datensicherheit ist deshalb bei vielen digitalen Ar- Zugehörigkeit zu einer Rasse oder Ethnie», «Daten über beitswerkzeugen das Outsourcing. Software wird nicht verwaltungs- und strafrechtliche Verfolgungen oder Sank- selbst betrieben und gewartet, sondern Dritte werden mit tionen» oder «Daten über Massnahmen der sozialen Hilfe» dem Betrieb und der Wartung der Software beauftragt. (Art. 5 lit. c Ziff. 2, 5 u. 6 revDSG). Datenschutzrechtlich handelt es sich um eine Auftragsbe- arbeitung. Ein solches Outsourcing stellt zwar – zumindest A) Datensicherheit gefühlt – einen gewissen Kontrollverlust über die eigenen Wer Personendaten bearbeitet, muss «durch geeignete Daten dar, kann aber gerade bei Kleinst- und Kleinunter- technische und organisatorische Massnahmen eine dem nehmen die Datensicherheit und die tatsächliche Kontrolle Risiko angemessene Datensicherheit» gewährleisten über die eigenen Daten erheblich verbessern. (Art. 8 Abs. 1 r evDSG).15 «Die Massnahmen müssen es er- möglichen, Verletzungen der Datensicherheit zu vermei- B) Auftragsbearbeitung den» (Art. 8 Abs. 2 revDSG). So müssen die Daten bei- Die Beauftragung von Dritten ist im schweizerischen Da- spielsweise vor Verlust und unberechtigten Zugriffen tenschutzrecht ausdrücklich zulässig (Art. 8a DSG bzw. geschützt werden. Art. 9 r evDSG). Bei digitalen Arbeitswerkzeugen erfolgt Die Gewährleistung der Datensicherheit bildet fak- das Outsourcing in erster Linie durch die Nutzung von tisch den Kern der Pflichten bei der Bearbeitung von Per- Cloud-Diensten beziehungsweise Software-as-a-Service sonendaten. Es gilt, die Integrität, Verfügbarkeit und Ver- (SaaS)-Angeboten17 sowie teilweise durch Remote Com- traulichkeit der bearbeiteten Personendaten tatsächlich puting mit Fernzugriff auf herkömmliche IT-Infrastruktur, sicherzustellen und nicht bloss in der veröffentlichten Da- die aber von Dritten betrieben wird. Moderne Software tenschutzerklärung oder in der erstellten internen Doku- ist häufig und zunehmend nur noch als Cloud-Dienst er- mentation zu behaupten. Bei einer Datenpanne wird allein hältlich, was auch den Vorteil hat, flexible Arbeitsorte für die Erklärung, man habe geeignete Massnahmen getrof- die Mitarbeiterinnen und Mitarbeiter einer Anwaltskanz- fen, zumindest in der Kommunikation und mit Blick auf die lei zu ermöglichen. Wer mit einem Smartphone oder Reputation nicht genügen. Bei besonders schützenswer- sonstigen Computer online gehen kann, kann grundsätz- ten Personendaten bestehen im Übrigen auch besonders lich überall im Universum arbeiten. Anwaltskanzleien, die hohe Risiken für die Mandantinnen und Mandanten. bereits SaaS-Angebote nutzten, konnten ihr Personal Das revDSG fordert keine absolute Datensicherheit, durch die Tätigkeit im Home- oder Remote-Office in der sondern risikobasierte Massnahmen. Gängige Massnah- COVID-19-Pandemie von Anfang an wirksam schützen, men bei digitalen Arbeitswerkzeugen sind beispielsweise ohne gleichzeitig Einbussen bei der Datensicherheit in Datensicherung (einschliesslich möglicher Wiederherstel- Kauf zu nehmen. lung der gesicherten Daten!), Zugangs- und Zugriffsbe- Die Auftragsbearbeitung benötigt grundsätzlich schränkungen sowie Verschlüsselung, aber auch interne keine Einwilligung der Personen, deren Daten bearbeitet Kontrollen, Regelungen und Schulungen sowie vertragli- werden. Der Auftragsbearbeiter wird – entgegen der Ter- che Absicherungen. Der Bundesrat wird auf Verordnungs- minologie «Dritte» im geltenden DSG – datenschutz- ebene die Mindestanforderungen an die Datensicherheit rechtlich der Auftraggeberin zugeordnet, sodass keine konkretisieren müssen (Art. 8 Abs. 3 revDSG). Anhalts- Bekanntgabe an «Dritte» erfolgt. Damit verletzen Anwäl- punkte liefern Art. 8 ff. der geltenden Verordnung zum tinnen, die Outsourcing nutzen, keine gesetzliche oder Bundesgesetz über den Datenschutz (VDSG).16 vertragliche Geheimhaltungspflicht, solange sie die da- Wer die bundesrätlichen Mindestanforderungen vor- tenschutzrechtlichen Anforderungen an die Auftragsbe- sätzlich nicht einhält, kann in Zukunft mit Busse bis zu 250 000 Franken bestraft werden (Art. 61 lit. c revDSG). Wer nicht riskieren möchte, die eigenen Massnahmen durch eine Übertretungsstrafbehörde beurteilen zu las- 14 Die Terminologie «Bearbeiten von Personendaten» (DSG, r evDSG) sen, wird einen hohen Massstab betreffend Angemessen- und «Verarbeitung personenbezogener Daten» (DSGVO) kann im Alltag als synonym betrachtet werden. heit und Geeignetheit anstreben müssen. 15 Die technischen und organisatorischen Massnahmen werden Die Gewährleistung der digitalen Datensicherheit ist üblicherweise als «TOMs» abgekürzt. für viele Anwälte eine anspruchsvolle Aufgabe. Für Anwäl- 16 [https://perma.cc/NWT7-QUZA]. 17 Vgl. zu diesen Begriffen die entsprechenden Wikipedia-Artikel tinnen, welche die erforderlichen Massnahmen nicht selbst [https://perma.cc/4Q6W-DF4H] und [https://perma.cc/KBG9- umsetzen können oder möchten, ist es häufig schwierig, LF4M]. ANWALTS REVUE DE L’AVOCAT 5/2021 201
THEMA / QUESTION DU JOUR arbeitung erfüllen. Anwälte müssen ihre Mandanten nicht Das Bundesgericht bestätigte mit einem im Juni 2019 zwingend informieren, dass sie Outsourcing nutzen. gefällten Urteil die Verweigerung der Änderung eines Re- Gemäss Art. 9 Abs. 1 r evDSG muss die Auftragsbear- gistereintrags durch die Genfer Anwaltsaufsichtsbehörde beitung vertraglich abgesichert werden, was üblicherwei- unter anderem wegen Nichteinhaltung des Berufsge- se mit einem Auftragsverarbeitungsvertrag (AVV)18 ge- heimnisses. 25 Die anwaltliche Beschwerdeführerin wollte schieht. Praxis in der Schweiz ist, dass sich solche Verträge ihre Geschäftsadresse zu einer Aktiengesellschaft verle- an den detaillierten Vorgaben von Art. 28 Abs. 3 DSGVO gen, deren Zweck darin besteht, als Plattform für unab- orientieren. Damit werden unter anderem die erforderli- hängige Anwälte zu fungieren und ihnen ein Geschäfts- chen Kontroll- und Weisungsrechte sowie der Beizug von domizil und/oder Dienstleistungen im Zusammenhang weiteren Auftragsbearbeitern, das heisst von Unterauf- mit der Benutzung von Räumlichkeiten anzubieten. 26 Das tragsbearbeitern, geregelt (Art. 9 Abs. 3 revDSG).19 Bundesgericht hielt mit Bezug auf das Berufsgeheimnis Viele Anbieter von digitalen Arbeitswerkzeugen sit- zunächst fest, dass die Aktiengesellschaft die Vorausset- zen im Ausland. Wer solche Angebote nutzt, exportiert zungen für die Qualifikation als Hilfsperson erfülle, weil Personendaten und muss diesen Export absichern. Kein sie für die Beschwerdeführerin in Erfüllung eines Service- Datenexport liegt dann vor, wenn die Daten unter eigener vertrags Leistungen erbringe, die zur Ausübung ihres Be- Kontrolle und mit ausschliesslichem Zugriff aus der rufs beitrügen. Somit hätte die Beschwerdeführerin dafür Schweiz Ende zu Ende verschlüsselt werden, was aber sel- sorgen müssen, dass die Aktiengesellschaft das Berufs- ten angeboten wird oder angesichts der verwendeten Art geheimnis einhält. 27 von Software gar nicht praktikabel ist. Im konkreten Fall war dies jedoch nicht im erforderli- Der Datenexport – Art. 16 ff. r evDSG tragen den Titel chen Mass gewährleistet. Insbesondere fehlte es an einer «Bekanntgabe von Personendaten ins Ausland» – ist zu- schriftlichen Verpflichtung der Aktiengesellschaft, das Be- lässig, wenn aus schweizerischer Sicht im Ausland ein an- rufsgeheimnis zu respektieren und dafür zu sorgen, dass gemessener Datenschutz gewährleistet ist. Der Bundesrat auch ihre Mitarbeiterinnen dieses respektieren. Aus den wird gemäss revDSG eine entsprechende Liste führen, allgemeinen Geschäftsbedingungen ergab sich stattdes- während diese Aufgabe heute dem EDÖB obliegt. 20 Bei sen, dass die Beschwerdeführerin akzeptierte, dass die Staaten, die nicht auf dieser Liste zu finden sind, kann ein Aktiengesellschaft ihre Haftung auf vorsätzliches oder «geeigneter Datenschutz» unter anderem durch einen völ- grob fahrlässiges Verhalten beschränkte. Im Hinblick auf kerrechtlichen Vertrag oder durch Standarddatenschutz- das Erfordernis, dass die Anwältin alle ihr zumutbaren klauseln gewährleistet werden (Art. 16 Abs. 2 lit. a u. d Massnahmen ergreifen muss, um eine Verletzung des Be- revDSG). Letzteres kann beispielsweise bei Auftragsbear- rufsgeheimnisses zu vermeiden, sei das nicht ausreichend. beitern in den USA versucht werden, nachdem die daten- Darüber hinaus wären Telefonate zum Festnetzanschluss schutzrechtliche Absicherung in Bezug auf amerikanische der Aktiengesellschaft nicht durch eigene Mitarbeiterin- Anbieter nicht mehr mit den früheren Safe-Harbor- und nen, sondern durch Mitarbeiter eines von dieser beauf- Privacy-Shield-Regelungen möglich ist. 21 tragten Drittunternehmens geführt worden (Subdelegati- on). Dritte hätten somit Zugang zu Informationen gehabt, 2. Anwaltsrecht22 die unter die Schweigepflicht fallen, was mit der Verpflich- Mit Blick auf die Frage, ob die Nutzung digitaler Arbeits- werkzeuge zulässig ist, ist das in Art. 13 BGFA verankerte Berufsgeheimnis zentral. Gemäss dieser Bestimmung un- terstehen Anwältinnen und Anwälte zeitlich unbegrenzt 18 Die europäische Terminologie «Auftragsverarbeitungsvertrag», und gegenüber jedermann dem Berufsgeheimnis gegen- abgekürzt AVV, wird häufig auch in der Schweiz verwendet. Wer schon länger im Datenschutzrecht tätig ist, zeigt das gerne mit über allem, was ihnen infolge ihres Berufes von ihrer Kli- dem früher in Deutschland verwendeten Begriff «Auftragsdaten- entschaft anvertraut worden ist. verarbeitungsvertrag» (ADV). Dem Berufsgeheimnis gemäss dem BGFA als eidge- 19 Vgl. auch SAV-Fachgruppe Digitalisierung, [https://perma.cc/ NUF6-6QQF SAV-Wegleitung für IT-Outsourcing und Cloud- nössischem Anwaltsgesetz liegt derselbe Vertraulichkeits- Computing], Juni 2019 (nur mit SAV-Login). begriff zugrunde wie dem strafrechtlich verankerten Be- 20 EDÖB, [https://perma.cc/9R3R-3C3P Übermittlung ins Ausland], rufsgeheimnis (Art. 321 StGB). 23 Wohl aus diesem Grund zuletzt abgerufen am 30. 4. 2021. 21 Vgl. MARTIN STEIGER, [https://perma.cc/684F-2DVN Nach dem wird das Berufsgeheimnis gemäss Art. 13 BGFA in Abklä- Ende von Privacy Shield: Wie können amerikanische Inter- rungen zur Zulässigkeit insbesondere der Cloud-N utzung net-Dienste weiterhin genutzt werden?], Cyon, 13. 10. 2020. durch Anwältinnen teilweise gar nicht erwähnt. 24 Während 22 Vgl. u. a. ausführlich: CHRISTIAN SCHWARZENEGGER ET AL., [https://perma.cc/3M29-BTFB Nutzung von Cloud-Diensten eine Strafverfolgung wegen Verletzung des Berufsgeheim- durch Anwältinnen und Anwälte], Zürich 2019 (zit. Gutachten) nisses einen Strafantrag voraussetzt, wird das im Anwalts- mit [https://perma.cc/C7ZF-PFMC Zusammenfassung], in: recht verankerte Berufsgeheimnis durch die kantonalen Anwaltsrevue 1/2019, S. 25 ff. 23 HANS NATER ET AL. (Hrsg.), Kommentar zum Anwaltsgesetz, Aufsichtsbehörden überwacht. Vorfälle, welche die Be- Zürich 2011, Art. 13 N 16. rufsregeln verletzen könnten, sind durch kantonale und 24 CHRISTIAN SCHWARZENEGGER ET AL., in: Anwaltsrevue 1/2019, eidgenössische Gerichts- und Verwaltungsbehörden un- S. 25 ff. 25 BGE 145 II 229 E. 9. verzüglich der kantonalen Aufsichtsbehörde zu melden 26 BGE 145 II 229 Sv. A. (Art. 15 BGFA). 27 BGE 145 II 229 E. 7.5. 202 ANWALTS REVUE DE L’AVOCAT 5/2021
THEMA / QUESTION DU JOUR tung zur Einhaltung des Berufsgeheimnisses nicht verein- langt und zugleich nicht als Hilfsperson der Anwältin fun- bar sei. 28 giert. Die Arbeitsumgebung, in die sich die beschwerdefüh- CLOUD Act steht für den amerikanischen Clarifying rende Anwältin begeben wollte, hätte das Berufsgeheim- Lawful Overseas Use of Data Act, was mit Gesetz betref- nis nicht garantiert. Somit war es gemäss Bundesgericht fend die Klarstellung der rechtmässigen Verwendung von korrekt, in der beantragten Änderung einen Verstoss Daten im Ausland übersetzt werden kann. Das Gesetz er- gegen Art. 13 BGFA zu erkennen. 29 Das Urteil des Bundes- laubt es den US-Strafverfolgungsbehörden auf Bundes gerichts zeigt, dass der Schutz des Berufsgeheimnisses ebene, Technologieunternehmen mit Sitz in den USA zu vertraglich abgesichert werden muss und somit auch ver- zwingen, Daten auch dann zur Verfügung zu stellen, wenn traglich abgesichert werden kann. Zudem hat das Bundes- die verwendeten Server nicht in den USA stehen. Dies gericht klargestellt, dass die Haftung der Hilfsperson nicht wirkt auf den ersten Blick höchst problematisch, bei ge- auf vorsätzliches oder grob fahrlässiges Verhalten be- nauerer Betrachtung zeigt sich jedoch, dass die Risiken schränkt werden darf. Einen allfälligen Haftungsaus- meist überbewertet werden. Zunächst ist daran zu erin- schluss der Anwaltskanzlei gegenüber ihrer Klientschaft nern, dass der CLOUD Act nur für Strafuntersuchungen hatte das Bundesgericht nicht zu beurteilen. gilt und in jedem Fall einen Gerichtsbeschluss erfordert. Der Erlass zielt in erster Linie auf die Beschlagnahmung 3. Strafrecht von Material im Ausland für Untersuchungen in den USA Das anwaltliche Berufsgeheimnis ist auch durch das Straf- gegen sogenannte US-Personen ab. recht geschützt. Nach Art. 321 StGB werden Anwältinnen Anwaltskollege David Rosenthal hat ein Modell zur und Anwälte sowie ihre Hilfspersonen, die ein Geheimnis Berechnung der Wahrscheinlichkeit eines Lawful Access offenbaren, auf Antrag mit Freiheitss trafe bis zu drei Jah- im Ausland entwickelt und aufgezeigt, dass sieben (!) Vor- ren oder Geldstrafe bestraft. Das Geheimnis muss ihnen aussetzungen kumulativ erfüllt sein müssen, damit es zu infolge ihres Berufes anvertraut worden sein, oder sie einem Lawful Access durch eine ausländische Behörde müssen es in dessen Ausübung wahrgenommen haben. kommen kann. 33 Um die Gesamtwahrscheinlichkeit eines Hier stehen drei Fragen im Zentrum: (1.) Unter welchen Lawful Access zu berechnen, ist die Wahrscheinlichkeit für Voraussetzungen wird ein IT-Dienstleister zur Hilfsper- jede der sieben Voraussetzungen zu schätzen. Im von Ro- son? (2.) Ist die Einwilligung der Klientschaft für das Hin- senthal durchgerechneten Beispiel resultiert eine Gesamt- zuziehen der Hilfsperson erforderlich? (3.) Wann ist das wahrscheinlichkeit eines erfolgreichen Lawful Access über Tatbestandselement der Offenbarung erfüllt? den Cloud-Provider von 0,67 Prozent in der (auf fünf Jahre Für die Nutzung von Cloud-Diensten, deren Anbieter festgelegten) Betrachtungsperiode. Das bedeutet, dass es ihren Sitz in den USA haben, stellt sich zudem die Frage, in diesem Beispiel erst nach 513 Jahren mit einer Wahr- welche Auswirkungen der amerikanischer CLOUD Act auf scheinlichkeit von 50 Prozent zu einem erfolgreichen Law- den Schutz des Berufsgeheimnisses hat. ful Access kommen würde. Für die genaue Berechnung Hilfsperson ist, «wer bei der Berufstätigkeit eines und die Begründung der getroffenen Annahmen wird auf (Haupt-)Geheimnisträgers in einer Weise mitwirkt, die es das Excel-Dokument von Rosenthal verwiesen. 34 ihr oder ihm grundsätzlich ermöglicht, von Geheimnissen Kenntnis zu nehmen». 30 Wenn ein IT-Dienstleister grund- sätzlich keine Möglichkeit hat, die bei ihm liegenden Daten III. Beispiele für digitale Arbeitswerkzeuge einer Anwältin zu lesen, ist er somit nicht Hilfsperson. Die nachfolgenden Beispiele zeigen für gängige digitale Wenn die Daten unverschlüsselt auf dem Server des Arbeitswerkzeuge, ob und, falls ja, wieso und unter wel- Dienstleisters liegen, kann er grundsätzlich davon Kennt- chen Voraussetzungen die Nutzung für Anwältinnen und nis nehmen und ist somit auch Hilfsperson. Anwälte zulässig ist. Die Beispiele unterscheiden sich ins- Wenn ein IT-Dienstleister wegen der grundsätzlichen besondere durch das Vorhandensein von Ende-zu-En- Möglichkeit, von Geheimnissen Kenntnis zu nehmen, Hilfs- de-Verschlüsselung sowie den Standort von Anbietern person ist, stellt sich die Frage, ob für das Hinzuziehen die- und Daten. ser Hilfsperson die Einwilligung der Klientschaft erforder- lich ist. Das Einholen einer solchen Einwilligung ist nicht notwendig, wird aber im Sinne einer zusätzlichen Absiche- rung generell31 oder für bestimmte Konstellationen32 emp- 28 BGE 145 II 229 E. 7.5. fohlen. 29 BGE 145 II 229 E. 7.6. 30 CHRISTIAN SCHWARZENEGGER ET AL., in: Anwaltsrevue 1/2019, Art. 321 StGB ist ein Erfolgsdelikt. Die Strafbarkeit S. 28. setzt somit voraus, dass eine unberechtigte Person tat- 31 CHRISTIAN SCHWARZENEGGER ET AL., in: Anwaltsrevue 1/2019, sächlich Kenntnis vom Geheimnis erlangt hat. Die blosse S. 30. 32 DAVID ROSENTHAL, [https://perma.cc/VET8-ZLH3 Mit Berufsge- Möglichkeit zur Kenntnisnahme genügt somit nicht. Das heimnissen in die Cloud: So geht es trotz US CLOUD Act], in: Abspeichern von Daten auch in unverschlüsselter Form er- Jusletter 10. 8. 2020, Rz. 49 ff. füllt das Tatbestandselement der Offenbarung somit 33 ROSENTHAL (Fn. 32), Rz. 109 ff. 34 DAVID ROSENTHAL, [https://perma.cc/D92U-GXGS Cloud- nicht. Das Berufsgeheimnis wird erst dann verletzt, wenn Computing: Risikobeurteilung eines Lawful Access durch ein IT-Dienstleister tatsächlich Kenntnis von den Daten er- ausländische Behörden]. ANWALTS REVUE DE L’AVOCAT 5/2021 203
THEMA / QUESTION DU JOUR 1. Digitale Ablage: Tresorit den. In dieser Version besteht die Garantie, dass Texte Tresorit ist ein kostenpflichtiger Dienst der schweizeri- der N utzerinnen nicht gespeichert, sondern sofort nach schen Tresorit AG, der das Speichern, Synchronisieren und der Übersetzung gelöscht werden. 38 Der erforderliche Teilen von Dateien in der Cloud ermöglicht. 35 Anwalts- Auftragsverarbeitungsvertrag ist sowieso nur für die kanzleien können damit ihre Daten wie beispielsweise DeepL-Pro-Version erhältlich. Mandantendossiers digital ablegen. Alle Daten werden Die Nutzung von DeepL ist für Anwältinnen und An- durch Ende-zu-Ende-Verschlüsselung geschützt, das wälte in der Schweiz aus datenschutz-, anwalts- und straf- heisst, Tresorit hat keinen Zugriff auf die Daten der Nutze- rechtlicher Sicht in der kostenpflichtigen Pro-Version rinnen und Nutzer. Vorteilhaft ist, dass die Daten nicht nur grundsätzlich zulässig. Das deutsche Datenschutzrecht in der Cloud liegen, sondern lokal synchronisiert und einschliesslich DSGVO gewährt mindestens einen ange- damit bei Bedarf unabhängig von Tresorit gesichert wer- messenen Datenschutz, sodass der Datenexport aus der den können. Schweiz zulässig ist. Die Daten zumindest aus den Über- Die Nutzung von Tresorit ist für Anwältinnen und An- setzungen werden nur kurzzeitig gespeichert und liegen wälte in der Schweiz aus datenschutz-, anwalts- und straf- in der Europäischen Union (EU). rechtlicher Sicht ohne Weiteres zulässig. Der Dienst un- terliegt vollumfänglich schweizerischem Recht, und die 4. Office: Microsoft 365 Daten liegen in der Schweiz. Tresorit erklärt ausserdem, Microsoft 365 verbindet die traditionellen und lokal ge- die DSGVO einzuhalten. Für jene wenigen Daten, die nicht nutzten Microsoft-Office-Anwendungen wie Outlook und Ende zu Ende verschlüsselt werden können, zum Beispiel Word mit Cloud-Speichern, Cloud-Versionen der traditio- die Namen der Nutzer und die E-Mail-Adressen der Nut- nellen Anwendungen sowie zusätzlichen Cloud-Diensten zerinnen, sodass eine Auftragsbearbeitung stattfindet, wie beispielsweise dem Zusammenarbeits- und Videokon- kann ein Auftragsverarbeitungsvertrag abgeschlossen ferenztool Teams. Microsoft 365 ist ein Angebot der ame- werden. rikanischen Microsoft Corporation, ermöglicht aber die Auswahl der Schweiz als Datenstandort. 2. Kanzleiverwaltung: Bexio Die Nutzung von Microsoft 365 ist für Anwältinnen Bexio ist ein kostenpflichtiger Dienst der schweizerischen und Anwälte in der Schweiz aus datenschutz-, anwalts- Bexio AG, der die Online-Verwaltung von Unternehmen und strafrechtlicher Sicht zulässig, sofern beim Umstieg wie beispielsweise Anwaltskanzleien ermöglicht. 36 An- bestimmte technische, organisatorische und vertragliche wältinnen und Anwälte können damit unter anderem Pro- Massnahmen zum Schutz der Datensicherheit und des Be- jekte und die geleistete Zeit erfassen, ihre Buchhaltung rufsgeheimnisses umgesetzt werden. 39 Es ist zu empfeh- führen und Rechnungen erstellen sowie ihre Kontakte len, die getroffenen Massnahmen zu dokumentieren, um verwalten. auf Verlangen einer Aufsichtsbehörde nachweisen zu kön- Die Nutzung von Bexio ist für Anwälte in der Schweiz nen, dass insbesondere die Datensicherheit und das Be- aus datenschutz-, anwalts- und strafrechtlicher Sicht rufsgeheimnis gewährleistet sind. Microsoft bietet unter grundsätzlich zulässig. Die Daten sind zwar nicht Ende zu anderem Anwaltskanzleien den Abschluss eines Pro Ende verschlüsselt, aber der Dienst unterliegt vollumfäng- fessional-Secrecy-Addendums an. In diesem steht, dass lich schweizerischem Recht. Die Daten liegen zwar bei Microsoft sich bewusst ist, dass Kundendaten unter das Google, aber in der Schweiz und im Verantwortungsbe- Berufsgeheimnis im Sinne von Art. 321 StGB fallen können. reich der Google Ireland Limited und nicht der amerikani- Indem Microsoft bestätigt, zu wissen, dass Daten eines be- schen Google LLC. Bexio erklärt, die DSGVO einzuhalten. stimmten Kunden unter das Berufsgeheimnis fallen kön- Der Auftragsverarbeitungsvertrag, mit dem die Kontrolle nen, wird Microsoft zur Hilfsperson. der Nutzerinnen und Nutzer über ihre Daten vertraglich si- chergestellt wird, ist Bestandteil der allgemeinen Ge- schäftsbedingungen (AGB). IV. Fazit Gesetzgeber und Markt verlangen von der gesamten An- 3. Übersetzung: DeepL waltschaft, mit der längst laufenden Digitalisierung mitzu- DeepL ist ein Übersetzungsdienst der deutschen DeepL gehen und nicht länger stehen zu bleiben. Die Verwen- GmbH, der das Übersetzen von Texten in über einem Dut- zend Sprachen ermöglicht. Als deutscher Dienst unter- liegt DeepL der DSGVO und wird von der nordrhein-west- fälischen Datenschutz-Aufsichtsbehörde beaufsichtigt. Die AGB stellen klar, dass die Rechte an ihren Daten bei 35 [https://tresorit.com/de]. den Nutzerinnen und Nutzern verbleiben. 36 [https://www.bexio.com/de-CH/]. 37 Vgl. [https://perma.cc/WS73-ZFLZ Datenschutzerklärung DeepL], DeepL kann kostenlos genutzt werden, doch ist die Ziff. 3. Bearbeitung von Personendaten bei dieser Version aus- 38 Vgl. [https://perma.cc/WS73-ZFLZ Datenschutzerklärung DeepL], drücklich untersagt. 37 Da Texte, die übersetzt werden Ziff. 4. 39 Für die detaillierte Begründung sei auf das Referat [https://youtu. sollen, häufig Personendaten enthalten, muss regelmäs- be/OdJizFReYrQ «Kanzlei in der Cloud – wie es funktioniert»] von sig die kostenpflichtige DeepL-Pro-Version genutzt wer- Anwaltskollege Christian Laux vom 11. 3. 2021 verwiesen. 204 ANWALTS REVUE DE L’AVOCAT 5/2021
THEMA / QUESTION DU JOUR dung moderner Software zwingt zum Schritt in die Cloud Es ist zu wünschen, dass sich eine risikobasierte Be- und dabei auch zur Nutzung von Cloud-Diensten im Aus- trachtung auch bei Aufsichtsbehörden und Gerichten land. Jüngere Mitarbeiterinnen und Mitarbeiter kennen durchsetzt. So wäre es beispielsweise problematisch, nur noch die Arbeit mit solchen digitalen Arbeitswerkzeu- wenn Anwältinnen und Anwälte nur IT-Dienstleister be- gen. Immer mehr Mandantinnen und Mandanten sind nur auftragen dürften, die auf die Beschränkung ihrer Haftung noch über digitale Kommunikationskanäle wie Instant auf Vorsatz und grobe Fahrlässigkeit verzichten. Es stün- Messaging und Social Media erreichbar. den – wenn überhaupt – nur noch einige wenige IT-Dienst- Dieser Beitrag zeigt, dass der Weg zur digitalen An- leister zur Auswahl, die weder funktional noch preislich waltskanzlei und damit in die Cloud datenschutz-, an- konkurrenzfähig wären. Anwaltskanzleien und ihre nicht walts- und strafrechtlich möglich ist. Dafür müssen ent- regulierte Konkurrenz benötigen gleich lange Spiesse. An- sprechende Beurteilungen und Diskussionen mit Blick auf sonsten droht tatsächlich «The End of Lawyers», wie es die tatsächlichen Risiken geführt werden. Sogar der ame- Richard D. Susskind bereits 2008 in den Raum gestellt rikanische CLOUD Act verliert seinen Schrecken, wenn hat.40 man ihn nüchtern betrachtet. Umgekehrt verblasst der Glanz des Datenstandortes Schweiz, sobald man hinter die Kulissen des ausgebauten Überwachungsstaates blickt. Schliesslich muss berücksichtigt werden, dass der Ver- zicht auf digitale Arbeitswerkzeuge oder das Festhalten 40 Vgl. auch CHRISTIAN LAUX, [https://perma.cc/FS2W-G2FX The an alternder lokaler Software genauso mit Risiken verbun- End of Lawyers? – Ableitungen aus Susskinds Thesen mit Blick auf den ist. IT in der Anwaltskanzlei], in: Anwaltsrevue 1/2015, S. 5 ff. ANWALTS REVUE DE L’AVOCAT 5/2021 205
Sie können auch lesen