Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert - Anwaltsblatt
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Aufsätze
A n w a lt s r e c ht 2. Grenzen der Regulierung
2.1
Verschwiegenheitspflicht Eine kasuistisch abschließende Regelung des von einem
Rechtsanwalt zum Schutz der Vertraulichkeit und der Daten
und Datenschutz: Was das erwarteten Verhaltens durch Normsetzung ist nicht möglich,
da sich Anforderungen der Mandanten, deren Gegner oder
Recht von Kanzlei fordert Verhandlungspartner sowie der Gerichte und Behörden, das
technische Umfeld und Angebot und die Arbeitsorganisation
Abschlussbericht des Ausschusses 6 laufend ändern. Die Verantwortung liegt daher bei dem ein-
der 6. Satzungsversammlung* zelnen Rechtsanwalt, da nur er seine Kanzlei, ihre Organisati-
Prof. Dr. Thomas Gasteyer, Frankfurt am Main (als Vorsitzender on und vorhandene Risiken kennt und darauf eingehen kann.
des Ausschusses 6 der 6. Satzungsversammlung)
2.2
Wie Anwältinnen und Anwälte mit die Pflicht zur Verschwie- Dieses Konzept ist mit dem Ansatz des BSI konform. In Be-
genheit umgehen sollen und wie sie die Vorgaben des Daten- zug auf Dienstleister im Gebiet Cloud-Computing wurde
AnwaltsWissen
schutzes beachten können, ist in den vergangenen Jahren zu vom BSI ein Anforderungskatalog Cloud Computing (C 5)
einer zentralen Frage geworden. Der Gesetzgeber hat im Be- entwickelt, der aber keine abschließende Vorgabe für Organi-
rufsrecht, aber auch im Datenschutz versucht, das Recht der sation und Verhalten, sondern Prüfungsschritte für die Eva-
luation durch zum Beispiel Wirtschaftsprüfer oder den Kun-
Wirklichkeit in einer digitalisierten Welt anzupassen. Die Sat-
den darstellt. Die Verantwortung liegt damit beim Nutzer.
zungsversammlung hat durch beständige Fortschreibung des
§ 2 BORA mit der Entwicklung Schritt gehalten. Im Mai 2019
hat sie einen neuen Abs. geschaffen, der vor allem die E-Mail 3. Übersicht der relevanten Normen
Kommunikation regelt, Erleichterungen für die Praxis bietet
und frühestens zum 1. November 2019 in Kraft treten wird 3.1 Das Berufsgeheimnisschutzgesetz mit § 203 StGB sowie
(Lührig, AnwBl 2019. 330). Das Anwaltsblatt dokumentiert §§ 43 a und 43 e BRAO
den Abschlussbericht des Ausschusses 6, weil er nicht nur ei- Das Berufsgeheimnisschutzgesetz2 ermöglichte Ende 2017 im
nen Überblick des Zusammenspiels von Zivil-, Straf-, Berufs- Wege einer grundlegenden Reform die rechtssichere Ein-
und Datenschutzrecht gibt, sondern auch den zukünftigen § 2 beziehung von Outsourcing- Dienstleistern in die Abläufe
Abs. 2 BORA erläutert. der Kanzlei, § 203 Abs. 3 StGB. Abgesichert wurde dies durch
deren Einbeziehung in den Adressatenkreis der Strafnorm
und die Gewährung von Beschlagnahmeschutz und Zeugnis-
verweigerungsrechten, vgl. 6.1. 43 a Abs. 2 BRAO wurde um
1. Einleitung
entsprechende Sorgfaltsanforderungen bei der Einbeziehung
Der Ausschuss 6 der 6. Satzungsversammlung hat insgesamt von externen Dienstanbietern erweitert, der neue § 43 e
vierzehnmal in Präsenzsitzungen oder Telefonkonferenzen BRAO setzt die Rahmenbedingungen für die Involvierung
getagt. Weitere Sitzungen fanden in Unterausschüssen statt. von Dienstleistern. Der Gesetzgeber hat dabei verschiedene
Mit seinem Abschlussbericht („Bericht“) fasst er die Erkennt- Anforderungen aus dem damaligen § 2 BORA in ähnlicher,
nisse aus seiner Tätigkeit sowie verbliebene offene Fragen zur aber nicht identischer Form übernommen, was zu Reform-
bedarf bei § 2 BORA führte. Die Fortschreibung des § 2
Unterrichtung eines Nachfolgeausschusses der 7. Satzungs-
BORA wird voraussichtlich fortzuführen sein, wenn und so-
versammlung und zur Erleichterung seiner künftigen Arbeit
bald Fälle der Praxis Regelungsbedarf indizieren.
zusammen.
Zugleich kann der Bericht unseren Kolleginnen und Kol- 3.2 § 280 BGB
legen in Teilen als Grundlage für die praktische Umsetzung
Das Verhalten des Rechtsanwalts wird auch durch seine zivil-
des § 2 Abs. 4 BORA dienen. Der Bericht ist keine Handlungs-
rechtlichen Verpflichtungen bestimmt. Diese Pflichten kön-
anweisung, sondern eine Hilfestellung.
nen weiter gehen als die berufs- rechtliche Pflichtenlage und
Der Bericht konzentriert sich auf die im Ausschuss und
eingreifen, auch wenn ein Verhalten oder Unterlassen keinen
im Plenum diskutierten Themen und ist nicht als allgemeiner Verstoß gegen Straf-, Berufs- oder Datenschutzrecht darstellt.
oder gar abschließender Kommentar zu den unten aufgeführ- Das diese Verhaltenssteuerung durch zivilrechtliche Normen
ten Rechtsvorschriften zu verstehen. Wenn für den Aus- vorhanden sein kann, war dem Ausschuss bewusst, wenn er
schuss offensichtlich unter Beachtung der Satzungskom- den Bedarf zusätzlicher Regulierung bedachte.
petenz der Satzungsversammlung kein Bedarf zur Ausfül-
lung einer gesetzlichen Regelung oder zur Klärung eines The-
mas bestand, geht dieser Bericht nicht hierauf ein. Außerdem
hat sich der Ausschuss 6 nach einem Gespräch beim Bundes-
amt für Sicherheit in der Informationstechnik (BSI) bemüht,
in Anlehnung an das BSI-Papier C 5 (Anforderungskatalog * Der Abschlussbericht des Ausschusses 6 „Verschwiegenheitspflicht und Datenschutz“
Cloud Computing)1 die einzelnen Risikosituationen in der an- der 6. Satzungsversammlung ist auf dem Stand vom 5. April 2019.
waltlichen Praxis zu erfassen und zu bewerten. Diese Arbeit 1 BSI Anforderungskatalog Cloud Computing: https://www.bsi.bund.de/.
2 Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an
wurde nicht vollendet, zahlreiche Detailerkenntnisse flossen der Berufsausübung schweigepflichtiger Personen vom 30. Oktober 2017, BGBl 2017 I
jedoch in den Bericht und insbesondere die Anlagen ein. 3618
Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert, Gasteyer AnwBl Online 2019 557Aufsätze
3.3 Datenschutzrecht Kommunikationswege) zu einem Schaden des Mandanten
Die DSGVO ist im Mai 2018 in Kraft getreten, das gänzlich führt. Hier verdrängt möglicherweise die Pflicht zur Befol-
neue BDSG wenig später. Sie haben die Diskussion über das gung der gesetzlichen Anordnung die potenzielle Haftung
Verhältnis von Datenschutz und Berufsrecht auf eine neue wegen Verletzung einer Schutzpflicht gegenüber dem Man-
Grundlage gestellt (dazu 4.). danten. Anders formuliert: Wenn der Rechtsanwalt das beA
benutzt, kann er nicht deswegen gegenüber den Mandanten
3.4 Telemediengesetz schadensersatzpflichtig sein. Die Frage ist von der weiteren
Zeitgleich mit Inkrafttreten der DSGVO war ursprünglich die zu trennen, ob der Rechtsanwalt stets verpflichtet ist, gesetz-
Einführung der ePrivacy-VO geplant, welche die ePrivacy lich vorgegebene Kommunikationswege zu wählen. Das ist
Richtlinie ablösen soll. Eine endgültige Fassung steht noch zweifelhaft, aber eine Frage des Einzelfalls. Selbst wenn das
aus. Die Datenschutzkonferenz (DSK) hat sich in Bezug auf Berufsrecht im Übrigen ein Verweigerungsrecht des Rechts-
die weitere Anwendbarkeit des Telemediengesetzes geäußert, anwalts anerkennen sollte, ließe sich daraus keine spiegelbild-
insbesondere in Bezug auf die datenschutzrechtlichen Re- liche Verweigerungspflicht begründen; es würde zu weit füh-
gelungen der §§ 12, 13 und 15 TMG. Laut DSK kommt als ren, jedem Anwalt die Rolle des Michael Kohlhaas abzuver-
rechtliche Grundlage für die Verarbeitung personenbezoge- langen.
ner Daten durch Telemedienanbieter nur Art. 6 Abs. 1 der 4.2 Vorrang das Datenschutzrechts und/oder dessen
DSGVO in Frage.3 Integration in das Berufsrecht?
3.5 § 2 Abs. 3 und 4 BORA Vor Inkrafttreten der DSGVO wurde immer wieder die Frage
thematisiert, ob angesichts der umfassenden Verpflichtungen
Aufgrund der Neuregelung des § 43 e BRAO hat die Satzungs-
zur Verschwiegenheit der Berufsgeheimnisträger das Daten-
versammlung § 2 BORA angepasst.
schutzrecht überhaupt auf Anwaltskanzleien anwendbar ist.4
Abs. 3 behandelt Fälle, in denen keine Verschwiegenheits-
Außerdem war strittig, wer die für Rechtsanwälte zuständige
bruch vorliegt, weil a) der Mandant sein Einverständnis ab-
Aufsichtsbehörde ist. Die wohl überwiegende Meinung stellte
gibt, b) wenn das Verhalten des Rechtsanwalts zur Wahrneh-
zurecht darauf ab, ob gesetzliches Berufsrecht im Gegensatz
mung berechtigter Interessen notwendig ist oder c) wenn es
zu den Regelungen des europäischen und deutschen Daten-
sozialadäquat ist. Anwälte müssen nach Abs. 4 aktiv das Man-
schutzrechts stand; im Übrigen „sollte“ das Datenschutzrecht
datsgeheimnis wahren. Die Norm legt dem Anwalt die Pflicht
beachtet werden, soweit es nicht ohnehin – zum Beispiel
auf, solche organisatorischen und technischen Maßnahmen
beim Beschäftigtendatenschutz – unzweifelhaft anwendbar
zu ergreifen, die für die Wahrung des Mandatsgeheimnis er-
war.
forderlich sind, so lange sie risikoadäquat sind. Zur Konsis-
Mit dem Inkrafttreten der DSGVO ist dieser Diskussion
tenz und um die Belastungen zu reduzieren, können tech-
der Boden entzogen. Die DSGVO stellt unmittelbar und
nische Maßnahmen als ausreichend betrachtet werden, so
ohne einen Umsetzungsakt geltendes Recht dar. Das novel-
lange sie den Sicherheitsanforderungen der DSGVO gerecht
lierte BDSG nimmt für sich in Anspruch, mit der DSGVO
werden. Außerdem müssen die technischen Maßnahmen
konform zu sein und sich mit seinen Regelungen innerhalb
dem Stand der Technik entsprechen, jedoch sind Maßnah-
der durch die DSGVO eröffneten Spielräume zu halten. Die
men nur durchzuführen, wenn der Aufwand in einem an-
DSGVO sieht keine Bereichsausnahme für Rechtsanwälte
gemessenen Verhältnis zu den notwendigen Sicherheits-
und ist grundsätzlich auf Rechtsanwälte anwendbar,5 jedoch
anforderungen steht. geht das Mandatsgeheimnis im Falle eines Konfliktes vor.
Dies wird insbesondere durch § 1 Abs. 2 Satz 2 BDSG unter-
4. Das Verhältnis des Datenschutzrechts zum strichen („Die Verpflichtung zur Wahrung gesetzlicher Ge-
Berufsrecht heimhaltungspflichten oder von Berufs- oder besonderen
Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften
4.1 Vorrang des formellen Gesetzes gegenüber dem beruhen, bleibt unberührt.“).6 Instruktiv sind die Ausführun-
Satzungsrecht (als untergesetzlichem materiellen Recht) gen auf der Website der BRAK,7 auf die verwiesen wird. Offen
ist noch die politische Frage, ob für die verkammerten Berufe,
Alle in 3. aufgeführten Rechtsquellen, also die durch das Be-
also insbesondere die Rechtsanwaltschaft, jeweils ein beson-
rufsgeheimnisschutzgesetz abgeänderten oder neu geschaffe-
derer Datenschutzbeauftragter eingesetzt werden sollte. Die
nen § 203 StGB, §§ 43 a und 43 e BRAO, § 280 BGB, die
Zuständigkeit zur Ahndung berufsrechtlicher Verstöße haben
DSGVO, das BDSG sowie das TMG haben Vorrang gegen-
die RAK ohnehin.
über der BORA, weil Satzungsrecht hinter formelle Gesetze
Bei einzelnen Regelungen können gleichwohl Konflikte
zurücktritt.
mit nationalen Gesetzen bestehen, insbesondere im Berufs-
Das gilt dogmatisch auch im Verhältnis zu § 280 BGB. Je-
recht, und sie bedürfen dann der Lösung. Das AnwG Berlin
doch sind Situationen vorstellbar, in denen aus der BORA ein
hat kürzlich in der Begründung einer Entscheidung das Da-
Handlungsgebot abgeleitet werden kann, dessen Missachtung
(etwa des erforderlichen Schutzniveaus) auch als Verletzung 3 Gierschmann: Positionsbestimmung der DSK zur Anwendbarkeit des TMG (ZD 2018,
einer Nebenpflicht aus dem Anwaltsvertrag gewertet werden 297).
könnte. Dagegen stellt sich bei anderen Konstellationen die 4 Kulow (2018, März). Datenschutz in der Kanzlei nach der Datenschutzgrundverordnung.
Abgerufen von https://rak-muenchen.de/.
Frage nicht, ob ein Schadensersatzanspruch des Mandanten 5 Fragen und Antworten zur DS-GVO und zum BDSG-neu – Stand Mai 2018, Abs. 2. (2018,
schon deswegen ausgeschlossen ist, weil sich der Anwalt be- Mai). Abgerufen 14. März, 2019, von https://www.brak.de/.
rufs- rechtskonform verhalten hat. 6 Kulow (2018, März). Datenschutz in der Kanzlei nach der Datenschutzgrundverordnung.
Abgerufen von https://rak-muenchen.de/.
Anders ist die Situation jedoch, wenn eine gesetzlich an- 7 Informationen finden sich auf der Website der BRAK unter folgendem Link: https://www.
geordnete Handlungspflicht (etwa Benutzung bestimmter brak.de/fuer- anwaelte/datenschutz.
558 AnwBl Online 2019 Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert, GasteyerAufsätze
tenschutzrecht in das Berufsrecht integriert.8 Ein Verstoß ge- rufsrechts dennoch auf Wertungen der DSGVO und des
gen Regelungen des BDSG – heute also der Datenschutz- BDSG stützen kann und vice versa. Das ist im Grundsatz zu
grundverordnung und ihren „Umsetzungsgesetzen“ – stelle begrüßen, erspart aber nicht das Überdenken im Einzelfall.
zugleich einen Berufsrechtsverstoß gegen die Generalklausel
des § 43 BRAO dar. Die strikte Beachtung der datenschutz- 4.3.1
rechtlichen Regelungen gehöre zum Kernbereich anwaltlicher Nach § 43 e Abs. 4 BRAO setzt zum Beispiel der Bezug von
Pflichten. Dienstleistungen aus dem Ausland ein funktional äquivalen-
Diese Begründung wurde im Ausschuss sehr unterschied- tes Schutzniveau voraus. Der Schutzmechanismus muss
lich bewertet. Selbstverständlich sind Rechtsanwälte dazu ver- nicht dem nach deutschem Recht entsprechen, aber der auf
pflichtet, das Datenschutzrecht zu beachten, soweit keine spe- andere Weise gewährte Schutzeffekt muss äquivalent sein.
zifischen berufsrechtlichen Pflichten entgegenstehen. Auch Der Gesetzgeber ist davon ausgegangen, dass dies in allen
verfolgt die Rechtsanwaltschaft und in vorderster Linie die Staaten der EU der Fall ist9 und hat damit eine Wertung aus
BRAK das Ziel, einen Datenschutzbeauftragten für die dem Datenschutzrecht übernommen. Berufsrechtlich gibt es
Rechtsanwaltschaft einzurichten, der die Beachtung des Da- keine Veranlassung, einen strengeren Maßstab anzulegen,
tenschutzrechts prüfen und etwaige Verstöße verfolgen soll. auch wenn er europarechtskonform wäre. Mangels einer
Damit deckt sich die Feststellung des Anwaltsgerichts über Rechtsverordnung als Richtschnur für Rechtsanwälte10 ist die
die Pflichten des Rechtsanwalts.
AnwaltsWissen
Übernahme dieser Wertung eine sachlich und rechtlich zu
Andererseits aber ist nicht jede Rechtsverletzung ein Ver- begrüßende Lösung.
stoß gegen Berufsrecht. Die Ahndung eines sonstigen Geset-
zesverstoßes zugleich als Verletzung der Generalklausel § 43 4.3.2
BRAO setzt stets voraus, dass die Verletzungshandlung einen Der Begriff „organisatorische und technische Maßnahmen“
berufsrechtlichen Überhang aufweist. Nur unter dieser Vo- wird in § 2 Abs. 4 BORA benutzt, während das Datenschutz-
raussetzung kann im Übrigen gerechtfertigt sein, dass – wie recht die „technischen und organisatorischen Maßnahmen“
hier – eine Rechtsanwaltskammer den Sachverhalt nochmals kennt, vgl. Art. 32 DSGVO. § 2 Abs. 4 S. 2 BORA lässt sich ent-
aufgreift, nachdem der für Datenschutz zuständige Daten- nehmen, dass der dortige Begriff weiter interpretiert werden
schutzbeauftragte den Fall abgeschlossen hat. Außerdem kann, als er im Datenschutz verstanden wird. Ein Wertungs-
sind die datenschutzrechtlichen Regelungen auf vielen Gebie- widerspruch ist aber nicht ersichtlich.
ten unklar, die den Kernbereich anwaltlicher Tätigkeit nicht
berühren. Es erscheint für die Konsistenz der Auslegung 4.3.3
und Rechtsfortbildung nicht wünschenswert, diese offenen Wegen der Nähe der Wertungen wollte und konnte der Aus-
Fragen neben den Verwaltungsgerichten von einem weiteren schuss eine doppelte Belastung des Anwalts durch unter-
Gerichtszweig, den Anwaltsgerichten, klären zu lassen. schiedliche Maßstäbe vermeiden und hat in § 2 Abs. 4 S. 2
Der Ausschuss kam im Ergebnis zu folgender Auffas- BORA bei technischen Maßnahmen die Beachtung des Da-
sung: tenschutzrechts für genügend erklärt; alle technischen Maß-
(1) Im Grundsatz stehen das Datenschutz- und das Berufs- nahmen müssen aber dem Stand der Technik genügen.
recht nebeneinander.
(2) Das allgemeine Datenschutzrecht gilt auch für alle Rechts-
anwältinnen und Rechtsanwälte. 5. Das nach Berufsrecht gebotene Schutzniveau
(3) Nicht jeder datenschutzrechtliche Verstoß stellt auto-
matisch einen berufsrechtlichen Verstoß dar; eine Ahndungs- 5.1 Rechtsquellen
befugnis der Rechtsanwaltskammer setzt vielmehr einen be- Die Verpflichtung zur Verschwiegenheit in § 43 a Abs. 2
rufsrechtlichen Überhang voraus. BRAO besteht unabhängig von dem Regelungsumfang des
Diese Überlegungen sollen keine Urteilsschelte sein. Je- § 203 StGB. Deswegen kann ein berufsrechtlicher Verstoß ge-
doch ist das Verhältnis von Berufsrecht zu Datenschutzrecht gen die Verschwiegenheit vorliegen, auch wenn der Tat-
alles andere als klar. Jeder Fall ist anders zu behandeln und je- bestand des § 203 StGB nicht verwirklicht ist. Daher wird
weils zu überdenken. Wie schwierig die Bewertung sein kann, § 203 StGB nachstehend nicht vertieft betrachtet.
zeigt die Diskussion über die Verschlüsselung bei elektro- § 43 e BRAO ist auf die Einschaltung anderer Personen bei
nischer Kommunikation. Der Ausschuss hat sich auch hierzu der Erbringung der anwaltlichen Dienstleistung fokussiert
viele Gedanken gemacht und der Bericht kommt auf dieses und lässt weitere Gebiete der Selbstorganisation des Anwalts
Thema wieder zurück. unberührt. § 2 Abs. 4 BORA spricht von organisatorischen
und technischen Maßnahmen. Diese Regelung deckt die ge-
4.3 samte Bandbreite anwaltlicher Organisation ab, also auch die
Der Normadressat der BRAO (und der sie im Rahmen der Er- „Technik- oder IT-fernen“ Bereiche. Die Überlegungen des
mächtigung konkretisierenden BORA) einerseits und der Satzungsgebers zur Bedeutung organisatorischer und tech-
DSGVO/BDSG andererseits ist der Rechtsanwalt, und er
muss beide beachten. Harmonisierung konfligierender Nor- 8 AnwG Berlin, Beschluss vom 5.3.2018 – 1 AnwG 34/16, BeckRS 2018, 11237; auszugs-
weises Zitat: „Mit der Verletzung von §§ 4, 28 Abs. 1 Satz 1 Nr. 3 BDSG liegt zugleich ein
men kann durch ihre Interpretation vor dem Hintergrund Verstoß gegen anwaltliches Berufsrecht vor. Ein Rückgriff auf § 43 BRAO ist möglich, weil
der Einheit der Rechtsordnung erzielt werden. Das jeweils ge- berufsrechtliche Spezialregeln fehlen, aber gegen in anderen Normen auferlegte Pflichten
verstoßen wurde und diese berufsrelevanten Regelungsinhalt aufweisen. Die strikte Be-
schützte Rechtsgut kann ein anderes sein, was bei ihrer An- achtung der datenschutzrechtlichen Regelungen gehört zum Kernbereich anwaltlicher
wendung (gegebenenfalls teleologische Reduktion) auf den Pflichten.“
Lebenssachverhalt zu berücksichtigen ist. Das führt zu der 9 BT-Drs. 18/11936, 35.
10 Gefordert wurde im Vorfeld eine Rechtsverordnung der BMJV mit einer Liste der „siche-
Frage, ob man sich bei allen Unterschieden in der Zielset- ren“ Staaten; Ausschuss für Recht und Verbraucherschutz, Protokoll-Nr. 18/146,
zung der Normen zur Auslegung und Anwendung des Be- 15.5.2017 https://www.bundestag.de/
Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert, Gasteyer AnwBl Online 2019 559Aufsätze
nischer Maßnahmen sind daher insgesamt als Leitlinie für 5.3.3
die Rechtsanwälte relevant. Die Begründung des Ausschusses Das Risiko kann jedoch denklogisch nicht unter dem liegen,
zu § 2 Abs. 4 BORA11 behandelt dieses Thema und ist Grund- das allgemein für jeden besteht. Auf dem Gebiet der IT kön-
lage der nachstehenden Zusammenfassung. nen daher gängige und marktübliche Programme zum
Schutz und deren regelmäßige Aktualisierung als Minimum
5.2 Begriff der organisatorischen und technischen Maßnah-
erwartet werden. Organisatorisch muss der Rechtsanwalt
men im Sinne des Berufsrechts
überdenken, welche Mitarbeiter in welchem Ausmaß Zugang
5.2.1 zu den entsprechenden Daten haben sollen. Je nach Sensibili-
tät des Mandats oder des Mandanten können Zugriffs-
Organisatorische Maßnahmen erfassen alle Maßnahmen, die beschränkungen geboten sein. Grundsätzlich sollten sowohl
dem Schutz der Vertraulichkeit mandatsbezogener Informa- die technischen als auch die organisatorischen Maßnahmen
tionen dienen. Der Begriff ist weit zu verstehen und geht fortlaufend an die äußeren Entwicklungen angepasst werden.
über die Anforderungen des Datenschutzes hinaus, der auf
den Schutz von Daten und deren Sammlung, Speicherung 5.4 Zumutbarkeit für den Anwaltsberuf
und Verarbeitung konzentriert ist, nicht auf den Schutz sons-
Eine Maßnahme ist nur erforderlich, wenn sie, objektiv be-
tiger Informationen.
trachtet, dem Rechtsanwalt auch zumutbar ist. Der Ausschuss
5.2.2 hat bei dieser Formulierung eher außergewöhnliche Situatio-
nen vor Augen gehabt, bei denen der Sicherheitsaufwand die
Technische Maßnahmen sind auch im Hinblick auf analoge normalen Kanzleiabläufe beeinträchtigt oder mit dem Berufs-
Daten erforderlich, also etwa die Verwahrung von physischen bild schwer in Einklang zu bringen ist. Zum Beispiel kann
Akten in gesicherten Räumen. man bezweifeln, dass sich ein Rechtsanwalt zur Wahrung
5.3 Maximale Sicherheit als unbedingtes Ziel oder „nur“ der Vertraulichkeit auf konspirative Treffen einlassen muss.
risikoadäquater Schutz? Eine Abneigung gegenüber technologischen oder organisato-
rischen Schutzmaßnahmen oder ein fehlender Wille selbst
Der Rechtsanwalt muss gemäß § 2 Abs. 4 BORA geeignete zu überschaubaren Investitionen ändern an der objektiven
technische und organisatorische Maßnahmen treffen, um Zumutbarkeit nichts.
ein risikoadäquates Schutzniveau zu gewährleisten. Die
Norm ist kein unverbindlicher Appell, sondern begründet 5.5 § 2 Abs. 3 c) BORA, insbesondere Sozialadäquanz
eine rechtliche Verpflichtung. Nach Inkrafttreten des Berufsgeheimnisschutzgesetzes hat
5.3.1 sich der Ausschuss gefragt, ob das berufsrechtlich relevante
Konzept der Sozialadäquanz damit überflüssig geworden
Welche Maßnahmen erforderlich sind, richtet sich nach dem war. Die 6. Satzungsversammlung hat nach Erlass der Berufs-
Risiko, das nach Einschätzung des Rechtsanwalts für die von geheimnisschutzgesetze trotz einer umfassenden Anpassung
ihm verwahrten und/oder verarbeiteten Informationen be- des § 2 BORA den Verweis auf die Rechtsfigur der Sozial-
steht. Diese Risikobewertung ist der Ausgangspunkt für den adäquanz nicht gestrichen, weil sie trotz der detaillierten Re-
Rechtsanwalt. Der Rechtsanwalt muss die Maßnahmen am gelung in § 43 e BRAO nach wie vor Raum und Bedarf für
Risikoprofil seiner Kanzlei und ihrer Mandantschaft messen, das Konzept der Sozialadäquanz sah. Das Berufsgeheimnis-
es wird also nicht erwartet, dass alle verfügbaren Maßnahmen schutzgesetz befasst sich mit der Einschaltung Dritter, wäh-
ergriffen werden. Bei der Entscheidung über die Schutzmaß- rend Sozialadäquanz für alle anderen Fragen relevant bleibt.
nahmen kann er deren Wirtschaftlichkeit berücksichtigen. Das erklärt die Formulierung in § 2 Abs. 4 letzter Satz BORA.
Zweckmäßigerweise sollte er seine Überlegungen dokumen- Ein Beispiel ist die Nutzung des Mobiltelefons. Der „normal“
tieren. Ziel ist nicht das Maximum an Sicherheit zu jedem telefonierende Rechtsanwalt zeigt objektiv eine übliche, von
Preis, sondern der nach Abwägung des Gefährdungspoten- der Allgemeinheit gebilligte Verhaltensweise im sozialen Le-
tials und der denkbaren Schutzmaßnahmen angemessene ben (Sozialadäquanz). Dazu mehr in Anlage 6.4 Ziffer 1.2.
Schutz. Diese Abwägung ist der nach Art. 32 DSGVO erfor-
derlichen ähnlich,12 nach dem geeignete technische und orga-
nisatorische Maßnahmen in einem ausgewogenen Verhältnis 6. Einzelne Pflichten und Risiken – allgemeine
von möglichen Risiken, erzieltem Schutzniveau, Implemen- Büroorganisation ohne Heranziehung von Dienst-
tierungskosten und Stand der Technik stehen müssen.13 leistern
5.3.2 6.1 Die Terminologie
Stand der Technik“ ist gesetzlich nicht definiert. Dem Begriff Das von uns allen begrüßte Berufsgeheimnisschutzgesetz be-
liegt die Annahme zugrunde, dass die technische Entwick- ruht in seiner Vorgeschichte auf zwei Handlungssträngen
lung schneller voranschreitet als die Rechtsetzung, weswegen und zwei Entwürfen, die dann zusammengeführt wurden: ei-
der Normsetzer es vorzieht den Begriff „Stand der Technik“ nerseits der strafrechtlichen und strafprozessualen Regelung,
zu verwenden anstatt konkrete technische Anforderungen zu
benennen. Technologien entsprechen regelmäßig dem Stand
der Technik, wenn sie auf gefestigten Erkenntnissen beruhen
und einem in der Praxis existierendem Standard entsprechen.
Auch hiernach ist also nicht das jeweils Neueste gefordert. 11 SV-Materialien 11/2017.
Der Einsatz technisch überholter Produkte reicht nicht aus. 12 Eine einheitliche Meinung über das Verständnis von erforderlichen organisatorischen und
technischen Maßnahmen gibt es im Datenschutzrecht wohl noch nicht. BeckOK BORA/
Einzelne Überlegungen des Ausschusses aus seiner Befas- Römermann/Praß BORA § 2 Rn. 36.
sung mit dem Papier C 5 finden sich in Anlage 5.3.2. 13 BeckOK DatenschutzR/Paulus DS-GVO Art. 32 Rn. 4–9.
560 AnwBl Online 2019 Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert, GasteyerAufsätze
wer alles und unter welchen Umständen strafrechtlichen hungsweise gemeinsamen Mitarbeitern vergewissern muss,
Sanktionen unterliegt (§ 203 StGB) und wie er sich durch pro- dass er nicht verhindert ist. Das gilt insbesondere für Büro-
zessuale Gegenrechte vor dem Vorwurf rechtswidriger Offen- gemeinschaften, deren Existenz den potentiellen Mandanten
barung schützen kann (§§ 53 a, 97 StPO); andererseits den be- nicht bekannt sein muss. Zwar kann man die Auffassung ver-
rufsrechtlichen Regelungen, in welchem Umfang und unter treten, dass die Nachfrage bei den anderen Bürogemeinschaf-
welchen Voraussetzungen ein Rechtsanwalt (und andere Ver- tern kein Verstoß gegen die Vertraulichkeit ist, weil der
trauensberufe) bei seiner Berufsausübung Dritte, insb. Rechtsanwalt vorrangig rechtlich verpflichtet ist, rechtliche
Dienstleister, einschalten darf (§§ 43 a Abs. 2, 43 e BRAO). (nicht wirtschaftliche) Konflikte im Vorfeld auszuschließen.
Das Berufsgeheimnisschutzgesetz fand unterschiedliche Das kann er nur durch Rückfrage bei den anderen Mitglie-
berufsrechtliche Regelungen vor, ein Zeichen der Zersplitte- dern der Bürogemeinschaft. Jedoch wurde im Ausschuss die
rung des Berufsrechts der Vertrauensberufe aufgrund unter- Meinung vertreten, dass der angefragte Rechtsanwalt den po-
schiedlicher Organisation in den einzelnen Berufen und un- tenziellen Mandanten vor seiner internen Rückfrage infor-
terschiedlicher Arbeitsweisen. Es hat dann eine neue Termi- mieren muss, dass diese erfolgen wird. Dem potenziellen
nologie geschaffen, es gibt Dienstleister, mitwirkende Per-
Mandanten soll die Möglichkeit eingeräumt werden, seinen
sonen und Gehilfen. Aber die Regelungen wurden nicht ins-
Beratungsbedarf insgesamt geheim zu halten, auch wenn
gesamt für die Vertrauensberufe vereinheitlicht, nur harmo-
dann der anfragende Rechtsanwalt das Mandat ohne die
nisiert. Unterschiedliche Formulierungen laden natürlich
AnwaltsWissen
dann verweigerte Rückfrage nicht annehmen kann.
dazu ein, unterschiedliche Gestaltungen zu wählen und un-
terschiedliche Interpretationen für richtig zu halten. 6.3.2
Der Ausschuss hatte Anlass, über diese Problematik
nachzudenken aufgrund eines Praxishinweises der Wirt- Der Ausschuss hat sich weiter mit dem Inhalt von Aussagen
schaftsprüferkammer (WPK) zur Mitwirkung Dritter in der befasst, mit denen Rechtsanwälte nach außen auf ihre Sach-
Berufsausübung. Dieser Stellungnahme lag die Frage zu kunde unter Verweis auf bereits durchgeführte Beratungen
Grunde, ob jeder, der nicht in der Sphäre des Wirtschafts- oder Verfahren verweisen. Derartige Aussagen können, ab-
prüfers arbeite, Dienstleister sein müsse mit der Folge, dass hängig von ihrem Wortlaut, gegen das Gebot der Verschwie-
nach § 50 a WPO der Mandant einwilligen müsse. Die WPK genheit verstoßen. Primär wurde der Komplex unter dem Ge-
sieht als mitwirkende Personen gemäß § 50 WPO neben an- sichtspunkt der Werbung behandelt und war daher auch nach
gestellten Mitarbeitern auch freie Mitarbeiter an, die sich in Kenntnis des Ausschusses 6 Gegenstand von Beratungen des
der Sphäre des Berufsträgers befinden und insbesondere Ausschusses 2, den der Ausschuss 6 insoweit für federfüh-
auch der Verschwiegenheitspflicht unterliegen. Ein Mit- rend hält.
arbeiter befindet sich nach diesem Modell in der Sphäre des
Berufsträgers, wenn er im Hinblick auf die vom WP getroffe- 6.4 Organisation von Besprechungen
nen Maßnahmen zum Schutz des Mandatsgeheimnisses or- Durch Fehler kann der Umstand für Dritte ersichtlich wer-
ganisatorisch, insbesondere in das Qualitätssicherungssys- den, dass eine bestimmte Person rechtlichen Beratungsbedarf
tem der WP-Praxis, integriert ist, und zwar unabhängig von hat und deswegen Kontakt zu einem Rechtsanwalt gesucht
der Frage, wie das Rechtsverhältnis zum Mitarbeiter zu qua- hat. Auch wenn diese Information in vielen Fällen keinen
lifizieren ist. Neuigkeitswert hat und jedenfalls nicht überraschend ist,
Dieser Grundgedanke ließe sich auf §§ 43 a, 43 e BRAO weil nach der Art ihrer beruflichen oder sonstigen Tätigkeit
übertragen und berührt eine bereits vor dem Berufsgeheim- die Einschaltung von Rechtsanwälten allgemein erwartet
nisschutzgesetz bestehende Unklarheit. Dem Gedanken des wird, ist diese konkrete Information geschützt. Überlegungen
Geheimnisschutzes trägt der Praxishinweis Rechnung. Ob zur Risikoadäquanz und Zumutbarkeit von Gegenmaßnah-
die Lösung sich durchsetzt, wird man noch sehen. men sind hier von besonderer Bedeutung. Zum Beispiel
Der Ausschuss hält das Thema für wichtig, weil die kann der Rechtsanwalt leicht zu vermeiden suchen, dass bei
Rechtsanwaltschaft als Berufsstand ein Interesse daran hat, Besprechungen in Hotelräumen auf den Reservierungsschil-
gerade die Neuregelungen aufgrund des Berufsgeheimnis- dern Mandantennamen genannt werden. Er kann sein Per-
schutzgesetzes gleichlaufend mit den anderen Vertrauens- sonal anweisen, in seiner eigenen Kanzlei die Mandanten
berufen zu interpretieren. Wir wollen eine Zersplitterung ver-
möglichst rasch in Besprechungsräume zu bringen und bei
meiden. Das sollte ein Grundprinzip auch künftiger Arbeit in
der Terminierung dafür zu sorgen, dass sie sich nicht in ei-
der Satzungsversammlung sein.
nem Wartebereich treffen. Die Anforderungen an die Räum-
6.2 Die Verpflichtung von Mitarbeiten zur Vertraulichkeit lichkeiten dürfen aber nicht überzogen werden und das gele-
gentliche Begegnen von Mandanten auf dem Flur wird sich
Die Verpflichtung muss schriftlich erfolgen, während bei
nicht vermeiden lassen.
Dienstleistern die Textform genügt, § 43 e BRAO. Allerdings
lässt sich § 43 a Abs. 2 S. 3 BRAO nicht entnehmen, dass die 6.5 Telefonate
Textform ausgeschlossen sein soll (vgl. § 126 Abs. 3 BGB).
Hier könnte Klärungsbedarf bestehen. Der Rechtsanwalt muss dafür Sorge tragen, dass Telefon-
gespräche mit Mandanten nicht von anderen innerhalb oder
6.3 Risiken bei der Mandatsanbahnung außerhalb der Kanzlei auch ohne technische Hilfsmittel mit-
gehört werden können. Das gilt für von ihm selbst geführte
6.3.1 Telefongespräche, zum Beispiel während Besprechungen
Im Rahmen der Mandatsanbahnung sind Fälle vorstellbar, in mit Dritten, in der Öffentlichkeit, bei Reisen, etc., aber auch
denen der angefragte Rechtsanwalt sich vor der Mandats- für von seinem Personal geführte, zum Beispiel in der Tele-
annahme bei anderen Rechtsanwälten und/oder deren bezie- fonzentrale und bei der Telefonvermittlung.
Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert, Gasteyer AnwBl Online 2019 561Aufsätze
6.6 Aktenbearbeitung, -verwahrung und -vernichtung chende Formulierung wurde aus dem Referentenentwurf
nichts ins Gesetz übernommen. Hier könnte künftig Regulie-
6.6.1 rungsbedarf entstehen.
Bei der Bearbeitung der Akten besteht das Risiko der Einsicht § 43 e Abs. 2 Satz 2 statuiert keine aktive Überprüfungs-
durch unbefugte Dritte. Daher sind sie in Bearbeitungspau- pflicht nach Erteilung des Auftrages. Es genügt, wenn der
sen und über Nacht sicher zu verschließen. Bei Tätigkeit auf Rechtsanwalt der Auffassung ist, dass die Beachtung der Vor-
Reisen ist eine Einsicht ebenfalls auszuschließen, etwa durch gaben im Sinne des § 43 e gewährleistet ist. Daraus folgen
Nutzung einer Sichtschutzfolie auf dem Bildschirm des Lap- wohl als Minimum die vertragliche Einräumung eines Prü-
tops. Bei Tätigkeit von Handwerkern, externen Reinigungs- fungsrechts und eine Prüfungspflicht, wenn dem Rechts-
kräften etc. ist eine Überwachung sicherzustellen, insbeson- anwalt Indizien bekannt werden, aus denen sich eine Gefähr-
dere bei Nachtarbeit oder am Wochenende. dung der Vertraulichkeit ergeben könnte. Unter Beachtung
des Risikoprofils der Mandanten oder der Mandate und des
6.6.2 Zuschnitts der Praxis im Allgemeinen kann es aber auch be-
Die Verwahrung in Aktenschränken darf nicht zur Offenle- deuten, dass der Rechtsanwalt regelmäßig und nicht nur akzi-
gung der Parteien oder des Gegenstands durch die Beschrif- dentiell darüber zu entscheiden hat, ob seine zu einem frühe-
tung der Aktendeckel und deren Einsichtbarkeit durch Besu- ren Zeitpunkt getroffene Auswahl des Dienstleisters nach wie
cher führen. vor eine tragfähige Grundlage hat. In jedem Fall ist es emp-
fehlenswert, diese Überlegung und die Begründung ihres Er-
6.6.3 gebnisses zu dokumentieren.
Das Kopieren/Scannen von Akten sowie ihre Vernichtung
7.3 Domizildienstleister
muss durch eigenes Personal oder Dienstleister unter Beach-
tung des § 43 e BRAO erfolgen. Der Ausschuss hat sich mit Risiken befasst, die aus der Nut-
zung des Angebots von Domizildienstleistern folgen. Als Vor-
6.7 Weitere Aspekte frage hat er Bedenken geprüft, nach denen diese Organisati-
Das IDW hat inzwischen eine Publikation „Hilfestellung zur onsform von vorneherein unzulässig wäre, weil es sich um
Beauftragung von Dienstleistern“ veröffentlicht, die auf den Bürogemeinschaften der dort betreuten Rechtsanwälte han-
Seiten der BRAK abgerufen werden kann. Sie befasst sich delte, bei denen die (wenigen) auf Bürogemeinschaften an-
wendbaren Regelungen nicht beachtet würden. Der Aus-
mit einzelnen Risikosituationen und enthält auch für Rechts-
schuss hält diese Bedenken für unangebracht, weil es bei die-
anwälte interessante Hinweise.
ser Konstellation an einer gemeinschaftlichen Nutzung der
7. Einzelne Pflichten und Risiken – allgemeine Büroorgani- Ressourcen des Domizilanbieters fehlt, vielmehr eine paralle-
sation unter Heranziehung von Dienstleistern le Nutzung der Ressourcen auf der Grundlage separat beste-
hender schuldrechtlicher Verträge vorliegt.
7.1 Ausgangspunkt Organisationsfreiheit Diese Organisationsentscheidung des Rechtsanwalts ist
Der Rechtsanwalt ist in seiner Entscheidung frei, ob er alle be- nach § 43 e BRAO nicht angreifbar, wenn die sonstigen Vor-
trieblichen Abläufe ausschließlich mit eigenem Personal gaben der Norm beachtet werden. Dazu gehört auch die Be-
durchführt oder inwieweit er Dritte einschaltet. Dies ergibt achtung der organisatorischen und technischen Maßnahmen,
sich aus § 43 e Abs. 1 BRAO, der inhaltlich voraussetzt, dass die der Rechtsanwalt zu beachten hätte, wenn er die Kanzlei
der Rechtsanwalt über die Inanspruchnahme der Dienstleis- selbst unterhalten würde. Sie muss der Rechtsanwalt verein-
tung eines Dienstleisters entschieden hat. Hat sich der baren, auch ein Prüfungsrecht, vgl. 7.2.
Rechtsanwalt für die Zusammenarbeit mit einem Dienstleis-
ter entschieden, hat er allerdings die erforderlichen organisa- 8. Einzelne Pflichten und Risiken – elektronische
torischen und technischen Maßnahmen zu ergreifen, § 2 Kommunikation
Abs. 4 BORA, und deren Wahrung sicherzustellen.
Der Ausschuss hat sich in fast jeder Sitzung mit dem Thema
7.2 Überprüfungshandlungen und Pflicht zur Vertrags- der elektronischen Kommunikation befasst. Dies zeigt die Be-
beendigung deutung des Themas, das sicher künftige Satzungsversamm-
§ 2 Abs. 6 BORA a.F. lautete: „Der Rechtsanwalt darf Per- lungen nicht weniger beschäftigen wird.
sonen und Unternehmen zur Mitarbeit im Mandat oder zu
sonstigen Dienstleistungen nicht hinzuziehen, wenn ihm 8.1 Ursache sind die verschiedenen Spannungsfelder, in
Umstände bekannt sind, aus denen sich konkrete Zweifel an denen es liegt:
dem mit Blick auf die Verschwiegenheitspflicht erforderli- (i) Soweit nicht der Schutz der Vertraulichkeit und des Man-
chen Zuverlässigkeit ergeben oder nach Überprüfung verblei- dats- geheimnisses Vorrang hat, stehen Berufsrecht und Da-
ben.“ tenschutzrecht im Prinzip nebeneinander und gelten von-
Diese Formulierung hat die 6. Satzungsversammlung ge- einander unabhängig. Anwaltliches Verhalten kann aber zu-
strichen, da § 43 e Abs. 2 Satz 1 BRAO ausdrücklich die Ver- gleich gegen Datenschutzrecht und gegen Berufsrecht versto-
pflichtung zur sorgfältigen Auswahl vorgesehen hat. Die ßen, vgl. 4.
Norm könnte als weiter als § 2 Abs. 6 BORA a.F. verstanden (ii) Die technischen Möglichkeiten der elektronischen Kom-
werden, wenngleich die 5. Satzungsversammlung den Wort- munikation, ihre spezifischen Risiken und Schutzmöglichkei-
laut sicher nicht eng interpretiert hat. ten sind in laufender Entwicklung und ändern sich rasch.
Wann eine Überprüfungspflicht eingreift und wie sie aus- Jede spezielle Regulierung birgt daher die Gefahr in sich,
gestaltet sein muss, ist bisher nicht geregelt. Eine entspre- schnell veraltet und überholungsbedürftig zu sein. Das
562 AnwBl Online 2019 Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert, GasteyerAufsätze
spricht gegen sie, andererseits sollte eine weite Regulierung portverschlüsselung sieht die Lage schon anders aus. Hier
wohl nicht Kommunikationsmethoden „absegnen“, über die gibt es sehr viele Stimmen, die in unterbliebener Transport-
kein übergreifender Konsens besteht. verschlüsselung einen Verstoß gegen Datenschutzrecht se-
(iii) Das Verständnis, wann eine Kommunikationsform zuläs- hen. Auch einige Landesdatenschutzbeauftragte haben sich
sig sein sollte, ist bei den relevanten Gruppen (etwa Rechts- in diesem Sinne geäußert, und die unterschiedlichen Auffas-
anwälten und Mandanten) nicht annähernd deckungsgleich. sungen führten zu einem Austausch und der Antwort des
Mandanten können Risiken subjektiv anders bewerten und Präsidenten der Hanseatischen Rechtsanwaltskammer Dr.
deshalb andere, geringere Anforderungen an das Schutz- Lemke auf die Auffassung des Hanseatischen Datenschutz-
niveau haben. Hier stellt sich die Fragen, inwieweit die Regu- beauftragten. Herr Dr. Lemke zeigte auf, dass die daten-
lierung dem Rechnung tragen kann oder muss, und darüber schutzrechtliche Betrachtung keinesfalls zu so klaren Ergeb-
hinaus, wie alltagstauglich eine Regulierung sein muss, um nissen führt, wie behauptet. Eine Einzelfallbetrachtung sei er-
nicht schlicht von den – ihr nicht unterworfenen – Mandan- forderlich, datenschutzrechtlich und nach § 2 Abs. 4 BORA.
ten unterlaufen zu werden. Verschlüsselung könne nicht als Mindeststandard verlangt
All diese Fragen werden nicht einmal für immer entschie- werden, unverschlüsselte Kommunikation sei sozialadäquat
den werden können, sondern bedürfen des regelmäßigen und mangels konkreter Gefährdung die Verschlüsselung
Austarierens der Antworten mit der möglichen Folge der eine unzulässige Belastung. Diese – stark verkürzte – Antwort
muss ernst genommen werden und sie zeigt, dass man daten-
AnwaltsWissen
Überarbeitung des § 2 BORA. Der Ausschuss hat sich gegen
Ende der Berichtsperiode die Frage gestellt, sie aber offenge- schutzrechtlich bisher nicht davon ausgehen kann, dass
lassen, ob eine eigene Norm, etwa ein § 2 a BORA, geschaffen Transportverschlüsselung geboten ist.16
werden sollte, die sich ausschließlich mit der elektronischen
8.2.3 Anforderungen an den Rechtsanwalt und Verhalten
Kommunikation befasst. Dies würde den (unzutreffenden)
des Mandanten
Eindruck vermeiden, die Grundprinzipien des § 2 BORA wä-
ren keine Konstante anwaltlicher Tätigkeit. Der Rechtsanwalt hat die Risikolage seiner Kanzlei und der je-
weiligen Mandanten im Sinne von § 2 Abs. 4 BORA zu über-
8.2 Elektronische Kommunikation, insbesondere denken und gegebenenfalls dem Mandanten die Ende-zu-En-
Verschlüsselung bei E-Mailverkehr de-Verschlüsselung vorzuschlagen. Wünscht der Mandant
In der Sitzungsperiode hat die Diskussion der erforderlichen sie von sich aus, muss man dem nachkommen. Wenn sich
Verschlüsselung eine besondere Intensität gewonnen. Mit der Rechtsanwalt dazu nicht in der Lage sieht, darf er das
Mandat erst gar nicht annehmen oder muss es beenden.
diesem Thema hat sich der Ausschuss in mehreren Sitzun-
Der Rechtsanwalt kann zwar die Transportverschlüsse-
gen und das Plenum in zwei Sitzungen befasst. Zunächst
lung einschalten oder eine Ende-zu-Ende Verschlüsselung an-
soll die technische Begrifflichkeit geklärt werden-
bieten, beides funktioniert aber nur, wenn der Empfänger
8.2.1 E-Mail: Transportverschlüsselung technisch darauf eingerichtet ist. Ist er das im Fall der Trans-
portverschlüsselung nicht, wird unverschlüsselt gesendet. Vie-
Jede E-Mail wird, in Datenpaketen und meist über unter- le Mandanten werden genau das wollen. Wie aber ist die Si-
schiedliche Verbindungen, vom Ausgangspunkt zum Zielser- tuation der Kollegen, die dann wie gehabt weiter über E-Mail
ver transportiert. Dabei passiert sie zahlreiche Server und kommunizieren? Der Ausschuss sieht es als wichtiges Ziel
kann dort mitgelesenen werden. Daher wurden diverse Me- an, hier Rechtssicherheit zu schaffen. Bei E-Mail handelt es
thoden (Protokolle) zur Verschlüsselung auf diesem Weg ent- sich allerdings um eine Kommunikationsart, die technisch
wickelt, von denen viele schon wieder überholt sind. Stark ver- von vielen bereits als überholt angesehen wird. Der Aus-
einfachend wird bei der Transportverschlüsselung die versen- schuss hält eine isolierte Regelung nicht für sinnvoll und
dete Botschaft gleichsam durch einen Tunnel gesendet, der sieht das Spektrum des Regelungsbedarfs weiter. Es erstreckt
beim Versender anfängt und beim Empfänger endet. Wenn sich auf elektronische Kommunikation und sonstige Kom-
diese Art der Verschlüsselung richtig gemacht wird, kann die munikationsformen. Da diese Überlegungen mit der Fertig-
versendete Botschaft nicht bei den zahlreichen Stationen im stellung des Berichts parallel liefen, wird insoweit auf das Pro-
Tunnel mitgelesen werden. tokoll und Material der Sitzung der Satzungsversammlung
vom 6. Mai 2019 verwiesen.
8.2.2 E-Mail: Ende-zu-Ende Verschlüsselung
Einen absoluten Schutz gibt es aber nicht, daher besteht das 8.3 Social Media
Bestreben, immer höhere Sicherheit zu bewirken. Die weitere Der Ausschuss hatte wegen einer Anfrage Veranlassung, sich
Form der Verschlüsselung besteht darin, dass der Inhalt, also mit der Nutzung von Social Media, Messenger Services und
die Botschaft selbst, erst verschlüsselt wird, bevor sie auf den Kommunikationsplattformen durch Rechtsanwälte zu befas-
Weg geschickt wird (sogenannten Inhaltsverschlüsselung). sen. Im Vordergrund standen dabei Verletzungen der Ver-
Hier hat der Empfänger den Schlüssel, um den Inhalt dieser traulichkeit durch den Datenhunger mancher Apps, die vom
Botschaft dann bei sich selbst zu entschlüsseln. Bei dieser Nutzer nicht kontrollierbar gespeicherte Kontaktdaten von
Art der Inhaltsverschlüsselung kommt es also gar nicht da- Personen kopieren und verteilen, auch soweit diese nicht in
rauf an, ob jemand anderes die Botschaft unterwegs kopieren
kann, weil er sie noch entschlüsseln müsste. Bei anspruchs-
14 Schöttle, BRAK-Mitt. 2018, 124 https://www.brak.de/.
voller Verschlüsselung ist diese Aufgabe kaum zu erledigen.
15 Schöttle, BRAK-Mitt. 2018, 124 https://www.brak.de/ aus S. Entschließung der 87. Kon-
Das ist die Ende-zu-Ende-Verschlüsselung. In der Literatur14 ferenz der Datenschutzbeauftragten des Bundes und der Länder v. 27.3.2014, www.bfdi.
wird die Ende-zu-Ende-Verschlüsselung mehrheitlich nicht bund.de/ und Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, 138, www.
saechsdsb.de/.
als datenschutzrechtliches Gebot angesehen. Landesdaten- 16 Seither haben weitere Datenschutzbeauftragte der Länder Stellung genommen und sich
schutzbeauftragte15 sehen das zum Teil anders. Bei der Trans- für die Ende-zu- Ende Verschlüsselung ausgesprochen.
Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert, Gasteyer AnwBl Online 2019 563Aufsätze
die Kommunikation eingebunden sind. Manche dieser Medi- Anlage 5.3.2
en bieten sogar eine Ende-zu-Ende Verschlüsselung und sind
aus dem Gesichtspunkt der Verschlüsselung nicht zu bean- Einzelne Anforderungen bei der Nutzung von Technik und
standen. Der Ausschuss hat es wegen der Schnelllebigkeit Informations- und Kommunikationstechnologie (IKT)
der technischen Entwicklung nicht für zweckmäßig gehalten, Die nachstehenden Formulierungen geben Überlegungen
derartige Programme zu identifizieren und individuell be- und Erkenntnisse des Ausschusses 6 aus seiner Befassung
rufsrechtlich von der Nutzung auszuschließen oder zuzulas- mit dem Papier C 5 des BSI wieder. Sie diente dem Ausschuss
sen. dazu, ein besseres Verständnis für die eigenen Aufgaben und
Er verwies jedoch auf die Pflichten aus § 2 Abs. 4 BORA. die praktische Umsetzung zu gewinnen. Die Feststellungen
Danach ist der Rechtsanwalt verpflichtet, diese Offenlegung des Ausschusses sind nicht umfassend und waren nicht zur
seiner Daten zu verhindern und gefährdende Programme al- laufenden Aktualisierung gedacht. Inzwischen sind auf den
lenfalls auf einem zweiten, privaten Smartphone (oder in ei- Websites der BRAK, des DAV und einzelner RAK einschlägi-
nem softwaremäßig verlässlich getrennten Bereich seines ge Empfehlungen veröffentlicht worden.
Endgeräts) zu nutzen, nicht aber beruflich.
Hinter dieser Überlegung steht die Wertung, dass der 1. Die Pflege der eingesetzten Programme
Mandant zwar Herr des Geheimnisse ist, soweit im weitesten Der Datenschutz fordert im Rahmen der technischen und or-
Sinne sein Mandat betroffen ist. Jenseits dieses Bereiches ganisatorischen Maßnahmen, dass die Datenverarbeitung si-
bleibt aber die Pflichtigkeit aus § 2 Abs. 4 BORA zum aktiven cher erfolgt. Sicherheit bedeutet zunächst, dass vorhandene
Schutz der Vertraulichkeit unberührt. Programme gepflegt werden.
8.4 Cloud-Computing 1.1 Updates
8.4.1 Begriff Es gibt praktisch keine Software, die von ihrem Hersteller
nach Erwerb in dem Zustand belassen wird, zu dem sie lizen-
Cloud-Computing bezeichnet aus Sicht des Nutzers die In-
siert wurde. Dem Erwerb derartiger Software, soweit sie über-
anspruchnahme von IT-Dienstleistungen, die ein Dienstleis-
haupt noch vorhanden ist, muss der Rechtsanwalt kritisch ge-
ter auf Servern bereitstellt, über die der Nutzer nicht die Sach-
genüberstehen. Üblich ist es stattdessen, dass im laufenden
herrschaft hat. Die angebotenen Dienstleistungen umfassen
Betrieb zu Tage tretende Fehler und Sicherheitslücken be-
hierbei die komplette Bandbreite der Informationstechnik
hoben werden, die für Angriffe durch Dritte ausgenutzt wer-
wie unter anderem Infrastruktur, Plattformen und Software.
den oder sie ermöglichen. Hierbei handelt es sich um Up-
Man kann hierbei grob zwischen einer Public Cloud (Services
dates, die vom Hersteller in regelmäßigen oder unregelmäßi-
werden der Allgemeinheit oder einer größeren Gruppe zur
gen Zeitpunkten zur Verfügung gestellt werden. Wenn ein
Verfügung gestellt) und einer Private Cloud (die Cloud wird
Computer vom Netz genommen ist und stand-alone eingesetzt
ausschließlich für eine Organisation betrieben) unterschei-
wird, was nur in seltenen Fällen eine realistische Annahme
den.17
sein dürfte, ist es erforderlich, diese Updates aus Sicherheits-
8.4.2 Zulässigkeit und Selbstverantwortung des Auftraggebers gründen unverzüglich herunterzuladen und zu installieren,
am besten automatisch. Updates werden für einen erhebli-
(a) Die Nutzung von Cloudlösungen ist aufgrund der Reform
chen Zeitraum nach erstmaliger Lizensierung zur Verfügung
durch das Berufsgeheimnisschutzgesetz unter Beachtung der
gestellt, und solange nichts Gegenteiliges bekannt wird, kann
Maßgaben der §§ 203 StGB, 43 a und 43 e BRAO, des § 2
der Rechtsanwalt davon ausgehen, dass das so gepflegte Pro-
BORA und der einschlägigen Regelungen des Datenschutz-
gramm „sicher“ ist.
rechts zulässig.
(b) Der Ausschuss hat mit dem BSI Gespräche über Cloud-Lö- 1.2 Versionswechsel
sungen, ihre Risiken und Gegenmaßnahmen geführt. Die
Die Hersteller der Standardprogramme liefern aber nicht nur
Satzungsversammlung hat sich durch einen Vertreter des
Updates, sondern sie sehen in unregelmäßigen Zeitabstän-
BSI unmittelbar über diese Themen unterrichten lassen. Der
den auch neue Versionen des Standardprogramms vor. Diese
Ausschuss hat sich ausführlich mit dem BSI-Papier C 5 und
Versionen sind erhältlich, während die früheren Versionen
dessen Konzept der Eigenverantwortung befasst und hält es
noch durch Updates gepflegt werden. Z.B. sind derzeit noch
für sinnvoll.
Updates für Windows 7 erhältlich, obwohl Windows 10 seit ei-
(c) Der Ausschuss hat keinen Versuch einer eigenständigen
niger Zeit auf dem Markt ist. Ob ein Versionswechsel aus ope-
Regulierung von Cloud-Nutzungen unternommen und hält
rativen Gründen sinnvoll ist, soll hier nicht weiter erörtert
ihn angesichts der raschen technischen Entwicklungen und
werden. Generell gilt aber nach Überzeugung des Ausschus-
der umfassenden gesetzlichen Regelungen nicht für geboten.
ses 6, dass ein Versionswechsel nicht berufs- oder daten-
Die Satzungsversammlung hat Kompetenz nur zur Konkreti-
schutzrechtlich erforderlich, solange die frühere Version
sierung. Einen entsprechenden Bedarf oder Spielraum hat der
noch über Updates gepflegt wird und der Einschätzung der
Ausschuss nicht gesehen.
Sicherheit keine konkreten Informationen entgegenstehen.
(d) Weiterführende Hinweise finden sich auf diversen Web-
seiten der berufsständischen Organisationen, Kammern und
insbesondere der BRAK.18
17 https://bsi.bund.de/.
18 https://www.brak.de/; https://www.brak.de/
564 AnwBl Online 2019 Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert, GasteyerAufsätze
2. Die Absicherung des eigenen Rechners der Hardware und Konfiguration der Software einschließ-
Sicherheit der Datenverarbeitung bedeutet, dass der Daten- lich Verschlüsselung ist geboten.
bestand und die Prozesse vor Angriffen Dritter zu schützen
2.7 Voice-over-IP
sind. Dazu gehören nicht nur die Pflege der eingesetzten Pro-
gramme (vgl. 9.1), sondern auch der Einsatz von speziellen Die festnetzbasierte Telefonie wird systematisch abgeschafft
Programmen. und die Teilnehmer werden zur Nutzung von Voice-over-IP
gezwungen. Dadurch entstehen weitere Gefährdungen der
2.1 Virenschutz Vertraulichkeit. Praktische Wege, sich der Änderung der tech-
Üblich und geboten sind zunächst Programme, die die Infil- nischen Rahmenbedingungen zu entziehen, gibt es für den
tration des Computers oder des Computersystems durch Vi- Rechtsanwalt nicht. Ihm ist anzuraten, sich bei der Anschaf-
ren und Trojaner verhindern sollen. Zu ihrer Pflege gelten fung und Konfiguration der Anlage von Fachleuten beraten
wiederum die Ausführungen zu 8.1. zu lassen.
2.2 Firewall 2.8 Weitere Aspekte
Angriffe durch Dritte erfolgen nicht nur durch die Platzie- Die vorgenannten Programme und Maßnahmen sind das Mi-
rung von Viren, sondern sie können auch durch die nicht- nimum, das erwartet werden kann. Wiederum gilt, dass der
AnwaltsWissen
bestimmungsgemäße Nutzung der Software („Hacken“) erfol- Anwalt das Risikoprofil seiner Mandanten und der von ihm
bearbeiteten Mandate zu bewerten hat. Stellt er eine besonde-
gen, mit der Folge, dass auf dem Computer gespeicherte Da-
re Gefährdungslage fest, können über den Standard hinaus-
ten manipuliert oder auf andere Systeme kopiert werden kön-
gehende Sicherungs- maßnahmen geboten und zumutbar
nen. Virenschutzprogramme bieten hiergegen keinen Schutz.
sein. Das ist dann bei der Architektur seines IT-Systems zu
Deswegen ist es üblich und geboten, auch spezielle Program-
bedenken. Dabei kann sich der Anwalt sachkundiger Bera-
me zu nutzen, die eine „Firewall“ gegen derartige Eindring-
tung bei der Gestaltung und Implementierung der Systeme
versuche Dritter schaffen sollen.
bedienen. Externer Rat ist im Regelfall empfehlenswert, um
2.3 Import von Daten über Schnittstellen sich im Falle eines erfolgreichen Einbruchs in den Daten-
bestand gegen den Vorwurf leichtfertigen Verhaltens abzusi-
Externe Speicher werden meist über USB Anschlüsse mit chern.
dem Rechner verbunden. Hier besteht das Risiko, dass die
Daten an der Firewall vorbei importiert werden und bei fal- 3. Die Sicherung der Daten
scher Konfiguration auch die Virenprüfung zu spät erfolgt, Datensicherung umfasst „alle technischen und organisatori-
nämlich nachdem der Rechner bereits infiziert wurde. schen Maßnahmen zur Sicherstellung der Verfügbarkeit, In-
2.4 Verhinderung des ungewollten Exports von Daten tegrität und Konsistenz der Systeme einschließlich der auf
diesen Systemen gespeicherten und für Verarbeitungszwecke
Je neuer das Betriebssystem, desto umfangreichere Daten genutzten Daten, Programme und Prozeduren.“19 Aufgrund
werden nach der vorgegebenen Standardeinstellung oft ohne von technischem Versagen oder fehlerhafter Handhabung
weitere Rückfrage an den Hersteller des Programms (oder können gespeicherte Daten verloren gehen oder unbrauchbar
der dort gebündelten Programmkomponenten) übermittelt. werden. Durch eine angemessene Datensicherung soll sicher-
Des Risikos für die Vertraulichkeit sollte sich der Rechts- gestellt werden, dass der Verlust von Datenbeständen verhin-
anwalt bewusst sein und die Einstellungen der Software ent- dert wird. Das BSI hat im Rahmen der Publikation zum IT-
sprechend ändern (lassen). Grundschutz20 Umsetzungshinweise zur Datensicherung ver-
öffentlicht. Dazu zählt zunächst die sorgfältige Auswahl einer
2.5 Verschlüsselung von Daten auf der Festplatte geeigneten Sicherungssoftware sowie die Unterrichtung der
Bei mobilen Endgeräten einschließlich Laptops, USB-Sticks Mitarbeiter zur Datensicherung. Die regelmäßige Erstellung
und anderen Speichermedien besteht das Risiko des Abhan- von Sicherungskopien und die geeignete Dokumentation der
denkommens. Für diesen Fall müssen die darauf befindli- Datensicherungen sind ebenso wichtig wie die geeignete La-
chen Daten geschützt sein. Der normale Passwortschutz gerung der Backup-Datenträger und die regelmäßige Prüfung
zum Anmelden bei einem Laptop genügt nicht, da die Fest- der Wiederherstellbarkeit der Daten.21 Auch die Sicherstel-
platte ausgebaut und dann von einem anderen Gerät ausgele- lung der Betriebskontinuität zur konsistenten Einhaltung des
sen werden kann. Das lässt sich mit der Verschlüsselung des Betriebsplans wird zur Beurteilung der Informationssicher-
Speichermediums insgesamt, also nicht nur einzelner Datei- heit miteinbezogen.22
en, verhindern.
2.6 Nutzung von WLAN
WLAN-Netze sind allgemein üblich und ihre Nutzung (durch
Mitarbeiter und Mandanten) wird von vielen Mandanten als Prof. Dr. Thomas Gasteyer, Frankfurt am
selbstverständlich angesehen. Sie sind aber auch ein Einfalls- Main
tor für Hacker. Professionelle Unterstützung bei der Auswahl Der Autor war Vorsitzender des Ausschusses 6 der
6. Satzungsversammlung. Die 6. Satzungsversamm-
lung war bis Ende Juni 2019 im Amt.
19 https://www.bsi.bund.de/. Leserreaktionen an anwaltsblatt@anwaltverein.de.
20 Vgl. Fußnote 19:
21 BSI. (o.D.). Umsetzungshinweise zum Baustein CON.3 Datensicherungskonzept. Abge-
rufen von https://www.bsi.bund.de/.
22 BSI. (2017, September).Anforderungskatalog Cloud Computing (C5). Abgerufen von
https://www.bsi.bund.de/.
Verschwiegenheitspflicht und Datenschutz: Was das Recht von Kanzlei fordert, Gasteyer AnwBl Online 2019 565Sie können auch lesen
