23.02.2005
Datenschutz in der Anwaltskanzlei - Verbot der Bestellung eines Datenschutzbeauftragten?
Stellungnahme des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. zur Bestellung von Datenschutzbeauftragten in Anwaltskanzleien
In seiner Stellungnahme Nr. 31/2004 vom September 2004 gelangt der Ausschuss Datenschutzrecht der Bundesrechtsanwaltskammer im Ergebnis zu der Auffassung, dass
- Rechtsanwälte hinsichtlich der mandatsbezogenen Informationsverarbeitung nicht verpflichtet sind, einen Beauftragten für den Datenschutz zu bestellen,
- die Bestellung eines externen Datenschutzbeauftragten unzulässig ist und
- für die Verarbeitung von Personaldaten der Kanzleien die Bestellung eines Beauftragten für den Datenschutz nach § 4f BDSG eingeschränkt zulässig ist.
Neben einer Reihe von Aufsichtsbehörden (z.B. die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW) und Innenministerien (so z.B. das Innenministerium Baden-Württemberg) hält auch der BvD e.V. diese Rechtsauffassungen in wesentlichen Teilen und im Ergebnis für falsch. Die Ausführungen der Bundesrechtsanwaltskammer spiegeln ein fehlerhaftes Verständnis der Umsetzung des Rechts auf informationelle Selbstbestimmung, wie es seine Ausprägung in einer Vielzahl von Gesetzen und Verordnungen sowohl auf Landes- als auch auf Bundesebene gefunden hat, wider und wirken wenig konstruktiv im Hinblick auf die dringend erforderlichen gemeinsamen politischen Bemühungen aller berufsständischen Institutionen um einen einheitlichen Datenschutz in Deutschland.
1. Weder das BDSG noch die Vorschriften der BRAO der BORA enthalten ein gesetzlich normiertes ausdrückliches Verbot, in Anwaltskanzleien einen Datenschutzbeauftragten zu bestellen. Auch §§ 4f und 4g BDSG enthalten zu der allgemeinen Verpflichtung, einen Datenschutzbeauftragten zu bestellen, keine Ausnahmeregelung für Anwaltssozitäten oder eine Einschränkung hinsichtlich seiner Aufgaben. Gegen Regelungen bzgl. der Verschwiegenheitsverpflichtung (Berufsgeheimnis) von Berufsständen wird nicht durch die Bestellung eines Datenschutzbeauftragten verstoßen, da dieser typischerweise selbst zur Verschwiegenheit verpflichtet ist (§ 4f Abs. 4 BDSG).
2. Der Umstand, dass berufsspezifische Vorschriften und die darin enthaltenen Berufsgeheimnisse auch den Umgang mit Mandanteninformationen regeln, bedeutet nicht, dass hierdurch das BDSG als das in Teilen allgemeinere Regelwerk in toto subsidiär gegenüber den berufspezifischen Bereichsregelungen ist und damit ausgeschaltet wäre. Ein so verstandenes, möglicherweise berufspolitisch motiviertes Subsidiaritätsverständnis entspricht nicht den allgemein gültigen rechtswissenschaftlichen Regeln zur Lösung von Gesetzeskonkurrenzen (vgl. z.B: Dieter Schmalz, Methodenlehre für das juristische Studium, 2. Aufl. 1990, Rnd. 67-86).
Auch nach Auffassung des BfD (Ministerialrat Gerhold in einem am 18.10.2004 geführten Gespräch des BfD mit dem Deutschen Steuerberaterverband über das Zugriffsrecht externer Datenschutzbeauftragter auf mandantenbezogene Dateien (http://www.dstv.de/bfdgespraumlch) gehen im Rahmen des die Subsidiaritätsfragen regelnden § 1 Abs. 3 BDSG berufs- und standesrechtliche Vorschriften dem BDSG nur vor, wenn und soweit sie spezifische Datenschutzregelungen enthalten. Im Verhältnis des Rechtsanwalts zum Mandanten sind Fragen der Geheimhaltung und etwa Handaktenaufbewahrung in der BRAO bzw. der BORA weitestgehend spezifisch, aber im Hinblick auf beispielsweise technisch-organisatorische Anforderungen des Datenschutzes überhaupt nicht beschrieben. Die BRAO und die BORA können daher (auch) nicht als die die Belange des Datenschutzes abschließend regelnde Rechtsmaterien bezeichnet werden. Zu Abgrenzungsschwierigkeiten zu den übrigen Regelungen des Datenschutzrechts kommt es insoweit nicht, wohl aber sind Regelungslücken durch vorhandene speziellere datenschutzrechtliche Vorschriften zu schließen.
Für die Annahme eines wertungswidersprüchlichen Eingriffs in das Strukturprinzip der Regelungen der Berufsgesetze der Anwaltschaft besteht ebenfalls kein Anlass. Soweit der Ausschuss „Datenschutzrecht” der Bundesrechtsanwaltskammer hierbei weitgehend auf das BAG-Urteil vom 11.11.1997 abhebt, welches die Prüfungskompetenz des DSB in Bezug auf die Datenverarbeitung des Betriebsrates betraf und zur teilweisen Unanwendbarkeit des BDSG in jenem Fall führte, liegt eine vergleichbare Situation einer dort vom Gericht für notwendig erachteten Neutralität in Bezug auf die Regelungen des Interessenausgleichs zwischen Arbeitgeber und Betriebsrat in den Anwaltskanzleien nicht vor. Der dem BAG-Urteil zugrundeliegende Sachverhalt ist nicht auf die Fragen des Datenschutzes in Anwaltskanzleien übertragbar. Der Datenschutzbeauftragte in Betrieben und der öffentlichen Verwaltung, soweit er dort täglich seine Tätigkeit ausübt, ist als Gesamtorgan anzusehen, welches weder einseitig dem Lager des Arbeitgebers noch dem der Arbeitnehmerschaft zuzuordnen ist. Er vertritt weder bestimmte berufs- oder standespolitische Interessen, noch Interessen der einen oder anderen Seite eines Mandatsverhältnisses. Er vollzieht vielmehr im weitesten Sinne die Vorstellungen des Gesetzgebers in bezug auf die Erfüllung der Anforderungen des für alle geltenden Datenschutzrechts. Hierbei wird er der jeweiligen individuellen betrieblichen Situation gerecht.
3. Entgegen den Befürchtungen der Bundesrechtsanwaltskammer sind mandantenbezogene Informationen gerade nicht Gegenstand datenschutzrechtlicher Überprüfungen. Dies ergibt sich aus dem o.g. Subsidiaritätsprinzip (vgl. z.B. §§ 43a Abs. 2, 50 BRAO, §§ 2, 19 BORA). Ein qualifizierter interner oder externer Datenschutzbeauftragter wird in Kenntnis der ihm vor Beginn seiner Tätigkeit vertrauten spezialgesetzlichen Regelungen zum Berufsgeheimnis etc. nicht auf den Gedanken kommen, im Rahmen seiner Tätigkeit entsprechende Zugriffsrechte für sich zu reklamieren. Eine inhaltliche Überprüfung von mandantenbezogenen, verarbeiteten Informationen findet nicht statt, soweit diese Gegenstand einer „Rechtsangelegenheit” sind. Befürchtungen in dieser Hinsicht sind abwegig. Das in § 4g Abs. 1 Satz 1 BDSG enthaltene Prüfungsrecht betrifft nur die nicht durch spezialgesetzliche Regelungen ausgeschlossenen Bereiche. Solche befassen sich vor allem mit Fragen des technisch-organisatorischen Datenschutzes, z.B.
- sicherer Datenverkehr über Internet, Notebooks, Festplatten, Speichermedien und Telephonie, Fax etc.,
- Zugang zu Datenverarbeitungsanlagen und deren Sicherung,
- Vorkehrungen in Bezug auf Verfügbarkeit von Daten etc.,
- sichere Personaldatenverarbeitung,
- Schutzvorkehrungen gegen Einsichtnahme durch Dritte, Passwörter,
- Vernichtung, Aufbewahrung von Akten nach Sicherheitsstufen nach DIN, soweit geregelt.
Hierzu finden sich in dem die Mandantenbeziehungen regelnden Berufsrecht der Anwälte zumindest derzeit keine Regelungen, die den heutigen Sicherheitsstandards in der Kommunikationstechnik genügen. Insoweit hat die Regelung des § 9 BDSG i.V.m. der Anlage über die Verpflichtung zu technisch und organisatorischen Maßnahmen uneingeschränkte Geltung.
4. Der Ausschuss Datenschutzrecht der Bundesrechtsanwaltskammer befürchtet Zielkonflikte zwischen der mandantenbezogenen fachorientierten Anwaltstätigkeit und den Aufgaben eines Datenschutzbeauftragten. Auch in dieser Befürchtung äußert sich mangelndes Verständnis des Datenschutzrechts. Ein bestellter Datenschutzbeauftragter ist im Rahmen seiner Unterstellung unter einen Auftraggeber oder Dienstherrn in fachlicher Hinsicht stets weisungsfrei (§ 4f Abs. 3 Satz 2 BDSG). Ihm können keine Weisungen erteilt werden, umgekehrt ist er selbst aber auch nicht weisungsbefugt. Er wirkt lediglich auf die Einhaltung von Datenschutzvorschriften hin. Hierunter ist nach gängiger Praxis nichts anderes zu verstehen, als dass er ihm auffällige datenschutzrelevante Sachverhalte erfasst, vermerkt, und - soweit es ihm eingeräumt wird - Änderungsvorschläge unterbreitet. Ob sich nun ein „Vorgesetzter” an den Empfehlungen eines Datenschutzbeauftragten orientiert oder nicht, obliegt allein diesem selbst, der insoweit verantwortlichen Stelle (§ 3 Abs. 7 BDSG). Der Datenschutzbeauftragte berät und wahrt durch den einer Beratung immanenten Empfehlungscharakter seine Unabhängigkeit, aber auch die des Anwalts.
5. Es ist fraglich, ob Anwaltskanzleien die heutigen Standards sicherer Telekommunikation, z.B. bei der Übermittlung von Daten in das Ausland, einzuhalten in der Lage sind, sofern sie nicht bereits über IT-spezifisches Know-how verfügen. Anwaltskanzleien haben sicher keinen geringeren Nachholbedarf als andere Branchen, was die Einführung sicherer Verfahren für den elektronischen Geschäftsverkehr betrifft, z.B. elektronische Signatur nach dem Signaturgesetz, Einsatz von Verschlüsselungstechniken und sicherer E-Mail-Verkehr.
6. Der Berufsstand der Anwälte sollte dafür offen sein, sich mit Hilfe erfahrener Datenschutzbeauftragter den aktuellen Datenschutz- und Datensicherheitsstandards, auch im Interesse der Mandanten, zu nähern. Ob die Einhaltung dieser Standards durch eigene zum Datenschutzbeauftragten bestellte oder durch externe Datenschutzbeauftragte erfolgt, bleibt letztendlich der Anwaltskanzlei selbst überlassen.
Siehe zu diesem Thema auch:
Prof. Dr. Hannes Federrath, Vorsitzender des Vorstands des BvD e.V. Ass. jur. Uwe Meister, Vorstandsmitglied und kommissarischer Justitiar des BvD e.V.
Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. Geschäftsstelle Gladbeck Hegemannsweg 32 45966 Gladbeck