Erwartungen an den Datenschutz bei Rechtsanwälten

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LDSBBW) hat seinen Tätigkeitsbericht 2018 vorgelegt. Ein Abschnitt darin ist besonders für die Kollegen der Anwaltschaft von Interesse – im Bereich “Datenschutz bei Rechtsanwälten” ab Seite 99 finden sich Ausführungen dazu, was der Landesdatenschutzbeauftragte von Rechtsanwälten im Bereich Datenschutz erwartet. Besonders eine Auffassung ist überraschend und bedarf der Kritik.

Allgemeines zur Anwaltschaft

Zum einen führt der LDSBBW aus, dass Anwälte naturgemäß Probleme mit einer Kontrolle durch eine Datenschutzbehörde haben, was ich so nicht unbedingt teilen mag. Hier verkennt der LDSBBW bereits die Besonderheit: Kontrollen gehören für Anwälte zum Alltag, was bereits bei lapidaren Dingen wie der Arbeitssicherheit beginnt und bis zu dem allgegenwärtigen Risiko einer Kanzleidurchsuchung geht. Das Besondere – und hier liegt die Krux – liegt vielmehr darin, dass vorliegend eine Behörde existiert, die auf den Aktenbestand eines Anwalts zugreifen könnte. Es wäre wünschenswert, wenn die Datenschutzbehörden hier Ihrerseits das notwendige Feingefühl entwickeln, dass man bis in den Kern des anwaltlichen Berufsbildes, nämlich die Verschwiegenheitspflicht, hinein tätig werden kann. Anstelle sich in formelhafte Belehrungen wie

Schon von daher fällt es einzelnen Vertretern dieser Berufsgruppe schwer zu akzeptieren, dass sie der Kontrolle einer staatlichen Aufsichtsbehörde unterliegen sollen.

Seite 100 des Tätigkeitsberichtes

zu verlieren, sollte man lieber Aufklärung betreiben. Dabei sind manche Punkte nicht so einfach, wie Datenschutzbehörden Sie gerne hätten. Man liest im Bericht etwa

Gleichwohl ist nicht ernsthaft zu bestreiten, dass auch die Datenverarbeitung durch Rechtsanwälte grundsätzlich der Datenschutz-Grundverordnung unterfällt und damit grundsätzlich auch der Kontrolle durch die Aufsichtsbehörde unterliegt.

Seite 100 des Tätigkeitsberichtes

Ist das so? Ich kenne eine Vielzahl von Kanzleien die – ganz bewusst – an der Papierakte festhält und eben nicht digital oder teilweise digital arbeitet, gerade Ein-Mann-Kanzleien älterer Kollegen auf dem Land sind hier betroffen. Während der sachliche Anwendungsbereich der DSGVO nach Art.2 DSGVO auf die “ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten” oder die Speicherung “in einem Dateisystem” abstellt. Das bietet Diskussion bedarf: Selbst wenn eine Kanzlei vollständig Papiergebunden ist und beispielsweise Schriftsätze nicht digital vorhält: Ändert der Zwang zur Benutzung des BEA hieran etwas? Diese Auffassung wäre gut zu vertreten, nur leider liest man hier nichts davon, was die etwas herabschauenden Belehrungen im Tätigkeitsbericht nicht besser macht. Da ist noch viel Luft nach oben im Umgang mit einer Berufsschicht, bei der Datenschutz wie bei Ärzten mit besonderer Sensibilität umgesetzt werden sollte.

Auskunftspflichten des Rechtsanwalts

Spannend ist ein anderer Teil: Wir Rechtsanwälte sind nach §29 BDSG privilegiert bei den Auskunftspflichten, damit das Mandatsgeheimnis gewahrt bleibt. So müssen wir Gegnern keine (umfassende) Auskunft zur Herkunft von Daten erteilen, etwa wenn die Mandantschaft Informationen zur Verfügung stellt, die im Rahmen einer Klage verarbeitet werden. Das ist für Anwälte selbstverständlich, umso mehr sollte diese Zeile im Tätigkeitsbericht aufhorchen lassen, die sich auf §29 BDSG beziehen:

Ob diese Vorschriften des BDSG Bestand haben werden – was wir sehr bezweifeln -, wird der Europäische Gerichtshof entscheiden.

Seite 100 des Tätigkeitsberichtes

Kollegen ist aus meiner Sicht nur zu raten, sich hiervon nicht ärgern zu lassen: Unsere Verschwiegenheitspflicht ist strafbewehrt, irgendwelche nicht näher substantiierten Zweifel an der Rechtmäßigkeit der Regelungen des §29 BDSG dürfen hier nicht unsere Kern-Berufspflicht ankratzen. Zudem erschliesst sich mir nicht, wo hier das Problem liegen soll: Der Gegner weiss naturgemäß wer die eigene Mandantschaft ist. Wenn er meint, hier Auskunftsrechte zu haben, kann er sich auf zivilrechtlichem Wege an die Mandantschaft wenden und fertig. Eher überraschend ist dann die weitere Feststellung im Bericht, dass man komischerweise keine Beschwerden von Mandanten selber erlebt, wo diese doch Auskunftsansprüche haben:

Jedenfalls dürften entsprechende Ansprüche aus der vertraglichen Beziehung (Geschäftsbesorgungsvertrag) herzuleiten sein. Konkrete Beschwerden hierzu gab es bisher allerdings nicht.

Seite 100 des Tätigkeitsberichtes

Hier reagiert die Behörde etwas “unbedarft”, um ein Wort zu bemühen, dass gleich nochmals auftauchen wird: Warum sollte es denn hier Streit geben? Nachdem der BGH bereits vor gut 4 Jahren (BGH, AnwSt (R) 5/14)) klargestellt hat, dass die komplette Handakte dem Mandanten zur Verfügung zu stellen ist und jeder Verstoß ein Berufsrechtsverstoß ist: Warum sollte ein Anwalt hier Probleme machen und selbst wenn, warum sollte man zum Landesdatenschutzbeauftragte, wenn man als Mandant recht problemlos andere Anwälte beauftragen und die Anwaltskammer anrufen kann? Die Überraschung der Behörde an dieser Stelle macht mir etwas Sorgen, wie viel man vom anwaltlichen Alltag und dem Bezugsrecht der Anwälte überhaupt weiss, wenn man sich dazu gross äussern möchte.

Umgang mit E-Mails als Anwalt

Ein eigener Absatz ist dem Umgang mit Mails gewidmet, den ich hier kurz aufgreifen möchte:

Eine häufige Beschwerde betraf die Kommunikation durch Rechtsanwälte per unverschlüsselter E-Mail (…) Dass gerade Rechtsanwälte, die ansonsten regelmäßig – und angesichts drohender Strafbarkeit bei Verletzung zu Recht – auf ihre anwaltliche Schweigepflicht pochen, sich in dieser Frage verhältnismäßig unbedarft, um nicht zu sagen leichtfertig verhalten, darf schon verwundern (…) Für die E-Mail-Kommunikation, die bekanntlich Möglichkeiten der unbefugten Kenntnisnahme eröffnet (verschiedentlich wird die unverschlüsselte E-Mail mit einer Postkarte verglichen), bedeutet dies, dass grundsätzlich eine Pflicht zur Ende-zu-Ende-Verschlüsselung besteht. Da dies von vielen Rechtsanwälten schlicht ignoriert wird, haben wir uns an die Rechtsanwaltskammern gewandt, in der Hoffnung, von dort Unterstützung zu erhalten.

Seite 100/101 des Tätigkeitsberichtes

Die Begriffe “Verwunderlich” und “Unbedarft” muss sich hier die Behörde vorhalten lassen, ich denke man merkt sehr deutlich, dass hier keine Kommunikation mit Anwälten gepflegt wird. Natürlich mag es Kanzleien geben, die versuchen Porto durch massenhafte Mails zu sparen, dazu kann ich nichts sagen. Aber der Alltag sieht doch regelmäßig so aus, dass wenn man S/MIME-Zertifikate und GPG-Keys bereit hält, niemand hierauf zugreift. Da ändert auch das Anschreiben der Kammern nichts, was sollen die denn tun, den Mandanten ins Gewissen reden?

Ich bin äusserst verwundert, wenn nicht inzwischen verärgert, darüber, dass die Arbeit von Datenschutzbehörden sich immer mehr wandelt: Weg von der Hilfe, hin zum Drohen mit Bußgeldern und formelhafter Belehrung mit erhobenem Zeigefinger. Es wäre doch deutlich hilfreicher, wenn man Informationen zur Nutzung von GPG zur Verfügung stellt, Nochmals hilfreicher wäre es, wenn man frei verfügbare S/MIME-Zertifikate erhalten könnte, etwa über ein von den LDSB übergreifend geschaffenes Portal. Das erfordert dann halt mal Arbeit ohne Zeigefinger und Geld, aber damit wäre wirklich etwas geschaffen. Denn aktuell, wenn man Mandanten sagt dass es keine Mails gibt ohne Zertifikat, gibt es nur Unverständnis und den Hinweis, dass man nicht weiss wie man das technisch umsetzen soll. Und mit Verlaub: Die Schaffung der technischen Vorraussetzungen beim Kunden im Sinne der LDSB kommunizieren zu können ist nicht Aufgabe des einzelnen Dienstleisters.

Auf Twitter hatte ich den LDSB BW so verstanden, dass diese Zeilen nicht so zu deuten sind, dass eine Kommunikation nicht zwingend Ende-zu-Ende-verschlüsselt ist, sondern dass man hierzu zumindest in der Lage ist, genau das wäre auch mein Rat an Kollegen. Als Anwalt sollte man mit GPG/PGP umgehen können. Wenn man sich dann noch ein S/MIME-Zertifikat anschafft ist zumindest etwas mehr geschafft, wobei es ärgerlich ist, wenn man hier jährliche Gebühren zahlt, damit wie bei mir in 5 Jahren nicht ein einziger (!) Mandant es nutzt (GPG nutzen immerhin einige Ausgewählte).

Keine Gegnerlisten

Abschliessend findet man den Hinweis, dass Gegnerlisten jedenfalls dann anzugreifen wären, wenn hier natürliche Personen bzw. Verbraucher benannt sind. Mache ich kurz: Sehe ich genauso. Ich weiss aber auch nicht, ob Gegnerlisten heute wirklich noch so “en Vogue” sind. Im Verbraucherrecht, wo Mandanten gerne die schwachsinnige Frage stellen, ob man schon die Bank X oder die Fluglinie “verklagt” hat, also vermeintlich Erfahrung im Umgang mit diesen Gegnern hat, mag so etwas werbetechnisch einen Hintergrund haben. Jedenfalls bei mir stelle ich aber fest, dass Mandanten aus der Wirtschaft bei solchen Listen auf der Webseite eher skeptisch reagieren und ich habe auch den Eindruck, dass diese Listen seit einiger Zeit auf dem Rückzug sind.

Fazit zum Datenschutz bei Anwälten

Für mich gibt es mit Blick auf die Datenschutzbehörde nur ein Wort: Schade. Die Ausführungen bringen mir wenig, gehen jedenfalls an meinem Alltag in kleiner Kanzlei vorbei, setzen den falschen Fokus und mir drängt sich nun noch mehr auf, dass manche Behörden zwar gerne mit dem Finger zeigen, aber eigene Möglichkeiten nicht ausschöpfen. So funktioniert gelebter Datenschutz nicht und so erreicht man auch keine signifikante Verbesserung, sondern schafft nur Fronten und Streit. Gerade was die sichere Email-Kommunikation angeht sind die technischen Möglichkeiten seit vielen Jahren gegeben, es scheitert an der Verbreitung. Und mir ist nicht zugänglich, warum z.B. die Datenschutzbehörden hier nicht massiv auf Verbraucherseite mitarbeiten, insbesondere was einen einfachen, günstigen Weg zu S/MIME-Zertifikaten angeht. Hinweis dazu: Früher gab es einige kostenlose Angebote, der Markt ist aber geschrumpft seit Comodo zu Sectigo wurde und man das freie Angebot wohl (?) abgeschafft hat).

Den Kollegen kann ich nur sagen: Schafft euch wenigstens GPG/PGP an. Seid in der Lage auf Nachfrage eine sichere Kommunikation zu eröffnen. Wenn ein Mandant Kommunikation der Mail wünscht, sichert euch durch ein Formular ab, in dem der Mandant belehrt wird und zugleich die Einwilligung in die Kommunikation per Mail eingeholt wird.