Um die rechtsstaatliche Funktion und Aufgaben der Anwaltschaft zu wahren, ist es mehr denn je notwendig, die nach Art. 51 EU-DS-GVO bestehende Möglichkeit einer sektoralen Datenschutzaufsicht auszuschöpfen. Die BRAK fordert deshalb seit langem die Schaffung einer eigenen Aufsichtsbehörde für Rechtsanwälte in Form eines Bundesdatenschutzbeauftragten für die Anwaltschaft. Nur durch ein derartiges sektorales Kontrollorgan kann gewährleistet werden, dass die berufsspezifischen Regelungen genügend Berücksichtigung finden (vgl. z.B. die BRAK-Stellungnahme 2016/41 vom Dezember 2016 sowie König, Sektorale Datenschutzkontrolle bei Rechtsanwälten, Band 21 der BRAK-Schriftenreihe, 2015). Damit würde vermieden werden, dass staatliche Organe die Datenverarbeitung in Mandatsbeziehungen kontrollieren können und damit in das Mandatsgeheimnis eingreifen.
Wer behauptet, die Forderung der BRAK nach einer eingeschränkten Kontrolle sei der „Wunsch von Berufsgeheimnisträgern, aus berufsständischen Überlegungen heraus“ nicht überwacht zu werden (Ehmann/Kranig in: Ehmann/Selmayr, DS-GVO, Art. 90 RN 4), verkennt, dass die Regelungen nicht zum Schutz des Anwaltes, sondern zum Schutz des Mandanten notwendig sind.
„Regelungen sind nicht zum Schutz des Anwaltes, sondern zum Schutz des Mandanten notwendig.“
Das Verhältnis zwischen den datenschutzrechtlichen Aufsichtsbehörden und der Anwaltschaft war in der Vergangenheit selten problemlos. Der ehemalige Berliner Datenschutzbeauftragte glaubte sogar, einen Anwaltskollegen über ein Bußgeldverfahren zu einem Bruch der Verschwiegenheitspflicht zwingen zu können. Erst das Kammergericht hat diesem Spuk ein Ende bereitet (Beschluss vom 20.8.2010, Az.: 1 Ws (B) 51/07 – 2 Ss 23/07 = BRAK-Mitt.2010, 224 mit Anm. Wagner, BRAK-Mitt. 2011, 2 sowie MMR 2010, 864, K&R 2010, 745). Aber auch andere Datenschutz-Aufsichtsbehörden reklamieren für sich die uneingeschränkte Kontrollkompetenz (beispielsweise auch das Bayerische Landesamt für Datenschutzaufsicht).
Unter der Geltung des jetzigen BDSG konnte man sich auf den Vorrang der berufsrechtlichen Verschwiegenheitspflicht, des Anwaltsgeheimnisses, gegenüber den datenschutzrechtlichen Regelungen unter Hinweis auf § 1 Abs. 3 BDSG berufen (so z.B. Bergmann/Möhrle/Herb, Kommentar zum Datenschutzrecht, RN 25 d zu § 1 BDSG). Der jahrelang schwelende Streit zwischen den Anwaltskammern und den Aufsichtsbehörden wurde angesichts der kommenden EU-Regelungen vom Gesetzgeber nie geklärt.
Nunmehr gilt ab dem 25. Mai 2018 die Europäische Datenschutz-Grundverordnung (EU-DS-GVO) und das BDSG2018 wird nur noch ergänzend gelten. Die Aufgaben und Befugnisse der Aufsichtsbehörden sind umfangreich in den Art. 57 bis 59 EU-DS-GVO geregelt.
So können die Aufsichtsbehörden im Rahmen ihrer Untersuchungsbefugnisse nach Art. 58 Abs. 1 EU-DS-GVO z.B. Informationen anfordern, Überprüfungen vornehmen, Zugang zu allen Daten und Informationen verlangen bis hin zum Zugang zu den Geschäftsräumen. Die Abhilfebefugnisse nach Abs. 2 gestatten es einer Aufsichtsbehörde, nicht nur Hinweise zu geben und Verwarnungen auszusprechen, sondern auch konkrete Anweisungen zu geben, wie bestimmte Verarbeitungen zu erfolgen haben, bis hin zur vorübergehenden oder endgültigen Beschränkung oder dem Verbot einer Verarbeitung. Auch die Berichtigung und Löschung von Daten kann verlangt oder die Aussetzung von Übermittlungen in Drittstaaten (z.B. USA) angeordnet werden. Hinzu kommen die Möglichkeiten von Geldbußen nach Art. 83 GG EU-DS-GVO (bis zu 20 Mio. Euro).
Der EU-Gesetzgeber erlaubt durch Art. 90 EU-DS-GVO zwar auch nationale Regelungen zu Berufsgeheimnissen und gleichwertigen Geheimhaltungspflichten, aber diese sind nur sehr eingeschränkt und schwer mit dem deutschen verfassungsrechtlichen Verständnis von Aufgaben und Funktionen der Anwaltschaft zu vereinbaren. Glücklicherweise hat der deutsche Gesetzgeber das Problem erkannt und die Möglichkeiten der Öffnungsklausel in Art. 90 ausgeschöpft. Deshalb wurde mit § 29 Abs. 3 BDSG2018 eine Sonderregelung für die Befugnisse bei der Datenschutzaufsicht geschaffen. Art. 90 EU-DS-GVO hat es dem deutschen Gesetzgeber aber nur erlaubt, zwei der umfangreichen Befugnisse der Datenschutzaufsichtsbehörde einzuschränken. Dies betrifft Art. 58 Abs. 1 Ziff. e (Zugang zu allen personenbezogenen Daten und Informationen) sowie Abs. 1 Ziff. f. (Zugang zu den Geschäftsräumen einschließlich aller Datenverarbeitungsanlagen und -geräte). Alle anderen Befugnisse zur Informationseinholung und sämtliche Abhilfebefugnisse nach Art. 58 Abs. 2 EU DS VwGO bleiben bestehen. Damit kann eine Datenschutzaufsichtsbehörde einer Anwaltskanzlei partiell oder ganz bestimmte Verarbeitungen untersagen oder beispielsweise vorschreiben, wie Akten zu führen und wann und wie sie zu berichtigen und zu löschen sind. Sie kann einen Anwalt verpflichten, einen Gegner zu informieren oder keine Datenübermittlung ins außereuropäische Ausland vorzunehmen. Auch die Bußgeldmöglichkeiten, wie im Fall des Berliner Kammergerichts judiziert, bleiben bestehen.
Denn § 29 Abs. 3 BDSG2018 schränkt nur den Zugang zu Daten und Informationen sowie den Zugang zu den Geschäftsräumen ein. Dennoch wird selbst diese rudimentäre Begrenzung der Eingriffsbefugnisse insbesondere von (ehemaligen) staatlichen Datenschützern heftig kritisiert (z.B. Weichert, DANA 2017, S. 76 ff.). Die Aufgaben einer Datenschutz-Aufsichtsbehörde werden über den Schutz der betroffenen Mandanten (um diese geht es, nicht um den Anwalt) gestellt. Mit dem weiteren Argument, auch in Krankenhäusern oder Arztpraxen würden ebenfalls sensible Daten verarbeitet, wird die besondere Funktion des Anwaltes im Rechtsstaat beiseite gewischt (Weichert, DANA 2017, S. 76, 79). Selbst in juristischen Kommentaren werden Funktion, Aufgabe und verfassungsrechtliche Gewährleistung der Rechtsanwälte negiert, wenn man mit dem Hinweis auf die Kontrolle der französischen Aufsichtsbehörde über Notare die Kontrolle von Anwälten als rechtmäßig ansieht (Ehmann/Kranig in: Ehmann/Selmayr, DS-GVO, Art. 90 RN 2). Es wird völlig verkannt, dass französische Notare ein öffentliches Amt ausüben und zur Überparteilichkeit verpflichtet sind, während der (deutsche) Rechtsanwalt Interessenvertreter des Mandanten ist (vgl. auch Art. 47 Abs. 2 Satz 2 EU-Grundrechte-Charta).
Zudem ist folgendes zu berücksichtigen: Nach Art. 2 Abs. 2 Ziff. c EU-DS-GVO unterliegt die Datenverarbeitung durch natürliche Personen zur Ausübung persönlicher Tätigkeiten nicht den Regelungen der EU-DS-GVO. Wer also selbst vor Gericht seinen Prozess führt, muss nicht die Kontrolle seiner Datenverarbeitung durch eine staatliche Aufsichtsbehörde fürchten. Geht aber die betroffene Person zu einem Anwalt und lässt sich von ihm vertreten, so erwächst für ihn als Mandant die Gefahr, dass er über die Kontrolle seines Anwaltes selbst mittelbar kontrolliert wird. Damit verschlechtert die Einschaltung eines Anwaltes seine Rechtsposition, womit zugleich ein Verstoß gegen Art. 47 Abs. 2 Satz 2 EU-Grundrechte-Charta vorliegt.
„Datenschutz-Kontrolle kann anlasslos erfolgen.“
Wenn man sich dann noch vergegenwärtigt, dass eine Datenschutz-Kontrolle anlasslos und ohne Vorliegen eines Grundes geschehen kann und die Aufsichtsbehörden aufgrund ihrer von demokratischen Prozessen abgelösten Unabhängigkeit weder einer Dienst-, Fach- noch Rechtsaufsicht unterliegen, so werden die Gefahren der Kontrollmöglichkeiten im Hinblick auf die Anwaltschaft offenbar.
Zusammenfassend lässt sich damit feststellen, dass es dringend notwendig ist, dass der Gesetzgeber die BRAO ändert und entsprechend dem Vorschlag der BRAK einen eigenständigen Datenschutzbeauftragten für die Anwaltschaft als unabhängige Aufsichtsbehörde im Sinne von Art. 51 ff. EU-DS-GVO und damit sektorales Kontrollorgan errichtet.
Bildquellen: Scacciamosche/iStock/Kees Hehl Heckmann Anwaltssozietät (Gesellschaft des bürgerlichen Rechts)