Datenschutz in der Anwaltskanzlei – Ein britisches Beispiel als Vorbild für Deutschland?
Deutsche Rechtsanwälte blicken mit Stolz auf ihre ehrenvolle Tätigkeit. Das Maß an Ehre entnehmen sie mit Recht ihren Standesregeln, zu denen auch die anwaltliche Schweigepflicht zählt.
Wer solch ehrbaren Regeln unterliegt – so hört man gelegentlich – muss die profanen Datenschutzgesetze nicht gegen sich gelten lassen. Die Kontroverse über diese These wird gerade in Deutschland sehr hart geführt, wobei im Zentrum der Debatte § 1 Abs. 3 des Bundesdatenschutzgesetzes steht. Dieser Blickwinkel ist aber viel zu klein, denn auch Rechtsanwälte überschreiten in ihrer Tätigkeit geographische Grenzen. Eine ernsthafte Lösung des o.g. Problems kann nur eine europäische Antwort sein. Der folgende Beitrag zeigt, wie man in Großbritannien mit dieser Frage umgeht und welche Rückschlüsse deutsche Anwaltskanzleien – insbesondere aus Unternehmersicht – ziehen können.
Übersicht
1. Der Vorfall
Per Pressemitteilung vom 16. November 2011 teilt die britische Datenschutzaufsichtsbehörde, das Information Commissioner’s Office (kurz: ICO) den folgenden Sachverhalt mit:
Die schottische Rechtsanwältin Ruth Crawford speicherte – bereits im Jahr 2009 – auf ihrem Notebook sensible Daten ihrer Mandanten, darunter Information zum körperlichen und seelischen Zustand der Betroffenen. In der Zeit ihres verdienten Erholungsurlaubes wurde gerade dieser Laptop gestohlen. Obwohl der Raum, in dem sich der Laptop befand, entsprechend geschützt war, sei dies beim Laptop selbst nicht der Fall gewesen. Es hätte eine entsprechende Verschlüsselung gefehlt.
2. Rechtsansichten des ICO
Das ICO geht mit Recht davon aus, dass hier ein Verstoß gegen das britische Datenschutzgesetz, den DPA 1998, vorliegt. Ohne dass die Pressemitteilung dies mitteilt, ist davon auszugehen, dass hierin ein Verstoß gegen das siebte Datenschutzprinzip des DPA 1998 liegt. Es ist in Schedule 1 DPA 1998 festgehalten. Dort heißt es:
„Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.”
Zu diesen technischen und organisatorischen Maßnahmen zählt – und dies stellt das ICO klar – auch, dass Daten entsprechend verschlüsselt werden. Dies gilt umso mehr, da es sich um besonders sensible Daten handelt.
Ganz am Rande stellt das ICO damit klar, dass der DPA 1998 Anwendung auf die anwaltliche Tätigkeit findet.
3. Schlussfolgerung für deutsche Rechtsanwälte
In Deutschland führen Rechtsanwälte und Aufsichtsbehörden eine lebhafte Debatte zu der Frage, ob Anwaltskanzleien unter bestimmten Voraussetzungen einen betrieblichen Datenschutzbeauftragten bestellen müssen. Dabei geht es v.a. um § 1 Abs. 3 BDSG, in dem es heißt:
„Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.“
Gegen eine Pflicht der Rechtsanwälte, einen betrieblichen Datenschutzbeauftragten bestellen zu müssen, wird einstweilen angeführt, dass das anwaltliche Berufsrecht insoweit eine abschließende Regelung zum Datenschutzrecht enthält und somit dem BDSG vorgehe.
Dem wird v.a. entgegengehalten, dass das anwaltliche Berufsrecht die Frage einer unabhängigen Datenschutzkontrolle innerhalb der Anwaltskanzlei, mithin die Frage, ob hierfür ein unabhängiger, fachkundiger und zuverlässiger Datenschutzbeauftragter verantwortlich sein soll, nicht klärt. Etwa regele die Bundesrechtsanwaltsordnung nur wenige Aspekte des Datenschutzrechts, sodass insoweit das BDSG wieder auflebe.
In Großbritannien wird diese Frage – soweit ersichtlich – nicht einmal diskutiert. Das ICO geht einfach davon aus, dass auf die Anwaltstätigkeit der DPA 1998 vollumfänglich anwendbar ist.
Nun wäre es mehr als zulässig, dem entgegenzuhalten, dass das britische Standesrecht mit der BRAO nicht vergleichbar ist. Das trifft zu und ist auch nicht zu widerlegen. Hierbei handelt es sich aber nur um die halbe Wahrheit. Denn Rechtsanwälte überschreiten zunehmend geographische Grenzen und gerade Großbritannien ist ein gern gesehenes Kooperationsland für Anwälte. Dies betrifft längst nicht mehr nur große law firms, sondern zunehmend auch den mittelständischen Anwaltssektor.
Will ein Rechtsanwalt also auch in Großbritannien agieren, muss er sich sowieso auf eine Vollanwendung des Datenschutzrechts einstellen. Warum dann in Deutschland nicht?
4. Fazit
Die oben aufgeworfene Rechtsfrage kann und muss diskutiert werden. Doch all diese Dogmatik ist wenig wert, wenn man ein Unternehmen leiten will. Und Anwaltskanzleien sind Unternehmen.
Als solche müssen sie unternehmerische Entscheidungen treffen und dabei auch die Frage beantworten, ob sie über Monate oder Jahre mit Aufsichtsbehörden streiten oder im geltenden Datenschutzrecht wirtschaftliche Lösungen suchen sollten.