ZAP 19/2021, Sichere Datenübermittlung ins Ausland – Fal ... / II. Verarbeitung von Daten mit Personenbezug

Alle Informationen, die ein Anwalt im Rahmen seiner beruflichen Tätigkeit erhebt, speichert oder in sonstiger Weise verarbeitet, unterliegen seiner beruflichen Schweigepflicht (§ 43a Abs. 2 BRAO). Parallel dazu muss aber auch das Datenschutzrecht beachtet werden, und zwar immer dann, wenn es um Daten mit Bezug zu natürlichen Personen geht. Daten von juristischen Personen, wie etwa Bilanzen, werden hingegen nicht erfasst, dafür gibt es anderweitige Regelungen (z.B. das GeschGehG). Die zentralen Regelwerke im Datenschutz, DSGVO und BDSG, sind also immer dann einschlägig, wenn es um personenbezogene Daten geht. Dabei handelt es sich gem. Art. 4 Nr. 1 DSGVO um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person oder Betroffener) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insb. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Der Begriff der personenbezogenen Daten ist mithin sehr weit gefasst, sodass ihm nicht nur bspw. Name, Anschrift, Kontaktdaten, Bankverbindung oder Geburtsdatum unterfallen, sondern u.a. auch Kfz-Kennzeichen oder IP-Adressen. Letztere sind sozusagen die Anschriften von Computern in einem Netzwerk bzw. von Zugangspunkten zum Internet. Ohne sie würde die Übermittlung von Daten und im Grunde das Internet oder auch der E-Mail-Verkehr nicht funktionieren. Eine typische IP-Adresse sieht etwa wie folgt aus: 62.140.23.35. Sie besteht aus einer Kombination von Ziffern oder auch Buchstaben und lässt nicht ohne Weiteres erkennen, welchem Computer bzw. welchem Internetzugang sie zugeordnet ist, geschweige denn, welche Person sich dahinter verbirgt. Aber der Internetanbieter, z.B. Vodafone oder Telekom, hat die Möglichkeit herauszufinden, welche IP-Adresse zu welchem Zeitpunkt welchem Anschlussinhaber zugeordnet ist. Das reicht aus, um einen Personenbezug und damit die Anwendbarkeit des Datenschutzrechts zu bejahen.

Denjenigen, der die Daten der betroffenen Person verarbeitet, bezeichnet Art. 4 Nr. 7 DSGVO als Verantwortlichen (oder auch verantwortliche Stelle). In Bezug auf die datenschutzrechtliche Verantwortlichkeit kommt es nicht auf Organisationsform, Umsatz, Mitarbeiteranzahl o.ä. an, verantwortlich i.d.S. sind also alle Anwälte, vom Einzelkämpfer über die kleine Sozietät bis hin zur internationalen Großkanzlei.

Und da heutzutage wohl so ziemlich jede Kanzlei mit ihrer eigenen virtuellen Visitenkarte und/oder einem Profil in den sozialen Medien vertreten ist, muss auch online stets das Datenschutzrecht Beachtung finden. Denn über die anwaltlichen Online-Präsenzen werden insb. auch die IP-Adressen der Online-Besucher bzw. -Nutzer erfasst. Hinzu kommen eventuell noch weitere (personenbezogene) Daten, die z.B. im Rahmen einer Mitteilung über ein Online-Kontaktformular oder via E-Mail an den Anwalt übermittelt werden. Ebenso ist es mittlerweile nicht ungewöhnlich, dass personenbezogene Daten aus der anwaltlichen Sphäre etwa zum Datenaustausch oder als Daten-Backup in einen Cloud-Speicher gelangen. Auf der einen Seite sicherlich im konkreten Anwendungsfall sinnvoll, auf der anderen Seite datenschutzrechtlich nicht ganz unproblematisch. Denn das Datenschutzrecht hat vergleichsweise hohe Voraussetzungen für die Verarbeitung personenbezogener Daten.

Nach Maßgabe von Art. 5 Abs. 1 lit. a) DSGVO gilt der Rechtmäßigkeitsgrundsatz, also ein Verbot mit Erlaubnisvorbehalt. Jegliche Verarbeitung personenbezogener Daten ist untersagt, es sei denn, sie ist im Einzelfall erlaubt. Es muss daher für jede einzelne Datenverarbeitung stets eine taugliche Rechtsgrundlage vorliegen. Da der Begriff des Personenbezugs (sowie der der Verarbeitung) sehr weit zu verstehen ist und auch sein soll, wäre ein beruflicher Alltag – gleich in welcher Branche – wohl kaum möglich, wenn nicht mehrere solcher Rechtsgrundlagen existieren würden, die herangezogen werden können. Für den anwaltlichen Alltag kommen in erster Linie die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b) DSGVO), die Erfüllung einer gesetzlichen Pflicht (Art. 6 Abs. 1 lit. c) DSGVO), überwiegende berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO) oder eine Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a) DSGVO) in Betracht. In aller Regel erfolgt die Datenverarbeitung durch einen Anwalt zur Erfüllung des Mandatsvertrags (z.B. Anlage der Akte) oder auch zur Erfüllung einer gesetzlichen Pflicht (Aufbewahrung von Unterlagen gemäß berufs- bzw. steuerrechtlicher Vorgaben) und damit rechtmäßig.

Übrigens: Aus Art. 5 Abs. 1 lit. a) DSGVO ergibt sich ebenfalls der datenschutzrechtliche Transparenzgrundsatz, der u.a. zur Folge hat, dass pro-aktiv bestimmte Pflichti...