Viele Rechtsanwältinnen bzw. Rechtsanwälte stolperten bereits in 2019 über den Entwurf des § 2 BORA[1], welcher die Verschwiegenheitspflicht der Rechtsanwälte zum 01.01.2020 neu regelt. Hiernach soll eine unverschlüsselte E-Mail-Kommunikation mit Mandanten zulässig sein, wenn die Mandanten zugestimmt haben. Das klingt auf den ersten Blick eindeutig. Aber liegt hierin nicht ein Verstoß gegen die Regelungen der DSGVO?
Hintergrund:
Die 6. Satzungsversammlung der Bundesrechtsanwaltskammer hatte eine Neufassung des § 2 BORA bereits im Mai 2019 vorbereitet.
Der neue § 2 Abs. 2 BORA:
„Die Verschwiegenheitspflicht gebietet es dem Rechtsanwalt, die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. Technische Maßnahmen sind hierzu ausreichend, soweit sie im Falle der Anwendbarkeit der Vorschriften zum Schutz personenbezogener Daten deren Anforderungen entsprechen. Sonstige technische Maßnahmen müssen ebenfalls dem Stand der Technik entsprechen. Abs. 4 lit. c) bleibt hiervon unberührt. Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.“ (Hervorhebung nicht im Original)
Die Norm sollte eine unverschlüsselte (!) Kommunikation der Anwälte mit ihren Mandanten erleichtern bzw. zumindest dazu führen, dass kein Verstoß gegen die anwaltliche Verschwiegenheitspflicht vorliegt. Auch das Anwaltsblatt berichtete. Entsprechend hat die Bundesrechtsanwaltskammer auch bereits in ihrer Vorlage klargestellt, dass die anwaltsberufsrechtliche Verschwiegenheitspflicht und der Schutz personenbezogener Daten „zwei in Schutzrichtung und Ausgestaltung unterschiedliche Regelungskreise sind“[2] und weist ausdrücklich darauf hin, dass durch die BORA nur die nähere Ausgestaltung der anwaltlichen Verschwiegenheitsverpflichtung geregelt werden kann und soll. Auch weist die Bundesrechtsanwaltskammer in der Vorlage darauf hin, dass in einem Fall, in dem nach der BORA kein Verstoß gegen das Berufsrecht vorliegt, das Verhalten des Rechtsanwalts sehr wohl gegen die datenschutzrechtlichen Vorschriften verstoßen kann.
Das Bundesjustizministerium[3] hat die Norm gebilligt, jedoch laut Anwaltsblatt (s. o.) ebenfalls klargestellt, dass § 2 BORA die Regelungen der DSGVO nicht umgehen kann. Bundesjustizministerin Lambrecht stelle in dem Schreiben vom 07.08.2019 an die BRAK insoweit klar, dass der Anwendungsbereich der Norm formal auf das anwaltliche Berufsrecht beschränkt sei. Die Sicherheitsanforderungen der DSGVO lägen nicht im Ermessen der betroffenen Anwälte. Auch wenn eine Zustimmung des Mandanten in eine Kommunikation via E-Mail vorliege, müsse der Anwalt bei der Beantwortung die DSGVO-konformen Schutzmaßnahmen einhalten. Sei dies nicht möglich, habe der Anwalt per Brief zu antworten, vgl. § 2 Abs. 5 BORA (vgl. Anwaltsblatt, wie vor).
Ungeklärt bleibt weiterhin die Frage, ob der Versand unverschlüsselter E-Mails unter Geltung der DSGVO überhaupt zulässig sind. Die Klärung dieser Streitfrage des Datenschutzrechts erfolgt – wenig überraschend – auch im Schreiben des Bundesjustizministeriums nicht.
Damit ist der Regelungsgehalt des § 2 BORA grundsätzlich der folgende: Wer sich im Rahmen des § 2 BORA bewegt und E-Mails nach entsprechender Zustimmung der Mandanten unverschlüsselt versendet, begeht zwar keinen Berufsrechtsverstoß; ein Verstoß gegen das Datenschutzrecht ist jedoch gleichwohl möglich.
Trotz entsprechender Klarstellung in den Begleitdokumenten durch Bundesrechtsanwaltskammer und Bundesjustizministerium erscheint die Formulierung des § 2 BORA im Ergebnis unglücklich und könnte zu einiger Verwirrung führen, da der Normtext durchsetzt ist mit Begriffen der DSGVO wie z.B. „technischen und organisatorischen Maßnahmen“ oder dem „Stand der Technik“.
Im Ergebnis sind Rechtsanwältinnen und Rechtsanwälte daher mehr als gut beraten, die DSGVO umzusetzen, insbesondere die Anforderungen des § 32 DSGVO zu beachten, d.h. die Standards der IT-Sicherheit einzuhalten. Dies umso mehr als sie als Berufsgeheimnisträger oftmals Zugang zu sensiblen Daten im Sinne des Art. 9 DSGVO haben. Die Verletzung von Privatgeheimnissen durch Berufsgeheimnisträger ist zudem nach § 203 StGB strafbewehrt.
[1] Berufsordnung für Rechtsanwälte (BORA)
[2] „Vorlage von Ausschuss 6 an die Satzungsversammlung“, S.22 unten, https://www.brak.de/w/files/01_ueber_die_brak/5sv/beschlussvorlage-as-6-zu-c-2-bora.pdf
[3] Die Satzungsversammlung ist aufgrund einer Ermächtigungsklausel in der Bundesrechtsanwaltsordnung (BRAO) in der Lage, Satzungsrecht zu erlassen. Die Rechtmäßigkeit dieses Satzungsrechts ist jedoch vor Verkündigung in den BRAK-Mitteilungen durch das Bundesjustizministerium zu überprüfen.
Anonymous
17. Januar 2020 @ 14:30
…und noch ein Beispiel
Ärztliche Schweigepflicht
Ärzte, Psychologen u.ä. MÜSSEN
sich an die mutmaßlich unsichere Telematikinfrastruktur unter Androhung von Budgetkürzungen anschließen
und
verstoßen dabei mutmaßlich gegen die DS-GVO mit potentiell hohen Strafzahlungen
Die Budgetkürzungen dürften dabei deutlich geringer sein als die DS-GVO Strafen und der IMAGEVERLUST für die Praxis
u.a. bzw. aktuelle Veröffentlichungen vom 36C3 usw.
https://media.ccc.de/search?q=Stefan+Streit
oder
https://www.aerztezeitung.de/Wirtschaft/Strafe-fuer-Aerzte-ohne-TI-Anschluss-255001.html
Anonymous
17. Januar 2020 @ 14:23
Ist das vielleicht das System der Bundesregierung – die Wahl zwischen Pest oder Cholera bzw.
Verantwortung und Haftung liegen immer beim Beteilgiten/Verbraucher/Nutzer/Mitarbeiter
Gesundheit bzw. Krankheitsdaten
Siehe Kommentar zur gestern beendeten Bundestagspetition 98780
https://epetitionen.bundestag.de/petitionen/_2019/_09/_02/Petition_98780/forum/Beitrag_639364.nc.html
Dann kämen nicht nur Ärzte und Psychotherapeuten sowie die KVen, sondern auch die Krankenkassenmitarbeiter in dasselbe Dilemma:
Befolgen sie das eine Gesetz (Digitale-Versorgungs-Gesetz),
verstoßen sie gleichzeitig gegen zwei andere (Strafgesetzbuch § 203 und die europäische Datenschutz-Grundverordnung).
Udo Klein
15. Januar 2020 @ 13:24
Nein, Juristen vielleicht nicht, aber deren Mandanten vielleicht einige. Von Juristen würde ich so einen Kommentar nicht erwarten.
Michael Kallweitt
14. Januar 2020 @ 17:44
Wenn eine – wohlgemerkt einvernehmlich versandte – unverschlüsselte E-Mail bereits einen Verstoß gegen die DSGVO darstellt, wie sieht es denn dann mit dem guten alten Telefax aus? Das ist weder authentifiziert, noch fälschungs- oder abhörsicher, zumal nicht in Zeiten der IP-basierten Telefonie, genießt aber bei Behörden und Gerichten einen hohen Vertrauensvorschuss.
Anonymous
14. Januar 2020 @ 13:40
Zu spät um das beA zu retten.
Martin Ullmann
14. Januar 2020 @ 13:36
Wo ist da eigentlich das Problem? Ich glaube nicht, dass Juristen durchweg zu blöd sind, Verschlüsselung zu nutzen.
Christoph, pc-fluesterer.info
16. Januar 2020 @ 18:15
Das hat nichts mit „blöd“ zu tun, sondern eher mit Interesse, Zeit, IT-Kenntnissen, Anleitung.
E2E verschlüsselte E-Mail ist bereits für Technik-affine Normalmenschen eine herausfordernde Aufgabe …
Kürzlich habe ich mit meiner Notarin mangels E2E Verschlüsselung (auf ihrer Seite; ich kann PGP) diesen Weg für vertrauliche Übermittlung von Dokumenten gewählt: Wir haben telefonisch einen gemeinsamen Schlüssel vereinbart; die zu versendenden Dokumente wurden komprimiert (ZIP) und mit dem gemeinsamen Kennwort verschlüsselt. Voila.