Viele Rechtsanwältinnen bzw. Rechtsanwälte stolperten bereits in 2019 über den Entwurf des § 2 BORA[1], welcher die Verschwiegenheitspflicht der Rechtsanwälte zum 01.01.2020 neu regelt. Hiernach soll eine unverschlüsselte E-Mail-Kommunikation mit Mandanten zulässig sein, wenn die Mandanten zugestimmt haben. Das klingt auf den ersten Blick eindeutig. Aber liegt hierin nicht ein Verstoß gegen die Regelungen der DSGVO?

Hintergrund:

Die 6. Satzungsversammlung der Bundesrechtsanwaltskammer hatte eine Neufassung des § 2 BORA bereits im Mai 2019 vorbereitet.

Der neue § 2 Abs. 2 BORA:

„Die Verschwiegenheitspflicht gebietet es dem Rechtsanwalt, die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. Technische Maßnahmen sind hierzu ausreichend, soweit sie im Falle der Anwendbarkeit der Vorschriften zum Schutz personenbezogener Daten deren Anforderungen entsprechen. Sonstige technische Maßnahmen müssen ebenfalls dem Stand der Technik entsprechen. Abs. 4 lit. c) bleibt hiervon unberührt. Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.“ (Hervorhebung nicht im Original)

Die Norm sollte eine unverschlüsselte (!) Kommunikation der Anwälte mit ihren Mandanten erleichtern bzw. zumindest dazu führen, dass kein Verstoß gegen die anwaltliche Verschwiegenheitspflicht vorliegt. Auch das Anwaltsblatt berichtete. Entsprechend hat die Bundesrechtsanwaltskammer auch bereits in ihrer Vorlage klargestellt, dass die anwaltsberufsrechtliche Verschwiegenheitspflicht und der Schutz personenbezogener Daten „zwei in Schutzrichtung und Ausgestaltung unterschiedliche Regelungskreise sind“[2] und weist ausdrücklich darauf hin, dass durch die BORA nur die nähere Ausgestaltung der anwaltlichen Verschwiegenheitsverpflichtung geregelt werden kann und soll. Auch weist die Bundesrechtsanwaltskammer in der Vorlage darauf hin, dass in einem Fall, in dem nach der BORA kein Verstoß gegen das Berufsrecht vorliegt, das Verhalten des Rechtsanwalts sehr wohl gegen die datenschutzrechtlichen Vorschriften verstoßen kann.

Das Bundesjustizministerium[3] hat die Norm gebilligt, jedoch laut Anwaltsblatt (s. o.) ebenfalls klargestellt, dass § 2 BORA die Regelungen der DSGVO nicht umgehen kann. Bundesjustizministerin Lambrecht stelle in dem Schreiben vom 07.08.2019 an die BRAK insoweit klar, dass der Anwendungsbereich der Norm formal auf das anwaltliche Berufsrecht beschränkt sei. Die Sicherheitsanforderungen der DSGVO lägen nicht im Ermessen der betroffenen Anwälte. Auch wenn eine Zustimmung des Mandanten in eine Kommunikation via E-Mail vorliege, müsse der Anwalt bei der Beantwortung die DSGVO-konformen Schutzmaßnahmen einhalten. Sei dies nicht möglich, habe der Anwalt per Brief zu antworten, vgl. § 2 Abs. 5 BORA (vgl. Anwaltsblatt, wie vor).

Ungeklärt bleibt weiterhin die Frage, ob der Versand unverschlüsselter E-Mails unter Geltung der DSGVO überhaupt zulässig sind. Die Klärung dieser Streitfrage des Datenschutzrechts erfolgt – wenig überraschend – auch im Schreiben des Bundesjustizministeriums nicht.

Damit ist der Regelungsgehalt des § 2 BORA grundsätzlich der folgende: Wer sich im Rahmen des § 2 BORA bewegt und E-Mails nach entsprechender Zustimmung der Mandanten unverschlüsselt versendet, begeht zwar keinen Berufsrechtsverstoß; ein Verstoß gegen das Datenschutzrecht ist jedoch gleichwohl möglich.

Trotz entsprechender Klarstellung in den Begleitdokumenten durch Bundesrechtsanwaltskammer und Bundesjustizministerium erscheint die Formulierung des § 2 BORA im Ergebnis unglücklich und könnte zu einiger Verwirrung führen, da der Normtext durchsetzt ist mit Begriffen der DSGVO wie z.B. „technischen und organisatorischen Maßnahmen“ oder dem „Stand der Technik“.

Im Ergebnis sind Rechtsanwältinnen und Rechtsanwälte daher mehr als gut beraten, die DSGVO umzusetzen, insbesondere die Anforderungen des § 32 DSGVO zu beachten, d.h. die Standards der IT-Sicherheit einzuhalten. Dies umso mehr als sie als Berufsgeheimnisträger oftmals Zugang zu sensiblen Daten im Sinne des Art. 9 DSGVO haben. Die Verletzung von Privatgeheimnissen durch Berufsgeheimnisträger ist zudem nach § 203 StGB strafbewehrt.

 

[1]             Berufsordnung für Rechtsanwälte (BORA)

[2]             „Vorlage von Ausschuss 6 an die Satzungsversammlung“, S.22 unten, https://www.brak.de/w/files/01_ueber_die_brak/5sv/beschlussvorlage-as-6-zu-c-2-bora.pdf

[3]             Die Satzungsversammlung ist aufgrund einer Ermächtigungsklausel in der Bundesrechtsanwaltsordnung (BRAO) in der Lage, Satzungsrecht zu erlassen. Die Rechtmäßigkeit dieses Satzungsrechts ist jedoch vor Verkündigung in den BRAK-Mitteilungen durch das Bundesjustizministerium zu überprüfen.