Die Kommunikation zwischen Rechtsanwälten und Mandanten findet heutzutage regelmäßig schnell und unkompliziert per E-Mail-Verkehr statt. Doch wie sieht es bei diesem Kommunikationsweg mit dem Datenschutz aus?
Datenschutzrechtlich überhaupt zulässig?
Dem ein oder anderen mag sich dann die Frage stellen, ob diese Art der Datenverarbeitung durch Rechtsanwälte als Berufsgeheimnisträger überhaupt datenschutzrechtlich zulässig ist. Nicht selten beinhaltet der Schriftverkehr heikle Inhalte, je nach konkretem Anlass für die Beauftragung des rechtlichen Beistands. Über die datenschutzrechtlichen Fragen bzgl. der künstlichen Intelligenz (KI) im anwaltlichen Arbeitsalltag hatten wir bereits berichtet.
Grundsätzlich kann für die Datenverarbeitung im Rahmen von E-Mail-Kommunikation Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage in Betracht kommen. Das berechtigte Interesse der Rechtsanwälte kann in der effizienten Abwicklung ihres Schriftverkehrs gesehen werden, was auch für den Erstkontakt gilt.
Technische und organisatorische Maßnahmen wichtig
Allerdings muss dann nach Art. 32 DSGVO auch sichergestellt werden, dass durch den Rechtsanwalt geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau gewährleisten zu können.
Dies ist für Rechtsanwälte von besonderer Bedeutung, da sie bekanntermaßen als Berufsgeheimnisträger nach § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) hinsichtlich der Informationen, die ihnen in Ausübung ihres Berufs bekannt geworden sind, zur Verschwiegenheit verpflichtet sind. Ein Verstoß könnte sogar strafrechtliche Folgen gemäß § 203 Abs. 1 Nr. 3 Strafgesetzbuch (StGB) nach sich ziehen.
Ansicht der bayerischen Datenschutz-Aufsichtsbehörde
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte bereits in seinem 9. Tätigkeitsbericht 2019 (siehe dort auf S. 69) darauf hingewiesen, dass Berufsgeheimnisträger beim Versand von E-Mails grundsätzlich auf das Vorhandensein einer Transportverschlüsselung achten müssen.
Beim Versand von Daten mit einem hohen Risiko für die Rechte und Freiheiten der Betroffenen soll zusätzlich eine Inhaltsverschlüsselung notwendig sein. Ein Absenken des angemessenen Schutzniveaus auf eine bloße Transportverschlüsselung soll mit Einwilligung der Betroffenen zwar möglich sein, soweit ausschließlich Daten des Betroffenen enthalten sind. Soweit E-Mails hingegen auch sensible personenbezogene Daten Dritter mit hohem Risiko beinhalten, ist eine Inhaltsverschlüsselung unumgänglich.
In seinem aktuellen Tätigkeitsbericht 2023 stellt der BayLDA noch einmal klar, dass die E-Mail-Kommunikation durch Rechtsanwälte nicht per se eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO der betroffenen Person erfordert (vgl. S. 59). Eine Einwilligung soll danach insbesondere dann nicht notwendig sein, wenn es sich bei dem Betroffenen nicht um die eigene Mandantschaft handelt. Viel mehr kann für diese Art der Datenverarbeitung das berechtigte Interesse des Rechtsanwalts gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO herangezogen werden.
Sollte der Betroffene der Nutzung seiner E-Mail-Adresse durch den Rechtsanwalt jedoch widersprechen, muss dies in der Interessenabwägung berücksichtigt werden. Eine Konstellation, in der gegen den Willen des Betroffenen eine E-Mail-Kommunikation genutzt werden darf, kann sich z. B. ergeben, wenn keine alternativen Kontaktmöglichkeiten bekannt sind und besondere Eilbedürftigkeit besteht.
Zwischenfazit
Allein die Tatsache, dass Rechtsanwälte Berufsgeheimnisträger sind, führt nicht dazu, dass für die E-Mail-Kommunikation per se eine Einwilligung des Betroffenen oder eine Inhaltsverschlüsselung erforderlich ist. So kann eine Terminerinnerung bspw. lediglich transportverschlüsselt versendet werden.
Offenlegung personenbezogener Daten
Dass Rechtsanwälte neben der E-Mail-Kommunikation auch im Rahmen von Briefverkehr besondere Sorgfalt walten lassen müssen, zeigt eine weitere Stellungnahme des BayLDA aus dem Tätigkeitsbericht 2023 (vgl. S. 59 f.):
Ein Rechtsanwalt hatte dem Arbeitgeber einer betroffenen Person eine Forderungsaufstellung bzgl. eines bereits erlassenen Pfändungs- und Überweisungsbeschlusses übersendet. Dies erfolgte jedoch an die allgemeine Firmenadresse und nicht, wie vom Arbeitgeber zuvor gewünscht, direkt an die Personalabteilung des Unternehmens mit Vertraulichkeitsvermerk.
Folge dieser „Fehladressierung“ des Rechtsanwalts war, dass verschiedene Mitarbeiter außerhalb der Personalabteilung des Unternehmens vom besagten Pfändungsvorgang erfuhren. Damit wurde der datenschutzrechtliche Grundsatz der Integrität und Vertraulichkeit verletzt. Nach diesem sind personenbezogene Daten derart zu verarbeiten, dass eine angemessene Sicherheit der personenbezogenen Daten, insbesondere vor unbefugter Verarbeitung, sichergestellt wird (Art. 5 Abs. 1 lit. f DSGVO).
Fazit
Beim Versand von Dokumenten mit personenbezogenen Daten ist sicherzustellen, dass tatsächlich nur diejenigen Personen beim Empfänger Kenntnis von dem Inhalt erhalten, an die das Schreiben gerichtet ist. Eine Kenntnisnahme durch Dritte ist, soweit möglich, stets auszuschließen und nicht nur, sofern eine explizite Bitte durch den Empfänger erfolgt. Dies kann bspw. durch einen Vertraulichkeitsvermerk und die konkrete Adressierung (z. B. an die Personalabteilung) erfolgen.