Die Prüfung von Rechtsanwaltskanzleien durch Aufsichtsbehörden der Datenschützer hat eine neue Dimension erhalten. Die Datenschutzaufsicht ist in Deutschland für Rechtsanwaltskanzleien als nicht-öffentliche Stelle nicht zentral organisiert. Zuständig für die Datenaufsicht ist die Aufsichtsbehörde des Bundeslandes, in dem der Hauptsitz einer Kanzlei liegt.
Die Datenschutzaufsichtsbehörden verfolgen zwei Prüfkonzepte: anlassbezogene und anlasslose Prüfungen.
Anlassbezogene Prüfungen können z.B. dadurch ausgelöst werden, dass eine Kanzlei Auskunftsrechte von Betroffenen missachtet, Mandanten- oder Personaldaten der Kanzlei im Hausmüll gefunden werden oder nicht gelöschte Festplatten alter Rechner / USB-Sticks aufgetaucht sind.
Die Rechtsanwaltskammer (RAK) München hat im Juni dieses Jahres gemeldet, dass der rechtsberatende Beruf eine Schwerpunktbranche der anlasslosen Prüfungen 2014 in Bayern ist. Es würden schwerpunktmäßig die technischorganisatorischen Maßnahmen von Kanzleien geprüft.
Folgende Liste möglicher Prüfungsgegenstände wurde von der RAK veröffentlicht:
» Datenschutzgerechte Datenträgervernichtung
» Einsatz einer Ende-Zu-Ende-Verschlüsselung bei E-Mail-Kommunikation
» Sicherer Abruf der E-Mails vom Mail-Server
» Sichere IT-Infrastruktur zwischen den Standorten
» Nutzung eines sicheren E-Mail-Dienstleisters
» Beanstandungsfreier Einsatz von Google-Analytics
» HTTPS-Verschlüsselung bei Einsatz besonderer Dienstleistungen über die Kanzlei-Website
» Einsatz von Leasing-Geräten (z.B. Drucker, Scanner, … )
» Backup-Konzept der Datenträger
» Zutrittskontrolle.
Berufsgeheimnisträger müssen auf die Einhaltung des Berufsrechts achten, insbesondere die Einhaltung der beruflichen Verschwiegenheit gewährleisten. Laut Meldung der Rechtsanwaltskammer München verlangt die Datenschutzaufsichtsbehörde bei ihren Prüfungen keinen Einblick in Mandantenakten oder Mandantendaten.
Wird die Missachtung von gesetzlichen Datenschutzregelungen aufgedeckt, kann das folgende Folgen haben:
Aufforderung zur Abstellung von Abweichungen von den gesetzlichen Datenschutzregelungen, Löschung nicht legal erhobener personenbezogener Daten, Einstellung des Betriebs von nicht-datenschutzkonformer EDV sowie Bußgelder (§ 43 BDSG) oder Strafen (§ 44 BDSG). Auch wenn die Datenschutzaufsichtsbehörden für ihre Prüftätigkeiten über begrenzte Ressourcen verfügen, werden auf der anderen Seite relativ wenig Informationen über die geplanten Prüfungsschwerpunkte veröffentlicht.
Diese „knappen“ Ressourcen führen häufig zu der These, dass eine anlasslose Prüfung durch eine Datenschutzaufsichtsbehörde sehr unwahrscheinlich ist.
Analysiert man aber die Veröffentlichungen der Aufsichtsbehörde, wird diese These widerlegt.
Im Internet werden seit längerem Tools für automatisierte Massentests eingesetzt. So wurden beispielsweise in einem Jahr vom Bayerischen Landesamt für Datenschutzaufsicht 13.404 Web-Seiten auf einen datenschutzkonformen Einsatz von Google-Analytics, ein so genanntes Tracking-Tool, überprüft. Der Landesbeauftragte für Datenschutz und Informationssicherheit in Nordrhein-Westfalen und auch der Landesbeauftragte für den Datenschutz Baden-Württemberg zogen unmittelbar nach.
Wesentlich aufwändiger sind anlasslose Prüfungen von nicht-öffentlichen Stellen, wie z.B. Rechtsanwaltskanzleien. Hier scheinen die Datenschutzaufsichtsbehörden Prüfungsschwerpunkte nach der Sensibilität der personenbezogenen Daten durch die jeweilige Branche zu setzen.
Unbestritten erheben, verarbeiten und nutzen Berufsgeheimnisträger, also auch die rechts-, steuer- und wirtschaftsprüfenden Berufe äußerst sensible Daten ihrer Mandanten. Es war also nur eine Frage der Zeit, bis die Aufsichtsbehörden ihre Prüfungen auch auf Berufsgeheimnisträger legten.
Bis heute ist die Prüfungsbefugnis der Datenschutzaufsichtsbehörden bei Berufsgeheimnisträgern nicht höchstrichterlich geklärt. Den aktuellen Stand der Diskussion dürfte der Beschluss des Kammergerichts Berlin vom 20.8.2010 (Az.: 1 Ws (B) 51/07) zum Verhältnis des Mandatsschutzes zum BDSG wiedergeben. Bei aufmerksamem Lesen des berichteten Prüfungskataloges fällt auf, dass genau der Schutzbereich des Mandats-verhältnisses unangetastet bleibt.
Die Prüfungspunkte zum E-Mail-Einsatz lassen bei einem Datenschutzpraktiker alle Lichter auf Rot gehen. So wird auf den Seiten der niedersächsischen Datenschutzaufsichtsbehörde ausgeführt: „Sensible personenbezogene Daten (Sozial-, Steuer-, Personal- und medizinische Daten) dürfen nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden“).
Diese Aussage wird von der Aufsichtsbehörde aus der Weiterleitungskontrolle der Anlage zu § 9 Satz 1 des BDSG hergeleitet. Was für ein Fax gilt, gilt natürlich auch für E-Mails. Eine strenge Auslegung dieser Aussage führt zu einem realitätsfremden Faxverbot zwischen Berufsgeheimnisträgern/Gerichten/Personalabteilung etc. Da E-Mail-Verschlüsselung im Geschäftsverkehr eher unüblich ist, gilt dies auch für das Medium E-Mail. Hier sollten präventiv die schriftlichen Schweigerechtsentbindungen und die schriftliche Einwilligung des jeweils Betroffenen in den unverschlüsselten Datenverkehr bereitgehalten werden.