(PM) Potsdam, 03.01.2012 - Wer solch ehrbaren Regeln unterliegt – so hört man gelegentlich – muss die profanen Datenschutzgesetze nicht gegen sich gelten lassen. Die Kontroverse über diese These wird gerade in Deutschland sehr hart geführt, wobei im Zentrum der Debatte § 1 Abs. 3 des BDSG steht. Dieser Blickwinkel ist aber viel zu klein, denn auch Rechtsanwälte überschreiten in ihrer Tätigkeit geographische Grenzen. Eine ernsthafte Lösung des o.g. Problems kann nur eine europäische Antwort sein. Der VorfallPer Pressemitteilung vom 16. Nov. 2011 teilt die britische Datenschutzaufsichtsbehörde, das Information Commissioner’s Office (kurz: ICO) den folgenden Sachverhalt mit:Die schottische Rechtsanwältin Ruth Crawford speicherte – bereits im Jahr 2009 – auf ihrem Notebook sensible Daten ihrer Mandanten, darunter Information zum körperlichen und seelischen Zustand der Betroffenen. In der Zeit ihres verdienten Erholungsurlaubes wurde gerade dieser Laptop gestohlen. Obwohl der Raum, in dem sich der Laptop befand, entsprechend geschützt war, sei dies beim Laptop selbst nicht der Fall gewesen. Es hätte eine entsprechende Verschlüsselung gefehlt.Rechtsansichten des ICODas ICO geht mit Recht davon aus, dass hier ein Verstoß gegen das britische Datenschutzgesetz, den DPA 1998, vorliegt. Ohne dass die Pressemitteilung dies mitteilt, ist davon auszugehen, dass hierin ein Verstoß gegen das siebte Datenschutzprinzip des DPA 1998 liegt. Es ist in Schedule 1 DPA 1998 festgehalten. Dort heißt es:„Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.”Zu diesen technischen und organisatorischen Maßnahmen zählt – und dies stellt das ICO klar – auch, dass Daten entsprechend verschlüsselt werden. Dies gilt umso mehr, da es sich um besonders sensible Daten handelt.Ganz am Rande stellt das ICO damit klar, dass der DPA 1998 Anwendung auf die anwaltliche Tätigkeit findet.Schlussfolgerung für deutsche RechtsanwälteIn Deutschland führen Rechtsanwälte und Aufsichtsbehörden eine lebhafte Debatte zu der Frage, ob Anwaltskanzleien unter bestimmten Voraussetzungen einen betrieblichen Datenschutzbeauftragten bestellen müssen. Dabei geht es v.a. um § 1 Abs. 3 BDSG, in dem es heißt:„Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.“Gegen eine Pflicht der Rechtsanwälte, einen betrieblichen Datenschutzbeauftragten bestellen zu müssen, wird einstweilen angeführt, dass das anwaltliche Berufsrecht insoweit eine abschließende Regelung zum Datenschutzrecht enthält und somit dem BDSG vorgehe.Dem wird v.a. entgegengehalten, dass das anwaltliche Berufsrecht die Frage einer unabhängigen Datenschutzkontrolle innerhalb der Anwaltskanzlei, mithin die Frage, ob hierfür ein unabhängiger, fachkundiger und zuverlässiger Datenschutzbeauftragter verantwortlich sein soll, nicht klärt. Etwa regele die Bundesrechtsanwaltsordnung nur wenige Aspekte des Datenschutzrechts, sodass insoweit das BDSG wieder auflebe.In Großbritannien wird diese Frage – soweit ersichtlich – nicht einmal diskutiert. Das ICO geht einfach davon aus, dass auf die Anwaltstätigkeit der DPA 1998 vollumfänglich anwendbar ist.Nun wäre es mehr als zulässig, dem entgegenzuhalten, dass das britische Standesrecht mit der BRAO nicht vergleichbar ist. Das trifft zu und ist auch nicht zu widerlegen. Hierbei handelt es sich aber nur um die halbe Wahrheit. Denn Rechtsanwälte überschreiten zunehmend geographische Grenzen und gerade Großbritannien ist ein gern gesehenes Kooperationsland für Anwälte. Dies betrifft längst nicht mehr nur große law firms, sondern zunehmend auch den mittelständischen Anwaltssektor.Will ein Rechtsanwalt also auch in Großbritannien agieren, muss er sich sowieso auf eine Vollanwendung des Datenschutzrechts einstellen. Warum dann in Deutschland nicht?FazitDie oben aufgeworfene Rechtsfrage kann und muss diskutiert werden. Doch all diese Dogmatik ist wenig wert, wenn man ein Unternehmen leiten will. Und Anwaltskanzleien sind Unternehmen.Als solche müssen sie unternehmerische Entscheidungen treffen und dabei auch die Frage beantworten, ob sie über Monate oder Jahre mit Aufsichtsbehörden streiten oder im geltenden Datenschutzrecht wirtschaftliche Lösungen suchen sollten.Autor: Dr. iur. Stephan Gärtner (Compliance Manager)



ilex Datenschutz GbR
Herr Dr. iur. Stephan Gärtner
Alleestraße 13
14469 Potsdam
+331-97 93 75 0
info@ilex-datenschutz.de
www.ilex-datenschutz.de



Dr. iur. Stephan Gärtner ist als Compliance-Manager bei der ilex Datenschutz GbR tätig. In dieser Funktion berät er mittelständische private und kommunale Unternehmen, kommunale Gebietskörperschaften und Behörden in Datenschutzfragen. Sein Tätigkeitsfeld umfasst in concreto die Durchführung von Audits (Datenschutz-CheckUp), das Verfassen von Rechtsgutachten und das Schulen von Mitarbeitern, sowohl in den Grundlagen des Datenschutzrechts als auch zum betrieblichen Datenschutzbeauftragten. Dr. iur. Stephan Gärtner steht auch als externer betrieblicher Datenschutzbeauftragter zur Verfügung.