Interview

Niko Härting: Das Projekt Datenschutz

Herr Haerting im Anzug, der den Deutschen Anwaltverein vertritt

Der 25. Mai 2018 ist der Geburtstag der Datenschutz-Grundverordnung. Nach zwei Jahren Vorbereitung wird das neue Datenschutzrecht in der gesamten Europäischen Union gelten. Was das neue Recht für die Anwaltschaft bedeutet, fragte das Anwaltsblatt Prof. Niko Härting. Der Rechtsanwalt ist unter anderem Mitglied der DAV-Ausschüsse Informationsrecht und Berufsrecht sowie Autor des DAV-Merkblatts und der DAV-Muster zur Datenschutz-Grundverordnung.

Ein Mann im Anzug vom Deutschen Anwaltverein blickt in die Kamera

Prof. Niko Härting ist in Köln aufgewachsen, studierte von 1983 bis 1989 Rechtswissenschaften sowie bis 1985 Anglistik an der Freien Universität Berlin. An der Freien Universität war er vier Jahre wissenschaftlicher Mitarbeiter. Das Referendariat absolvierte er von 1990 bis 1993 in Berlin und Chicago.Gleichzeitig ist er seit dieser Zeit als Lehrbeauftragter an der Hochschule für Wirtschaft und Recht (HWR) Berlin tätig. Seit 1993 ist er Rechtsanwalt. Es folgte drei Jahre später die Gründung der Kanzlei Härting in Berlin. An der HWR ist Niko Härting seit 2012 Honorarprofessor. Im Deutschen Anwaltverein ist er Mitglied des Informationsrechtsausschusses sowie des Berufsrechts- und Berufsethikausschusses.

 

Ist der Geburtstag der Datenschutz-Grundverordnung ein Tag zum Feiern?

Für die davon betroffenen Unternehmen sicherlich nicht. Die Praxis wartet nervös darauf, was die Datenschutzbehörden aus dem neuen Datenschutzrecht machen werden.

Grundgesetz und Grundverordnung: Ist diese Assoziation zulässig?

Nein, das ist eine zufällige Übereinstimmung. Keiner weiß, was jetzt „Grund“ in der Datenschutz-Grundverordnung heißt.

Viele sprechen von der neuen Verfassung des Datenschutzrechtes auf europäischer Ebene.

Ja, das wird behauptet. Tatsächlich wird aber jetzt schon überlegt, ob die 99 Artikel dieser Grundverordnung ausreichen. Ein großer Wurf ist das nicht.

 

 

Ab 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Sie gilt auch für Anwaltskanzleien. Damit sich jede Kanzlei darauf vorbereiten kann, hält der Deutsche Anwaltverein Merkblatt, Muster und Checkliste bereit.

Anwaltskanzleien sollten das neue europäische Datenschutzrecht ernst nehmen, weil die Datenschutzbehörden auf Beschwerden von Mandanten, Mitarbeitern, Prozessgegnern und anderen Dritten mit förmlichen Verfahren reagieren müssen. Die Datenschutzbehörden halten sich zudem für verpflichtet, empfindliche Bußgelder bei Datenschutzverstößen zu verhängen.

Alles Wichtige zum neuen Recht fasst das DAV-Merkblatt samt Muster zusammen. Fünf Schritte helfen bei der Umsetzung der Datenschutz-Grundverordnung. Dazu gibt es die folgenden Muster:

 

 

Wie grundlegend ist der Wandel?

Es gibt nur eine revolutionäre Neuerung in der Datenschutz-Grundverordnung: Das sind die Bußgelder. Bisher konnten Bußgelder in Deutschland maximal 300.000 Euro betragen, jetzt nach der Datenschutz-Grundverordnung 20 Mio. Euro – und wenn das Unternehmen mehr als 500 Mio. Euro Umsatz weltweit macht, dann kann der Bußgeldrahmen sogar noch höher sein, bis zu vier Prozent des weltweiten Umsatzes.

Der Datenschutz bekommt durch drakonische Bußgelder Zähne – und das ist vom Gesetzgeber beabsichtigt. Das materielle Datenschutzrecht hat sich dagegen nicht sehr verändert.

Das Bundesdatenschutzgesetz ist immer wieder kritisiert worden, wird die Datenschutz-Grundverordnung das Recht besser machen?

Nein, weil es beim Verbotsprinzip bleibt. Für jede Verarbeitung personenbezogener Daten muss eine Rechtfertigung gefunden werden – sei es eine Einwilligung, seien es berechtigte Interessen, sei es ein Vertrag. An den Grundstrukturen des Datenschutzrechts hat der Gesetzgeber nichts ändern wollen. Vieles, was heute schon Alltag in der Datenverarbeitung ist, kommt in der Datenschutz-Grundverordnung gar nicht vor. Stichwörter: Big Data, Algorithmen, künstliche Intelligenz.

Gibt es Rückschritte?

Der DAV mit seinem Informationsrechtsausschuss hatte in den Diskussionen dafür geworben, ein fortschrittlicheres Datenschutzrecht zu schaffen, also auf die Risiken und nicht formal auf die Verarbeitungsvorgänge zu schauen. Das hat sich nicht durchsetzen lassen. Insofern gilt: Rückschritte gibt es nicht, Fortschritte sind mit der Lupe zu suchen.

Die Datenschutz-Grundverordnung gilt auch für Kanzleien. Was müssen Anwaltskanzleien jetzt tun?

Bislang war es ein offenes Thema, ob und inwieweit das Datenschutzrecht auch in der Anwaltskanzlei gilt. Nach dem neuen Recht gibt es keinen Zweifel mehr, dass – auch bei mandatsbezogenen Daten, sofern sie Bezug zu einer natürlichen Person haben – das Datenschutzrecht in seiner ganzen Härte gilt, ob uns Anwälten das gefällt oder nicht. Sobald in einer Kanzlei mindestens zehn Personen, gleichgültig ob Teilzeit, Vollzeit, Partner oder Auszubildende am Rechner arbeiten, muss ein Datenschutzbeauftragter bestellt werden. In jeder Kanzlei muss zudem, so die Basics, jedes Datenverarbeitungsverfahren – von der Buchhaltungssoftware über die Anwaltssoftware mit der Terminsverwaltung bis zu den Personalakten samt Urlaubslisten – in einem Verzeichnis fein säuberlich beschrieben und erfasst werden. Das sind die Grundvoraussetzungen. Wichtig sind dann die Datenschutzinformationen: Der Anwalt oder die Anwältin ist in der Pflicht, die Mandanten darüber zu belehren, wie man mit personenbezogenen Daten umzugehen gedenkt. Da werden sich mit Sicherheit entsprechende Beiblätter zu den Mandatsverträgen durchsetzen, in denen die Kanzlei das näher erläutert. Ähnliches gilt für die Arbeitsverträge mit den Mitarbeitern. Auch da werden sich Anlagen mit Hinweisen zum Datenschutz durchsetzen, weil die Informationspflichten sehr, sehr umfangreich sind und ohne Zweifel auch für die Anwälte gelten.

Der DAV hat ein DAV-Merkblatt und DAV-Muster erstellt. Welchen Tipp geben Sie hier einer Anwältin oder einem Anwalt?

Erst mal tief durchatmen. Dann muss man sich im Klaren sein: 100 Prozent Gesetzestreue schafft keiner. Das weiß auch jede Behörde. Dazu sind diese Vorschriften viel zu detailverliebt. Zu perfektionistisch sollte niemand an die Umsetzung herangehen. Allerdings gilt auch: Kanzleien sollten sich bei den einfachen Punkten nicht angreifbar machen. Wer einen Datenschutzbeauftragten benötigt, muss ihn bestellen. Ein Verarbeitungsverzeichnis ist erforderlich, auch wenn es vielleicht nicht in jeder Hinsicht perfekt ist. Ein unvollständiges Verarbeitungsverzeichnis ist besser als keines. Gleiches gilt für Datenschutzmerkblätter und für Hinweise auf Websites. Auch ein Perfektionsgrad zwischen 80 Prozent und 90 Prozent macht viel Arbeit. Es wird aber definitiv so sein, dass sich Datenschutzbehörden in Zukunft wieder für Anwaltskanzleien interessieren werden.

Was droht, wenn man nichts tut?

Wenn man nichts tut, muss man damit rechnen, dass auch Anwaltskanzleien Bußgelder erhalten. Wir Anwälte sind von den Datenschutzbehörden zuletzt in Ruhe gelassen worden. 2010 holte sich die Berliner Datenschutzbehörde beim Kammergericht eine blutige Nase, weil bei Mandatsbezug deren Zuständigkeit endete. Das wird sich mit dem 25. Mai 2018 ändern. In den vergangenen Jahren gab es viele Aktivitäten der Datenschutzbehörden, die sich gegen Ärzte, Apotheker oder Zahnärzte gerichtet haben. Da liegt es nicht fern, dass irgendwann auch Anwaltskanzleien in den Fokus geraten, wenn irgendjemand einen Verdacht äußert.

Haben Anwaltskanzleien irgendwelche Sonderrechte?

Ja, das ist auch ein Erfolg des Deutschen Anwaltvereins. Die Datenschutzbehörden haben keine Betretungsrechte. Gegen den Willen der Anwälte können sie die Kanzleien nicht betreten, wie es bei anderen Unternehmen möglich ist. Sie haben auch kein Recht auf unmittelbare Einsichtnahme in die Datenverarbeitung. Das gefällt den Datenschutzbehörden nicht. Gegen diese Ausnahmen für Berufsgeheimnisträger sind sie Sturm gelaufen. Dann gibt es noch eine andere, wichtige Einschränkung bei den Auskunftsrechten: Die Ehefrau kann nicht zum Anwalt ihres Mannes gehen und fragen, welche personenbezogene Daten über sie in der Anwaltsakte gespeichert sind. Das Mandatsgeheimnis geht vor. Mehr Ausnahmen gibt es nicht.

Man hat fast den Eindruck, dass es die kleinen Kanzleien härter trifft als die großen Kanzleien?

Datenschutz-Compliance muss man sich leisten können. Die Datenschutz-Grundverordnung ist für die Microsofts, Facebooks, Apples und Googles dieser Welt geschaffen worden – und jetzt trifft es in gleicher Form die Mittelständler. Bei den Anwaltskanzleien ist es dasselbe Bild.

Ein Tipp für die Ein-Mann- oder Eine-Frau-Kanzleien?

In jedem Fall ein Verfahrensverzeichnis aufsetzen.

Ein Tipp für die Großkanzleien?

Wenn das Gefühl dominiert, dass nicht so viel gemacht worden ist, das DAV-Merkblatt lesen und als Handlungsanweisung nehmen. Seit dem 1. Januar gibt es einen neuen § 2 Abs. 7 BORA, der Schutzpflichten für Mandatsgeheimnisse verlangt. Nicht nur der Aktenschrank muss abgeschlossen werden. Auch die IT muss sicher sein. Braucht jetzt jede Kanzlei ihren IT-Berater? Jede Kanzlei braucht sicherlich IT-Sachverstand, und wenn der nicht in den eigenen Reihen vorhanden ist, dann kommt die Kanzlei gar nicht darum herum, sich Beratung im IT-Bereich zu suchen, wie man auch einen Steuerberater im Steuerrecht fragt, wenn man nicht weiter weiß. IT-Sicherheit hat aber eine etwas andere Ausrichtung als der Datenschutz. IT-Sicherheit fragt nicht danach, ob es um personenbezogene Daten geht. Eine gute IT-Sicherheit hilft aber natürlich auch dem Datenschutz, weil keine Kanzlei es sich wünscht, dass Mandatsdaten geleakt werden.

Eine Schlussfrage: Wer im Netz unterwegs ist, akzeptiert ständig Cookies, willigt in die Datenverarbeitung ein und wird über die Aktualisierung von Nutzungsbedingungen informiert. Wem nützt der moderne Datenschutz eigentlich noch?

Im Datenschutzrecht konkurrieren zwei Sichtweisen, die manchmal sehr schnell hin- und herspringen. Die individualistisch-liberale Position sieht in der Einwilligung quasi das Allerheiligste des Datenschutzrechts. Alle wissen aber, dass der Einzelne damit letztlich überfordert ist. Daher denkt die andere Seite eher paternalistisch: Der Einzelne muss davor bewahrt werden, falsche Entscheidungen zu treffen. Folge sind umfangreiche Informationspflichten. Und deswegen gibt es jetzt in der Datenschutz-Grundverordnung ein sogenanntes Kopplungsverbot, das heißt, dass eine Einwilligung unwirksam ist, wenn das Unternehmen Daten verarbeiten will, die für den Vertrag gar nicht gebraucht werden. Modern wäre es, wenn wir die Bedingungen formulieren, unter denen eine Datenverarbeitung zum Beispiel bei der Bildung von Profilen erlaubt und verboten ist … denn über eines sollten wir uns nichts vormachen: Cookies sind nicht das Problem.


Das Interview ist leicht gekürzt. Die vollständige Version - mit Passagen zum Datenschutzrecht und zum Anwaltsmarkt im Datenschutzrecht - lesen Sie hier (AnwBl Online 2018, 450).