Interview

Niko Härting: Das Projekt Daten­schutz

Der 25. Mai 2018 ist der Geburtstag der Datenschutz-Grundverordnung. Nach zwei Jahren Vorbereitung wird das neue Datenschutzrecht in der gesamten Europäischen Union gelten. Was das neue Recht für die Anwaltschaft bedeutet, fragte das Anwaltsblatt Prof. Niko Härting. Der Rechtsanwalt ist unter anderem Mitglied der DAV-Ausschüsse Informationsrecht und Berufsrecht sowie Autor des DAV-Merkblatts und der DAV-Muster zur Datenschutz-Grundverordnung.

Prof. Niko Härting ist in Köln aufge­wachsen, studierte von 1983 bis 1989 Rechts­wis­sen­schaften sowie bis 1985 Anglistik an der Freien Universität Berlin. An der Freien Universität war er vier Jahre wissen­schaft­licher Mitar­beiter. Das Referen­dariat absol­vierte er von 1990 bis 1993 in Berlin und Chicago.Gleich­zeitig ist er seit dieser Zeit als Lehrbe­auf­tragter an der Hochschule für Wirtschaft und Recht (HWR) Berlin tätig. Seit 1993 ist er Rechts­anwalt. Es folgte drei Jahre später die Gründung der Kanzlei Härting in Berlin. An der HWR ist Niko Härting seit 2012 Honorar­pro­fessor. Im Deutschen Anwalt­verein ist er Mitglied des Infor­ma­ti­ons­rechts­aus­schusses sowie des Berufs­rechts- und Berufs­ethi­kaus­schusses.

 

Ist der Geburtstag der Datenschutz-Grundverordnung ein Tag zum Feiern?

Für die davon betrof­fenen Unter­nehmen sicherlich nicht. Die Praxis wartet nervös darauf, was die Daten­schutzbehörden aus dem neuen Daten­schutz­recht machen werden.

Grundgesetz und Grundverordnung: Ist diese Assoziation zulässig?

Nein, das ist eine zufällige Übereinstimmung. Keiner weiß, was jetzt „Grund“ in der Datenschutz-Grundverordnung heißt.

Viele sprechen von der neuen Verfassung des Datenschutzrechtes auf europäischer Ebene.

Ja, das wird behauptet. Tatsächlich wird aber jetzt schon überlegt, ob die 99 Artikel dieser Grund­ver­ordnung ausreichen. Ein großer Wurf ist das nicht.

 

 

Ab 25. Mai 2018 gilt die Daten­schutz-Grund­ver­ordnung (DSGVO). Sie gilt auch für Anwalts­kanz­leien. Damit sich jede Kanzlei darauf vorbe­reiten kann, hält der Deutsche Anwalt­verein Merkblatt, Muster und Check­liste bereit.

Anwalts­kanz­leien sollten das neue europäische Daten­schutz­recht ernst nehmen, weil die Daten­schutzbehörden auf Beschwerden von Mandanten, Mitar­beitern, Prozess­gegnern und anderen Dritten mit förmlichen Verfahren reagieren müssen. Die Daten­schutzbehörden halten sich zudem für verpflichtet, empfind­liche Bußgelder bei Daten­schutz­verstößen zu verhängen.

Alles Wichtige zum neuen Recht fasst das DAV-Merkblatt samt Muster zusammen. Fünf Schritte helfen bei der Umsetzung der Datenschutz-Grundverordnung. Dazu gibt es die folgenden Muster:

 

 

Wie grundlegend ist der Wandel?

Es gibt nur eine revolutionäre Neuerung in der Datenschutz-Grundverordnung: Das sind die Bußgelder. Bisher konnten Bußgelder in Deutschland maximal 300.000 Euro betragen, jetzt nach der Datenschutz-Grundverordnung 20 Mio. Euro – und wenn das Unternehmen mehr als 500 Mio. Euro Umsatz weltweit macht, dann kann der Bußgeldrahmen sogar noch höher sein, bis zu vier Prozent des weltweiten Umsatzes.

Der Daten­schutz bekommt durch drako­nische Bußgelder Zähne – und das ist vom Gesetz­geber beabsichtigt. Das materielle Daten­schutz­recht hat sich dagegen nicht sehr verändert.

Das Bundesdatenschutzgesetz ist immer wieder kritisiert worden, wird die Datenschutz-Grundverordnung das Recht besser machen?

Nein, weil es beim Verbots­prinzip bleibt. Für jede Verar­beitung perso­nen­be­zo­gener Daten muss eine Recht­fer­tigung gefunden werden – sei es eine Einwil­ligung, seien es berech­tigte Inter­essen, sei es ein Vertrag. An den Grund­struk­turen des Daten­schutz­rechts hat der Gesetz­geber nichts ändern wollen. Vieles, was heute schon Alltag in der Daten­ver­ar­beitung ist, kommt in der Daten­schutz-Grund­ver­ordnung gar nicht vor. Stichwörter: Big Data, Algorithmen, künstliche Intel­ligenz.

Gibt es Rückschritte?

Der DAV mit seinem Infor­ma­ti­ons­rechts­aus­schuss hatte in den Diskus­sionen dafür geworben, ein fortschritt­li­cheres Daten­schutz­recht zu schaffen, also auf die Risiken und nicht formal auf die Verar­bei­tungsvorgänge zu schauen. Das hat sich nicht durch­setzen lassen. Insofern gilt: Rückschritte gibt es nicht, Fortschritte sind mit der Lupe zu suchen.

Die Datenschutz-Grundverordnung gilt auch für Kanzleien. Was müssen Anwaltskanzleien jetzt tun?

Bislang war es ein offenes Thema, ob und inwieweit das Daten­schutz­recht auch in der Anwalts­kanzlei gilt. Nach dem neuen Recht gibt es keinen Zweifel mehr, dass – auch bei mandats­be­zo­genen Daten, sofern sie Bezug zu einer natürlichen Person haben – das Daten­schutz­recht in seiner ganzen Härte gilt, ob uns Anwälten das gefällt oder nicht. Sobald in einer Kanzlei mindestens zehn Personen, gleichgültig ob Teilzeit, Vollzeit, Partner oder Auszu­bil­dende am Rechner arbeiten, muss ein Daten­schutz­be­auf­tragter bestellt werden. In jeder Kanzlei muss zudem, so die Basics, jedes Daten­ver­ar­bei­tungs­ver­fahren – von der Buchhal­tungs­software über die Anwalts­software mit der Termins­ver­waltung bis zu den Perso­nal­akten samt Urlaubs­listen – in einem Verzeichnis fein säuberlich beschrieben und erfasst werden. Das sind die Grund­vor­aus­set­zungen. Wichtig sind dann die Daten­schutz­in­for­ma­tionen: Der Anwalt oder die Anwältin ist in der Pflicht, die Mandanten darüber zu belehren, wie man mit perso­nen­be­zo­genen Daten umzugehen gedenkt. Da werden sich mit Sicherheit entspre­chende Beiblätter zu den Mandats­verträgen durch­setzen, in denen die Kanzlei das näher erläutert. Ähnliches gilt für die Arbeits­verträge mit den Mitar­beitern. Auch da werden sich Anlagen mit Hinweisen zum Daten­schutz durch­setzen, weil die Infor­ma­ti­ons­pflichten sehr, sehr umfang­reich sind und ohne Zweifel auch für die Anwälte gelten.

Der DAV hat ein DAV-Merkblatt und DAV-Muster erstellt. Welchen Tipp geben Sie hier einer Anwältin oder einem Anwalt?

Erst mal tief durch­atmen. Dann muss man sich im Klaren sein: 100 Prozent Geset­ze­streue schafft keiner. Das weiß auch jede Behörde. Dazu sind diese Vorschriften viel zu detail­ver­liebt. Zu perfek­tio­nis­tisch sollte niemand an die Umsetzung heran­gehen. Aller­dings gilt auch: Kanzleien sollten sich bei den einfachen Punkten nicht angreifbar machen. Wer einen Daten­schutz­be­auf­tragten benötigt, muss ihn bestellen. Ein Verar­bei­tungs­ver­zeichnis ist erfor­derlich, auch wenn es vielleicht nicht in jeder Hinsicht perfekt ist. Ein unvollständiges Verar­bei­tungs­ver­zeichnis ist besser als keines. Gleiches gilt für Daten­schutz­merkblätter und für Hinweise auf Websites. Auch ein Perfek­ti­onsgrad zwischen 80 Prozent und 90 Prozent macht viel Arbeit. Es wird aber definitiv so sein, dass sich Daten­schutzbehörden in Zukunft wieder für Anwalts­kanz­leien inter­es­sieren werden.

Was droht, wenn man nichts tut?

Wenn man nichts tut, muss man damit rechnen, dass auch Anwalts­kanz­leien Bußgelder erhalten. Wir Anwälte sind von den Daten­schutzbehörden zuletzt in Ruhe gelassen worden. 2010 holte sich die Berliner Daten­schutzbehörde beim Kammer­ge­richt eine blutige Nase, weil bei Mandats­bezug deren Zuständigkeit endete. Das wird sich mit dem 25. Mai 2018 ändern. In den vergan­genen Jahren gab es viele Aktivitäten der Daten­schutzbehörden, die sich gegen Ärzte, Apotheker oder Zahnärzte gerichtet haben. Da liegt es nicht fern, dass irgendwann auch Anwalts­kanz­leien in den Fokus geraten, wenn irgend­jemand einen Verdacht äußert.

Haben Anwaltskanzleien irgendwelche Sonderrechte?

Ja, das ist auch ein Erfolg des Deutschen Anwalt­vereins. Die Daten­schutzbehörden haben keine Betre­tungs­rechte. Gegen den Willen der Anwälte können sie die Kanzleien nicht betreten, wie es bei anderen Unter­nehmen möglich ist. Sie haben auch kein Recht auf unmit­telbare Einsicht­nahme in die Daten­ver­ar­beitung. Das gefällt den Daten­schutzbehörden nicht. Gegen diese Ausnahmen für Berufs­ge­heim­nisträger sind sie Sturm gelaufen. Dann gibt es noch eine andere, wichtige Einschränkung bei den Auskunfts­rechten: Die Ehefrau kann nicht zum Anwalt ihres Mannes gehen und fragen, welche perso­nen­be­zogene Daten über sie in der Anwaltsakte gespei­chert sind. Das Mandats­ge­heimnis geht vor. Mehr Ausnahmen gibt es nicht.

Man hat fast den Eindruck, dass es die kleinen Kanzleien härter trifft als die großen Kanzleien?

Daten­schutz-Compliance muss man sich leisten können. Die Daten­schutz-Grund­ver­ordnung ist für die Micro­softs, Facebooks, Apples und Googles dieser Welt geschaffen worden – und jetzt trifft es in gleicher Form die Mittelständler. Bei den Anwalts­kanz­leien ist es dasselbe Bild.

Ein Tipp für die Ein-Mann- oder Eine-Frau-Kanzleien?

In jedem Fall ein Verfah­rens­ver­zeichnis aufsetzen.

Ein Tipp für die Großkanzleien?

Wenn das Gefühl dominiert, dass nicht so viel gemacht worden ist, das DAV-Merkblatt lesen und als Handlungs­an­weisung nehmen. Seit dem 1. Januar gibt es einen neuen § 2 Abs. 7 BORA, der Schutz­pflichten für Mandats­ge­heim­nisse verlangt. Nicht nur der Akten­schrank muss abgeschlossen werden. Auch die IT muss sicher sein. Braucht jetzt jede Kanzlei ihren IT-Berater? Jede Kanzlei braucht sicherlich IT-Sachver­stand, und wenn der nicht in den eigenen Reihen vorhanden ist, dann kommt die Kanzlei gar nicht darum herum, sich Beratung im IT-Bereich zu suchen, wie man auch einen Steuer­be­rater im Steuer­recht fragt, wenn man nicht weiter weiß. IT-Sicherheit hat aber eine etwas andere Ausrichtung als der Daten­schutz. IT-Sicherheit fragt nicht danach, ob es um perso­nen­be­zogene Daten geht. Eine gute IT-Sicherheit hilft aber natürlich auch dem Daten­schutz, weil keine Kanzlei es sich wünscht, dass Mandats­daten geleakt werden.

Eine Schlussfrage: Wer im Netz unterwegs ist, akzeptiert ständig Cookies, willigt in die Datenverarbeitung ein und wird über die Aktualisierung von Nutzungsbedingungen informiert. Wem nützt der moderne Datenschutz eigentlich noch?

Im Daten­schutz­recht konkur­rieren zwei Sicht­weisen, die manchmal sehr schnell hin- und herspringen. Die indivi­dua­lis­tisch-liberale Position sieht in der Einwil­ligung quasi das Aller­hei­ligste des Daten­schutz­rechts. Alle wissen aber, dass der Einzelne damit letztlich überfordert ist. Daher denkt die andere Seite eher pater­na­lis­tisch: Der Einzelne muss davor bewahrt werden, falsche Entschei­dungen zu treffen. Folge sind umfang­reiche Infor­ma­ti­ons­pflichten. Und deswegen gibt es jetzt in der Daten­schutz-Grund­ver­ordnung ein sogenanntes Kopplungs­verbot, das heißt, dass eine Einwil­ligung unwirksam ist, wenn das Unter­nehmen Daten verar­beiten will, die für den Vertrag gar nicht gebraucht werden. Modern wäre es, wenn wir die Bedin­gungen formu­lieren, unter denen eine Daten­ver­ar­beitung zum Beispiel bei der Bildung von Profilen erlaubt und verboten ist … denn über eines sollten wir uns nichts vormachen: Cookies sind nicht das Problem.


Das Interview ist leicht gekürzt. Die vollständige Version - mit Passagen zum Datenschutzrecht und zum Anwaltsmarkt im Datenschutzrecht - lesen Sie hier (AnwBl Online 2018, 450).

 


Zurück