6. Satzungs­ver­sammlung

Verschwie­genheit: § 2 BORA zu E-Mails des Anwalts an Mandanten ab 2020

Ein grüner Briefumschlag mit einem halb herausguckenden Schreiben.

Die neue BORA-Norm zur Verschwiegenheit tritt am 1. Januar 2020 in Kraft. Das Anwaltsblatt stellt § 2 BORA vor und hilft mit Tipps für die Kanzlei beim Thema Datenschutz.

Die 6. Satzungsversammlung der Bundesrechtsanwaltskammer (BRAK) hatte im Mai  den § 2 der Berufsordnung für Rechtsanwälte (BORA) neu gefasst, um die unverschlüsselte E-Mail-Kommunikation zwischen Anwältinnen und Anwälten und ihren Mandanten zu erleichtern.

Das Bundesministerium der Justiz und für Verbraucherschutz hat die Neuregelung im zukünftigen und neuen § 2 Abs. 2 BORA nun abgesegnet, gleichwohl aber den Datenschutz formal noch einmal mit ins Boot geholt. Der zukünftige § 2 Abs. 2 BORA kann die Regelungen der Datenschutz-Grundverordnung (DSGVO) nicht umgehen. Der neue § 2 BORA wird am 1. Januar 2020 in Kraft treten. Das Anwaltsblatt stellt die Norm ausführlich vor und gibt Tipps zum Datenschutz in der Kanzlei.

Die 6. Satzungsversammlung der Bundesrechtsanwaltskammer war am 6. Mai 2019 mit einem für die Anwaltspraxis wichtigen Beschluss zu Ende gegangen: In vielen Fällen können Anwältinnen und Anwälte zukünftig unverschlüsselt per E-Mail mit Mandanten kommunizieren, ohne gegen die Berufspflicht zur Verschwiegenheit zu verstoßen. Der § 2 der Berufsordnung der Rechtsanwälte (BORA) zur Verschwiegenheit wird in Absatz 2 regeln, wann Anwältinnen und Anwälte bei Risiken für die Vertraulichkeit von der Zustimmung ihrer Mandanten zur unverschlüsselten E-Mail-Kommunikation ausgehen dürfen – und wann ein Warnhinweis nötig ist. Was der neue Einschub zur Verschwiegenheit in § 2 BORA bringt, dazu unten mehr.

Ab 2020 gilt die neue Norm zur Verschwie­genheit

Die neue Bundesjustizministerin Christine Lamprecht hat den Beschluss nun auf seine Rechtmäßigkeit hin geprüft und Anfang August ihr Okay gegeben. Der neue § 2 Abs. 2 BORA kann damit nach Veröffentlichung in den BRAK-Mitteilungen im Heft 5/2019 Mitte Oktober 2019  am 1. Januar 2020 in Kraft treten. Zur Erinnerung: Die Satzungsversammlung kann aufgrund einer Ermächtigung in der Bundesrechtsanwaltsordnung (BRAO) Satzungsrecht erlassen, das auf seine Rechtmäßigkeit aber vor Verkündung in den BRAK-Mitteilungen vom Bundesjustizministerium geprüft werden muss. 

Daten­schutz­recht der DSGVO muss einge­halten werden

Das Okay zu dem Änderungsbeschluss der Satzungsversammlung gab es allerdings mit einer klaren Warnung. Die Bundesjustizministerin stellt klar, dass der Anwendungsbereich der Norm formal auf das anwaltliche Berufsrecht beschränkt wird. Das zwingende Datenschutzrecht der DSGVO wird dadurch nicht abgeändert. Der Bundesjustizministerin Christine Lambrecht war es wichtig, in ihrem Schreiben vom 7. August 2019 an die BRAK, darauf hinzuweisen, dass die Sicherheitsanforderungen der DSGVO nicht im Ermessen der betroffenen Anwälte und Anwältinnen stünden. Auch bei Zustimmung des Mandanten in eine bestimmte Kommunikationsform müsse der Anwalt bei seiner Antwort die nach dem Datenschutzrecht erforderlichen Schutzmaßnahmen ergreifen. Damit sind vor allem die Schutzstandards der IT-Sicherheit gemeint. Sollte eine elektronische Kommunikation dann nicht möglich sein, müsse der Anwalt per Brief antworten. Dem werde durch den zukünftigen § 2 Absatz 5 BORA Rechnung getragen (bisher in der seit 1. November 2018 geltenden Fassung der § 2 Abs. 4 BORA).

In der Warnung des Bundesjustizministeriums ist eine Streitfrage versteckt, die nach wie vor ungeklärt ist. Das ist nämlich die Frage, ob unverschlüsselte E-Mails überhaupt unter der DSGVO zulässig sind. Dies ist unter Datenschützern umstritten und wird auch in dem Schreiben der Bundesjustizministerin offen gelassen. Die Satzungsversammlung geht aber davon aus, dass zumindest im anwaltlichen Berufsrecht eine unverschlüsselte Kommunikation unter gewissen Voraussetzungen möglich ist. Unabhängig von der DSGVO gilt damit: Wer sich an den neuen § 2 BORA hält, begeht – auch wenn das Datenschutzrecht missachtet wird – keinen Berufsrechtsverstoß. Allerdings sollten Anwältinnen und Anwälte auch das Datenschutzrecht der DSGVO ernst nehmen.

Daten­schutz­be­auf­tragter in der Kanzlei

Es gilt: Arbeiten mehr als zehn Personen in der Kanzlei bei der Datenverarbeitung mit (dazu zählen auch die Partner sowie Auszubildende und Referendare) ist ein Datenschutzbeauftragter zu bestellen. Das kann ein interner oder ein externer Datenschutzbeauftragter sein. Allerdings: Unabhängig von der Frage, ob es einen Datenschutzbeauftragten geben muss, ist in jedem Fall das Datenschutzrecht einzuhalten. Es ist also auch bei weniger als zehn Mitarbeitern zu empfehlen, eine Person mit datenschutzrechtlicher Expertise zu beschäftigen. Wenn zukünftig die Grenze von zehn auf zwanzig Personen erhöht wird, ist das daher nur bedingt eine Erleichterung. Denn das Datenschutzrecht der DSGVO gilt weiter.

Fazit: Das Datenschutzrecht zwingt also Anwältinnen und Anwälte dazu, die Standards der IT-Sicherheit tatsächlich einzuhalten. Wenn sie das nicht gewährleisten wollen, müssen sie zum Brief überwechseln, so der klare Rat des Bundesjustizministeriums.

Dem nicht ganz einfachen Zusammenspiel zwischen der Pflicht zur Verschwiegenheit und der Beachtung der Vorgaben des Datenschutzrechts widmet sich der Vorsitzende  des Ausschusses 6 der 6. Satzungsversammlung Prof. Dr. Thomas Gasteyer im Abschlussbericht  des Ausschusses (AnwBl 2019, 557 (pdf). Zur Datenschutz-Grundverordnung (DSGVO) hatte der DAV die Kanzleien mit Merkblättern, Mustern und Checklisten unterstützt und hilft des Weiteren mit nützlichen Links zum Thema Datenschutz und IT-Sicherheit.

Was verlangt nun § 2 Abs. 2 BORA von Anwältinnen und Anwälten?

Der neue Einschub im zukünftigen § 2 Abs. 2 BORA lautet: „Zwischen Rechts­anwalt und Mandant ist die Nutzung eines elektro­ni­schen oder sonstigen Kommu­ni­ka­ti­ons­weges, der mit Risiken für die Vertrau­lichkeit dieser Kommu­ni­kation verbunden ist, jeden­falls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszu­gehen, wenn der Mandant diesen Kommu­ni­ka­ti­onsweg vorschlägt oder beginnt und ihn, nachdem der Rechts­anwalt zumindest pauschal und ohne technische Details auf die Risiken hinge­wiesen hat, fortsetzt.“

Was bringt der neue Einschub in § 2 BORA zur Verschwie­genheit?

Der Vorsit­zende des Ausschusses 6  Rechts­anwalt Prof. Dr. Thomas Gasteyer erläuterte in der Sitzung der Satzungsversammlung die Vorzüge der neuen „Berufs­pflicht“. Was den zusätzlichen Absatz in § 2 BORA auszeichnet:

  • Auslöser waren die Risiken für die Vertraulichkeit bei unverschlüsselten E-Mails. Der Normabsatz beschränkt sich aber nicht auf E-Mails. Er ist zukunftsfest, weil er sich generell auf risikobehaftete Kommunikationsformen bezieht – und sogar die Besprechung im Lokal umfasst.
  • Auf eine Hinweispflicht verzichtet der Normabsatz. Wenn der Mandant der unsicheren Kommunikation zustimmt, reicht das. Ein Verstoß gegen das Berufsrecht scheidet aus.
  • Der zusätzliche Absatz ist eine Auffangnorm. Die risikobehaftete Kommunikationsart kann – wie bisher - zulässig sein, wenn sie sozialadäquat ist, eine ausdrückliche Zustimmung oder eine auf andere Weise geäußerte stillschweigende Zustimmung vorliegt. Der neue Absatz greift nur, wenn die Zustimmung nicht ohnehin vorliegt.
  • Wann ist von einer Zustimmung nach dem neuen Absatz auszugehen? Schlägt der Mandant den riskanten Kommunikationsweg vor oder beginnt er ihn, muss der Anwalt auf die Risiken hinweisen. Es genügt allerdings ein pauschaler Risikohinweis ohne Details. Nutzt der Mandant die riskante Kommunikationsform weiter, wird die Zustimmung angenommen. Denn „Herr des Geheimnisses“ ist der Mandant.

 


Zurück