Schnell eine Sprachnachricht an den Mandaten bei Whatsapp schicken, während die Tochter gegenübersitzt? Mit dem Kollegen per Zoom das Mandat besprechen? Den Rechner ungesichert stehen lassen? Was jetzt geht und was nicht, zeigt Maya El-Auwad.
Anwälte sind nicht unbedingt dafür bekannt, bei Reformen nach vorn zu preschen – sei es beim Thema Juristenausbildung, Digitalisierung oder auch Homeoffice. Nun hat die Corona-Realität Fakten geschaffen: Das Arbeiten von Zuhause hat eine ganz neue Relevanz bekommen. Für viele Kanzleien ist Homeoffice ein Novum und eine organisatorische Herausforderung. Nicht alle haben bereits vollständig die elektronische Akte eingeführt, nicht alle können direkt und uneingeschränkt auf den Kanzleiserver zugreifen.
Gleichzeitig stellen sich eine ganze Reihe rechtlicher Fragen, vor allem zum Datenschutz und zum anwaltlichen Berufsrecht. Nach kürzester Zeit schwirren die unterschiedlichsten Mutmaßungen umher, was jetzt alles erlaubt und viel wichtiger, was alles verboten sein soll. Welche Kommunikationswege darf ich nutzen? Muss ich Alexa ausschalten, wenn ich von Zuhause aus arbeite? Darf ich meine Mandanten jetzt (endlich) per WhatsApp kontaktieren? Und wie halte ich die Mandatsarbeit vor meinen Familienmitgliedern geheim?
Viele dieser Fragen sind nicht neu. Sie kursieren seit Jahren in der Anwaltschaft und betreffen strenggenommen die anwaltliche Arbeit insgesamt – ob Zuhause oder im Büro. Im Homeoffice gelten dieselben datenschutz- und berufsrechtlichen Standards zum Schutz von Daten und Mandatsgeheimnissen wie in der Kanzlei. Anwälte müssen vor allem technische und organisatorische Sicherheitsmaßnahmen für die von ihnen verarbeiteten Daten treffen.
Der Klassiker: E-Mails und Berufsrecht
Dass Anwälte mit ihren Mandanten zunehmend per E-Mail kommunizieren, ist nicht erst seit der Corona-Krise so. Die Auffassung, dass die (unverschlüsselte) anwaltliche E-Mail-Kommunikation als Verstoß gegen die Verschwiegenheitspflicht aus § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) berufsrechtswidrig oder als Verstoß gegen § 203 Strafgesetzbuch (StGB) strafbar sei, hat sich – zu Recht - nie durchsetzen können.
Weder § 203 StGB noch § 43a Abs. 2 BRAO verbieten Anwälten die Kommunikation per E-Mail. Dies gilt auch dann, wenn E-Mails nicht verschlüsselt sind oder, wie heute durchgängig Standard, unter Einsatz einer bloßen Transportverschlüsselung versendet werden. Ende-zu-Ende-Verschlüsselungsverfahren, also die Verschlüsselung von Daten über alle Übertragungsstationen bis zum Empfänger, haben sich bei E-Mail-Diensten nicht durchgesetzt.
Seit dem 1. Januar 2020 hat nun auch die Satzungsversammlung Klarheit geschaffen und in § 2 Abs. 2 S. 5 und 6 der Berufsordnung der Rechtsanwälte (BORA) geregelt, dass Anwälte zukünftig in vielen Fällen unverschlüsselt mit Mandanten kommunizieren können, ohne gegen die Berufspflicht zur Verschwiegenheit zu verstoßen. "Die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist", ist "jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt". Damit hat die Satzungsversammlung eine Norm geschaffen, die gerade kein strenges Einwilligungserfordernis vorsieht (Stichwort "jedenfalls"). Risikobehaftete Kommunikationswege können auch dann zulässig sein, wenn sie sozialadäquat sind oder eine stillschweigende Zustimmung der Mandanten vorliegt, weil sie den Kommunikationsweg auf diese Art beginnen.
Klar muss aber auch sein: Der Mandant ist König. Sollte er explizit die Ende-zu-Ende-Verschlüsselung wünschen oder ganz auf E-Mails verzichten wollen, müssen Anwälte diesen Wünschen nachkommen.
Geeignete Sicherheitsmaßnahmen
Datenschutzrechtlich sind Anwälte, mit Ausnahme der in § 29 Bundesdatenschutzgesetz (BDSG) geregelten Privilegien für Berufsgeheimnisträger, verpflichtet, die Grundsätze der DSGVO vollumfänglich einzuhalten. Sie müssen vor allem nach Art. 32 DSGVO die geeigneten technischen und organisatorischen Maßnahmen (sog. TOMs) ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten.
Art. 32 DSVO ist als Aufforderung zu verstehen, sich mit Maßnahmen der Datensicherheit zu befassen und solche Maßnahmen unter Abwägung der Risiken und des Sicherheitsaufwands auch tatsächlich umzusetzen. Dazu gehört auch, die Mitarbeiter entsprechend zu schulen und zu sensibilisieren.
Cloud- und Messenger-Dienste
Gerade in Zeiten des Homeoffice gewinnt der Einsatz cloudbasierter (Video-)Konferenztools an Bedeutung. Ob unter Kollegen oder mit den Mandanten – Kommunikation ist im Homeoffice wichtiger denn je.
Seit der Änderung von § 203 Abs. 3 StGB zum "Non-Legal-Outsourcing" und der Klarstellung, dass die Nutzung von Clouddiensten kein "Offenbaren" eines Geheimnisses darstellt, erfreuen sich cloudbasierte Dienste auch in der Anwaltschaft zunehmender Popularität.
§ 43e BRAO verlangt aber, dass ein Vertrag den Dienstleister zur Verschwiegenheit verpflichtet. Auch datenschutzrechtlich bedarf es in der Regel eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO. Bei ausländischen Dienstleistern bestehen Unsicherheiten, da § 43e Abs. 4 BRAO für sie ein Schutzniveau vorschreibt, das mit dem "Schutz im Inland vergleichbar ist" und sich auch datenschutzrechtlich bei Dienstleistern aus einem Staat außerhalb der EU Besonderheiten aus den Art. 44 ff. DSGVO ergeben.
Wer auf Nummer sicher gehen will, wählt einen Dienst, der die Daten in der EU verarbeitet. Bei US-Diensten sollte zumindest eine Privacy-Shield-Zertifizierung vorliegen oder eine vertragliche Zusicherung, dass das europäische Datenschutzniveau eingehalten wird. Zudem arbeiten viele Anbieter, anders als bei Mail-Providern, mit der Ende-zu-Ende-Verschlüsselung.
Auch für Anwälte gilt zudem der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 c DSGVO: Stehen datenschutzfreundliche Einstellungen bei den Anbietern zur Verfügung - und sollten nicht voreingestellt sein -, empfiehlt es sich, diese auch zu aktivieren. Und im Zweifel kann man Mandanten ja auch immer noch anrufen.
Endlich chatten per WhatsApp?
WhatsApp setzt – im Gegensatz zu den gängigen Mail-Providern - Ende-zu-Ende-Verschlüsselung ein, sodass sich die bei E-Mails diskutierten Fragen eigentlich nicht stellen dürften.
Problematisch ist vielmehr, dass bei der Nutzung von WhatsApp nicht nur Daten von WhatsApp-Usern (die sich ja auf die Nutzung von WhatsApp eingelassen haben), sondern ohne Änderung der Einstellungen auch sämtliche Telefonbuchkontakte an WhatsApp übertragen werden. Ob dies per se eine Verletzung des Anwaltsgeheimnisses darstellt, sei dahingestellt. Jedenfalls ist mit der Übermittlung von Kontaktdaten noch nicht automatisch die Aussage darüber verbunden, ob eine bestimmte Person Mandantin ist.
Allerdings lässt sich WhatsApp auch ohne die Kontaktfreigabe verwenden – das muss aber aktiv eingestellt werden. Wenn Mandanten WhatsApp ohnehin nutzen und Anwälte sogar aktiv darüber anschreiben, besteht kein Grund, sich zu verweigern. Ein Hinweis auf die möglichen Risiken kann aber angebracht sein.
Alles gar nicht so anders
Insgesamt gilt auch im Homeoffice, was sonst bei der anwaltlichen Arbeit gilt: Verschwiegenheit und Datenschutz machen den Kern der Vertrauensbeziehung zwischen Anwältin und Mandant aus – und sind damit mehr als "nur" rechtliche Pflichten. Mandanten erwarten zu Recht, dass Informationen vor unbefugtem Zugriff geschützt sind.
Ketzerisch könnte man wohl sagen: Das größte Sicherheitsrisiko ist der Anwalt selbst. Wem ist es noch nicht passiert, den Arbeitsplatz ohne Sperrbildschirm verlassen oder die E-Mail an den falschen Empfänger verschickt zu haben? Zu den TOMs aus Art. 32 DSGVO zählen auch abschließbare Schränke, Sichtschutzfolien auf dem Laptop und Passwortschutz auf den Endgeräten. Oder ein zugriffsgeschütztes W-Lan.
Datensicherheit ist mehr als ein bloßes "IT-Thema". Und dass man vorher schon Mandate nicht mit der Familie besprechen sollte und durfte, ändert sich auch in Zeiten von Homeoffice nicht. So wie man Mandantentelefonate nicht in öffentlichen Verkehrsmitteln führt, sollte man sie auch nicht im Kreis der Familie führen.
Die Autorin Maya El-Auwad ist Rechtsanwältin bei Härting Rechtsanwälte in Berlin. Ihre Tätigkeitsschwerpunkte liegen im Datenschutz-, IT- und Berufsrecht.
Berufsgeheimnis im Homeoffice: . In: Legal Tribune Online, 08.04.2020 , https://www.lto.de/persistent/a_id/41189 (abgerufen am: 13.12.2024 )
Infos zum Zitiervorschlag