Nachfolgend ein Beitrag vom 9.11.2018 von Lach, jurisPR-ITR 22/2018 Anm. 3
Orientierungssatz
Die Einhaltung der datenschutzrechtlichen Vorschriften fällt als eine spezielle Ausformung der anwaltlichen Berufspflicht in die Zuständigkeit der Rechtsanwaltskammer.
A. Problemstellung
Darf ein Rechtsanwalt personenbezogene Daten aus nicht öffentlich zugänglichen Quellen (hier: Insolvenzakte) zur Akquise potentieller Mandanten verwenden? Liegt bei einem Verstoß gegen das Datenschutzrecht auch eine berufsrechtliche Pflichtverletzung vor?
B. Inhalt und Gegenstand der Entscheidung
Dem Anwaltsgericht Berlin lag der Antrag einer Rechtsanwältin auf anwaltsgerichtliche Entscheidung gemäß den §§ 74 Abs. 1 und 5, 74a BRAO vor.
Die Antragstellerin hatte Einblick in die Insolvenzakte einer Insolvenzschuldnerin genommen. Aus dieser hatte sie Namen und Anschrift von Gläubigern erfahren, die Genussrechte gezeichnet hatten. Sie schrieb diese am 05.06.2014 an und empfahl ihnen, ihre Kanzlei zu beauftragen sowie Vertrags- und Schadensersatzansprüche zur Insolvenztabelle anzumelden. Ebenfalls empfahl sie die Einberufung einer Gläubigerversammlung und die Bestellung eines gemeinsamen Vertreters der Genussrechtsgläubiger gemäß § 7 SchVG. Dies könne zwar die Quote des einzelnen Gläubigers verringern, der gemeinsame Vertreter werde jedoch aus der Insolvenzmasse bezahlt. Diese diene derzeit noch ausschließlich der Befriedigung der anderen Gläubiger. Der gemeinsame Vertreter werde ausschließlich im Interesse der Genussrechtsgläubiger tätig werden. Sie beschrieb auch das Profil ihrer eigenen Kanzlei, sie fügte eine Vollmacht bei und teilte mit, durch Erteilung der Vollmacht entstünden dem Adressaten keine Kosten.
Der zuständige Landesdatenschutzbeauftragte leitete gegen die Antragstellerin ein Verfahren wegen Verstoßes gegen das BDSG ein. In einem Schreiben an die Antragstellerin vom 12.01.2015 kam er abschließend zu der Bewertung, dass Verstöße gegen die Bestimmungen des § 28 Abs. 3 BDSG vorlägen. Er ermahnte die Antragstellerin, sah von der Verhängung eines Bußgeldes ab und stellte das Verfahren ein. Der Vorstand der Rechtsanwaltskammer Berlin erließ am 14.10.2015 wegen des Vorgangs einen Rügebescheid gegen die Antragstellerin, § 74 Abs. 1 BRAO. Den dagegen gerichteten Einspruch der Antragstellerin wies er zurück, § 74 Abs. 5 BRAO.
Das Anwaltsgericht Berlin hat daraufhin den von der Antragstellerin gestellten Antrag auf gerichtliche Entscheidung als unbegründet zurückgewiesen und der Antragstellerin die Kosten des Verfahrens einschließlich ihrer notwendigen Auslagen auferlegt.
Das Schreiben der Antragstellerin verstoße gegen § 43 BRAO i.V.m. den §§ 4, 28 BDSG. Sie habe personenbezogene Daten ohne Einwilligung der Betroffenen zum Zweck der Eigenwerbung genutzt. Es liege auch kein sonstiger Erlaubnisgrund für die geschäftliche Nutzung vor. Da sie die Daten der Insolvenzakte und somit nicht einer frei zugänglichen Quelle entnommen habe, liege der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 3 BDSG nicht vor. Auch § 28 Abs. 1 Satz 1 Nr. 2 BDSG erlaube die konkrete Art der Verwendung nicht, da diese nicht zur Wahrung der berechtigten Interessen der Antragstellerin, deren Kanzlei oder der zu dieser bereits in einem Mandatsverhältnis stehenden Personen erforderlich gewesen sei. Für eine werbliche Verwendung von Daten gelte als speziellere Norm abschließend § 28 Abs. 3 BDSG. Dieser finde hier Anwendung, da die Antragstellerin mit dem Schreiben für ihre Kanzlei geworben habe. Ein Rückgriff auf andere Erlaubnistatbestände sei nicht möglich.
Den werblichen Charakter des Schreibens leitete das Anwaltsgericht aus Wortlaut und Gesamteindruck des Schreibens ab. Dass es objektiv und subjektiv den Versuch darstelle, weitere Mandanten zu gewinnen, folge aus der wiederholten Selbstanpreisung („gehört zu den führenden Anlegerschutzkanzleien“, „hervorragende Expertise“).
Das Anwaltsgericht bejahte auch Verstöße gegen das Sachlichkeits- und Wahrheitsgebot, § 43b BRAO. Entgegen dem Schreiben seien nicht zwölf Fachanwälte der Kanzlei ausschließlich auf dem Gebiet des Kapitalanlagerechts tätig, da die Antragstellerin später vorgetragen habe, die Sozietät vertrete schwerpunktmäßig unter anderem auf diesem Gebiet. Die Adressaten wären zudem durch die Vollmachtserteilung Kostenschuldner geworden, auch wenn die Kosten der Beauftragung des gemeinsamen Vertreters aus der Insolvenzmasse beglichen worden wären.
Die Verletzung der §§ 4, 28 Abs. 1 Satz 1 Nr. 3 BDSG sei ein nicht unbeachtlicher Verstoß gegen anwaltliches Berufsrecht i.S.d. § 43 BRAO. Er sei mit der gewissenhaften Berufsausübung und der Stellung des Rechtsanwalts nicht vereinbar. Die strikte Beachtung der datenschutzrechtlichen Regelungen gehöre zum Kernbereich anwaltlicher Pflichten. Rechtsanwälte seien Geheimnisträger i.S.d. § 203 StGB und dadurch besonders verpflichtet, aber auch besonders privilegiert. Sie hätten besondere Unterlagen- und damit Dateneinsichts- und Dateneinzugsrechte. Diese Rechte würden der Anwaltschaft im Vertrauen auf ihre Integrität im Umgang mit sensiblen Daten bei der Vertretung von Mandanteninteressen und der Durchsetzung der Einhaltung rechtsstaatlicher Grundsätze im Verfahren eingeräumt. Sie unterfielen einer besonderen Vertrauenserwartung des Mandanten und Dritter in die Integrität des Berufsstandes und in die nicht rein kommerzialisierte Ausübung ihrer Tätigkeit.
Die Verfahrenseinstellung durch den Landesdatenschutzbeauftragten stehe der berufsrechtlichen Ahndung nicht entgegen. So stehe zum einen § 74 Abs. 1 Satz 2 i.V.m. § 118 Abs. 2 BRAO der Rüge nicht entgegen, da die Antragstellerin nicht in einem Straf- oder Bußgeldverfahren von dem in dem gerügten Verhalten liegenden Verstoß freigesprochen worden sei. Das Verfahren sei lediglich eingestellt worden. Die Rechtsanwaltskammer sei für die Rüge auch im Übrigen zuständig gewesen. Der Landesdatenschutzbeauftragte prüfe berufsrechtliche Pflichten nicht. Zu dem Aufgabenumfang der Rechtsanwaltskammer gemäß § 73 Abs. 2 Nr. 4 BRAO gehöre auch die Prüfung und Ahndung von Datenschutzverstößen der Rechtsanwälte. Die Einhaltung der datenschutzrechtlichen Vorschriften sei nur eine spezielle Ausformung der anwaltlichen Berufspflicht. Die berufsrechtliche Aufsicht in diesem Bereich könne nicht durch Behörden erfolgen. Die Grundrechte erforderten den Schutz der anwaltlichen Berufsausübung vor staatlicher Kontrolle und Bevormundung.
C. Kontext der Entscheidung
Es handelt sich soweit ersichtlich um die erste veröffentlichte Entscheidung zu dem Verhältnis zwischen der Datenschutz-Aufsichtsbehörde und der für die Ahndung von berufsrechtlichen Prozessbevollmächtigten zuständigen Organe der Selbstverwaltung der Rechtsanwaltschaft im Falle eines Datenschutzrechtsverstoßes eines Rechtsanwalts.
Das Anwaltsgericht bejahte mit überzeugenden Argumenten seine eigene Zuständigkeit zur Ahndung von Datenschutzverstößen, die sich gleichzeitig als berufsrechtliche Pflichtverletzungen darstellen. Im Grundsatz erfolge diese Tätigkeit parallel zu der Bewertung durch die zuständige Datenschutzbehörde. Grenze sei lediglich der § 118 Abs. 2 BRAO.
Dies entspricht der gesetzlichen Konzeption, die gerade im § 118 BRAO zum Ausdruck kommt. Der Gesetzgeber hat zwar gesonderte Regelungen für die datenschutzrechtliche Aufsicht über Berufsgeheimnisträger erlassen. Er hat diese Aufsicht jedoch weder den Datenschutzbehörden noch den Rechtsanwaltskammern exklusiv zugewiesen. Anlässlich der Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) ab dem 25.05.2018 und der hierdurch bedingten Reform des BDSG war diskutiert worden, dem besonderen Geheimhaltungsbedürfnis der Rechtsanwaltschaft in Bezug auf die dort verarbeiteten personenbezogenen Daten dadurch Rechnung zu tragen, dass den Rechtsanwaltskammern diesbezüglich die ausschließliche datenschutzrechtliche Aufsicht übertragen wird. Der Gesetzgeber entschied sich dagegen. Der besonderen Interessenlage (Umgang mit sensiblen Daten der Mandanten der Berufsgeheimnisträger) trug er durch die Einführung des § 29 Abs. 3 Satz 1 BDSG n.F. Rechnung. Nach dieser Norm stehen den Aufsichtsbehörden in Bezug auf die in § 203 Abs. 1, 2a und 3 StGB (die Verweisung ist infolge Novellierung des StGB überholt) genannten Personen oder deren Auftragsverarbeitern keine Untersuchungsbefugnisse zu, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Erlangen die Aufsichtsbehörden gleichwohl Kenntnis von geheimhaltungspflichtigen Daten, erlegt § 29 Abs. 3 Satz 2 BDSG n.F. der Aufsichtsbehörde gesetzlich eine gesonderte Geheimhaltungspflicht auf (Uwer in: BeckOK-Datenschutzrecht, 25. Edition, Stand: 01.08.2018, Art. 90 DSGVO Rn. 18 f.).
Im Hinblick auf die materiell-rechtliche Frage, ob das beanstandete Verhalten der Antragstellerin eine Verletzung des Datenschutzrechts darstellte, was das Anwaltsgericht im Einklang mit dem Landesdatenschutzbeauftragten bejahte, fand auf den von dem Anwaltsgericht zu prüfenden Sachverhalt noch das BDSG a.F. und nicht die DSGVO Anwendung. Nachdem das Anwaltsgericht die Schreiben der Antragstellerin lebensnah als Mandatswerbung eingeschätzt hatte, war die datenschutzrechtliche Zulässigkeit abschließend nach § 28 Abs. 3 BDSG a.F. zu bewerten. Eine vollumfängliche Rechtfertigung durch andere Erlaubnistatbestände kam nicht in Betracht (OLG Köln, Urt. v. 17.01.2014 – 6 U 167/13).
Maßgeblich war insoweit, dass die Namen und Adressdaten aus einer nicht öffentlich zugänglichen Quelle entstammten. § 28 Abs. 3 Satz 2 Nr. 1 BDSG a.F. erlaubt nur die Nutzung von Daten für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, wenn diese aus allgemein zugänglichen Adress-, Rufnummern-, Branchen oder vergleichbaren Verzeichnissen erhoben wurden. Als allgemein zugänglich gelten etwa Telefon- und Adressbücher (Simitis, BDSG 2003, 8. Aufl. 2014, § 28 Rn. 239) oder öffentliche Register wie Handels-, Vereins-, Güterrechts- oder Markenrechtsregister; nicht aber solche Datensammlungen, zu denen der Zugang ein berechtigtes oder rechtliches Interesse voraussetzt (Polenz in: Tamm/Tonner, Verbraucherrecht, 2. Aufl. 2016, § 4 C., Rn. 69). Die Insolvenzakte ist ähnlich dem Grundbuch nicht jedermann frei zugänglich.
Die Entscheidung geht konform mit einem Urteil des OLG Naumburg. In einer ähnlichen Konstellation hatte das Oberlandesgericht die Verwendung von Adressdaten durch Rechtsanwälte zur Versendung eines Anschreibens an Fondsgesellschafter als Verstoß gegen § 28 Abs. 1 und 2 BDSG a.F. gewertet. Hierbei ging das OLG Naumburg aus prozessualen Gründen davon aus, dass die personenbezogenen Daten ohne Rechtfertigung von dem Verkäufer der Fondsanteile an die Rechtsanwälte übermittelt worden waren (OLG Naumburg, Urt. v. 10.10.2003 – 1 U 17/03). Somit stammten die Daten auch im dortigen Fall nicht aus einer allgemein zugänglichen Quelle.
Nachdem das BDSG a.F. größtenteils durch die DSGVO abgelöst worden ist, steht noch nicht fest, inwieweit die Entscheidung auf künftige Sachverhalte übertragbar ist. In seiner Entscheidung führte das Anwaltsgericht allerdings in einem obiter dictum aus, dass es nicht von einer Rechtsänderung durch die DSGVO ausgehe. Ob eine Datenverarbeitung zum Zwecke der Direktwerbung eine einem berechtigten Interesse dienende Verarbeitung sei, sei bei Berücksichtigung der vernünftigen Erwartungen der betroffenen Adressaten nicht zu erwarten. Eine wirtschaftliche oder rechtliche Beziehung zwischen der Antragstellerin und den Adressaten ihres Schreibens habe nicht vorgelegen. Die Gläubiger eines Insolvenzverfahrens rechneten auch nicht damit, dass die mit Gericht und Insolvenzverwalter geführte Korrespondenz zum Empfang von Werbung führe.
D. Auswirkungen für die Praxis
Für Rechtsanwälte bedeutet die Entscheidung, dass sie im Falle von Datenschutzverstößen einer doppelten Zuständigkeit unterliegen. Die Rechtsanwaltskammer bleibt für die berufsrechtliche Ahndung zuständig, soweit die Vorwürfe nicht durch die Aufsichtsbehörde bzw. ein Gericht ausgeräumt sind.
Die gestiegene Bedeutung des Datenschutzrechtes dürfte mit der Entscheidung endgültig auch in dem Bereich des anwaltlichen Berufsrechts Einzug gehalten haben. Die Bejahung eines berufsrechtlichen Verstoßes der Antragstellerin begründete das Anwaltsgericht in erster Linie mit einem Verstoß gegen das Datenschutzrecht und erst in zweiter Linie mit dem Verstoß gegen das Sachlichkeits- und Wahrheitsgebot. Soweit erkennbar, handelt es sich dabei um die erste veröffentlichte Entscheidung zum anwaltlichen Berufsrecht, welche die Pflichtverletzung primär auf die Verletzung von Datenschutzrecht stützt.
Das Anwaltsgericht qualifizierte den datenschutzrechtlichen Verstoß explizit als mit der gewissenhaften Berufsausübung und der Stellung des Rechtsanwalts nicht vereinbar. Es postulierte, dass das Datenschutzrecht ein Kernbereich anwaltlicher Pflichten sei. Der Rechtsanwalt habe es strikt zu beachten. Durch die Entscheidung legte das Anwaltsgericht somit einen strengen Maßstab an.
Es sollte aber nicht verkannt werden, dass die Rüge vor allem auch vor dem Hintergrund des als unsachlich gewürdigten Werbungsschreibens erging. Es dürfte damit folglich noch nicht feststehen, dass auch ein isolierter, erstmaliger Datenschutzverstoß außerhalb des Kontexts eines solchen Schreibens Anlass zu einer förmlichen Rüge durch die Rechtsanwaltskammer geben wird.
Mühlhausen
Telefon: 03601 48 32 0
Leinefelde
Telefon: 03605 544 330
Gotha
Telefon: 03621 510 18 60 (RAe)
Telefon: 03621 510 18 00 (StB)
oder schreiben Sie hier eine Mail: