Je nachdem, welche der drei genannten Konstellationen vorliegt, müssen unterschiedliche Voraussetzungen erfüllt werden. Vergleichsweise simpel gestaltet sich die Sachlage, in der zwei separat Verantwortliche aufeinandertreffen. Dabei handelt es sich oftmals um eher zufällige Konstellationen, wie im Beispiel mit dem Briefversand per Post. Bei einer solchen getrennten Verantwortlichkeit ist datenschutzrechtlich nichts weiter zu beachten, außer dass beide verantwortliche Stellen selbstverständlich jeweils eine Rechtsgrundlage vorweisen müssen, auf deren Basis sie eine rechtskonforme Datenverarbeitung vornehmen. Ein Anwalt wird übrigens regelmäßig als eigener Verantwortlicher tätig und nicht etwa als Auftragsverarbeiter, da er aufgrund seines Berufsrechts – wie z.B. ein Steuerberater auch – grds. weisungsfrei agiert (vgl. § 1 BRAO oder § 11 Abs. 2 StBerG). Liegt hingegen eine gemeinsame Verantwortlichkeit vor, muss eine sog. Joint-Controllership-Vereinbarung nach Art. 26 DSGVO geschlossen werden. Besteht ein AV-Verhältnis, ist entsprechend ein AV-Vertrag mit den von Art. 28 Abs. 3 DSGVO geforderten Inhalten notwendig. Kommt es zu einer Fehleinschätzung, indem etwa der Betrieb einer Facebook-Fanpage als AV-Verhältnis oder die Beauftragung eines Webhosting-Anbieters als gemeinsame Verantwortlichkeit gewertet wird, so liegen dann vermutlich auch die jeweils falschen vertraglichen Vereinbarungen vor. Das wiederum würde dazu führen, dass die Datenübermittlung vom Verantwortlichen auf den Dritten unrechtmäßig erfolgt. Das gleiche gilt, wenn die Konstellation zwar richtig eingestuft, aber – warum auch immer – kein entsprechender Vertrag geschlossen wird.
Aus datenschutzrechtlicher Sicht muss bei der Datenübertragung an Dritte zunächst eine zweistufige Prüfung erfolgen:
- Im ersten Schritt ist zu klären, ob die Verarbeitung der (personenbezogenen) Daten durch die verantwortliche Stelle (also durch den Anwalt) auf einer passenden Rechtsgrundlage fußt. Aufgrund des Rechtmäßigkeitsprinzips im Datenschutzrecht muss ohnehin immer eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten vorliegen, unabhängig davon, ob die Daten "nur" vom Verantwortlichen verarbeitet oder auch an Dritte übertragen werden.
- Im zweiten Schritt gilt es dann Im Falle einer Datenübermittlung, die betreffende Konstellation korrekt einzuordnen und eine eventuell erforderliche Vereinbarung zwischen den beteiligten Parteien zu treffen.
Praxistipp:
Egal, ob die Daten aus der Sphäre des Anwalts auf in Deutschland ansässige Dritte oder auf solche mit Sitz im Ausland übermittelt werden, es empfiehlt sich stets, eine Übersicht anzufertigen. Diese kann z.B. als Excel-Tabelle angelegt werden, in der die erste Spalte die Angaben zu allen Dritten enthält, an die der Anwalt Daten überträgt (Steuerberater, Hausbank, Webhoster, IT-Dienstleister, Cloud-Speicher, Anwaltssoftware-Anbieter etc.). In der zweiten Spalte der Tabelle sollte dann jeweils angegeben werden, ob es sich um ein AV-Verhältnis, um eine gemeinsame oder um eine getrennte Verantwortlichkeit handelt. In einer dritten Spalte kann dann noch jeweils angegeben werden, ob ein entsprechender AV- bzw. Joint-Controllership-Vertrag besteht.