Nicht selten werden die im Zuge der anwaltlichen Tätigkeit verarbeiteten (personenbezogenen) Daten auch an Dritte übermittelt oder diesen jedenfalls zugänglich gemacht. Dies ist nicht selten beim Einsatz von Dienstleistern der Fall, wie etwa im Rahmen eines Wartungsvertrags für die Büro-Drucker, bei der Beauftragung von IT-Dienstleistern oder bei der Nutzung eines Cloud-Speichers bzw. einer Cloud-basierten Anwaltssoftware. Aber auch an die Datenübermittlung an einen Steuerberater, an einen Versanddienstleister oder an eine Bank ist zu denken. Und erst auf den zweiten oder dritten Blick erkennt man weitere mögliche Datenübermittlungen, etwa in Form des Einsatzes von Analyse- bzw. Tracking-Tools, wie z.B. Google Analytics, Etracker oder Facebook Pixel, auf der eigenen Internetseite. Egal wie: Immer dann, wenn Daten einer für die Datenverarbeitung verantwortlichen Stelle (also des Anwalts) aus deren Sphäre an Dritte übermittelt werden, müssen weitere Voraussetzungen erfüllt werden.
Es muss zwischen drei Situationen differenziert werden, und zwar abhängig davon, wie die Konstellation zwischen dem Verantwortlichen als Daten-Übermittler der Daten und dem Dritten als Empfänger der Daten ausgestaltet ist. Hierbei kommen folgende Varianten in Betracht:
- Auftragsverarbeitung (AV),
- gemeinsame Verantwortlichkeit,
- getrennte Verantwortlichkeit.
Zur Orientierung, wann ein AV-Verhältnis vorliegt und wann nicht, kann bspw. die Auslegungshilfe des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) herangezogen werden ( https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Abgrenzung_Auftragsverarbeitung.pdf ). Weitere nützliche Informationen finden sich zudem in der "Orientierungshilfe Auftragsverarbeitung" des BayLDA ( https://www.datenschutz-bayern.de/technik/orient/oh_auftragsverarbeitung.pdf) oder auch im "Kurzpapier Nr. 13" der Datenschutzkonferenz ( https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf ).
1. Auftragsverarbeitung
Als Auftragsverarbeiter wird eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bezeichnet, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Wenn also z.B. ein IT-Dienstleister als "verlängerter Arm" des Anwalts tätig wird und i.R.d. Fehlerbehebung an der Anwaltssoftware notwendigerweise auch Zugriff auf die personenbezogenen Daten der Mandanten hat, dann liegt ein typisches AV-Verhältnis im datenschutzrechtlichen Sinne vor (Art. 28 DSGVO). Weitere typische Beispiele für AV-Verhältnisse sind die folgenden:
- DV-technische Arbeiten für Lohn- und Gehaltsabrechnung,
- Outsourcing mittels Cloud-Computing,
- Werbeadressenverarbeitung in einem sog. Lettershop,
- Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene Entscheidungsspielräume),
- Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen),
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
- Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
- Datenträgerentsorgung durch Dienstleister,
- Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
- Zentralisierung bestimmter "Shared-Services-Dienstleistungen" innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen,
- Apothekenrechenzentren (§ 300 SGB V),
- ärztliche bzw. zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf),
- Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben,
- externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom, Wasser etc.).
Die genannten Beispiele sind nicht abschließend, dienen jedoch der Veranschaulichung der charakteristischen Züge von AV-Verhältnissen. Dagegen liegt bei folgenden Konstellationen regelmäßig kein AV-Verhältnis vor:
- Tätigkeiten von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Ärzte, Apotheker usw.),
- Inkassobüros mit Forderungsübertragung,
- Bankinstitute für den Geldtransfer,
- Postdienste für den Brief- oder Pakettransport,
- Tätigkeit als Verwalter z.B. für Eigentumswohnungen,
- Detektive (bei ihrer Observierungs-, Überwachungs- oder Ausforschungstätigkeit),
- Insolvenzverwalter,
- Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern,
- Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, die sich auf der Plattform treffen können (z.B. eBay, Amazon, MyHammer),
- TKG-Dienstleistungen (z.B. Deutsche Telekom, Vodafone, Telefonica, 1&1),
- Versicherungs- oder Finanzmakler bzw. -vermittler i.R.d. Kundenvertrags,
- Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel,
- medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag),
- Zahlungsdienstleister f...