I. Einführung
Als in Deutschland niedergelassener Rechtsanwalt mag man sich denken: "Was habe ich mit Datenübermittlungen außerhalb der Europäischen Union zu tun?" Diese Frage ist auch nicht ganz unberechtigt, denn in aller Regel bleiben alle Daten im Inland – natürlich mit Ausnahme der Mandate, bei denen etwa die Gegenpartei im Ausland sitzt. Aber dies dürfte für die Mehrheit der hierzulande tätigen Anwälte vermutlich eher die Ausnahme als die Regel sein. Abgesehen von großen, international aufgestellten Kanzleien haben deutsche Anwälte wohl nicht so oft mit Sachverhalten zu tun, die einen Bezug zum Nicht-EU-Ausland haben, wenn man einmal von solchen mit Internetbezug absieht. Und doch dürften nicht gerade wenige Kollegen davon betroffen sein, dass jedenfalls Teile der anwaltlichen Daten ins Ausland übermittelt werden, nicht selten auch in sog. unsichere Drittstaaten, wie bspw. die USA. Um zu verstehen, warum die Übermittlung insb. von personenbezogenen Daten in Nicht-EU-Staaten äußerst problematisch sein kann, muss man zunächst ein paar Grundlagen des Datenschutzrechts kennen.
II. Verarbeitung von Daten mit Personenbezug
Alle Informationen, die ein Anwalt im Rahmen seiner beruflichen Tätigkeit erhebt, speichert oder in sonstiger Weise verarbeitet, unterliegen seiner beruflichen Schweigepflicht (§ 43a Abs. 2 BRAO). Parallel dazu muss aber auch das Datenschutzrecht beachtet werden, und zwar immer dann, wenn es um Daten mit Bezug zu natürlichen Personen geht. Daten von juristischen Personen, wie etwa Bilanzen, werden hingegen nicht erfasst, dafür gibt es anderweitige Regelungen (z.B. das GeschGehG). Die zentralen Regelwerke im Datenschutz, DSGVO und BDSG, sind also immer dann einschlägig, wenn es um personenbezogene Daten geht. Dabei handelt es sich gem. Art. 4 Nr. 1 DSGVO um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person oder Betroffener) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insb. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Der Begriff der personenbezogenen Daten ist mithin sehr weit gefasst, sodass ihm nicht nur bspw. Name, Anschrift, Kontaktdaten, Bankverbindung oder Geburtsdatum unterfallen, sondern u.a. auch Kfz-Kennzeichen oder IP-Adressen. Letztere sind sozusagen die Anschriften von Computern in einem Netzwerk bzw. von Zugangspunkten zum Internet. Ohne sie würde die Übermittlung von Daten und im Grunde das Internet oder auch der E-Mail-Verkehr nicht funktionieren. Eine typische IP-Adresse sieht etwa wie folgt aus: 62.140.23.35. Sie besteht aus einer Kombination von Ziffern oder auch Buchstaben und lässt nicht ohne Weiteres erkennen, welchem Computer bzw. welchem Internetzugang sie zugeordnet ist, geschweige denn, welche Person sich dahinter verbirgt. Aber der Internetanbieter, z.B. Vodafone oder Telekom, hat die Möglichkeit herauszufinden, welche IP-Adresse zu welchem Zeitpunkt welchem Anschlussinhaber zugeordnet ist. Das reicht aus, um einen Personenbezug und damit die Anwendbarkeit des Datenschutzrechts zu bejahen.
Denjenigen, der die Daten der betroffenen Person verarbeitet, bezeichnet Art. 4 Nr. 7 DSGVO als Verantwortlichen (oder auch verantwortliche Stelle). In Bezug auf die datenschutzrechtliche Verantwortlichkeit kommt es nicht auf Organisationsform, Umsatz, Mitarbeiteranzahl o.ä. an, verantwortlich i.d.S. sind also alle Anwälte, vom Einzelkämpfer über die kleine Sozietät bis hin zur internationalen Großkanzlei.
Und da heutzutage wohl so ziemlich jede Kanzlei mit ihrer eigenen virtuellen Visitenkarte und/oder einem Profil in den sozialen Medien vertreten ist, muss auch online stets das Datenschutzrecht Beachtung finden. Denn über die anwaltlichen Online-Präsenzen werden insb. auch die IP-Adressen der Online-Besucher bzw. -Nutzer erfasst. Hinzu kommen eventuell noch weitere (personenbezogene) Daten, die z.B. im Rahmen einer Mitteilung über ein Online-Kontaktformular oder via E-Mail an den Anwalt übermittelt werden. Ebenso ist es mittlerweile nicht ungewöhnlich, dass personenbezogene Daten aus der anwaltlichen Sphäre etwa zum Datenaustausch oder als Daten-Backup in einen Cloud-Speicher gelangen. Auf der einen Seite sicherlich im konkreten Anwendungsfall sinnvoll, auf der anderen Seite datenschutzrechtlich nicht ganz unproblematisch. Denn das Datenschutzrecht hat vergleichsweise hohe Voraussetzungen für die Verarbeitung personenbezogener Daten.
Nach Maßgabe von Art. 5 Abs. 1 lit. a) DSGVO gilt der Rechtmäßigkeitsgrundsatz, also ein Verbot mit Erlaubnisvorbehalt. Jegliche Verarbeitung personenbezogener Daten ist untersagt, es sei denn, sie ist im Einzelfall erlaubt. Es muss daher für jede einzelne Datenverarbeitung stets eine taugliche Rechts...