Eine beachtliche Entscheidung des Landgerichts Bonn. Soweit ersichtlich, ist dies die erste veröffentlichte Entscheidung, in der ein Gericht feststellt, dass ein Rechtsanwalt seinem Mandanten eine vollständige Datenauskunft nach Art. 15 DSGVO einschließlich der relevanten Kopien erteilen muss. Damit ist das Offensichtliche ausgesprochen. Während es unter Geltung des alten BDSG noch umstritten war, inwieweit die datenschutzrechtlichen Vorschriften des BDSG auch für Rechtsanwälte galten, besteht nach Inkrafttreten der DSGVO kein Zweifel mehr: Rechtsanwälte müssen sich bei der Bearbeitung ihrer Mandate an die DSGVO halten. Das bringt Probleme mit sich: Die Regelungen der DSGVO sind nicht wirklich gut auf das anwaltliche Berufsrecht abgestimmt. Mehr noch: Die datenschutzrechtlichen Vorschriften können die Wertungen der zwischen den Interessen von Mandant und Rechtsanwalt austarierten berufsrechtlichen Regelungen verschieben. Das zeigt auch die Entscheidung des Landgerichts Bonn: Der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO reicht weiter als der zivilrechtliche Anspruch des Mandanten nach §§ 675, 667 BGB i. V. m § 50 BRAO auf Herausgabe der Handakte. Der datenschutzrechtliche Anspruch auf Überlassung einer Kopie der Daten umfasst grundsätzlich alle Unterlagen, die einen irgendwie gearteten Personenbezug haben. Dazu zählen erst einmal auch interne Vermerke des Rechtsanwalts und sämtliche E-Mail-Korrespondenz. Das sieht nicht nur das Landgericht Bonn so. Der Bundesgerichtshof hat unlängst zu einer Auskunftsklage gegen eine Versicherung bestätigt, dass der datenschutzrechtliche Auskunftsanspruch weit reicht. Der Rechtsanwalt kann sich auch nicht darauf berufen, der Mandant habe ihm die datenschutzrechtlich relevanten Unterlagen selbst zur Verfügung gestellt. Genauso unbeachtlich ist, ob der Mandant bereits Kenntnis von allen erforderlichen Informationen hat. Solche Ausnahmen kennt der datenschutzrechtliche Auskunftsanspruch nicht. Allenfalls kann der Rechtsanwalt nach Art. 12 Abs. 5 DSGVO bei „exzessiven“ Anträgen verweigern, Auskunft zu erteilen. Dies ist insbesondere dann der Fall, wenn der Mandant seinen Auskunftsanspruch wiederholt geltend macht. Eine Abwehr gefühlt querulatorischer Anfragen ist mit der Regelung indes schwerlich möglich. Eine andere Norm kann dem Rechtsanwalt indes helfen: Nach Art. 23 DSGVO i. V. m § 29 Abs. 1 Satz 2 BDSG besteht kein Recht auf Auskunft, soweit dadurch Informationen offenbart werden, die ihrem Wesen nach wegen den überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen. Darauf wird sich ein Rechtsanwalt hinsichtlich interner Vermerke berufen können, jedenfalls soweit sie die eigene Einschätzung zum Mandanten und dessen Schilderungen des Sachverhalts enthalten. Offen ist, ob der Rechtsanwalt das zu seinen Gunsten erweiterte Zurückbehaltungsrecht nach § 50 Abs. 3 BRAO ohne weiteres auch dem datenschutzrechtlichen Auskunftsanspruch entgegenhalten kann. Hierfür dürften gute Gründe sprechen; sicher ist dies indes nicht. Für Rechtsanwälte ist wichtig, zu wissen, dass der datenschutzrechtliche Auskunftsanspruch enge Fristen kennt. Der Anwalt muss seinem Mandanten die Auskunft samt Datenkopien nach Art. 12 Abs. 3 DSGVO grundsätzlich innerhalb eines Monats zur Verfügung stellen. Diese Frist kann zwar um zwei Monate verlängert werden, wenn dies aufgrund der Komplexität des Antrags erforderlich ist. Darauf wird sich der Rechtsanwalt indes nur selten berufen können. Datenschutzverstöße können sich für den Rechtsanwalt in mehrfacher Hinsicht ungünstig auswirken: Zum einen kann dies Sanktionen der Datenschutzbehörden nach sich ziehen; unter Umständen kann ein Datenschutzverstoß über die Transportnorm des § 43 BRAO aber auch zusätzlich einen Berufsrechtsverstoß darstellen. Viel schwerwiegender ist allerdings, dass dem Mandanten wegen des Datenschutzverstoßes gegebenenfalls ein Schadensersatzanspruch nach Art. 82 DSGVO gegen den Rechtsanwalt zustehen kann. Dabei geht es nicht nur um Vermögensschäden, die der Mandant in den seltensten Fällen erleiden wird. Nach Art. 82 DSGVO sind dem Mandanten auch immaterielle Schäden zu erstatten. Derzeit ist umstritten, wann ein immaterieller Schaden im Sinne der Vorschrift vorliegt. Anders formuliert: Es ist umstritten, ob die Vorschrift des Art. 82 DSGVO eine Bagatellgrenze kennt. Oder ob gilt: Datenschutzverstoß gleich Schaden? Diese Frage liegt derzeit dem europäischen Gerichtshof zur Vorabentscheidung vor. Im konkreten Fall hat das Landgericht Bonn einen Schadensersatzanspruch abgelehnt. Art. 82 DSGVO betreffe nur Schäden, die aufgrund einer nicht datenschutzkonformen Verarbeitung von Daten entstehen. Ein Verstoß gegen die datenschutzrechtlichen Informationspflichten löse demgegenüber keine Schadensersatzansprüche aus. Diese Feststellung ist erfreulich; aber umstritten. So hat beispielsweise das Arbeitsgericht Düsseldorf einem Kläger 5.000,00 Euro als immateriellen Schadensersatz zugesprochen, weil das beklagte Unternehmen einem ehemaligen Mitarbeiter nur verspätet und unvollständig Auskunft erteilt hatte. Kurzum: Rechtsanwälte sind gut beraten, datenschutzrechtliche Vorgaben aus der DSGVO ernst zu nehmen. Dabei mag zwar einiges im Detail nicht vollständig geklärt sein. Klar ist aber: Wenn der Mandant seinen AusRechtsprechungsübersicht KammerMitteilungen RAK Düsseldorf 4/2021 81
RkJQdWJsaXNoZXIy ODUyNDI0