Wer ist eigentlich für die Datenverarbeitungen verantwortlich? Diese, dem Grunde nach so einfach lautende Frage stellt Datenschützende nicht selten vor Schwierigkeiten. In der Praxis lässt sich auf den ersten Blick gar nicht so leicht beantworten wer sich für eine konkrete Verarbeitung personenbezogener Daten verantwortlich zeichnet und bedarf daher unter Umständen einer vertieften Prüfung. Das längst nicht alle datenschutzrechtlichen Verantwortlichkeiten klar sind zeigt auch das Urteil des Verwaltungsgerichts Wiesbaden vom 19.1.2022 – Az.: 6 K 361/21.WI. Das Gericht hat sich mit der Frage der datenschutzrechtlichen Zulässigkeit bei der Verwendung von Gesundheitsdaten im Rahmen der Vorträge von Rechtsanwältinnen und Rechtsanwälten in Gerichtsverfahren auseinandersetzen müssen. Mit dem Inhalt des Urteils, den Entscheidungsgründen und der Bedeutung für die Praxis beschäftigt sich der nachfolgende Beitrag.
Worum geht es?
Ursprünglich stritten die Parteien über arbeitsrechtliche Fragestellungen. Im Verlauf der Auseinandersetzung wurde zudem eine datenschutzrechtliche Komponente eingestreut, da die Arbeitnehmerseite die Ansicht vertrat, dass die prozessführende Rechtsanwältin des Arbeitgebers nicht zur Verwendung der Gesundheitsdaten des Arbeitnehmers im Prozess berechtigt gewesen sei. Konkrete hatte das Verfahren die Verwertung von vertraulichen Informationen aus einem Gespräch des betrieblichen Eingliederungsmanagements (beM) nach § 167 SGB IX zum Gegenstand. In dem arbeitsgerichtlichen Verfahren trug die Rechtsanwältin des Arbeitgebers unter anderem vor, dass im Rahmen des beM-Gesprächs eine mögliche Wiedereingliederung des Klägers, die Wiederaufnahme seiner Beschäftigung, ein ärztliches Attest und die Möglichkeit der Einrichtung eines Telearbeitsplatzes besprochen worden seien. Das Arbeitsgericht wies die Klage ab. Der Kläger legte anschließend Berufung ein und wandte sich zudem mit einer Beschwerde gegen die Verstöße der Rechtsanwältin durch den Vortrag der Gesundheitsdaten aus dem Arbeitsgerichtsprozess an die zuständige Datenschutzaufsichtsbehörde des Landes Niedersachsen.
Gegenstand der Beschwerde war die unbefugte Erhebung, Speicherung und Verwendung von höchstpersönlichen personenbezogenen, insbesondere gesundheitlichen und seine Schwerbehinderung betreffenden Daten. Die Rechtsanwältin habe sowohl mündlich in den Gerichtsterminen als auch in den eingereichten Schriftsätzen an das Arbeitsgericht mehrfach und umfangreich ohne die Zustimmung des Klägers aus dem beM- Gespräch zitiert. Die Aufsichtsbehörde folgte den Ausführungen nicht und teilte dem Kläger mit, dass die Verarbeitung personenbezogener Daten durch die Rechtsanwältin aus datenschutzrechtlicher Sicht nicht zu beanstanden sei. Weiter heißt es, die Verarbeitung personenbezogener Daten müsse nicht zwangsläufig auf die Einwilligung der betroffenen Person gestützt werden. Es solle durch den Datenschutz nicht bezweckt werden, dass die Rechtspflege zum Erliegen komme. Der Kläger habe selbst entsprechende personenbezogene Daten in den arbeitsgerichtlichen Prozess eingeführt, gegen die sich die Arbeitgeberin zu verteidigen habe. Dies begründe die Erforderlichkeit, konkrete Gesundheitsdaten zu verarbeiten, da sich andernfalls das Risiko, den Prozess zu verlieren, signifikant erhöhe. Gegen den Bescheid erhob der Kläger schließlich Klage vor dem VG Wiesbaden.
Was hat das Gericht entschieden?
Das VG Wiesbaden wies die Klage ab. Die Datenverarbeitung durch die Rechtsanwältin war und ist rechtmäßig zulässig. Nach Ansicht des Gerichtes sind Rechtsanwältinnen und Rechtsanwälte hinsichtlich ihres Vortrages in Gerichtsverfahren Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO. Hiernach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Rechtsanwälte sind nach § 1 Bundesrechtsanwaltsordnung (BRAO) unabhängige Organe der Rechtspflege. Der Rechtsanwalt ist gemäß § 3 Abs. 1 BRAO der berufene unabhängige Berater und Vertreter in allen Rechtsangelegenheiten. In dieser Eigenschaft verarbeitet er regelmäßig personenbezogene Daten im Rahmen des Mandats. Es handelt sich hierbei um eine berufsständisch verankerten unabhängige Tätigkeit. Rechtsanwältinnen und Rechtsanwälte sind daher datenschutzrechtlich selbst als Verantwortliche einzuordnen. Rechtsanwältinnen und Rechtsanwälte tragen selbst die Verantwortung für den Inhalt der Schriftsätze hinsichtlich Gestaltung und Haftung. Mithin entscheiden sie auch über den Zweck der Datenverarbeitung beim Inhalt des Vortrages.
Darüber hinaus war die gegenständliche Datenverarbeitung nach Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO i.V.m. Art. 9 Abs. 2 lit. f) DS-GVO auch rechtmäßig. Dies ist der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. In Betracht kommen hierbei rechtliche, wirtschaftliche oder ideelle Interessen. Im vorliegenden Fall liegt das Interesse der Rechtsanwältin laut Gericht darin, die vertragliche Verpflichtung mit ihrem Mandanten, der Arbeitgeberin, zu erfüllen. Dies umfasst die Prozessvertretung im arbeitsgerichtlichen Verfahren sowie entsprechende Vorträge. Die Rechtsanwältin erklärte sich zudem nicht im eigenen Namen über die Daten des Klägers, sondern als Vertreterin und im Namen der Partei über die ihr vom Mandanten zugetragenen Tatsachen. Bei den Äußerungen einer Rechtsanwältin oder eines Rechtsanwaltes im Prozess handelt es sich um Parteivortrag. Die Tätigkeit wäre unmöglich, wenn er nicht grundsätzlich das vortragen dürfte, was der Mandant mitteilt. Es besteht vielmehr sogar die Gefahr der Anwaltshaftung, wenn entgegen § 138 Abs. 2, Abs. 3 Zivilprozessordnung nicht der Vortrag der gegnerischen Partei bestritten und der Sachverhalt aus der Perspektive des Mandanten darstellt wird.
Auch die im Rahmen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO vorzunehmende Interessenabwägung zwischen dem berechtigten Interesse des Verantwortlichen bzw. einem Dritten (hier der Mandantschaft) an der Verarbeitung und dem Interesse des Klägers an der Vertraulichkeit seiner Daten geht nach Ansicht des VG Wiesbaden zu Gunsten der Rechtsanwältin aus. Die von der Rechtsanwältin verwendeten Daten sind weder falsch noch durch diese in rechtswidriger Weise beschafft. Gleiches gilt für die Gesundheitsdaten des Klägers, deren Verarbeitung nach Art. 9 Abs. 1 DS-GVO grundsätzlich untersagt ist. Nach Art. 9 Abs. 2 lit. f) DS-GVO gilt das Verbot dann nicht, wenn die Verarbeitung […] zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich [ist]. Diese Norm dient der Sicherung des Justizgewährleistungsanspruchs. Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung besonderer Kategorien personenbezogener Daten, hier sensitiver Gesundheitsdaten, durchsetzen, so soll es hieran nicht scheitern. Das Datenschutzrecht soll die Durchsetzung von Rechten nicht unmöglich machen. Gleiches gilt vor dem Hintergrund der Waffengleichheit und des effektiven Rechtschutzes auch für die Abwehr von Ansprüchen.
FAZIT
Der Entscheidung des VG Wiesbaden kommt auf den ersten Blick unscheinbar daher, besonders für Rechtsanwältinnen und Rechtsanwälte dürfte sich allerdings eine hohe Praxisrelevanz entfalten. Zum einen führt das VG Wiesbaden in klarer Anwendung des Art. 4 Nr. 7 DS-GVO die Bestimmung des datenschutzrechtlich Verantwortlichen durch. Dieser kann mit Blick auf die Inhalte der Schriftsätze und Vorträge im Rahmen gerichtlicher Verfahren nur die prozessführende Rechtsanwältin bzw. der prozessführende Rechtsanwalt sein.
Darüber hinaus wird für Klarheit hinsichtlich der gegebenenfalls erforderlichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DS-GVO der Gegenseite gesorgt. Das Datenschutzrecht kann und will in diesen Konstellationen kein Hindernis für die legitime Rechtsdurchsetzung sein. Dieses Ergebnis muss insofern zwingend sein, als dass die Anwaltschaft ihre Stellung als unabhängiges Organ der Rechtspflege einnehmen kann. Im Rahmen einer möglicherweise erforderlichen Interesseabwägung bei der Datenverarbeitung ist jedoch stets auf die Eingriffsintensität und die Sensibilität der konkret zu verarbeitenden Daten zu achten. Von der Datenverarbeitung dürften nur solche personenbezogenen Daten erfasst werden, deren Vortrag für die gerichtliche Entscheidung letztendlich inhaltlich erforderlich sind. Zu berücksichtigen wird auch sein, ob der Betroffene vielleicht selbst die Daten in den Prozess eingebracht hat.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
