Revidiertes Datenschutzgesetz: Auswirkungen auf Anwälte

Am 1. September tritt das neue Datenschutzgesetz in Kraft. Der vorliegende Beitrag bietet eine Übersicht über die wichtigsten Folgen für Anwaltskanzleien und zeigt den aktuellen Handlungsbedarf.

Inhalt

Plädoyer 04/2023

10.07.2023

Daniel Kettiger, Rechtsanwalt, Bolligen BE

Am 1. September 2023 treten das neue Bundesgesetz über den Datenschutz (DSG) vom 25. September 2020 und die zugehörigen Verordnungen in Kraft. Sie lösen das Gesetz aus dem Jahr 1992 und dessen zugehörige Verordnungen ab. Dieser Artikel fokussiert sich auf die Folgen des neuen Datenschutzrechts für Anwaltskanzleien. Er beschränkt sich zudem auf das Wesentliche. Wer vertiefte Informationen zum DSG benötigt, findet diese in umfassenden Abhandlungen...

Kostenpflichtiger Artikel

Melden Sie sich bitte an oder wählen Sie eines unserer Print- oder Online-Abos mit kostenloser Rechtsberatung und vielen weiteren Vorteilen.

Abo

Anmelden

Es bestehen allerdings bisher nur wenige Publikationen, die sich mit dem neuen Datenschutzrecht in Anwaltskanzleien befassen,3 ein Branchenverhaltenskodex fehlt. Der Beitrag will hier eine Lücke füllen, dies auch im Hinblick auf die Digitalisierung der Anwaltskanzleien.4 Ungefähr 80 Prozent der Anwälte sind als Einzelfirma oder in kleinen Büros mit zwei bis fünf Anwälten tätig – an diese Zielgruppe richtet sich der Beitrag.

Dabei ist zu beachten, dass die Fragestellungen des Datenschutzes und der Fokus der Datenschutzmassnahmen von der fachlichen Ausrichtung einer Kanzlei und der spezifischen Berufstätigkeit des einzelnen Anwalts abhängen und deshalb immer eine konkrete Risikoanalyse notwendig ist.

1. Die wesentlichen Änderungen

1.1 Vieles bleibt

Das grundsätzliche Regelungskonzept des DSG ist gleich wie jenes des heutigen Datenschutzrechts.5 Insbesondere bleiben die Grundsätze zur Bearbeitung von Personendaten (Artikel 6 DSG) die gleichen.

Für private Unternehmen gilt weiterhin, dass es für die Bearbeitung von Personendaten grundsätzlich weder einer Einwilligung noch eines anderen Rechtfertigungsgrunds bedarf. Letzterer ist nur notwendig, wenn die Bearbeitungsgrundsätze (Artikel 6 und 8 DSG) nicht eingehalten werden, die betroffene Person der Bearbeitung widersprochen hat (Artikel 30 Absatz 2 litera b DSG) oder einem Dritten besonders schützenswerte Personendaten mitgeteilt werden sollen (Artikel 30 Absatz 2 litera c DSG).6 Wie das geltende Recht ist das DSG technologieneutral ausgestaltet.7

1.2 Geltungsbereich

Der persönliche Geltungsbereich umfasst unter dem Begriff des Verantwortlichen weiterhin private Personen (natürliche und juristische) – und damit auch Anwälte und Anwaltsunternehmen – sowie Bundesorgane (Artikel 2 Absatz 1 DSG).

Der sachliche Geltungsbereich des DSG beschränkt sich neu auf Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Juristische Personen werden – wie im EU-Recht – vom Datenschutz künftig ausgeklammert.

Der örtliche Geltungsbereich wird in bestimmten Fällen auf das Ausland ausgedehnt. Das Territorialprinzip wird durch das Auswirkungsprinzip, das beispielsweise schon im Kartellrecht Anwendung findet, ergänzt.

Das Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden (Artikel 3 Absatz 1 DSG).8 Deshalb müssen private Verantwortliche mit Sitz im Ausland in bestimmten Fällen eine Vertretung in der Schweiz haben (Artikel 14 f. DSG).

1.3 Besonders schützenswerte Personendaten

Der Katalog der besonders schützenswerten Personendaten wurde erweitert durch die genetischen und die biometrischen Daten, die eine natürliche Person eindeutig identifizieren (Artikel 5 litera c Ziffer 3 und 4 DSG).

Anstelle der Persönlichkeitsprofile als problematische Art von Personendaten definiert und regelt das neue DSG das Profiling als problematische Art der Bearbeitung der Daten (Artikel 5 litera f DSG). Private dürfen Profiling ohne Einwilligung betreiben, solange die aus dem Profiling entstehenden Daten nicht besonders schützenswerte Personendaten oder von hohem Risiko sind.9

1.4 Verzeichnis der Datenbearbeitung

Neu müssen verantwortliche Bearbeiter von Personendaten ein Verzeichnis der Bearbeitungstätigkeiten führen (Artikel 12 DSG).

1.5 Auftragsbearbeitung

1.6 Datenschutz durch Technik und Voreinstellungen

Neu gelten die beiden Grundsätze «Privacy by Design» und «Privacy by Default». Beim Grundsatz «Privacy by Design» (Artikel 7 DSG) geht es darum, Systeme zur Datenbearbeitung technisch und organisatorisch so auszugestalten, dass sie vor allem den Grundsätzen nach Artikel 6 und 8 DSG genügen. Für die Anwaltskanzlei ist er weitgehend gleichbedeutend mit der Pflicht zur Datensicherheit (Artikel 8 DSG) und fordert, einen technisch und organisatorisch genügenden Datenschutz zu gewährleisten – auch in der Kommunikation mit der Klientschaft.10

«Privacy by Default» (Artikel 7 Absatz 3 DSG) bezieht sich auf die datenschutzrelevanten Einstellungen bei Internetanwendungen und mobilen Apps und verpflichtet den Verantwortlichen, durch geeignete Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.11

1.7 Verletzung der Datensicherheit

Das DSG regelt neu die Meldepflicht bei der Verletzung der Datensicherheit.

1.8 Informationspflicht bei Datenbeschaffung

Die Informationspflichten werden im revidierten DSG deutlich ausgebaut, jedenfalls für private Verantwortliche. Diese mussten die betroffene Person bisher nur informieren, wenn sie besonders schützenswerte Personendaten oder Persönlichkeitsprofile beschaffen. Neu besteht gemäss Artikel 19 DSG bei jeder Beschaffung von Personendaten eine Informationspflicht, soweit keine der Ausnahmen in Artikel 20 DSG greift.12 Für Anwälte entfällt die Informationspflicht gänzlich wegen des Berufsgeheimnisses (Artikel 20 Absatz 1 litera c DSG).

1.9 Folgenabschätzung neu im Gesetz

Das DSG führt neu das Instrument der sogenannten Datenschutz-Folgenabschätzung ein (Artikel 22 DSG).

1.10 Verhaltenskodizes

Eine Neuerung im DSG ist die Möglichkeit von Verhaltenskodizes (Artikel 11 DSG).13 Bezweckt wird eine Förderung der Selbstregulierung. Verhaltenskodizes dienen der (branchenspezifischen) Präzisierung und Standardisierung des DSG. Einem Verhaltenskodex kann auch die Stellung einer Standarddatenschutzklausel im Sinne von Artikel 16 Absatz 2 litera d DSG mit Bedeutung für die Datenbekanntgabe ins Ausland zukommen.

Branchenverbände können dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) einen Verhaltenskodex zur Stellungnahme vorlegen (Artikel 11 Absatz 2 DSG). Die Stellungnahme des Edöb stellt einen Realakt dar. Bei einer positiven Beurteilung durch den Edöb ist davon auszugehen, dass ein dem Verhaltenskodex entsprechendes Verhalten keine Verwaltungsmassnahmen und Sanktionen nach sich ziehen kann.14 Der Schweizerische Anwaltsverband hat es bisher unterlassen, einen Verhaltenskodex für Anwaltskanzleien zu schaffen.

1.11 Strafen und Sanktionen

Die Strafbestimmungen wurden im revidierten DSG deutlich ausgebaut. Einerseits sind nun wesentlich mehr Tatbestände strafbewehrt, andererseits wurde der Bussenrahmen von 10 000 auf 250 000 Franken erhöht. Die Schweizer Bussen richten sich nicht gegen das Unternehmen, sondern gegen die verantwortliche natürliche Person und sie sind nach vorherrschender Auffassung weder versicherbar, noch darf das Unternehmen sie für die natürliche Person bezahlen.15 Allerdings wird nur die vorsätzliche Tatbegehung bestraft. Die strafrechtlichen Sanktionen des DSG sind ein Beispiel völlig fehlgeleiteter, unverhältnismässiger und kaum umsetzbarer Gesetzgebung.

2. Verhältnis zum EU-Recht

Das neue DSG übernimmt nicht einfach das Datenschutzrecht der EU (DSGVO). Es versucht aber, das Datenschutzniveau der Schweiz an jenes der EU anzugleichen. Auch wenn sich das DSG an die DSGVO anlehnt, bestehen doch immer wieder nicht unerhebliche Unterschiede zum EU-Recht.16 Anders als das DSG fordert die DSGVO für jede Bearbeitung von Personendaten eine genügende Rechtfertigung und eine Rechtsgrundlage (Artikel 6, 9 und 10 DSGVO).17

Anwaltskanzleien mit Auslandtätigkeit, welche bereits DSGVO-konform sind, werden in aller Regel auch DSG-konform sein, und es dürfte wenig Handlungsbedarf hinsichtlich der Inkraftsetzung des DSG bestehen. Trotzdem ist eine Überprüfung der DSG-Konformität angezeigt.

3. Wichtigste Umsetzungspunkte

3.1 Grundsätzliches

Das Inkrafttreten des DSG bedingt in jedem Fall in der Anwaltskanzlei konkrete Massnahmen der Umsetzung. Thomas Steiner hat bezüglich der Implementierung des DSG in der Anwaltskanzlei zutreffend folgende Leitfragen formuliert:18

Welche Personendaten bearbeitet die Anwaltskanzlei zu welchen Zwecken?
Von wem erhält sie die Personendaten?
Wie lange speichert die Anwaltskanzlei die Personendaten?
Wie schützt die Kanzlei die Personendaten?
Hat sie die Kontrolle über Auftragsbearbeiter in einem Vertrag schriftlich geregelt?
Hat die Anwaltskanzlei allfällige Datenbekanntgaben ins Ausland abgesichert?

Ausgehend von diesen Fragen ergeben sich die nachfolgenden wichtigsten Umsetzungspunkte und weitere Fragestellungen.

Folgende Umsetzungsmassnahmen sollten in jedem Fall prioritär und vor dem Inkrafttreten des DSG vollzogen sein: das Erstellen und Publizieren einer Datenschutzerklärung, das Erstellen eines Bearbeitungsverzeichnisses sowie die Überprüfung der vertraglichen Situation mit den Auftragsbearbeitern.

3.2 Risikoanalyse

Das neue DSG verfolgt einen risikobasierten Ansatz. Die Gesetzesrevision orientierte sich konsequent an den potenziellen Risiken für die betroffenen Personen, denn die Gefahren für die Privatsphäre der betroffenen Personen hängen weitgehend von den Aktivitäten der verschiedenen Verantwortlichen und Auftragsbearbeiter ab.19 Die Angemessenheit des Schutzstandards bemisst sich nach dem Risiko, das von einer allfälligen Verletzung der Datensicherheit im Sinne von Artikel 5 litera h DSG, namentlich von einer unbeabsichtigten oder widerrechtlichen Offenlegung, Vernichtung oder Veränderung der Personendaten, ausgeht.

Weitere Pflichten zur Gewährleistung des Datenschutzes und der Datensicherheit ergeben sich aus dem Berufsgeheimnis (Artikel 13 BGFA; Artikel 321 StGB) und den beruflichen (Artikel 12 litera a BGFA) wie auch vertraglichen (Artikel 398 Absatz 2 OR) Sorgfaltspflichten.20 Die Datensicherheit ist neu ausdrücklich Bestandteil des Datenschutzes (Artikel 8 DSG), die vorsätzliche Verletzung der Datensicherheit ein Straftatbestand (Artikel 61 litera c DSG).

Entsprechend «müssen Anwaltskanzleien den Schutzbedarf bestimmen und daran sowie am Risiko für betroffene Personen gemessen angemessene Massnahmen festlegen, implementieren, dokumentieren und pflegen».21 Am Anfang der Umsetzung des DSG in der Anwaltskanzlei steht somit üblicherweise eine Risikoanalyse. Wie schon erwähnt, können das Datenschutz- und das Datensicherheitsrisiko abhängig von der fachlichen Ausrichtung einer Kanzlei und der spezifischen Berufstätigkeit des einzelnen Anwalts unterschiedlich hoch sein.

3.3 Verzeichnis der Bearbeitungstätigkeiten

Anwaltskanzleien dürften regelmässig nicht von der sogenannten KMU-Ausnahme (Artikel 12 Absatz 5 DSG in Verbindung mit Artikel 24 DSV) profitieren und zur Führung eines Bearbeitungsverzeichnisses verpflichtet sein, weil sie grössere Mengen von besonders schützenswerten Personendaten bearbeiten, insbesondere bezüglich der Klientendaten.22 Anwaltskanzleien, die einzig für Wirtschaftsunternehmen in der Form juristischer Personen tätig sind und im Bereich der Anwaltstätigkeit weitgehend keine Daten von natürlichen Personen bearbeiten, dürften aber von der Führung des Bearbeitungsverzeichnisses befreit sein.

Ein Bearbeitungsverzeichnis nach Artikel 12 nDSG muss folgende Angaben enthalten und wird vorteilhaft in Tabellenform geführt:

Identität des Verantwortlichen
Bearbeitungszweck
Kategorien betroffener Personen
Kategorien bearbeiteter Personendaten
Kategorien von Empfängerinnen
Aufbewahrungsdauer oder Kriterien für deren Berechnung
Beschreibung der technischen und organisatorischen Datensicherheitsmassnahmen
Angaben zu Empfängerländern und Garantien für Auslandsbekanntgabe (falls zutreffend).

Vorlagen für Bearbeitungsverzeichnisse werden von verschiedenen Wirtschaftsverbänden und Anwaltskanzleien zum Download angeboten. Steiner schlägt ein Bearbeitungsverzeichnis für Anwaltskanzleien mit nur fünf Geschäftsprozessen vor, was für kleine Kanzleien als Zielpublikum des vorliegenden Artikels wohl genügend sein kann: 23

Erbringung von Rechtsdienstleistungen
Leistungserfassung
Rechnungswesen
Marketing und Kommunikation
Personalwesen.

3.4 Regelung der Auftragsbearbeitung

Die Bearbeitung von Personendaten kann vertraglich an einen Auftragsbearbeiter übertragen werden, wenn die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte, und keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet (Artikel 9 Absatz 1 DSG). Notwendig ist eine ausdrückliche (schriftliche) vertragliche Regelung, der sogenannte Auftragsbearbeitungsvertrag. Das schweizerische Recht kennt – im Gegensatz zur DSGVO – keinen gesetzlichen Minimalinhalt, eine Orientierung an Artikel 28 Absatz 3 DSGVO kann jedoch sinnvoll sein.24

Artikel 9 DSG verpflichtet Verantwortliche dazu, die Kontrolle über Auftragsbearbeiter vertraglich sicherzustellen. Sie müssen deshalb die Weisungsgebundenheit (Artikel 9 Absatz 1 litera a DSG) des Auftragsbearbeiters und die Gewährleistung der Datensicherheit (Artikel 9 Absatz 2 DSG) vertraglich absichern.

Im Hinblick auf die Einführung des DSG sind bestehende vertragliche Regelungen mit Auftragsbearbeitern zu überprüfen. Der Verantwortliche muss sich vor allem vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten (Artikel 9 Absatz 2 DSG).

Wer vorsätzlich die Datenbearbeitung an einen Auftragsbearbeiter auslagert, ohne dass die Voraussetzungen nach Artikel 9 Absatz 1 und 2 DSG erfüllt sind, macht sich strafbar (Artikel 61 litera b DSG). Wenn der Verantwortliche die Möglichkeit erkannt hat oder hat erkennen können, dass die gesetzlichen Voraussetzungen für die Auftragsbearbeitung nicht erfüllt sein könnten und er sich damit abgefunden hat, liegt Eventualvorsatz vor.25

Bei dieser Gelegenheit sei erwähnt, dass die Nutzung von Cloud-Lösungen durch Anwaltskanzleien grundsätzlich mit dem Berufsgeheimnis vereinbar und zulässig ist.26 Der Schweizerische Anwaltsverband hat eine entsprechende Wegleitung publiziert.27

3.5 Datenschutzerklärung

Neu besteht gemäss Artikel 19 DSG bei jeder Beschaﬀung von Personendaten eine Informationspflicht, soweit keine der Ausnahmen in Artikel 20 DSG greift.28 Für Anwälte entfällt diese Informationspflicht wegen des Berufsgeheimnisses (Artikel 20 Absatz 1 litera c DSG).29

Da die vorsätzliche Unterlassung der Informationspflichten nach Artikel 19 DSG Straffolgen haben kann (Artikel 60 DSG) und weil die Information der Klientschaft auch eine Pflicht des Vertragsrechts ist, empfiehlt es sich dennoch, die Klientschaft und Dritte über die Datenbeschaffung zu informieren.

Neben der persönlichen Information des Klienten durch den Anwalt, die mündlich oder mittels eines Merkblatts erfolgen kann, bietet sich für die Information nach Artikel 19 Absatz 2 DSG insbesondere eine Datenschutzerklärung an, welche auf der Internetseite der Anwaltskanzlei publiziert wird.30 Die Informationen in dieser Datenschutzerklärung richten sich vor allem an die Klientschaft, die Gegenparteien, die weiteren Geschäftspartner oder Behörden sowie an Dritte, welche die Internetseite besuchen oder mit der Anwaltskanzlei Kontakt aufnehmen.

Zum Mindestinhalt der Datenschutzerklärung gehören neben den Angaben zu Bearbeitungszwecken, die Identität und Kontaktdaten des Verantwortlichen (Artikel 19 Absatz 2 litera a DSG). Dies ist in der Regel die Anwaltskanzlei. Nur bei allein praktizierenden Anwälten ist der jeweilige Anwalt datenschutzrechtlich verantwortlich.31

Weiter sollten Anwaltskanzleien zumindest generell (Kategorienbildung) darüber informieren, wem sie Personendaten bekanntgeben. Letztlich sollten betroffene Personen über die ihnen zustehenden Rechte (Artikel 25 bis 29 DSG) informiert werden.

3.6 Dokumentation

In Streitfällen muss eine Anwaltskanzlei beweisen können, dass sie alle Pflichten erfüllt hat, die einem Verantwortlichen obliegen. Es empfiehlt sich deshalb, alle Datenschutz- und Datensicherheitsmassnahmen zu dokumentieren und zusammen mit dem Bearbeitungsverzeichnis sicher, dauerhaft und mit der Möglichkeit der zeitlichen Rückverfolgung (Historisierung) aufzubewahren.

Anwaltskanzleien müssen weiter sicherstellen, dass sie Betroffenenrechte bei entsprechenden Anfragen korrekt und fristgemäss gewähren oder aber entsprechende Begehren abwehren können.

Es empfiehlt sich deshalb, in einer Prozessbeschreibung zum Umgang mit Betroffenenbegehren festzulegen, wie die Anwaltskanzlei die antragstellende Person identifiziert, die relevanten Personendaten ermittelt und bereitstellt und zusätzlich prüft, inwiefern das Anwaltsgeheimnis einer Auskunft (Artikel 26 Absatz 1 litera a DSG) oder Datenherausgabe (Artikel 29 Absatz 1 DSG) entgegensteht.32

4. Weitere Fragestellungen

4.1 Datenbekanntgabe ins Ausland

Personendaten dürfen im Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staats oder das internationale Organ einen angemessenen Schutz gewährleistet (Artikel 16 Absatz 1 DSG).

Besteht kein amtlich festgestelltes angemessenes Schutzniveau, dürfen Personendaten nur unter den Voraussetzungen von Artikel 16 Absatz 2 und Artikel 17 DSG ins Ausland bekanntgegeben werden. Bei Anwaltskanzleien wird die Bekanntgabe häufig zulässig sein, weil es um die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde geht (Artikel 17 Absatz 1 litera c Ziffer 2 DSG).

Der Königsweg ist jedoch, bei der Klientschaft eine ausdrückliche schriftliche Einwilligung zur Bekanntgabe der Personendaten im konkreten Einzelfall einzuholen. Eine Datenübermittlung ins Ausland ist trotz fehlendem angemessenem Schutzniveau und ohne anderweitige Schutzmassnahmen zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat.33

Zudem wird teilweise empfohlen, zusätzlich mit dem Datenempfänger einen Vertrag abzuschliessen, der der betroffenen Person (in der Regel Klientschaft) Direktansprüche gegen den Datenempfänger im Ausland einräumt.34

4.2 Instrument der Folgenabschätzung

Das neue Gesetz führt das Instrument der Datenschutz-Folgenabschätzung (DSFA) ein (Artikel 22 DSG). Diese Folgenabschätzung ist bei heikleren Datenbearbeitungen heute das Mittel der Wahl, um eine solche aus Sicht der Datenschutz-Compliance zu validieren und zu rechtfertigen.

Im Kern handelt es sich um eine datenschutzrechtliche Selbstbeurteilung von Vorhaben, die aus Sicht des Datenschutzes heikel erscheinen, also wenn von einem «hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person» auszugehen ist.35

Anwaltskanzleien werden selten bis nie eine DSFA durchführen. Es ist aber Pflicht, sich beim Einsatz neuer Systeme oder Dienstleistungen zur Datenbearbeitung zu versichern, dass diese für die vorgesehene Verwendung zertifiziert sind oder eine DSFA durchlaufen haben (Artikel 22 Absatz 5 DSG). Diese Pflicht ergibt sich im Übrigen auch aus Artikel 8 DSG.

4.3 Verletzung der Datensicherheit

«Eine Verletzung der Datensicherheit liegt gemäss Artikel 5 litera h DSG im Wesentlichen dann vor, wenn im Rahmen einer Datenbearbeitung in unvorhergesehener Weise die Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten beeinträchtigt wird und dies dazu führt, dass Personendaten verloren gehen, gelöscht, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden.»36

Solche Vorfälle müssen dem Edöb nur dann gemeldet werden, wenn der Vorfall zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt (Artikel 24 Absatz 1 DSG), d.h. wenn für eine oder mehrere betroffene Personen eine schwere negative Folge mindestens wahrscheinlich oder eine mittelmässige negative Folge sehr wahrscheinlich ist.37

In der Meldung nennt der Verantwortliche mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen sowie vorgesehenen Massnahmen (Artikel 24 Absatz 2 DSG), wobei das Anwaltsgeheimnis zu wahren ist.

Weiter müssen betroffene Personen (in der Regel Klientschaft) informiert werden, wenn es zu ihrem Schutz erforderlich ist oder der Edöb es verlangt (Artikel 24 Absatz 3 DSG). Sind ausser der Klientschaft noch andere Personen betroffen, so dürfen diese in der Regel nicht respektive nur mit dem Einverständnis der Klientschaft informiert werden (Artikel 24 Absatz 5 litera a DSG). Es empfiehlt sich, kanzleiintern eine Prozessbeschreibung für den Umgang mit Datensicherheitsverletzungen bereitzustellen.38

4.4 Recht auf Übertragung, Herausgabe von Daten

Artikel 28 DSG verankert neu ein Recht auf Datenportabilität. Dieses besteht nur bezüglich von Personendaten, welche die betroffene Person selber geliefert hat und (kumulativ) nur dann, wenn der Verantwortliche die Daten automatisiert bearbeitet (Artikel 28 Absatz 1 DSG).

Anwaltskanzleien sind in der Regel davon nicht betroffen. Sie können betroffen sein, wenn sie im Internet im Sinne von Legal Tech Tools mit automatisierten Diensten anbieten – beispielsweise eine automatische Generierung einer Datenschutzerklärung oder einer Ehescheidungskonvention anwenden.

Unabhängig davon haben Anwälte gestützt auf das Auftragsrecht bereits heute ihrer Klientschaft Kopien des Falldossiers sowie alles, was sie von der Klientschaft erhalten haben, herauszugeben.39

5. Schluss

Eine Anwaltskanzlei ist vom neuen Datenschutzrecht in verschiedener Hinsicht betroffen und die Umsetzung der neuen Gesetzgebung bedarf verschiedener Massnahmen. Dass ein vom Edöb geprüfter Verhaltenskodex des Berufsverbands fehlt und dass hinsichtlich der Pflicht zu Bearbeitungsverzeichnis und Datenschutzerklärungen unterschiedliche Auffassungen bestehen, macht die Umsetzung nicht gerade einfacher.

Immerhin scheint über das Vorgehen und die Massnahmen eine gewisse Einigkeit zu bestehen. Und es bleibt zu hoffen, dass der vorliegende Beitrag bei der Umsetzung in den Anwaltskanzleien nützlich sein wird.

1 Vgl. z.B. David Rosenthal, «Das neue Datenschutzgesetz», in: Jusletter vom 16.11.2020.

2 Vgl. z.B. Bruno Baeriswyl / Kurt Pärli / Dominika Blonski (Hrsg.), Datenschutzgesetz, 2. Aufl., Bern 2023.

3 Vgl. z.B. Thomas Steiner, «Neues DSG: Umsetzung und Anwendung in Anwaltskanzleien», in: Anwaltsrevue 10/2022, S. 417 ff.; Deborah Lechtman, «L’obligation de ‹Privacy by Design› en Suisse et son implémentation dans les études d’avocats», in: Anwaltsrevue 10/2020, S. 403 ff.; Daniel Hürlimann / Martin Steiger, «Auf dem Weg zur digitalen Anwaltskanzlei trotz Berufsgeheimnis und Datenschutz», in: Anwaltsrevue 5/2021, S. 199 ff.

4 Vgl. Hürlimann / Steiger, a.a.O., S. 199.

5 Vgl. Rosenthal, a.a.O., Rz. 7.

6 Vgl. ebd., Rz. 7.

7 Vgl. Botschaft zum DSG, BBl 2017, S. 6941, S. 6971.

8 Vgl. Rosenthal, a.a.O., Rz. 88 f.

9 Vgl. Beat Rudin, in: Bruno Baeriswyl / Kurt Pärli / Dominika Blonski (Hrsg.), Datenschutzgesetz, 2. Aufl., Bern 2023, Art. 5, Rz. 48.

10 Dazu ausführlich Lechtman, a.a.O.

11 Vgl. Botschaft zum DSG, BBl 2017, S. 6941, S. 7030.

12 Vgl. Rosenthal, a.a.O., Rz. 92.

13 Dazu ausführlich Rosenthal, a.a.O., Rz. 175 ff.; Laura Kunz, in: Bruno Baeriswyl / Kurt Pärli / Dominika Blonski (Hrsg.), Datenschutzgesetz, 2. Aufl., Bern 2023, Art. 11, Rz. 1 ff.

14 Vgl. Kunz, ebd., Artikel 11, Rz. 17, mit Hinweisen.

15 Vgl. Rosenthal, a.a.O., Rz. 191.

16 Ausführlich dazu Livio di Tria, «Comparaison entre la nLPD et le RGPD», in: www.swissprivacy.law/55, 12.2.2021, mit «tableau conparatif».

17 Vgl. Rosenthal, a.a.O., Rz. 8.

18 Vgl. Steiner, a.a.O., S. 417.

19 Vgl. Botschaft zum DSG, BBl 2017, S. 6941, S. 7030.

20 Vgl. Steiner, a.a.O., S. 417 f.

21 Steiner, a.a.O., S. 418.

22 Anderer Auffassung Steiner, a.a.O., S. 418.

23 Vgl. Steiner, a.a.O., S. 419, 2mit zahlreichen Erläuterungen.

24 In diesem Sinne auch Steiner, a.a.O., S. 420, und Rosenthal, a.a.O., Rz. 59.

25 Vgl. Wolfgang Wohlers, in: Bruno Baeriswyl / Kurt Pärli / Dominika Blonski (Hrsg.), Datenschutzgesetz, 2. Aufl., Bern 2023, Art. 61, Rz. 11.

26 Vgl. Christian Schwarzenegger / Florent Thouvenin / Burkhard Stiller, «Nutzung von Cloud-Diensten durch Anwältinnen und Anwälte», Schriften aus dem ITSL, Band 4, Zürich 2019; Benoît Chappuis / Adrien Alberini, «Secret professionelle de l’avocat et solutions cloud», in: Anwaltsrevue 8/2017, S. 342 f.; BGer 2C_1083/2017 vom 4.6.2019, E. 7.4 und 7.5.

27 Schweizerischer Anwaltsverband (Hrsg.), «SAV-Wegleitung für IT-Outsourcing und Cloud-Computing», Vorstandsbeschluss vom 11.11.2022, digital.sav-fsa.ch/digitale-kanzlei-nutzung-von-clouddiensten.

28 Vgl. Rosenthal, a.a.O., Rz. 92.

29 Anderer Auffassung offenbar Steiner, a.a.O., S. 420 f.

30 Vgl. Steiner, a.a.O., S. 420, und Rosenthal, a.a.O., Rz. 99 ff.

31 Vgl. Steiner, a.a.O., S. 420.

32 In diesem Sinne auch Steiner, a.a.O., S. 422.

33 Vgl. Sandra Husi-Stämpfli, in: Bruno Baeriswyl / Kurt Pärli / Dominika Blonski (Hrsg.), Datenschutzgesetz, 2. Aufl., Bern 2023, Art. 17, Rz. 3.

34 Vgl. Steiner, a.a.O., S. 422.

35 Vgl. Rosenthal, a.a.O., Rz. 148.

36 Rosenthal, a.a.O., Rz. 161.

37 Vgl. Rosenthal, a.a.O., Rz. 162.

38 In diesem Sinne auch Steiner, a.a.O., S. 422.

39 Vgl. Walter Fellmann, Anwaltsrecht, 2. Aufl., Bern 2017, S. 474 ff.