Datenschutz gleich Mandantenschutz?

Rechtsanwältin Dr. Giuliana Schreck hat im Rahmen ihrer Fortbildungsveranstaltung „Datenschutz gleich Mandantenschutz?“ am 6. November 2025 die rechtlichen Grundlagen des Datenschutzes vorgestellt und die Pflichten, die Verteidiger:innen treffen, erläutert sowie aufgezeigt, welche Konsequenzen bei Pflichtverletzungen drohen.

Datenschutzrechtliche Grundlagen

Das Datenschutzrecht schützt alle personenbezogenen Daten, d.h. alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Nicht geschützt sind hingegen anonyme Daten.  

Die datenschutzrechtlichen Vorschriften sind in verschiedenen Gesetzen enthalten. Die Basis dieses Regelungskonstrukts stellt die Datenschutzgrundverordnung (DSGVO) dar. Die DSGVO genießt als EU-Verordnung Anwendungsvorrang gegenüber nationalen Rechtsvorschriften. Das bedeutet, dass diese den Regelungen in der DSGVO nicht widersprechen dürfen und nur in den Bereichen Ergänzungen treffen dürfen, die die DSGVO offenlässt oder für die sie nationale Ergänzungen erlaubt. Solche ergänzenden Vorschriften finden sich im Bundesdatenschutzgesetz (BDSG) und den Datenschutzgesetzen der Länder sowie in Spezialgesetzen.

Spezialgesetze, die datenschutzrechtliche Vorschriften für Verteidiger:innen enthalten, sind insbesondere die Bundesrechtsanwaltsordnung (BRAO) und die Berufsordnung für Rechtsanwält:innen (BORA). Diese Vorschriften gehen denen des BDSG vor (§ 1 Abs. 2 S. 3 BDSG). Die Landesdatenschutzgesetze enthalten keine Vorschriften für Verteidiger:innen. 

Datenschutzrechtliche Akteur:innen

Welche datenschutzrechtlichen Rechte und Pflichten einer Person zukommen, hängt von ihrer Rolle in der konkreten datenschutzrechtlichen Beziehung ab.

Die natürliche Person, auf die sich das in Rede stehende Datum bezieht, wird als betroffene Person bezeichnet (Art. 4 Nr. 1 DSGVO). Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung dieses personenbezogenen Datums entscheidet, bezeichnet man als Verantwortliche:r (Art. 4 Nr. 7 DSGVO). Bedient sich diese zur Verarbeitung der Daten einer anderen natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle, wird diese als Auftragsverarbeiter:in bezeichnet (Art. 4 Nr. 8 DSGVO). 

Hinsichtlich des Kanzleialltags der:des Verteidiger:in verteilen sich die Rollen i. d. R. wie folgt:

• Verteidiger:in: Verantwortliche:r für die Verarbeitung von Daten der Mandant:innen, Angestellten und Zeug:innen
• Mandant:in: betroffene Person
• Angestellte: betroffene Personen
• Zeug:in: betroffene Person
• Cloud-Anbieter:innen und E-Mail-Provider: Auftragsverarbeiter:in

Diese Rollen sind fluide. Ein und dieselbe Person kann in einem Kontext Verantwortliche:r und in einem anderen Kontext betroffene Person sein. Ein:e Verteidiger:in ist etwa im Hinblick auf die personenbezogenen Daten seiner Mandant:innen Verantwortlicher. Bei der Verarbeitung der eigenen Daten im Rahmen einer Online-Bestellung ist die:der Verteidiger:in hingegen betroffene Person. 

Haftung der:des Verantwortlichen für Datenverstöße

Die:der Verantwortliche und die Auftragsverarbeiter:innen sind Adressat:innen von Pflichten, die einen effektiven Datenschutz gewährleisten sollen. Die Pflichtenadressat:innen können auf unterschiedliche Weise für Pflichtverstöße haftbar gemacht werden. Zunächst kann die zuständige Datenschutzbehörde Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO, wie etwa einen Hinweis auf den Pflichtverstoß oder eine Verwarnung, veranlassen. Zur Wahrung des Schutzes des Mandatsgeheimnisses haben die Datenschutzbehörden gegenüber Verteidiger:innen allerdings nur eingeschränkte Untersuchungsbefugnisse (vgl. § 29 Abs. 3 BDSG). Die Datenschutzbehörden können bei Verstoß gegen die in Art. 83 Abs. 5 DSGVO genannten Vorschriften aber auch eine Geldbuße in Höhe von bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes verhängen. § 42 Abs. 1 BDSG stellt zudem die gewerbsmäßige Zugänglichmachung von nicht allgemein zugänglichen personenbezogenen Daten einer großen Zahl von Personen unter Strafe. Des Weiteren stellt § 42 Abs. 2 BDSG die unberechtigte Verarbeitung und das Erschleichen personenbezogener Daten durch unrichtige Angaben in Bereicherungs- oder Schädigungsabsicht unter Strafe. Im Fall von Verteidiger:innen besteht darüber hinaus die Gefahr einer Strafbarkeit wegen der Verletzung von Privatgeheimnissen gemäß § 203 Abs. 1 Nr. 3 StGB.

Datenschutzrechtliche Pflichten

Rechtsanwältin Schreck stellte die wesentlichen Pflichten vor, die Verteidiger:innen im Umgang mit personenbezogenen Daten treffen. Diese sind:

• die Überprüfung, ob für jede Datenverarbeitung eine Rechtsgrundlage besteht
• die Überprüfung der Voraussetzungen für die Offenbarung von personenbezogenen Daten gegenüber Dritten
• Transparenzpflichten
• die Schaffung von Prozessen zur Erfüllung von Betroffenenrechten
• Technische und organisatorische Maßnahmen

Rechtsgrundlage für Verarbeitung prüfen

Personenbezogene Daten dürfen nur verarbeitet, wenn für die konkrete Verarbeitung eine Rechtsgrundlage besteht (vgl. Art. 6 Abs. 1 DSGVO). Daher müssen Verteidiger:innen vor jeder Datenverarbeitung prüfen, auf welcher Rechtsgrundlage diese erfolgt.

Dazu ist zunächst zu klären, welche Art von Daten verarbeitet werden. Die DSGVO unterscheidet Daten mit normalen Schutzstatus (Art. 6 DSGVO) und solche mit besonderem Schutzstatus (Art. 9 DSGVO). Art. 9 Abs. 1 DSGVO zählt auf, welche personenbezogenen Daten solche mit besonderem Schutzstatus sind. Hierzu gehören insbesondere Gesundheitsdaten oder Daten zum Sexualleben, welche im Rahmen eines Strafverfahrens häufig zur Sprache kommen. Die Verarbeitung solcher Daten ist nur in den in Art. 9 Abs. 2 DSGVO geregelten Ausnahmefällen gestattet. Für Verteidiger:innen sind bei der Verarbeitung von Daten mit besonderem Schutzstatus vor allem die folgenden Rechtsgrundlagen relevant:

• Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO)
• Verarbeitung ist zur Ausübung von Rechten bzw. zur Erfüllung von Pflichten aus einem Arbeitsverhältnis erforderlich (Art. 9 Abs. 2 lit. b DSGVO) (in Bezug auf die Beschäftigten der Kanzlei)
• Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich (Art. 9 Abs. 2 lit. f DSGVO)

Personenbezogene Daten, die nicht die in Art. 9 Abs. 1 DSGVO genannten Bereiche betreffen, sind solche mit normalen Schutzstatus. Sie dürfen immer dann erhoben bzw. verarbeitet werden, wenn eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist. Für Verteidiger:innen besonders relevant sind folgende Rechtsgrundlagen:

• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO)
• Verarbeitung ist für Vertragserfüllung bzw. -anbahnung erforderlich (Art. 6 Abs. 1 lit. b DSGVO)
• es besteht eine gesetzliche Pflicht zur Datenerhebung (Art. 6 Abs. 1 lit. c DSGVO); Bsp.: Aufbewahrung von Handakten (§ 50 Abs. 1 S. 2 BRAO)
• Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f DSGVO)

In beiden Fällen kann sich die Einwilligung nur auf die Verarbeitung der personenbezogenen Daten der jeweils einwilligenden Person beziehen. Die Einwilligung einer:eines Mandant:in erstreckt sich folglich nur auf die Verarbeitung seiner:ihrer Daten, nicht jedoch auf andere  Verfahrensbeteiligte.

Für die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln besteht zwar gemäß Art. 10 S. 1 DSGVO die Besonderheit, dass diese grundsätzlich nur unter behördlicher Aufsicht zulässig ist. Dies gilt jedoch nicht, wenn diese nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das die Rechte und Freiheiten der betroffenen Personen besonders schützt,  zulässig ist. Da, wie oben aufgezeigt, für die Datenverarbeitung durch Verteidiger:innen verschiedene Rechtsgrundlagen bestehen und es zudem besondere Regelungen zum Schutz der Mandant:innen im Berufsrecht gibt, bedarf es hierfür gleichwohl nicht der behördlichen Aufsicht. 

Voraussetzungen für Offenbarung gegenüber Dritten prüfen

Die Arbeit von Verteidiger:innen macht es häufig erforderlich, personenbezogene Daten der Mandant:in oder anderer Verfahrensbeteiligter gegenüber Dritten zu offenbaren. Diese Dritten können insbesondere Sachverständige und IT-Dienstleister:innen sein.

Der Einsatz von IT-Dienstleister:innen wie E-Mail-Providern, IT-Wartungsdiensten und Cloud-Anbieter:innen erfordert einen Auftragsverarbeitungsertrag, der insbesondere Gegenstand, Dauer, Art und Zweck der Datenverarbeitung festlegt (vgl. Art. 28 Abs. 3 DSGVO). In diesem Vertrag oder als Zusatz ist auch eine Berufsgehemnisträgervereinbarung zu treffen. In dieser soll die:der Auftragsverarbeiter:in insbesondere über die strafrechtlichen Folgen einer Verletzung der Verschwiegenheitspflicht belehrt und dazu verpflichtet werden, nur insoweit Kenntnis von fremden Geheimnissen zu nehmen, als dies zur Vertragserfüllung erforderlich ist (vgl. § 43e BRAO). Wenn die Offenbarung der personenbezogenen Daten zur Inanspruchnahme der Tätigkeit der:des Dienstleister:in erforderlich ist, liegt gemäß § 203 Abs. 3 S. 2 StGB auch keine tatbestandliche Verletzung von Privatgeheimnissen vor. Da der Auftragsverarbeiter die Daten nur auf Weisung des Verantwortlichen verarbeitet, bedarf dieser keiner gesonderten Rechtsgrundlage für die Verarbeitung, sofern sich der Verantwortliche auf eine Rechtsgrundlage stützen kann.

Dasselbe gilt für die Einbindung von Berufshelfer:innen (z.B. Kanzleipersonal, Referendar:innen, Praktikant:innen), da dieser derselben Organisationseinheit wie die:der Verantwortliche angehören. Da diese gemäß § 43 Abs. 2 S. 4, 6 BRAO zur Verschwiegenheit zu verpflichten sind, stellt die Offenbarung von personenbezogenen Daten gegenüber diesen keinen Verstoß gegen Berufsrecht dar. Auch eine Strafbarkeit nach § 203 Abs. 1 Nr. 3 StGB scheidet wegen des Tatbestandsausschlusses für die Offenbarung gegenüber berufsmäßigen Gehilfen gemäß § 203 Abs. 3 S. 1 StGB aus.

Sachverständige, die von der Verteidigung zu Ermittlungszwecken eingebunden werden, sind aufgrund Ihrer besonderen Expertise i.d.R. keine Auftragsverarbeiter, sondern eigenständige Verantwortliche im Hinblick auf die ihnen anvertrauten personenbezogenen Daten. Daher bedarf die Übermittlung an diese durch die:den Verteidiger:in einer eigenen Rechtsgrundlage. Als solche kommt hinsichtlich die:den Mandat:in betreffender Daten die Einwilligung und hinsichtlich andere Personen betreffender Daten die Wahrung berechtigter Interessen und die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen in Betracht. Die Offenbarung der personenbezogenen Daten gegenüber Sachverständigen stellt keinen Verstoß gegen Berufsrecht dar, wenn diese mit Einwilligung (§ 2 Abs. 4 lit. a BORA) oder zur Wahrung berechtigter Interessen (§ 2 Abs. 4 lit. b BORA) erfolgt und diese zur Verschwiegenheit verpflichtet werden (§ 2 S. Abs. 2 S. 1 BORA). Jedenfalls soll der Tatbestand der Verletzung von Privatgeheimnissen in diesem Fall gemäß § 203 Abs. 3 S. 2 StGB ausgeschlossen sein, da Sachverständige zu den Personen gehören, die an der beruflichen oder dienstlichen Tätigkeit der:des Verteidiger:in mitwirken.

In allen Fällen der Offenbarung von personenbezogenen Daten gegenüber Dritten ist § 32f StPO zu beachten. Diese Norm verpflichtet die:den Verteidiger:in zum einen dazu, technische und organisatorische Maßnahmen zu treffen, die gewährleisten, dass Unbefugte keine Kenntnis vom Akteninhalt nehmen können (§ 32f Abs. 4 S. 1 StPO). Zum anderen untersagt die Norm die öffentliche Verbreitung sowie die Weitergabe der Akte zu verfahrensfremden Zwecken (§ 32f Abs. 5 S. 1 StPO). 

Transparenzpflichten

Bei der Erhebung von personenbezogenen Daten treffen die:den Verteidiger:in mehrere Informationspflichten. Je nach dem, ob die Erhebung der Daten bei der betroffenen Personen selbst (Direkterhebung) oder nicht bei dieser selbst erfolgt, ist diese über unterschiedliche Umstände zu informieren (s. Art. 13 und 14 DSGVO). Zu den Informationen, die in jedem Fall mitzuteilen sind, gehören insbesondere Name und Kontaktdaten des Verantwortlichen, Verarbeitungszwecke, Rechtsgrundlage und eine Information über Betroffenenrechte.

Bei der Direkterhebung ist die betroffene Person zudem, anders als bei der Nichtdirekterhebung, darüber zu informieren, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder zur Vertragserfüllung erforderlich ist und welche mögliche Folgen die Nichtbereitstellung hätte (Art. 13 Abs. 2 lit. e DSGVO).

Werden die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben, so sind dieser die Kategorien der verarbeiteten personenbezogenen Daten und die Quelle, aus der diese stammen, mitzuteilen (Art. 14 Abs. 1 lit. d, Abs. 2 lit. f DSGVO). Die Informationspflichten bei nicht direkt erhobenen personenbezogenen Daten bestehen allerdings nicht, wenn die:der Verteidiger:in dadurch gegen das Berufsgeheimnis verstoßen würde (Art. 14 Abs. 5 lit. d DSGVO, § 29 Abs. 1 S. 1 BDSG). 

Prozesse für die Erfüllung von Betroffenenrechten

Neben dem oben dargestellten Informationsanspruch hat die betroffene Person ein Recht auf Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch. Das praktisch relevanteste Betroffenenrecht ist jedoch der Auskunftsanspruch aus Art. 15 DSGVO. Danach kann die betroffene Person von der:dem Verantwortlichen zunächst eine Bestätigung darüber verlangen, ob sie diese betreffende personenbezogene Daten verarbeitet. Ist dies der Fall, so kann die betroffene Person von der:dem Verantwortlichen eine Kopie der personenbezogenen Daten (Art. 15 Abs. 3 S. 1 DSGVO) sowie Auskunft über die in Art. 15 Abs. 1 und 2 DSGVO genannten Informationen, wie etwa Verarbeiteungszwecke und Speicherungsdauer, verlangen.

Da für die Erfüllung des Auskunftsanspruchs eine Frist von nur einem Monat ab Antragstellung besteht (Art. 12 Abs. 3 DSGVO), ist es wichtig, als Verantwortliche:r stets den Überblick darüber zu haben, welche personenbezogenen Daten welcher betroffenen Personen verarbeitet werden. Für Verteidiger:innen empfiehlt sich insofern die Ablage aller Daten im Aktenverwaltungssystem. Wichtig ist es zudem, sich zu vergewissern, dass die Person, welcher Auskunft erteilt wird, auch tatsächlich die betroffene Person ist.

Nach Art. 15 Abs. 4 DSGVO besteht das Recht auf Erhalt einer Kopie der Daten nicht, wenn hierdurch die Rechte und Freiheiten anderer Personen beeinträchtigt werden würden. Ferner besteht nach § 29 Abs. 1 S. 2 BDSG der Auskunftsanspruch nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Für Verteidiger:innen bedeutet dies aufgrund des Berufsgeheimnisses (§ 43a Abs. 2 BRAO), dass sie keine Auskunftspflicht gegenüber anderen Verfahrensbeteiligten trifft als ihren eigenen Mandant:innen.

Technische und organisatorische Maßnahmen

Der Verantwortlich hat schließlich geeignete technische und organisatorische Maßnahmen zu treffen, um eine sichere Datenverarbeitung zu gewährleisten (Art. 24, 25, 32 DSGVO). Welche Maßnahmen konkret erforderlich sind, richtet sich insbesondere nach Art, Umfang, Umstände und Zwecke der Verarbeitung sowie nach Eintrittswahrscheinlichkeit und Schwere der Risiken für die betroffenen Personen. Gängige technische und organisatorische Maßnahmen sind etwa:

• Verarbeitungsverzeichnis
• Schulung von Beschäftigten
• klare Aufgaben- und Kompetenzverteilung (Rollen- und Rechtekonzept)
• Sicherung von Gebäude und Büros
• Passwortrichtlinie

Bei der Kommunikation per E-Mail stellt sich für Verteidiger:innen die Frage, welche technischen Maßnahmen ergriffen werden müssen, um ein angemessenes Schutzniveau zu gewährleisten. Für die Verschlüsselung von E-Mails sind zwei verschiedene Schutzstandards zu unterscheiden. Bei der Transportverschlüsselung wird die Nachricht nur auf den einzelnen Strecken zwischen den vermittelnden Servern verschlüsselt. Auf den Servern selbst liegt die E-Mail unverschlüsselt vor. Bei der Ende-zu-Ende-Verschlüsselung wird die E-Mail hingegen beim Absender verschlüsselt und kann nur vom Empfänger entschlüsselt werden. Die Ende-zu-Ende-Verschlüsselung bietet damit einen höheren Schutz. Allerdings erfordert diese Technik zusätzliche Plugins oder Programme sowohl auf Seiten der:des Absender:in als auch auf Seite der:des Empfänger:in. Die Transportverschlüsselung wird dagegen von den meisten E-Mail-Providern angeboten und ist daher die gängige Form der E-Mailverschlüsselung. Für Verteidiger:innen ist die Transportverschlüsselung der Mindeststandard. Gemäß § 2 Abs. 2 S. 5, 6 BORA ist diese Form der E-Mailkommunikation zwischen Verteidiger:in und Mandant:in zulässig, wenn die:der Mandant:in hierzu nach einem Hinweis auf die bestehenden Risiken (konkludent) zustimmt. Die datenschutzrechtlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 Abs. 1 lit. a DSGVO sind nach Ansicht der deutschen Datenschutz-Aufsichtsbehörden jedoch nicht disponibel. Aufgrund der Sensibilität der Kommunikation im Mandatsverhältnis tendieren diese daher zu einem Erfordernis für eine Ende-zu-Ende-Verschlüsselung (Datenschutzkonferenz, Orientierungshilfe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail v. 16. Juni 2021, S. 7). Der Landesbeauftragte für Datenschutz des Landes Bremen hat deshalb in jüngster Vergangenheit Anwaltskanzleien wegen unzureichender technisch-organisatorischer Sicherheitsmaßnahmen verwarnt (LfD Bremen, TB 2023, S. 17 ff.). Mit der tatsächlichen Durchsetzung des Erfordernisses einer Ende-zu-Ende-Verschlüsselung ist Bremen bisher allerdings weitgehend alleine. Dennoch sollten Verteidiger:innen dennoch zusätzlich neben einer Transportverschlüsselung als Mindeststandard ihren Mandant:innen die Möglichkeit einer Ende-zu-Ende-Verschlüsselung anbieten und diese auf die bestehenden Risiken bei einer Transportverschlüsselung hinweisen. Alternativ können ggf. über eine Anwaltssoftware Portale zur verschlüsselten Kommunikation gebucht werden.

Umgang mit Datenpannen

Trotz aller Sicherheitsmaßnahmen können Verletzungen des Schutzes von personenbezogenen Daten geschehen. In solchen Situationen ist es wichtig, zu wissen, wie man mit einer Datenpanne korrekt umgeht. In jedem Fall hat die:der Verantwortliche die zuständige Datenschutzbehörde innerhalb von 72 Stunden ab Bekanntwerden der Datenpanne zu informieren (Art. 33 Abs. 1 S. 1 DSGVO). Eine solche Meldung kann unkompliziert über die Website jeder Landesdatenschutzbehörde erstattet werden. Zwar mag es Überwindung kosten, einen Fehler einzugestehen und diesen bei der Behörde anzuzeigen. Dennoch ist es ratsam, der Meldepflicht nachzukommen, da der:dem Verantwortlichen andernfalls ein Bußgeld droht (siehe Art. 83 Abs. 4 lit. a DSGVO). Eine Meldung an die betroffene Person ist nur erforderlich, wenn die Datenpanne ein hohes Risiko für diese erwarten lässt (Art. 34 Abs. 1 DSGVO).

Bemerkt die:der Auftragsverarbeiter:in die Datenpanne, so ist diese:r verpflichtet, unverzüglich den Verantwortlichen zu informieren (Art. 33 Abs. 2 DSGVO).