Seit dem 25. Mai 2018 gilt in Deutschland die DSGVO. Den in der DSGVO enthaltenen Bestimmungen unterliegen auch die Anwaltskanzleien als Verantwortliche. Zu den allgemeinen Pflichten des Verantwortlichen gehört die Pflicht zur Löschung von personenbezogenen Daten und ist damit in der anwaltlichen Praxis umfassend zu beachten.
Ein Beitrag von Celina Wappner, Rechtsanwältin BvM München
Die maßgebliche Norm hierfür bildet Art. 17 DSGVO. Dieser findet sich zwar unter „Kapitel 3 Rechte der Betroffenen“ und beinhaltet das Recht der Betroffenen die Löschung der personenbezogenen Daten geltend zu machen, legt aber gleichzeitig auch die Pflicht zur Löschung personenbezogener Daten fest. „Betroffene“ sind dabei gem. Art. 4 Nr. 1 DSGVO identifizierte oder identifizierbare natürliche Personen, auf die sich die erhobenen Informationen (personenbezogene Daten) beziehen. „Verantwortlicher“ ist gem. Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Darunter fallen auch Anwaltskanzleien. Diese dürfen demnach nicht abwarten, bis die Mandaten ihr Recht auf Löschung personenbezogener Daten geltend machen, sondern müssen in regelmäßigen Abständen überprüfen, ob vorhandene Daten zu löschen sind.
Grundsätzlich sind personenbezogene Daten gem. Art. 17 Abs. 1 lit. d) DSGVO immer dann zu löschen, wenn die Datenverarbeitung nicht rechtmäßig erfolgt ist. Die Rechtmäßigkeit der Datenverarbeitung wird in Art. 6 DSGVO näher konkretisiert.
Darüber hinaus ist ein besonderes Augenmerk auf Art. 17 Abs. 1 lit. a) DSGVO zu richten. Dieser gibt vor, dass personenbezogene Daten zu löschen sind, wenn die Zwecke, für die sie erhoben worden sind, wegfallen.
Demnach sind die personenbezogenen Daten grundsätzlich zu löschen, wenn ein Mandat abgeschlossen ist.
Art. 17 Abs. 3 DSGVO normiert Ausnahmen hierzu. Wichtig für Anwaltskanzleien ist insbesondere die Möglichkeit, dass bestimmte Daten gem. Art. 17 Abs. 3 lit. b) DSGVO auch nach Beendigung des Mandats weiterverarbeitet werden können. Darüber ist der Mandant (wie bezüglich aller Zwecke) gem. Art. 13 DSGVO bereits bei der Datenerhebung aufzuklären.
Art. 17 Abs. 3 lit. b) DSGVO sieht vor, dass die Löschung nicht erforderlich ist, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erfolgt, die die Verarbeitung erfordert.
Eine solche rechtliche Verpflichtung ergibt sich beispielsweise für die Aufbewahrung von Handakten. Die berufsrechtliche Aufbewahrungspflicht für Handakten ist in § 50 Abs. 1 S. 2 BRAO geregelt und beträgt 6 Jahre.
Weitere Beispiele, die unter Art. 17 Abs. 3 lit. b) DSGVO fallen, sind die Pflicht zur Durchführung einer Interessenkollisionsprüfung bei Übernahme eines Mandats gem. § 43a Abs. 4 BRAO oder die Aufbewahrungspflicht für Rechnungen, welche gem. § 14b Abs. 1 UStG 10 Jahre beträgt.
Wichtig ist in diesem Zusammenhang die entsprechende Dokumentation in der Kanzlei, aus der her- vorgeht, welche Beweggründe zur Festsetzung der Löschfristen geführt haben.
Celina Wappner
Rechtsanwältin
Brehm & v. Moers
München
Strafrecht, Wirtschaftsstrafrecht, Steuerstrafrecht
