Wissenswertes im Datenschutzrecht

Gegen den Konzern Meta (ehemals Facebook) wurde im Mai 2023 wegen Verstoßes gegen europäisches Datenschutzrecht in Irland wegen unerlaubter Datenübertragung ein Bußgeld in Höhe von 1,2 Milliarden Euro verhängt. Mit diesen Dimensionen müssen sich Notarinnen und Notare hierzulande nicht auseinandersetzen. Die Themen Digitalisierung und Datenschutzrecht benötigen aber nicht zuletzt auch wegen der voranschreitenden Entwicklungen im Bereich der künstlichen Intelligenz eine hinreichende Beachtung und praktische Umsetzung.

DSGVO, BDSG und LDSG

Seit dem 25. Mai 2018 wird der Schutz personenbezogener Daten für die Mitgliedstaaten der Europäischen Union mit der unmittelbar geltenden Datenschutz-Grundverordnung (DSGVO) einheitlich geregelt. Außerhalb der Europäischen Union gilt die DSGVO im Europäischen Wirtschaftsraum (EWR) auch für die Staaten Island, Liechtenstein und Norwegen. Die Verordnung (EU) 2016/679 (DSGVO) ersetzt die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aus dem Jahr 1995.

Die Richtlinie wurde 2001 im Bundesdatenschutzgesetz (BDSG) in nationales Recht umgesetzt. Das BDSG enthält heute unter anderem ergänzende und präzisierende Regelungen zu den Stellen der DSGVO, an denen diese entsprechende Öffnungsklauseln enthält. Notarinnen und Notare sind öffentliche Stellen der Länder und „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO und damit verpflichtet, personenbezogene Daten von natürlichen Personen im notariellen Verfahren zu schützen. Weitere Rechtsgrundlagen finden sich in den bundesrechtlichen bereichsspezifischen Spezialgesetzen. Das BDSG ist für Notarinnen und Notare subsidiär nur insoweit anwendbar als die Datenschutzgesetze der Länder und bundesrechtliche Spezialgesetze keine Regelungen treffen.

Zuständig für die Prüfung und Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben sind die Aufsichtsbehörden. Machen Beteiligte oder sonstige Personen, wie etwa Arbeitnehmende, ihre Betroffenenrechte geltend und verstoßen Notarinnen und Notare gegen datenschutzrechtliche Vorschriften können neben Sanktionen wie Geldbußen auch zivilrechtliche Schadensersatzforderungen und Rechtsstreitigkeiten drohen. Der Europäische Gerichtshof (EuGH) hat im Mai 2023 in drei Verfahren zu Fragen der Rechte von Betroffenen bei Verstößen gegen die DSGVO entschieden.

Keine Erheblichkeitsschwelle für Schadensersatz nach Art. 82 DSGVO

Bei Verstößen gegen die Vorschriften der DSGVO zur Datenverarbeitung kommt für die Betroffenen ein Anspruch auf materiellen sowie immateriellen Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter nach Art. 82 DSGVO in Betracht. Die weiteren Voraussetzungen für einen solchen Schadensersatzanspruch hat der EuGH in der Rechtssache C-300/21 – Österreichische Post – festgestellt. Hintergrund des Verfahrens ist ein Vorabentscheidungsersuchen des Obersten Gerichtshofs in Österreich zu der Auslegung des Art. 82 DSGVO. Ein Betroffener machte gegen die Österreichische Post AG immateriellen Schadensersatz geltend, weil er einer Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte.

Konkret hatte die Österreichische Post Daten zu politischen Affinitäten der österreichischen Bevölkerung, unter anderem auch zu Einstellungen des Betroffenen, gesammelt und gespeichert. Der Betroffene behauptete nun durch dieses Vorgehen ein Ärgernis, Vertrauensverlust sowie ein Gefühl der Bloßstellung zu verspüren und forderte Schadensersatz. Er fühlte sich dadurch beleidigt, dass ihm eine Affinität zu einer bestimmten politischen Partei zugeschrieben wurde.

Der EuGH stellt in dem Urteil klarstellend fest, dass ein Verstoß gegen die DSGVO allein, anders als bei Geldbußen und anderen Sanktionen, nicht für das Vorliegen eines Schadensersatzanspruchs ausreicht. Es muss ein tatsächlicher materieller oder immaterieller Schaden des Betroffenen dazu kommen, der mit dem Verstoß in einem Kausalzusammenhang steht und der von dem Betroffenen darzulegen ist. Keine Voraussetzung des Art. 82 DSGVO ist dabei aber, dass der Schaden eine bestimmte Erheblichkeit hat. Eine solche Einschränkung ist der DSGVO nicht zu entnehmen und würde auch im Widerspruch zu dem weit zu verstehenden Schadensbegriff der DSGVO stehen, der den nationalen Regelungen der Mitgliedstaaten vorgeht. Die Bemessung der Höhe des Schadensersatzanspruchs richtet sich in Fällen eines Anspruchs nach Art. 82 DSGVO allerdings nach den Maßgaben des nationalen Rechts der Mitgliedstaaten, da die DSGVO selbst dazu keine Regelung trifft.

Wann ist eine Datenverarbeitung unrechtmäßig?

Nicht jeder Verstoß gegen die DSGVO hat jedoch zur Folge, dass die Verarbeitung der personenbezogenen Daten unrechtmäßig ist. Eine unrechtmäßige Datenverarbeitung ist die Voraussetzung für die Betroffenenrechte auf das Recht auf Löschung und die Einschränkung der Datenverarbeitung nach Art. 17 Abs. 1 lit. d) und Art. 18 Abs. 1 lit. b) DSGVO. Der EuGH hat in seinem Urteil vom 4. Mai 2023, Rechtssache C-60/22 – Bundesrepublik Deutschland (Boîte électronique judiciaire), deutlich gemacht, dass sich die Rechtmäßigkeit der Datenverarbeitung allein nach dem Vorliegen einer der in Art. 6 Abs. 1 DSGVO abschließend aufgelisteten Rechtsgrundlagen richtet.

Beruht eine Verarbeitung personenbezogener Daten auf eine dieser Rechtsgrundlagen, ist eine Unrechtmäßigkeit ausgeschlossen. Das bedeutet, dass die Einhaltung von Pflichten, die sich aus anderen Vorschriften der DSGVO ergeben, etwa das Fehlen eines Verzeichnisses der Verarbeitungstätigkeiten, keine Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung darstellt. Es bleiben bei Verstoß gegen andere Vorschriften unabhängig davon allerdings weiterhin die Möglichkeit der Haftung auf Schadensersatz gegenüber den Betroffenen sowie die Abhilfebefugnisse der Aufsichtsbehörden.

Eine Liste ist keine Kopie

Mögliche haftungsrechtliche Folgen kann auch ein Verstoß gegen die Auskunfts- und Informationspflichten aus Art. 15 DSGVO und damit gegen den Transparenzgrundsatz der DSGVO haben. Die erteilte Auskunft muss rechtzeitig und vollständig erfolgen und darf gleichzeitig nicht zu weitreichende Informationen über Dritte enthalten. Zweck der Auskunftsansprüche ist es, die Richtigkeit der gespeicherten Daten und der Datenverarbeitung überprüfen zu können. Die angeforderten Informationen können aber auch Grundlage für die Geltendmachung anderer als datenschutzrechtlicher Ansprüche gegen den Verantwortlichen sein.

Mit der Frage des Umfangs und der Art der Auskunftspflicht hat sich der EuGH in der Rechtssache C 487/21 – Österreichische Datenschutzbehörde und CRIF – auseinandergesetzt. In der Sache hatte der Betroffene sein Auskunftsrecht aus Art. 15 DSGVO gegenüber dem verantwortlichen Unternehmen geltend gemacht. Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Der Betroffene forderte Kopien von den bei dem Unternehmen gespeicherten ihn betreffenden Daten. Das Unternehmen erteilte dem Betroffenen die Auskunft in Form einer Liste, in der die vorliegenden personenbezogenen Daten zusammengestellt wurden. Nach dem EuGH ist für den in der DSGVO nicht definierten Begriff der Kopie der gewöhnliche Wortsinn zu berücksichtigen. Es ist deshalb eine originalgetreue Reproduktion der verarbeiteten Daten zu erstellen und zu übermitteln. Zu klären hatte der EuGH darüber hinaus, ob das Recht auf die Kopie auch Kopien von Dokumenten oder Datenbanken bzw. Auszügen von diesen umfasst. Sind die Informationen in den weiteren Dokumenten und Datenbanken erforderlich („unerlässlich“), damit der Betroffene seine Rechte wirksam ausüben kann, sind auch Kopien von diesen zur Verfügung zu stellen. Berücksichtigt werden muss dann, dass diese weiteren Informationen keine Daten Dritter enthalten und deren Rechte und Freiheiten nicht verletzt werden. Der Begriff der Information in Art. 15 Abs. 3 Satz 3 DSGVO erfasst dabei ausschließlich personenbezogene Daten. Auskunft über weitere Informationen oder sogar Metadaten kann von dem Betroffenen nicht gefordert werden.

§§ 5 und 5a DONot n.F.

Besondere Relevanz hat der Datenschutz dort, wo personenbezogene Daten öffentlich zugänglich sind. Bei öffentlich einsehbaren Registern ist zum Schutz der personenbezogenen Daten im Text der Registeranmeldung selbst, statt der Wohnanschrift lediglich der Wohnort von natürlichen Personen anzugeben. Die mit einzureichenden Urkunden dagegen mussten bisher zur eindeutigen Identifizierung der Personen die Wohnanschriften der Beteiligten aufführen. Dies diente der Rechtssicherheit und dem Schutz des Rechtsverkehrs.

Ausnahmsweise kann – und konnte bereits nach altem Recht – hinsichtlich aller Urkunden bei geschäftlichem oder dienstlichem Auftreten die Geschäfts- oder Dienstadresse der Personen aufgenommen werden.

Mit Wirkung zum 1.06.2023 sind nun die weiteren Dokumente, die in bestimmten Registern öffentlich einsehbar sind unter datenschutzrechtlichen Gesichtspunkten vor Übermittlung zu prüfen und gegebenenfalls vor der Einreichung zu bearbeiten. Bei den betroffenen Registern handelt es sich um das Handelsregister, das Vereinsregister, das Partnerschaftsregister, das Genossenschaftsregister sowie zukünftig nach Einführung auch um das Gesellschafts- und das Stiftungsregister.

§ 5 DONot wurde dahingehend geändert, dass in Urkunden bei der genauen Bezeichnung der Beteiligten von der Angabe der Wohnanschrift abgesehen werden kann. Bisher war darauf nur für den Ausnahmefall zu verzichten, dass durch die öffentlich einsehbare Angabe der Wohnanschrift eine konkrete Gefährdung für die Beteiligten selbst oder Angehörige im Haushalt eintrat. § 5 Abs. 1 Satz 4 DONot eröffnet nun die Möglichkeit, in Urkunden, die an eines der genannten Register übermittelt werden müssen, auf die Angabe der Wohnanschrift zu verzichten und auch dort lediglich den Wohnort anzugeben. Voraussetzung dabei ist, dass Zweifel und Verwechslungen der Personen ausgeschlossen sind.

Sehen Notarinnen und Notare von diesen Möglichkeiten ab und nehmen die Wohnanschrift der Beteiligten in die Urkunde auf, enthält nun § 5a DONot eine Regelung für Fälle, in denen eine elektronische Übermittlung in öffentlich beglaubigter Form vorgesehen ist. Die Wohnanschrift ist in diesen Fällen unkenntlich zu machen, also zu schwärzen. Dies gilt nicht nur für die Beteiligten, sondern für alle mit Wohnanschrift in der Urkunde aufgenommenen Personen und muss auch bei den mitbeurkundeten Anlagen berücksichtigt werden.

Bei identischer Geschäfts- und Wohnanschrift muss die anzugebende Geschäftsanschrift nicht unkenntlich gemacht werden. Auf Dokumente, die nicht in elektronisch beglaubigter Form zu übermitteln sind, ist § 5a DONot nicht anwendbar. Ebenso nicht anwendbar ist die Norm bei Dokumenten, die zu informatorischen Zwecken beigefügt werden sowie bei Fremdentwürfen.

Mehr als eine Hilfestellung – Verhaltensregeln für TOMs

Nicht zuletzt wegen der haftungsrechtlichen Relevanz von Verstößen gegen die DSGVO ist die Einhaltung der datenschutzrechtlichen Regelungen durch technische und organisatorische Vorkehrungen zu sichern. Orientierung bei der Wahl und Implementierung der erforderlichen risikoangemessenen technischen und organisatorischen Maßnahmen (TOMs) finden Notarinnen und Notare in den Verhaltensregeln der Bundesnotarkammer zu technischen und organisatorischen Maßnahmen der Notarinnen und Notare im Hinblick auf deren elektronische Aufzeichnungen und die zur Führung der elektronischen Akten und Verzeichnisse verwendeten elektronischen Hilfsmittel.

Die Bundesnotarkammer hat aufgrund des Präzisierungsgebots des § 6 NotAktVV von der Möglichkeit des Art. 40 Abs. 2 lit. h), Abs. 5 DSGVO für Verbände und Vereinigungen Gebrauch gemacht, mit dem Instrument der Verhaltensregeln die Rechtssicherheit hinsichtlich der Sicherheit der Datenverarbeitung bei der Anwendung der DSGVO zu steigern.

Es sind die ersten Verhaltensregeln aus dem öffentlichen Bereich. Am 5. Mai 2022 genehmigte die zuständige Aufsichtsbehörde, der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), den von der Bundesnotarkammer vorgelegten Entwurf der Verhaltensregeln für Notarinnen und Notare. Durch diese Genehmigung wird bestätigt, dass die Verhaltensregeln ausreichende geeignete Garantien für die Einhaltung der datenschutzrechtlichen Vorgaben gewährleisten und bietet damit Notarinnen und Notaren die nötige Rechtssicherheit in diesem Bereich. Die abstrakten Regelungen der DSGVO werden durch die Verhaltensregeln präzisiert und konkretisiert. Dabei gehen die Verhaltensregeln über eine optional anwendbare Hilfestellung hinaus. Neben den optional anwendbaren Empfehlungen, enthalten die Verhaltensregeln verbindliche Regelungen, wobei teilweise auch von diesen abgewichen werden darf.

Ist die Möglichkeit einer Abweichung eröffnet, darf diese allerdings nur aufgrund eines sachlichen Grundes und unter Einhaltung des gesetzlich bezweckten Datenschutzes gewählt werden.

Ivon Wandtke-Ossei-Poku ist als Volljuristin in einem Nur-Notariat tätig. Zuvor war sie einige Jahre als Rechtsanwältin zugelassen und hat für verschiedende Kanzleien im Wirtschaftsrecht gearbeitet.