News
Längere Speicherdauer für Daten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte
Viele deutsche Unternehmen sind entweder schon jetzt oder spätestens ab Mitte Dezember 2023 dazu verpflichtet, eine interne Meldestelle für Hinweisgeber einzurichten. In einigen Fällen werden die Aufgaben der internen Meldestelle von Mitarbeitern aus der Rechtsabteilung wahrgenommen, die als Syndikusrechtsanwälte zugelassen sind. Geht bei einem solchen Unternehmen eine Hinweismeldung ein, so ist diese von den Syndikusrechtsanwälten der internen Meldestelle zu dokumentieren. In dieser Konstellation treffen Aufbewahrungs- und Löschpflichten aus dem Hinweisgeberschutzgesetz (HinSchG) einerseits und Aufbewahrungspflichten der Bundesrechtsanwaltsordnung (BRAO) andererseits aufeinander. Die Aufbewahrungspflicht für Handakten aus § 50 Abs. 1 BRAO beträgt 6 Jahre und damit also doppelt so lange, wie die Regelaufbewahrungsfrist aus § 11 Abs. 5 Satz 1 HinSchG.
Gerade im Bereich Hinweisgeberschutz kann es im Interesse eines Unternehmens sein, Hinweismeldungen und damit im Zusammenhang stehende Dokumente möglichst lange aufzubewahren. Beispielsweise zur Verteidigung gegen einen Vorwurf eines Mitarbeiters, eine Benachteiligung habe aufgrund einer von ihm erteilten Hinweismeldung stattgefunden. Aber auch fernab dessen wird es in der Natur der im Bereich Hinweisgeberschutz erfolgenden Datenverarbeitungen liegen, dass Unternehmen solche Daten lieber länger aufbewahren als zu früh zu löschen. Die Anwendung der BRAO-Vorschrift könnte Unternehmen in dem Zusammenhang die Möglichkeit bieten, eine Rechtsgrundlage für eine Speicherdauer von mehr als 3 Jahren zu haben.
Zunächst stellt sich allerdings die vorgelagerte Frage, ob § 50 Abs. 1 BRAO überhaupt auf Syndikusrechtsanwälte anwendbar ist, wenn diese die Aufgabe der internen Meldestelle im Unternehmen wahrnehmen. In diesem Newsbeitrag beantworten wir die eben benannte Vorfrage und gehen anschließend darauf ein, welche Aufbewahrungs- und Löschpflichten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte zu beachten sind.
Anwendbarkeit des § 50 Abs. 1 BRAO auf Syndikusrechtsanwälte
Grundsätzlich enthält die BRAO Vorschriften, welche für Rechtsanwälte und für Syndikusrechtsanwälte gelten. Nach § 46 c Abs. 1 BRAO sind nämlich die Vorschriften für Rechtsanwälte auch auf Syndikusrechtsanwälte anwendbar, soweit nicht an einer Stelle geregelt wird, dass einzelne Vorschriften aus der BRAO ausnahmsweise nicht für Syndikusrechtsanwälte gelten. Die Ausnahmen, in denen die BRAO doch nicht auf Syndikusrechtsanwälte anwendbar ist, regelt der § 46 Abs. 3 BRAO. Diese Norm nimmt auch explizit auf § 50 BRAO Bezug. Das ist genau jene Vorschrift, welche die Regelung zur Aufbewahrung von Handakten enthält.
In § 46 Abs. 3 BRAO ist allerdings geregelt, dass nur § 50 Abs. 2 und 3 BRAO nicht auf Syndikusrechtsanwälte anwendbar sind. Das heißt im Umkehrschluss, dass § 50 Abs. 1 BRAO, der die Aufbewahrungspflicht von Handakten regelt, auf den Syndikusrechtsanwalt anwendbar sein muss. Der Gesetzgeber hat sich also sogar explizit damit auseinandergesetzt, welche Regelungen des § 50 BRAO nicht für Syndikusrechtsanwälte gelten sollen und welche nicht. Dabei ist der Gesetzgeber offensichtlich zum Entschluss gekommen, dass die Bestimmungen über das Führen von Handakten und deren Aufbewahrung auch auf Syndikusrechtsanwälte anwendbar sein sollen.
Im Ergebnis bedeutet dies, also dass § 50 Abs. 1 BRAO definitiv auch genauso für Syndikusrechtsanwälte gilt, wie es für „gewöhnliche“ Rechtsanwälte der Fall ist. Wenn ein Syndikusrechtsanwalt die Aufgabe der internen Meldestelle wahrnimmt, dann gilt für die dabei vorgenommenen Tätigkeiten also auch der § 50 Abs. 1 BRAO. Unter dieser Vorschrift sind Syndikusrechtsanwälte als Bestandteil der internen Meldestelle dazu verpflichtet, Handakten zu führen und diese für 6 Jahre ab Ende des Kalenderjahres aufzubewahren, in dem ein Auftrag beendet wurde.
Speicherdauer in HinSchG unter Beachtung der BRAO
Das HinSchG enthält die Regelvorgabe, dass die Dokumentation zu einer Hinweismeldung drei Jahre aufzubewahren und danach zu löschen ist. In vorherigen Entwürfen im Gesetzgebungsverfahren war lange 2 Jahre als starre Frist vorgesehen und es gab keinen Anhaltspunkt dafür, dass länger andauernde Aufbewahrungsfristen aus anderen Gesetzen vorrangig gelten sollten. Die Aufbewahrungsdauer wurde in der letzten Phase des Gesetzgebungsverfahrens verlängert und sieht in der aktuellen Fassung auch vor, dass andere Aufbewahrungspflichten aus anderen Gesetzen mit bedacht werden können. Fernab der Vorgaben aus § 11 Abs. 5 HinSchG ist für den Syndikusrechtsanwalt entscheidend, die einschlägigen Aufbewahrungs- und Löschpflichten aus den verschiedenen Regelwerken zu kennen, ihnen nachzukommen und die Dokumentation ordnungsgemäß zu führen. Dazu zählt auch der § 50 Abs. 1 BRAO.
Abweichend von der Regelfrist von 3 Jahren kann die Dokumentation nach § 11 Abs. 5 Satz 2 HinSchG länger aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist. Man kann also auch zum Ergebnis kommen, dass für Pflichten aus dem HinSchG im Einzelfall eine Aufbewahrung für länger als 3 Jahre erlaubt sein kann. Daneben gibt es noch die Möglichkeit, sich auf längere Aufbewahrungsfristen in anderen Gesetzten zu berufen. In der Praxis ist der Begründungsaufwand für eine legitime Aufbewahrung über die 3 Jahre hinaus auf Basis der BRAO-Vorgaben deutlich geringer, als wenn ein Unternehmen argumentieren müsste, warum eine vom Gesetzgeber im Hinweisgeberschutzgesetz aufgestellte Frist keine Beachtung finden soll und stattdessen eine längere Aufbewahrungszeit schon allein unter dem HinSchG angemessen ist. Diese Abwägung dürfte leichter zu Gunsten des Unternehmens ausfallen, wenn die verlängerte Speicherdauer durch die Verpflichtung nach einem anderen Gesetz, hier der BRAO, begründet wird. Es wird demgegenüber schwieriger sein zum Ergebnis zu gelangen, dass für die Erfüllung einer Anforderung aus dem HinSchG selbst eine Aufbewahrung über 3 Jahre hinaus möglich ist. § 11 Abs. 5 Satz 2 HinSchG kann aber fernab des Berufsrechts auch beispielsweise einen Gleichlauf mit den von dem Unternehmen im Rahmen der DSGVO festgelegten Löschfristen ermöglichen
Wie oben bereits dargelegt, sieht § 50 Abs. 1 BRAO auch für Syndikusrechtsanwälte eine Verpflichtung vor, Handakten zu führen. Der Rechtsanwalt hat die Handakten für die Dauer von sechs Jahren aufzubewahren. Wenn also die Normen über die Aufbewahrung von Handakten aus der BRAO auch auf Syndikusrechtsanwälte Anwendung finden, ermöglicht dies Unternehmen eine wesentlich längere Aufbewahrung der Dokumentation zu einer Hinweismeldung. Sofern Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 50 Abs. 1 BRAO die alleinige Rechtsgrundlage für die Speicherung von Hinweismeldungen und dazugehörigen Dokumentationen ist, kann ein Unternehmen zwar nicht ohne Weiteres die Daten auch für andere Zwecke verwenden. Gäbe es jedoch eine Situation, in der besondere überwiegende berechtigte Interessen an der Weiterverwertung an einer begrenzten Menge an Daten bestünden und diese Daten nur noch in der Handakte vorhanden wären, dann spricht grundsätzlich nichts dagegen, dass die Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO im Einzelfall weiterverwendet werden können.
Zusammenfassung der Ergebnisse und deren Folgen für die Praxis
Im Ergebnis ermöglicht die Aufbewahrungspflicht für Handakten, dass die Dokumentation über eine Hinweismeldung abweichend von der 3-Jahresfrist des HinSchG 6 Jahre aufbewahrt werden kann, wenn ein Syndikusrechtsanwalt die Aufgabe der internen Meldestelle wahrnimmt. Denn die Vorschrift über die Aufbewahrung von Handakten in der BRAO ist auch auf Syndikusrechtsanwälte anwendbar. Einerseits hat der Syndikusrechtsanwalt die Aufbewahrungspflichten aus dem HinSchG und der BRAO zu beachten, um Verpflichtungen aus diesen Gesetzen gerecht zu werden. Andererseits bietet die im Gegensatz zum HinSchG längere Aufbewahrungsfrist für Unternehmen, bei denen ein Syndikusrechtsanwalt die Aufgaben der internen Meldestelle wahrnimmt, die Möglichkeit, die Dokumentation zu einer Hinweismeldung für einen längeren Zeitraum aufzubewahren. Diese Möglichkeit können sich Unternehmen zunutze machen, die ein Interesse an einer langen Aufbewahrung von Informationen zu einer Hinweismeldung haben.
Wir danken unserem Wissenschaftlichen Mitarbeiter Marcel Martin für die Unterstützung bei der Erstellung dieses Newsbeitrags.
News
The Legal 500 Deutschland: Dr. Carlo Piltz als führender Name im Praxisbereich Datenschutz
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland unter den führenden Namen im Bereich Datenschutz vertreten ist.
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.