Die DSGVO und ihre Relevanz für den Mediator
Die Datenschutzgrundverordnung (DSGVO) gilt seit dem 25. Mai 2018 unmittelbar und vorrangig in allen Mitgliedsstaaten der Europäischen Union. Mit ihr soll der Datenschutz unionsweit harmonisiert werden, wobei die Mitgliedsstaaten an einigen Stellen Gestaltungsfreiheit durch Öffnungsklauseln genießen. Das zeitgleich in Kraft getretene Bundesdatenschutzgesetz (BDSG) kodifiziert die europäischen Vorgaben auf nationaler Ebene und nutzt die darin enthaltenen Ausgestaltungsspielräume.
Unabhängig von dem Herkunftsberuf und der Anzahl der durchgeführten Mediationen ist jeder Mediator, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ein sogenannter Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er ist daher dafür verantwortlich, dass er die Anforderungen der DSGVO einhält.
Der Begriff „personenbezogene Daten“ umfasst gemäß Art. 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, identifiziert werden kann. Personenbezogene Daten sind insbesondere Name, Anschrift, Vertragsdaten, Bankdaten der Medianden sowie alle weiteren Informationen, die für die Durchführung einer Mediation notwendig sind.
Unter Verarbeitung versteht man nach Art. 4 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Typischerweise werden im Rahmen einer Mediation, etwa bei der E-Mail-Korrespondenz im Vorfeld der Mediation, aber auch in deren Verlauf, zum Beispiel auf Flipcharts, in Protokollen und Handakten sowie durch handschriftliche Vermerke personenbezogene Daten im datenschutzrechtlichen Sinne durch den Mediator verarbeitet.
Anforderungen der DSGVO
Für die Verarbeitung personenbezogener Daten gilt der Erlaubnisvorbehalt: Die Verarbeitung personenbezogener Daten darf nur mit vorheriger Einwilligung des Betroffenen oder bei Vorliegen einer anderen in Art. 6 Abs. 1 DSGVO genannten Bedingung erfolgen. Im Bereich der Mediation ergibt sich die Erlaubnis in der Regel aus der Notwendigkeit der Datenerhebung zur Durchführung des Vertrages bzw. der vorvertraglichen Maßnahmen nach Art. 6 Abs. 1 S. 1 lit. b DSGVO.
Die datenschutzrechtlichen Grundsätze des Art. 5 Abs. 1 DSGVO hat der Mediator bei jeder Datenverarbeitung zu beachten. Hieraus ergeben sich zahlreiche Pflichten für den Mediator:
Informationspflichten
Gemäß Art. 13 DSGVO trifft den Verantwortlichen eine Informationspflicht bei Erhebung von personenbezogenen Daten der betroffenen Person. Die Vorschrift beinhaltet eine enumerative Auflistung der Pflichtinhalte: Erforderlich sind unter anderem eine Auskunft über die mit der Erhebung verfolgten Zwecke, die jeweiligen Rechtsgrundlagen und die in der DSGVO vorgesehenen Betroffenenrechte. Die Informationen müssen vor oder bei der erstmaligen Erhebung in Textform, gegebenenfalls auch elektronisch, erteilt werden. Es empfiehlt sich insofern, eine Datenschutzerklärung dem von den Medianden mit dem Mediator abzuschließenden Vertrag als Anhang beizufügen. Die Angaben in der Belehrung sollten sich der Einfachheit halber an der Aufzählung in Art. 13 DSGVO orientieren.
In der Praxis dürfte sich eine Informationserteilung insbesondere beim telefonischen Erstkontakt, wenn es primär um den Austausch von Kontaktdaten zur weiteren Terminvereinbarung geht, kompliziert gestalten. Vor dem Hintergrund von Smartphones und einem einfachen Zugriff auf das Internet von überall, reicht es im Rahmen der Kontaktanbahnung jedoch aus, wenn der Mediator zunächst grob über Umfang und Zweck der Datenerhebung informiert und für weitere Einzelheiten auf die Datenschutzerklärung auf seiner Homepage, eine E-Mail oder sonstige schriftliche Information verweist.
Sofern der Mediator, was in der Praxis den Regelfall darstellt, eine Internetseite betreibt, sind die Hinweise zur Datenverarbeitung in Gestalt einer Datenschutzerklärung mit den spezifischen, für den Internetauftritt relevanten Informationen zwingend auch dort bereitzustellen. Da zahlreiche Webserver und Content-Management-Systeme eigenständige Logfiles und Cookies generieren, deren Daten Personenbezug aufweisen, gilt dieses Erfordernis im Übrigen ebenfalls für Mediatoren, die sich lediglich über die eigene Website präsentieren und keine Daten aktiv abfragen.
Anforderungen an die technisch-organisatorischen Maßnahmen
Gemäß Art. 32 DSGVO hat der Mediator dem Stand der Technik entsprechende technische und organisatorische Sicherheitsmaßnahmen (oftmals kurz als „TOMs“ bezeichnet) zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Was im Einzelfall angemessen ist, richtet sich nach dem jeweiligen Stand der Technik, den Einrichtungskosten sowie Art, Umfang und Zweck der Verarbeitung.
Gesprächsnotizen und Handakten mit personenbezogenen Daten sollten stets nicht offen für andere einsehbar sein und in den Büroräumen in abschließbaren Schränken abgeschlossen werden. Besonders im IT-Bereich sind eine Reihe von Sicherheitsmaßnahmen zum Schutz der Daten erforderlich, allen voran die Einrichtung von Passwörtern für alle Dateien mit personenbezogenen Dateien, die regelmäßige Durchführung von Sicherheitsupdates, Installation von Firewalls und Antivirenscanner, Verschlüsselung von portablen Datenträgern, Schutz des WLAN-Netzwerkes durch ein WPA-2-Kennwort sowie gegebenenfalls die Verschlüsselung von
E-Mails.
Auf Grund der rasanten Geschwindigkeit des technischen Fortschrittes sind die jeweiligen Maßnahmen in regelmäßigen Intervallen zu überprüfen und anzupassen. Was heute eine angemessene Schutzmaßnahme darstellt, kann sich in ein oder zwei Jahren schon als veraltet erweisen.
Dokumentationspflichten
Auf Grund der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht muss der Verantwortliche die Rechtmäßigkeit seiner Datenverarbeitung gegenüber den Aufsichtsbehörden, bei Gerichtsverfahren oder für die nachträgliche Information für Betroffene nachweisen können. Der Mediator kann dieser Pflicht nur durch eine angemessene Dokumentation der Datenverarbeitung nachkommen.
Grundsätzlich besteht eine Verpflichtung, sämtliche Datenverarbeitungsprozesse in einem Verarbeitungsverzeichnis im Sinne des Art. 30 DSGVO festzuhalten. Ausnahmsweise ist ein solches für Unternehmen mit weniger als 250 Mitarbeitern nicht verpflichtend, allerdings sind in Art. 30 Abs. 5 DSGVO drei Rückausnahmen vorgesehen, die regelmäßig für Mediatoren einschlägig sind - dazu gehört die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Einige dieser Datenkategorien werden in Mediationen regelmäßig Thema sein. Bei der Mediation erfolgt die Verarbeitung von Daten zudem nicht nur gelegentlich, sondern gehört zum typischen Geschäftsbetrieb dazu, sodass auch diese Rückausnahme des Art. 30 DSGVO für Mediatoren greift.
Art. 30 Abs. 1 S. 2 DSGVO legt die für das Verzeichnis erforderlichen Angaben fest, ohne ein bestimmtes Format vorzugeben. Aus dem Verarbeitungsverzeichnis sollte sich entnehmen lassen, welche Daten zu welchem Zeitpunkt, wie und warum erhoben wurden und wann sie zu löschen sind.
Löschpflichten
Das Prinzip der Datenminimierung aus Art. 5 Abs. 1 lit. e DSGVO und Art. 17 DSGVO geht davon aus, dass nur solche personenbezogenen Daten erhoben und verarbeitet werden sollen, die für die Erreichung des konkreten Verarbeitungszwecks benötigt werden, um eine unkontrollierte Ansammlung von Daten zu verhindern. Sobald keine gesetzliche Grundlage (mehr) für die Speicherung von personenbezogenen Daten besteht, sind diese zu löschen oder derart zu verfremden, dass ein Rückschluss auf den Medianden nicht mehr möglich ist (nur dann, wenn ein Rückschluss auf das Datensubjekt nicht mehr möglich ist, spricht man im datenschutzrechtlichen Kontext von Anonymisierung). Allerdings ist in diesem Zusammenhang Art. 17 Abs. 2 lit. b DSGVO zu beachten, der vorsieht, dass die Löschung nicht vorgenommen werden muss, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erfolgt, die die Verarbeitung erfordert.
Der Zweck einer Datenverarbeitung entscheidet also ganz erheblich über die zulässige Dauer der Speicherung der verarbeiteten Daten. Dieser sogenannte Zweckbindungsgrundsatz ist eines der wesentlichen Prinzipien des europäischen Datenschutzes. Bereits die Erhebung der personenbezogenen Daten darf nur für vorher festgelegte, eindeutige und legitime Zwecke stattfinden. Zudem dürfen diese Daten nicht in einer mit den ursprünglichen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden, Art. 5 Abs. 1 lit. b DSGVO.
Auch gesetzliche Aufbewahrungspflichten nach deutschem Recht können die Speicherung personenbezogener Daten im Rahmen der DSGVO erlauben. So gilt etwa eine Ausnahme von der grundsätzlichen Löschpflicht, wenn die Verarbeitung der personenbezogenen Daten zur Erfüllung einer Verpflichtung nach deutschem oder EU-Recht erforderlich ist (Art. 17 Abs. 3 lit. b DSGVO). Neben den datenschutzrechtlichen Vorgaben muss man zur Umsetzung der DSGVO somit auch anwendbare Aufbewahrungspflichten prüfen.
Für Mediatoren, die zugleich Rechtsanwälte sind, besteht die gesetzliche Pflicht zur Aufbewahrung von Handakten. Die für die Mandatierung erhobenen personenbezogenen Daten müssen bis zum Ablauf der gesetzlichen Aufbewahrungspflicht für Anwälte (sechs Jahre nach Ablauf des Kalenderjahres, in dem das Mandat beendet wurde, § 50 Abs. 1 S. 2 BRAO) gespeichert und danach gelöscht werden. Daneben kommen für alle Mediatoren, unabhängig von ihrem Grundberuf, manche steuer- oder handelsrechtlichen Aufbewahrungspflichten in Betracht, wie z.B. § 147 Abs. 1 und 3 AO, § 14b UStG oder sonstige Vorschriften aus EStG, KStG, GewStG, ErbStG, HGB, StGB, die eine Aufbewahrung von regelmäßig zehn Jahren vorsehen.
Es ist ratsam, durch technische Vorkehrungen sicherzustellen, dass die Löschfristen eingehalten und Löschanträge von betroffenen Personen berücksichtigt werden können. Hierfür empfiehlt es sich, nach Abschluss einer Mediation das Ende der Speicherdauer in entsprechender Form zu vermerken – es muss also ein Fristenkalender mit den Löschdaten geführt und regelmäßig aktualisiert werden. Schließlich muss auch die Löschung bzw. Entsorgung nicht notwendiger Daten dokumentiert werden und datenschutzkonform erfolgen.
Auskunfts- und Meldepflichten
Die betroffenen Personen erhalten durch die DSGVO verschiedene Rechte, um Auskunft über die Verarbeitung ihrer Daten zu erlangen. Informations-, Melde- und Auskunftspflichten der datenverarbeitenden Stelle sind in den Art. 13-15 und 34 DSGVO geregelt. Für die Tätigkeit des Mediators als Verantwortlicher im Sinne der DSGVO ist entscheidend, dass dieser wegen verschiedener Ausnahmeregelungen hinsichtlich der Rechte der Betroffenen privilegiert ist.
Gemäß Art. 14 Abs. 5 lit. d DSGVO werden solche personenbezogenen Daten von der Informationspflicht von Dritten ausgenommen, die nach dem Recht der Mitgliedsstaaten oder der Union dem Berufsgeheimnis unterliegen. § 4 MediationsG normiert für den Mediator eine berufliche Verschwiegenheitsplicht. Die Reichweite der Informationspflicht bezüglich der betroffenen Person ist durch die Ausnahme des Art. 14 Abs. 5 lit. d DSGVO insoweit erheblich eingeschränkt worden, um das Vertrauensverhältnis zwischen dem Mediator (oder anderen berufsrechtlich zur Verschwiegenheit verpflichteten datenverarbeitenden Stellen) und dem Medianden zu schützen. Erhebt ein Berufsgeheimnisträger also Daten bei den Medianden, die Dritte betreffen, so sind diese nicht zu informieren.
Weder bei dem Auskunftsanspruch gemäß Art. 15 DSGVO noch bei der Meldepflicht aus Art. 34 DSGVO besteht eine solche Ausnahmeregelung wie in Art. 14 Abs. 5 lit. d DSGVO. Auf den ersten Blick folgt somit, dass im Gegensatz zur Informationspflicht bei einem Auskunftsanspruch die berufliche Verschwiegenheitspflicht des Mediators keine Privilegierung erfährt. Allerdings ist die DSGVO nicht abschließend geregelt. Die in ihr verankerten Öffnungsklauseln ermöglichen Einschränkungen und Konkretisierungen durch die nationalen Gesetzgeber. Art. 15 und 34
DSGVO unterliegen beispielsweise der Öffnungsklausel des Art. 23 DSGVO.
Mit der Einführung des § 29 BDSG hat der deutsche Gesetzgeber von der Öffnungsklausel in Art. 23 Abs. 1 lit. i DSGVO Gebrauch gemacht. Gemäß § 29 Abs. 1 BDSG besteht zunächst keine Informations- und Auskunftspflicht, wenn die Information „ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten“ geheim zu halten ist. § 29 Abs. 1 S. 2 und 3 BDSG ergänzt Art. 15 und 34 DSGVO dahingehend, dass eine Auskunfts- bzw. Meldepflicht ausnahmsweise nicht besteht, wenn Informationen offenbart würden, die nach einer Rechtsvorschrift geheim gehalten werden müssen. Der Begriff der „Rechtsvorschriften“ im Sinne des § 29 Abs. 1 S. 2-3 DSGVO ist ersichtlich weiter als der des „Berufsgeheimnisses“ in Art. 14 Abs. 5 lit. d DSGVO und umfasst diesen jedenfalls. Der Gesetzgeber hat erkannt, dass aus dem Regelungsregime der DSGVO und den nationalen berufsrechtlichen und strafrechtlichen Verschwiegenheitspflichten Kollisionen entstehen können. Diesen Normenkonflikt löst der Gesetzgeber tendenziell zugunsten der beruflichen Verschwiegenheitspflichten. Es wird deutlich, dass nach dem BDSG das berufsrechtlich begründete Geheimhaltungsinteresse regelmäßig das datenschutzrechtliche Informationsinteresse des Betroffenen überwiegt.
Noch umfassendere Ausnahmen gelten für sogenannte Berufsgeheimnisträger nach § 203 StGB. Mediatoren gehören jedoch nicht per se zur Gruppe der Berufsgeheimnisträger. Übt der Mediator allerdings darüber hinaus zum Beispiel den Beruf des Rechtsanwalts aus, so gilt die strafbewehrte Geheimhaltungsplicht gemäß § 203 I Nr. 2 StGB. Das folgt aus § 18 BORA, der den Rechtsanwalt, der als Mediator tätig wird, ebenfalls dem anwaltlichen Berufsrecht unterwirft. Gem. § 29 Abs. 3 BDSG sind gegenüber Anwälten, aber auch anderen Berufsgeheimnisträgern (z.B. Psychologen, Ärzte) im Sinne des § 203 Abs. 1, 2a, 3 StGB, sogar die Untersuchungsbefugnisse der Aufsichtsbehörden zur Bewertung der Datenverarbeitung nach Art. 58 DSGVO eingeschränkt.
In dem Verhältnis zwischen dem Mediator und dem Medianden sind die Auskunftspflichten des Verantwortlichen jedoch anders zu bewerten. Die Verschwiegenheitspflicht gem. § 4 MediationsG verpflichtet den Mediator und die in der Durchführung des Mediationsverfahrens eingebundenen Personen zur Verschwiegenheit in Bezug auf Dritte, nicht jedoch bezogen auf die Medianden.
Vor diesem Hintergrund erscheint problematisch, wenn einer der Medianden im Mediationsverfahren einen Auskunftsanspruch gegenüber dem Mediator nach Art. 15 Abs. 1 DSGVO geltend macht und die vom Mediator erhobenen Daten die Konfliktlösung durch die Offenlegung vereiteln könnten. Eine der Parteien könnte etwa Auskunft über den Inhalt der handschriftlichen Gesprächsaufzeichnungen des Mediators verlangen, die eine persönliche Einschätzung der Glaubwürdigkeit der Parteien beinhaltet. Art. 15 Abs. 3 DSGVO sieht vor, dass der Betroffene von dem Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Der Anspruch stellt jedoch nur sicher, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Der Betroffene hat somit lediglich ein Recht zu erfahren, dass beispielsweise eine Bewertung oder Analyse seiner Aussagen durch den Mediator erfolgte, jedoch muss der Mediator keine Auskunft über das konkrete Ergebnis erteilen.
Es zeigt sich, dass der Mediator für alle Daten, die von seiner beruflichen Verschwiegenheitspflicht erfasst sind, Dritten gegenüber regelmäßig nicht nach Art. 14, 15, 34 DSGVO auskunfts- und meldepflichtig ist. Diese Ausnahmeregelungen sind begrüßenswert, da sie dem Mediator die ungehinderte und vertrauliche Kommunikation mit den Medianden ermöglicht. Der Mediand hat keine Offenlegung seiner Informationen an Dritte auf Grund datenschutzrechtlicher Transparenzregeln zu befürchten. Wichtig ist hierbei jedoch auch, dass die Geheimhaltung der Informationen bei steigender Anzahl von Medianden anspruchsvoll ist. Der Mediator bedarf hier klarer organisatorischer Strukturen und sollte sich des Zusammenspiels datenschutzrechtlicher Transparenzpflichten und berufsrechtlicher Geheimhaltungspflichten bewusst sein.
Fazit
Die DSGVO hat die Umsetzung datenschutzrechtlicher Vorkehrungen, die längst überfällig waren, für viele Unternehmen akut gemacht. Auch der Mediator, der im Mediationsverfahren teilweise höchst sensible Daten erhebt und verarbeitet, ist hiervon betroffen. Angesichts der empfindlichen Bußgelder im Falle von DSGVO-Verstößen ist eine aktive Auseinandersetzung mit dem Thema Datenschutz von Nöten. Es ist wie mit Konflikten – den Kopf in den Sand zu stecken ist keine sinnvolle Taktik. Jeder Mediator sollte sich aktiv mit dem Datenschutz beschäftigen und ihn in seinen Arbeitsabläufen angemessen berücksichtigen. Den Aufwand einer Implementierung eines gelungenen Datenschutzmanagements unter Berücksichtigung der aufgezeigten berufsrechtlichen Vertraulichkeitspflichten dürften letztlich auch die Medianden zu schätzen wissen. Die Beschäftigung mit der Thematik dieses Beitrags lohnt also.
Titelbild: Stafford Green auf Pixabay
Autor: Sascha Kuhn