Datenschutz im Notariat (Symbolbild)
Login

Datenschutz im Notariat: Notar*innen als Joint Controller?

Schließen sich Notar*innen zur gemeinsamen Berufsausübung/Büronutzung zusammen, sind einige rechtliche und tatsächliche Fragen zu klären: Wie wird die Zusammenarbeit im Rahmen der berufsrechtlichen Vorgaben organisiert, wie sieht eine gemeinsame oder getrennte Mitarbeiterorganisation aus, wie halten wir es mit der Büroorganisation und insbesondere mit der (elektronischen) Büroausstattung? Eines haben die Notar*innen dabei jedoch nicht gleich im Blick: Sind wir jetzt datenschutzrechtlich als „gemeinsam Verantwortliche“, als „Joint Controller“, zu betrachten? Und wenn ja, hat diese Einordnung irgendwelche Auswirkungen?

Notar*in als Verantwortliche*r

Seit Anwendung der Datenschutzgrundverordnung hat sich der Streit, ob und wie Datenschutzrecht auch für Notar*innen anwendbar ist, erledigt. Wie sich aus Art. 277 Abs. 2 Satz 2 AEUV ergibt, hat eine europäische Verordnung im Zweifel Anwendungsvorrang vor mitgliedsstaatlichen Regelungen. Die DSGVO gilt auch für Notar*innen. Sie sind Verantwortliche im Sinne des Artikel 4 Nr. 7 DSGVO, da sie zum einen über die Zwecke und Mittel zur Verarbeitung personenbezogener Daten im Rahmen ihrer Beurkundungstätigkeit sowie auch im Bereich der Mitarbeiter*innenführung entscheiden.

Notar*in als „öffentliche Stelle“

Bereits 1990 hat der BGH entschieden, das ein Notar aufgrund seiner Amtspflichten datenschutzrechtliche eine „öffentliche Stelle“ darstellt.1 Die Unterscheidung in öffentliche und nicht-öffentliche Stellen ist im BDSG und den Landesdatenschutzgesetzen auch unter der DSGVO beibehalten worden, so dass Notar*innen auch weiterhin eine „öffentliche Stelle“ darstellen: Die niedersächsische Allgemeinverfügung zu Angelegenheiten der Notare und Notarinnen (AVNot) stellt in § 11 sogar klar, dass Notare und Notarinnen öffentliche Stellen im Sinne des Datenschutzrechts darstellen. Dies bedeutet, dass bei datenschutzrechtlichen Fragen nicht nur DSGVO, sondern auch BDSG und das entsprechende Landesdatenschutzgesetz zu Rate zu ziehen sind.

Notar*innen als Joint Controller

Notar*innen sind also Veranwortliche im Sinne des Datenschutzrechts, sie sind aufgrund ihrer Amtstätigkeit „öffentliche Stellen“. Schließen sich jetzt mehrere Notar*innen zur gemeinsamen Berufsausübung/Büronutzung nach Art. 9 Abs. 1 oder 2. BNotO zusammen, entsteht kein neuer datenschutzrechtlicher Verantwortlicher aufgrund des Zusammenschlusses, nein, die Notar*innen bleiben jeweils für sich datenschutzrechtlich verantwortlich, Anwaltsnotar*innen sind in ihrer Eigenschaft als Notar*in eigenständige*r Verantwortliche*r neben dem Zusammenschluss mit den übrigen in § 9 Abs. 2 BNotO genannten Berufsgruppen als eigene*r Verantwortliche*r zu sehen. Kann aber nun die Entscheidung, z.B. die Mitarbeiterführung zusammenzulegen, eine gemeinsame IT-Landschaft inklusiver gemeinsam genutzter Fachanwendungen auch datenschutzrechtliche Auswirkungen haben? Es werden ja auch dabei personenbezogen Daten der Kunden als auch der Mitarbeiter*innen durch die Notar*innen verarbeitet. Die DSGVO kennt in diesem Zusammenhang auch bereits in Art. 4 Nr. 7, dass Verantwortliche auch gemeinsam über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden können. Liegt ein solcher Fall vor, formuliert Art. 26 DSGVO weitergehende Anforderungen an diese Gemeinsamkeit: Sie fordert insbesondere eine Vereinbarung, die die Zusammenarbeit regelt.

Aber zunächst: Können die Notar*innen überhaupt gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden? Verbietet dies nicht die eigenständig zu führende und zu verantwortende Amtspflicht der Notar*innen? Und genau hier ist zu differenzieren: es ist auf den einzelnen Verarbeitungsschritt und seine Umstände zu schauen. Zunächst: Wie ist die Führung der Mitarbeiter*innen gestaltet: werden sie gemeinsam angestellt oder sind sie einzeln bei einem bestimmten/einer bestimmten Notar*in angestellt? Wie ist organisatorisch und technisch der Zugriff auf personenbezogene Daten im Notariat geregelt? Wer hat welche Zugriffsrechte bei der IT? Die sollte einmal unter die Lupe genommen werden. Insbesondere der EuGH geht von einem weiten Begriff des Verantwortlichen aus und begründet dies mit dem Schutz der Betroffenen, deren personenbezogenen Daten verarbeitet werden.2 Eine gemeinsame Verantwortlichkeit verlangt nicht, dass jeder Verantwortliche Zugang zu den betreffenden Daten hat3 oder eine gleichwertige Verantwortlichkeit vorliegen muss.4

Jede Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über Zwecke und Mittel dieser Verarbeitung mitwirkt, kann als für diese Verarbeitung Verantwortlicher angesehen werden.5

Jeder Verarbeitungsschritt bezüglich personenbezogener Daten sollte also untersucht werden: Inwieweit ist jeder der Verantwortlichen in die Entscheidung über Zwecke und Mittel der Verarbeitung involviert? Die eigenverantwortliche Ausübung der Amtspflicht ist dabei immer zu berücksichtigen. So kommt man im Endeffekt auf eine je nach Ausprägung der Intensität der gemeinsamen Berufsausübung/Büronutzung auf eine ebenso gelagerte gemeinsame Verantwortlichkeit im datenschutzrechtlichen Sinne.

juris PartnerModul Notare jetzt 4 Wochen gratis testen Gratis testen

Vereinbarung nach Art. 26 DSGVO

Wir befinden uns nun also im Artikel 26 DSGVO. Dieser verlangt in Absatz 1 eine Vereinbarung der Verantwortlichen, in der transparent festgelegt wird,

  • wer von den Verantwortlichen welche Verpflichtung gemäß der DSGVO erfüllt
  • insbesondere, wer für die Wahrnehmung der Rechte der Betroffenen zuständig ist
  • und wer welchen Informationspflichten nach Artikel 13 und 14 DSGVO nachkommt.

Diese Vereinbarung soll in gebührender Weise die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen widerspiegeln (Art. 26 Absatz 2 Satz 1 DSGVO).

Das wesentliche der Vereinbarung wird gemäß Artikel 26 Absatz 2 Satz 2 DSGVO den Betroffenen zur Verfügung gestellt.

An dieser Stelle wird nun auch deutlich, dass die vorherige Arbeit des Auseinanderdividierens der einzelnen Verarbeitungsschritte auch sehr gut für die Darstellung bzw. Zuteilung der einzelnen Pflichten des jeweiligen Verantwortlichen zu nutzen ist.

Eine Form der Vereinbarung ist nicht vorgeschrieben, sie sollte jedoch aus Beweisgründen (das Nichtvorhalten dieser Vereinbarung kann gemäß Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld nach sich ziehen) und der Vorgabe, dass wesentliche den Betroffenen zur Verfügung zu stellen, entweder schriftlich oder in Textform geschlossen werden. Der Abruf des wesentlichen der Vereinbarung für die Betroffenen in elektronischer Form auf der Website des Notariats bietet sich an.

Haftung nach Artikel 82 DSGVO

Nicht außer Acht gelassen werden darf die Haftung der Verantwortlichen nach Art. 82 DSGVO. Nach Art. 82 Abs. 2 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde. Er kann sich nach Absatz 3 exkulpieren, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Sind mehrere Verantwortliche an derselben Verarbeitung beteiligt und verantwortlich für den Schaden nach Absatz 2 und 3, so haftet jeder Verantwortliche für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. Ein Innenausgleich kann dann nach Absatz 5 der Vorschrift erfolgen.

Um eine gesamtschuldnerische Haftung aus Datenschutzrecht bei Notar*innen bei der gemeinsamen Berufsausübung annehmen zu können, ist also auf die einzelnen Verarbeitungsschritte zu schauen und inwieweit der/die einzelne Notar*in als Verantwortliche/r an diesen mitwirkt.6

Anhaltspunkte kann in diesem Bereich die Haftung für Amtspflichtverletzungen nach § 19 BNotO bieten. Nach dieser Vorschrift haftet der/die Notar*in für Amtspflichtverletzungen eigenständig, eine Sozietätshaftung ist ausgeschlossen. Im Bereich der Amtspflichten ist der/die Notar*in auch datenschutzrechtlich alleinige/r Entscheider*in über Mittel und Zwecke der für die Erfüllung der Amtspflichten erforderliche Verarbeitung personenbezogener Daten. Schwieriger werden die Grenzbereiche, insbesondere wenn sie nicht von außen, d.h. für die Betroffenen nicht einsehbar sind.

Was ist zu tun, wenn aufgrund eines Fehlers von Notar*in A Daten des/der Notar*in B auf dem gemeinsamen Dateiserver verloren gehen? Grundsätzlich kann nach Art. 26 Abs. 3 DSGVO der Betroffene gegenüber jedem der gemeinsam Verantwortlichen seine Rechte im Rahmen der Verordnung geltend machen. Dazu zählen auch Haftungsansprüche nach Art. 82 DSGVO. Hat der Betroffene durch den Verlust seiner Daten nach Beurkundung bei Notar*in B einen Schaden erlitten, würde er seine Ansprüche gegen Notar*in B geltend machen. Im Innenausgleich setzt sich sodann Notar*in B mit Notar*in A auseinander. Eine Regelung dieser Haftungsfragen in der Vereinbarung nach Art. 26 DSGVO bietet sich an.

Möglicher Inhalt der Vereinbarung bei Notar*innen

Im Rahmen der gemeinsamen Berufsausübung der Notar*innen ist vorab zu überlegen, ob diese Regelungen in einem eigenen Dokument niedergelegt werden oder ob sie Einzug finden in den Sozietätsvertrag bzw. Vertrag zur gemeinsamen Büronutzung. Dies kann z.B. abhängig gemacht werden von der jeweiligen Intensität der Kooperation.

Folgende Regelungsbereiche und -inhalte bieten sich im Rahmen einer gemeinsamen Berufsausübung unter Notar*innen an:

  • Einleitend Regelungsinhalt des Vertrages
  • Beschreibung der in Frage kommenden datenverarbeitenden Tätigkeiten; insbesondere Klarstellung der eigenverantwortlichen Amtstätigkeit. Es bietet sich auch die Trennung Amtstätigkeit – Arbeitgeber*inneneigenschaft an
  • Im Rahmen der genannten Tätigkeit ggfs. die Kategorien von betroffenen personenbezogenen Daten nennen
  • Nennen der Rechte der Betroffenen und wer die Rechte der Betroffenen erfüllt: Im Rahmen der gemeinsamen Berufsausübung wird dies grundsätzlich weiterhin der/die jeweilige Notar*in in Ausübung seiner/ihrer Amtspflicht sein, es handelt sich also nur um eine Klarstellung in diesem Bereich. Ebenfalls sollte jedoch darauf hingewiesen werden, dass gemäß Art. 26 Abs. 3 DSGVO die Geltendmachung der Rechte eines Betroffenen gegenüber jedem der Verantwortlichen zulässig ist. Eine entsprechend angepasste Regelung ist im Bereich der Arbeitnehmerführung zu treffen.
  • Gleiches gilt für die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO: grundsätzlich hat dies jede/r Notar*in in seinem/ihrem Bereich der Amtstätigkeit zu erfüllen, es reicht ein klarstellender Hinweis, im Bereich der Arbeitnehmer*innenführung ist eine entsprechende Regelung zu finden, die Informationen nach Artikel 13 und 14 DSGVO auf der Webseite können gemeinsam erfolgen.
  • Definieren der Vorgehensprozesse, wie Anfragen von Betroffenen zu bearbeiten sind, insbesondere wenn die Anfrage nach einer Beurkundung an den/die „falsche/n“ Notar*in gelangt. Am besten erfolgt dies in Anhängen, da sich in diesem Bereich schneller einmal Änderungen ergeben.
  • Ebenso Vorgehensweisen definieren bei Datenpannen nach Art. 32 und 33 DSGVO, auch hier am besten in Anhängen.
  • Regelungen zu technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO: in der Regel reicht ein Verweis auf die Regelungen der gemeinsamen TOM in einem zusätzlichen Dokument.
  • Gemeinsame Regeln zum Datenschutzmanagement, in der Regel erfolgt ein Verweis auf ein zusätzliches Dokument.
  • Regelungen zum Führen der Verarbeitungsverzeichnisse nach Art. 30 DSGVO.
  • Das optionale Element der gemeinsamen Anlaufstelle nach Art. 26 Abs. 1 Satz 3 DSGVO ist für Notar*innen nicht relevant.
  • Regelungen zur Bestellung von Datenschutzbeauftragten, Regelungen zur Beauftragung von Auftragsverarbeitern nach Art. 28 DSGVO, zur Zusammenarbeit mit Aufsichtsbehörden.
  • Darüber hinaus sind folgende Regelungen optional:
    • Vertragsdauer und Kündigung
    • Regelmäßige Schlussformulierungen
    • Regelungen zum Haftungsfall: Gerade auch im Bereich der Haftung sollten Regelungen zur Haftung in den einzelnen gemeinsam zu verantwortenden Bereichen erstellt werden. Das meiste wird nur klarstellende Bedeutung haben. Man kann aber auch an dieser Stelle überlegen, Regelungen zu finden, Haftungsrisiken unabhängig vom Verschuldensgrad intern zu schultern. Sind diese noch nicht im Sozietätsvertrag geregelt, sollten sie es auf jeden Fall hier.

Schließlich ist das wesentliche der Vereinbarung den Betroffenen zur Verfügung zu stellen (Art. 26 Abs. 2 Satz 2 DSGVO). Aufgrund der Eigenverantwortlichkeit des/der einzelnen Notar*in im Bereich seiner Amtstätigkeit sollte dies kurz klargestellt werden, so dass grundsätzlich jede/r Notar*in auch für seinen Bereich Ansprechpartner bleibt. Dies kann z.B. in den Informationen nach Art. 13, 14 DSGVO auf der Webseite, bzw. zu den einzelnen Beauftragungen erfolgen, mit dem zusätzlichen Hinweis, dass gemeinsame Regelungen bezgl. des Datenschutzes bei der gemeinsamen Berufsausübung vorhanden sind. Entsprechend der Ausgestaltung der Mitarbeiter*innenarbeitsverhältnisse sind entsprechende Formulierungen in den Informationen nach Art. 13 DSGVO für die Arbeitsverträge zu gestalten. Weiterer Darlegungen der vereinbarten Regelungen, insbesondere zu Kündigungsregelungen oder zu Haftungsfragen, gegenüber den Betroffenen bedarf es nicht.

Öffentliche Stellen als gemeinsam Verantwortliche – Sonderregelungen

Eine weitere Besonderheit kommt bei Notar*innen hinzu: Sie sind datenschutzrechtlich „öffentliche Stellen“ des Landes, so dass ggf. weitere Vorschriften im Bereich einer gemeinsamen Verantwortlichkeit zu beachten sind.

In Betracht kommen hier Vorschriften zu sogenannten „Gemeinsamen Verfahren“7 oder „automatisierte Verfahren auf Abruf“8 in einzelnen Landesdatenschutzgesetzen. Es ist im Einzelfall zu prüfen, ob insbesondere die Nutzung einer gemeinsamen Software zur Unterstützung der Fachprozesse im Amt unter diese Begriffe fallen. Im Falle der gemeinsamen Berufsausübung von Anwaltsnotar*innen mit denen in § 9 Abs. 2 BNotO genannten Berufsgruppen ist zusätzlich zu klären, ob die Landesvorschriften ebenso für die Zusammenarbeit mit nicht-öffentlichen Stellen als Verantwortliche im Sinne des Datenschutzrechts anwendbar sind. Im Falle eines positiven Ergebnisses sind noch zusätzliche Maßnahmen nach Landesrecht in der Vereinbarung zu dokumentieren, bzw. vorzunehmen. Dies sind insbesondere u.U.:

  • Angemessenheitsprüfung9
  • Festlegung gemeinsamer organisatorischer und technischer Maßnahmen10
  • Unterrichtung des Landesdatenschutzbeauftragten11
  • Explizite Zuweisung eines Hauptverantwortlichen.12

Formulare

Als Einstieg in die Materie bieten sich z.B. die Formulierungshilfen des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg an.13

Die Besonderheiten des Joint Controllership bei Notar*innen bei der gemeinsamen Berufsausübung sind dann in der jeweiligen Ausgestaltung der Vereinbarung zu berücksichtigen.

Fußnoten

1 vgl. BGH, Urteil vom 29.10.1990 – II ZR 226/89.

2 EuGH, Urteil vom 05.06.2018 C-210/16 (Facebook-Fanepage), Rn. 42; EuGH, Urteil vom 10.07.2018 C-25/17 (Jehova); Rn. 66; EuGH, Urteil vom 29.07.2019 C-40/17 (Fashion-ID), Rn. 70.

3 EuGH, Urteil vom 05.06.2018 C-210/16 (Facebook-Fanepage), Rn. 38; EuGH, Urteil vom 10.07.2018 C-25/17 (Jehova); Rn.69; EuGH, Urteil vom 29.07.2019 C-40/17 (Fashion-ID), Rn. 69.

4 EuGH, Urteil vom 05.06.2018 C-210/16 (Facebook-Fanepage), Rn. 43; EuGH, Urteil vom 10.07.2018 C-25/17 (Jehova); Rn.66; EuGH, Urteil vom 29.07.2019 C-40/17 (Fashion-ID), Rn. 70.

5 EuGH, Urteil vom 10.07.2018 C-25/17 (Jehova); Rn.68; EuGH, Urteil vom 29.07.2019 C-40/17 (Fashion-ID), Rn. 68.

6 vgl. zur Unterscheidung nach Verarbeitungsschritten in der Verarbeitungskette bei Social Media EuGH, Urteil v. 29.07.2019, C-40/17, Rn. 74 (Fashion-ID).

7 § 7 NDSG, § 7a DSG LSA, § 21 BlnDSG.

8 § 6 DSG NW, Art. 7 BayDSG, § 7 DSG HH; § 21 BlnDSG, § 7 NDSG; § 7 DSG LSA, § 8 SDSG

9 § 21 BlnDSG, § 7 DSG HH, §§ 7, 7a DSG LSA, § 7 NDSG.

10 Art. 7 BayDSG, § 7 NDSG, § 7 DSG HH, §§ 7, 7a DSG LSA.

11 § 6 DSG NW, §§ 7, 7a DSG LSA, § 21 BlnDSG.

12 §§ 7, 7a DSG LSA, § 21 BlnDSG.

13 https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-verantwortlichkeit-sinnvoll-gestalten/

Lesen Sie zum Thema "Datenschutz" auch:

Lesen Sie weitere interessante Beiträge im juris Magazin:


juris unterstützt Sie in allen Rechts- und Themengebieten.

Finden Sie aus unserer Auswahl das für Sie passende Modul oder Produkt:


			juris PartnerModul Notare
juris PartnerModul Notare
Deckt die gesamte Bandbreite des notariellen Arbeitsbereiches ab: Gesellschaftsrecht, Steuerrecht, Familien- und Erbrecht, Miet- und WEG-Recht.
Weitere Produktinformationen

			juris Notare Basis
juris Notare Basis
Digitaler Pflichtbezug der Verkündungsblätter inklusive Protokoll und Zertifikat, Recherche aller Stationen und Dokumente im Gesetzgebungsprozess.
Weitere Produktinformationen

			juris PartnerModul Erbrecht
juris PartnerModul Erbrecht
Alles, was in der Erbrechtspraxis wichtig ist: Von Testamentsgestaltung über lebzeitige Vorsorge bis Vermögensübertragung.
Weitere Produktinformationen

			juris PartnerModul Familienrecht premium
juris PartnerModul Familienrecht premium
Inklusive Verfahrensrecht in Familiensachen, Betreuungs- und Vormundschaftsrecht sowie Kindschafts-, Unterhalts-, Ehe- und Scheidungsrecht.
Weitere Produktinformationen

			juris PartnerModul Zivil- und Zivilprozessrecht premium
juris PartnerModul Zivil- und Zivilprozessrecht premium
Recherchieren Sie u.a. im 14-bändigen „Wieczorek/Schütze“ - inkl. relevanten Nebengesetzen und int. Zivilprozessrecht.
Weitere Produktinformationen

			STAUDINGER Online Immobilienrecht powered by juris
STAUDINGER Online Immobilienrecht powered by juris
Beantwortet alle Fragen zu Immobilienerwerb, Grundpfandrechten und Wohnungseigentumsrecht.
Weitere Produktinformationen

Nicht das Passende für Sie dabei?

Wir beraten Sie gerne persönlich und unverbindlich: 0800 – 587 47 33