Die ePrivacy-Verordnung zwischen Trilog und Ungewissheit

Dr. Malte Engeler

ist Richter und beim Schleswig-Holsteinischen Verwaltungsgericht tätig.

 

 

 

ZD 2017, 549   Die Bemühungen um die ePrivacy-VO haben mindestens in einer Hinsicht nicht enttäuscht: Wie erwartet haben sie für eine Diskussion gesorgt, die in Sachen Leidenschaft dem Ringen um die DS-GVO kaum nachsteht. Bereits der im Januar vorgestellte Entwurf der Kommission bot Verbraucherschützern, Digitalwirtschaft und Aufsichtsbehörden sowie Stimmen aus der Literatur (s. Engeler/Felber, ZD 2017, 251) reichlich Anlass zur hitzigen Debatte. Sei es das unklare Verhältnis zur DS-GVO, unbestimmte Begriffe oder Umsetzungsprobleme in der Praxis: Die handwerklichen und inhaltlichen Unstimmigkeiten haben viele Kritiker vereint. Bei den daraus gezogenen Schlüssen ging der Konsens freilich nicht mehr ganz so weit: Die Spannbreite der Forderungen reichte von einer Verschärfung der Regulierung über bloße Detailanpassungen bis zur grundsätzlichen Infragestellung.

Vor diesem Hintergrund votierte der federführende Innen- und Justizausschuss des Europäischen Parlaments unter der Abgeordneten Lauristin als Berichterstatterin im Oktober 2017 mit denkbar knapper Mehrheit für einen neuen Entwurf, der kurz darauf mit klarer Mehrheit durch das Parlament bestätigt wurde (s. Bericht v. 23.10.2017, Dok. A8-0324/2017 im Informationssystem des Europäischen Parlaments). Damit ist nun das Mandat für den Trilog zwischen Rat, Europäischem Parlament und EU- Kommission erteilt. Offen ist noch die allgemeine Position des Rates und natürlich die Position Deutschlands unter einer möglichen Jamaika-Koalition. Dieser Umstand und die Erfahrungen mit den Veränderungen, die die DS-GVO in ihrer Trilog-Phase erfahren hat, machen es weiterhin schwer abschätzbar, in welcher Fassung die finale Verordnung im Amtsblatt veröffentlicht werden wird.

Ein Vergleich des Lauristin-Entwurfs mit dem der Kommission wird zwar dadurch erschwert, dass es bisher keinen offiziellen konsolidierten Text gibt. Ein genauer Blick in die Veränderungen zeigt aber, dass der neue Entwurf in Detailfragen durchaus auf bisherige Kritikpunkte einzugehen versucht. So verweist er hinsichtlich der Definition vieler Kernbegriffe nicht mehr auf den Entwurf des Kodex für die elektronische Kommunikation (2016/0288 COD), sondern integriert diese in seinen neugefassten Art. 4. Auch bemüht er sich um eine stringentere Verknüpfung zwischen grundrechtlicher Zielsetzung und konkreter Regulierung. Ausweislich seines unveränderten Art. 1 versteht sich die ePrivacy-VO weiterhin als Regelung zur Umsetzung von Art. 7 und Art. 8 GRCh und knüpft zentral an den Begriff des personenbezogenen Datums an. Während diese Anknüpfung im Kommissionsentwurf jedoch vielfach lückenhaft blieb und insbesondere in Bezug auf die Verarbeitung von Maschinendaten schwer nachzuvollziehen war, hat der Lauristin-Entwurf den insofern kritischen Erwägungsgrund 12 zwar nunmehr gestrichen, behandelt die Maschinenkommunikation in einer Ergänzung der Definitionen in Art. 4 Abs. 3 allerdings weiterhin als Unterfall der elektronischen Kommunikationsdienste. So sehr diese ansatzweise Klarstellung aus systematischen Gründen zu begrüßen ist, bleibt es damit doch bei dem altbekannten Streit um das personenbezogene Datum. Die Frage, ob die Kommunikation i.R.v. Smart Home, IoT und Connected Devices im Einzelfall unter die Verordnung fällt oder nicht, wird je nach Auslegung der Reichweite des Schutzbereichs von Art. 7 und Art. 8 GRCh also weiterhin ganz unterschiedliche Ansichten hervorbringen.

Gleichermaßen zwiespältig gerät der Versuch, das Konkurrenzverhältnis zwischen ePrivacy-VO und DS-GVO klarzustellen. Der angepasste Erwägungsgrund 5 spricht weiterhin davon, dass die DS-GVO präzisiert und ergänzt werden soll. Den üblichen Grundsätzen der Gesetzeskonkurrenz folgend führt das Schweigen der ePrivacy-VO somit grundsätzlich zum Rückgriff auf die DS-GVO. Im Kommissionsentwurf wurde dieser Grundsatz in Einzelfragen allerdings dadurch durchbrochen, dass sich die ePrivacy-VO hinsichtlich einzelner Überschneidungen veranlasst sah, die Anwendung der DS-GVO noch einmal deutlich zu betonen. Der neue Entwurf hilft hier nur teilweise ab. Auch im neuen Art. 9 Abs. 1 werden die Vorgaben der DS-GVO zur Einwilligung ausdrücklich in Bezug genommen, während andere Bereiche der DS-GVO nicht konkret angesprochen werden. Damit stellt sich nach wie vor die Frage, ob und wann aus dem Schweigen der ePrivacy-VO möglicherweise im Umkehrschluss eine verdrängende Wirkung abgeleitet werden muss. Dies war im Kommissionsentwurf u.a. bei der Auftragsdatenverarbeitung relevant, hinsichtlich der lediglich auf die Begriffsbestimmung des Art. 4 Nr. 7 und Nr. 8 DS-GVO Bezug genommen wurde, nicht jedoch auf die formellen Vorgaben des Art. 28 DS-GVO. Es wäre also durchaus streitbar gewesen, ob etwa Webseitenbetreiber beim Auslagern ihrer Reichweitenanalyse auf Dienstleister einen formellen Auftragsdatenverarbeitungsvertrag hätten abschließen müssen. Diesem Umstand begegnet der neue Entwurf zwar damit, dass er im erweiterten Art. 8 Abs. 1 lit. d ausdrücklich darauf hinweist, dass Reichweitenanalysen auch im Wege der Auftragsverarbeitung gemäß DS-GVO durchgeführt werden können. An dem grundsätzlichen Problem ändert dies aber so lange nichts, wie der neue Entwurf den Art. 9 Abs. 1 unverändert lässt. Der dortige Hinweis ist und bleibt im Grunde überflüssig, da nach eigenem Verständnis der ePrivacy-VO die DS-GVO ohnehin als allgemeine Regelung anwendbar bleibt. Der ausdrückliche Verweis auf die Vorgaben der Einwilligung und das Schweigen über andere Bereiche der DS-GVO bleibt damit ein Stolperstein.

Der größte Diskussionspunkt bleibt aber die grundsätzliche Herangehensweise der ePrivacy-VO an die Rechtmäßigkeit der Datenverarbeitung. Wie schon der Kommissionsentwurf setzt auch der Lauristin-Entwurf im Schwerpunkt auf zwei regulatorische Ansätze: den Erforderlichkeitsgrundsatz und die Einwilligung. Verarbeitet werden darf in aller Regel nur, was technisch erforderlich ist, um den gewünschten Dienst zu nutzen. Zur Betonung ergänzt der neue Entwurf u.a. den Art. 8 Abs. 1 lit. c ausdrücklich noch einmal um den Zusatz "strictly". Ungeachtet der Frage, welcher Unterschied zwischen normaler und strenger Erforderlichkeit besteht, sind weder Erforderlichkeit noch Einwilligung besonders gelungene Anknüpfungspunkte für die Regulierung digitaler Dienste. Welche Datenverarbeitungen für die Nutzung bestimmter Dienste erforderlich sind, bestimmen vielfach vorgegebene technische Standards sowie die Nutzungsbedingungen, deren Inhalt sie digital umsetzen. Je nach Lesart droht der Erforderlichkeitsbegriff damit entweder leerzulaufen oder er bedingt eine technische Umsetzung mit nur sehr rudimentärem funktionalen und optischen Anspruch. Statt nun konkrete Vorgaben im Verordnungstext aufzunehmen, verweist der Entwurf für alles, was über spartanischen Minimalismus hinausgeht, weitgehend auf die erforderliche Einwilligung der Nutzer. Egal, ob im Bereich des Offline-Tracking oder von Online-Diensten: Es braucht nicht viel Fantasie, um sich vorzustellen, dass insbesondere große Handelsketten, Betreiber von Hotspots oder Kundenkarten-Anbieter hinsichtlich des Offline-Tracking sowie die bekannten Netzgiganten die Einzigen sein werden, die überhaupt in der Lage sind, flächendeckend Einwilligungen einzuholen. Damit begünstigt der Entwurf letztlich die Position einzelner großer Anbieter und führt zu einer Konzentration der Datenverarbeitung bei zentralen Stellen, anstelle mittels bindender Vorgaben für alle Beteiligten gleiche Bedingungen zu schaffen.

Der neue Entwurf bringt damit eine altbekannte Schieflage des Datenschutzdiskurses ans Tageslicht: den Fokus auf Transparenz und die Einwilligung als Rechtsgrundlage. Tim Wu, US-amerikanischer Rechtsanwalt und Professor an der Columbia Law School, twitterte kürzlich: "Transparenz als Heilmittel ist in der Regel nur ein Ersatz dafür, tatsächlich etwas zu tun". Indem er die Interventionslast überwiegend auf die Betroffenen verlagert, steigert der neue Entwurf eben nicht zwingend den Schutz der Nutzer, sondern stärkt primär diejenigen Stellen, die auf Grund ihrer hervorgehobenen Marktstellung ohnehin schon im Rahmen ihrer bestehenden Beziehungen in der Lage sind, Einwilligungen einzuholen. Als Ausgleich dafür sieht der neue Entwurf deshalb mit dem neuen Art. 8 Abs. 1a die wohl kontroverseste neue Einzelregelung vor: eine Entsprechung zum sog. Kopplungsverbot aus Art. 7 Abs. 4 DS-GVO. Der neue Entwurf sieht darin vor, dass Diensteanbieter den Zugang zu ihren Leistungen nicht deshalb ablehnen dürfen, weil Nutzer nicht in Datenverarbeitungen einwilligen, die über das für die Nutzung des Dienstes erforderliche Maß hinausgehen. Wie auch das sog. Kopplungsverbot des Art. 7 Abs. 4 DS-GVO wird dieses neue "Recht auf eine datensparsame Alternative" aber erst noch beweisen müssen, inwiefern es gegenüber bewusst gestalteten Nutzungsbedingungen standhalten kann. Was technisch erforderlich ist, folgt eben nicht aus einer typisierten Betrachtung, sondern aus der (oft einseitig vorgegebenen) konkreten Gestaltung der Nutzungsbedingungen (demnächst ausführlich Engeler in ZD 2018). Vor diesem Hintergrund bedarf es nicht immer höherer Anforderungen an die Wirksamkeit der Einwilligung, sondern konkreter inhaltlicher und technischer Vorgaben für die Gestaltung digitaler Dienstleistungen. Ähnlich der Klauselregulierung durch das AGB-Recht ließen sich so verbindliche und alle Marktteilnehmer gleichermaßen treffende Grenzen aufstellen. Die seit 2015 diskutierte Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte (2015/0287 COD) wäre dafür ein denkbarer Ort, verweist aber lediglich darauf, dass es für die Rechtmäßigkeit der Datenverarbeitung in Verträgen über digitale Inhalte einzig auf die DS-GVO ankommen soll. So dreht sich die Regulierung im Kreis.

Während der neue Entwurf also in zentralen Punkten weiter für Debatten sorgt, wird ein Szenario immer wahrscheinlicher: Die DS-GVO wird im Mai 2018 ohne eine begleitende ePrivacy-VO starten. Denn ihr angepasster Art. 29 Abs. 2 fasst nur noch einen Geltungsbeginn ein Jahr nach Inkrafttreten ins Auge. Damit steht eine Rechtslage bevor, in der die datenschutzrechtlichen Herausforderungen der digitalen Kommunikation einzig mit der allgemeinen DS-GVO gelöst werden müssen. Solch ein Schwebezustand zwischen der Unbestimmtheit der DS-GVO und der am Horizont sichtbaren ePrivacy-VO dürfte nicht weniger als ein Durchsetzungs- und Vollzugsvakuum zur Folge haben. Dieses Szenario lädt natürlich zu dem Gedankenspiel ein, was wäre, wenn es tatsächlich bei der DS-GVO bliebe. Als durchweg unverzichtbar hat sich die ePrivacy-VO in vielen Kernpunkten jedenfalls noch nicht erwiesen. Wo die DS-GVO mit dringend nötigen Reformen, wie etwa zur europaweiten Abstimmung der Aufsichtsbehörden, ihren Mehrwert nicht mehr begründen muss, hat die ePrivacy-VO im Laufe des Trilogs noch einiges an Überzeugungsarbeit zu leisten. Als durchweg unverzichtbar hat sich die ePrivacy-VO in vielen Kernpunkten jedenfalls noch nicht erwiesen. Wo die DS-GVO mit dringend nötigen Reformen, wie etwa zur europaweiten Abstimmung der Aufsichtsbehörden, ihren Mehrwert nicht mehr begründen muss, hat die ePrivacy-VO im Laufe des Trilogs noch einiges an Überzeugungsarbeit zu leisten.

 

 


Die Zulässigkeit der Anwalts-Cloud nach der Neuordnung des Berufsrechts

Professor Dr. Thomas Hoeren

ist Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht (ITM), Universität Münster und Mitherausgeber der ZD.

 

 

 

ZD 2017, 501    In der ZD 2017, 201 hat der renommierte Datenschutzrechtler Eugen Ehmann einen nachdenklich stimmenden, innovativen Gastkommentar zu der Neuordnung des Paragrafen 203 StGB, insbesondere im Gesundheitsbereich, abgegeben. Seine These ist einfach: Erstaunlicherweise schaffe dieses neue Gesetz keine ausdrückliche gesetzliche Rechtsgrundlage für die Übermittlung von Patientendaten an externe Dienstleister. Zumindest sei das Strafbarkeitsrisiko nach Art. 83 DS-GVO in Form von Geldbußen brisant.

Es möge offenbleiben, ob Ärzte wie Anwälte durch § 203 Abs. 1 und 3 StGB bei der Nutzung externer Dienstleister privilegiert sind. Auch ist auf Art. 90 DS-GVO verwiesen, der den Mitgliedstaaten die Verabschiedung spezifischer Regeln für Geheimnisträger erlaubt und diese von der Reichweite der Verordnung ausnimmt. Auf jeden Fall lohnt sich der Blick auf die Anwälte im neuen Gesetz, insbesondere was die Änderung der BRAO angeht. Denn hier hat sich nahezu unbemerkt Wichtiges getan.

  • Das Gesetzespaket zur Neugestaltung des § 203 StGB hat nämlich auch noch Änderungen im anwaltlichen Berufsrecht mit sich gebracht. § 43e BRAO n.F. legt die Grenzen und Möglichkeiten für die Einbindung externer Dienstleister ohne Einwilligung der berechtigten Person für Anwälte fest. Sind die Voraussetzungen dieser Vorschrift eingehalten, stellt die Einbindung externer Dienstleister keinen Verstoß gegen die anwaltliche Verschwiegenheitspflicht dar. Doch betrachtet man die Regelungen unter der Anwendung moderner IT-Lösungen im Anwaltsbetrieb, lassen sich hier einige Überlegungen anstellen, die die Regelung nicht mehr ganz so klar erscheinen lassen:
  • Als besonderes Problem erweist sich § 43 Abs. 5 BRAO. Hiernach kann der Anwalt bei der Inanspruchnahme von Dienstleistungen, die unmittelbar einem einzelnen Mandat dienen, dem Dienstleister Zugang zu Geheimnissen nur dann ermöglichen, wenn der Mandant darin spezifisch eingewilligt hat. Ausdrücklich spricht die Begründung des Gesetzes von Dienstleistungen, wie etwa der Beauftragung eines Sachverständigen, eines Detektivs oder eines Übersetzers (BT-Drs. 18/11936, S. 36). Die Reichweite der Vorschrift geht allerdings sehr viel weiter: Unter Daten, die "unmittelbar einem einzelnen Mandat zugeordnet sind", sind ebenfalls alle Abrechnungsdaten zu zählen, d.h. auch bereits die einzelne Honorarleistung. Allein im Rahmen einer Fernwartung fallen schon eine Fülle von Daten an, die aus einem konkreten Beratungsverhältnis stammen (können). Bereits die Angabe einer Scheidung als Abrechnungsart für ein Honorar kann dabei den Einwilligungszwang auslösen. Lediglich Pauschalhonorare ohne konkreten Verwendungszweck bedürfen keiner Einwilligung bei der externen Abrechnung. Damit unterliegt der Bereich der Honorarabrechnung nahezu vollständig der Einwilligung bei der Einbindung externer Dienstleister.
  • Merkwürdig ist eine weitere Formulierung in der Begründung, wonach es für die Prüfung des unmittelbaren Mandatsbezugs nicht auf die konkrete Vertragsgestaltung ankomme. Entscheidend sei vielmehr die Frage, "ob für die jeweilige Dienstleistung, die in Anspruch genommen werden soll, ein besonderer Bedarf im einzelnen Mandat besteht" (BT-Drs. 18/11936, S. 36). Damit ergibt sich aus der Gesetzesbegründung selbst eine Art nicht kontrollierte Öffnungsklausel, die die Sache dabei gleichsam noch schwieriger gestaltet. Darüber hinaus muss jetzt auch noch geklärt werden, ob die externe Einbindung von Dienstleistern von einem besonderen Bedarf im Einzelfall gedeckt ist.
  • Das Einwilligungserfordernis wird vor allem wegen der hohen Anforderungen an die Einwilligung ebenfalls als problematisch angesehen. Nach § 43e Abs. 6 BRAO gelten im Falle der Einwilligung besondere Bestimmtheitserfordernisse: Der Mandant muss ausdrücklich auch auf die Anforderungen des § 43e Abs. 2-4 BRAO verzichten. Aus der Sicht des externen Dienstleisters ergibt sich daraus eine schwierige Vertragskonstellation: Allgemein braucht er zunächst mit dem Anwalt eine Vereinbarung in Textform, auf Grund derer er zur spezifischen Geheimhaltung verpflichtet ist (§ 43e Abs. 3 BRAO). Für die Daten, die unmittelbar einem Mandat dienen, braucht er ferner eine ausdrückliche, individuelle Einwilligung des Mandanten.
  • Als wäre dies nicht genug, findet sich in § 43e Abs. 8 BRAO noch der lapidare Zusatz "die Vorschriften zum Schutz personenbezogener Daten bleiben unberührt". Damit ist das von Ehmann beschriebene Dilemma von Strafrecht und dem widersprechenden Datenschutzrecht nicht bei Ärzten akut, sondern durch die Öffnung in § 43e BRAO nur und ausschließlich für Anwälte. Denn diese sind trotz der Freistellung ihrer externen Cloud im Datenschutzrecht an die Datenschutzgrundverordnung gebunden. Vor allem trifft sie das Risiko einer Geldbuße gem. Art. 83 Abs. 4 und 5 DS-GVO hart. Wegen der Einbindung externer Dienstleister müsste der Anwalt vor allem Art. 28 DS-GVO und die dortigen Anforderungen an eine Auftragsdatenverarbeitung beachten. Losgelöst davon stellt bereits die BRAO Minimalanforderungen für die Auftragsdatenverarbeitung auf (Gesetzesbegründung in BT-Drs. 18/11936, S. 37). Man könnte zwar die These vertreten, dass damit der Verweis in § 43e Abs. 8 BRAO leerläuft und dass Art. 90 DS-GVO die Datenschutzgrundverordnung für Geheimnisträger nicht für anwendbar erklärt. Dann würde die BRAO auf ein Datenschutzrecht verweisen, das seinerseits auf Geheimnisträger nicht anwendbar ist. Dies kann von der Vorschrift aber nicht gemeint sein. Man wird daher zumindest vertreten können, dass das Datenschutzrecht und das Strafrecht parallel nebeneinander existieren, zumindest wenn es um Anwälte geht.
  • Und schließlich bleibt noch das ewige Problem des internationalen Datenschutzrechts. § 43e BRAO verlangt von den Anwälten eine Prüfung, ob die Datenspeicherung in Drittstaaten den europäischen Standards gleichsteht. Sie belastet damit aber die anwaltliche Zunft mit einem enormen Prüfungsrisiko, da jetzt der einzelne Anwalt bei jedem Vorgang mit Datenschutzbezug vorab zu prüfen hat, ob sein Dienstleister die europäischen Datenschutzanforderungen entsprechend in seinem Heimatland beachtet. Wer sich mit den Finessen des US-Rechts an dieser Stelle beschäftigt, kommt dann gleich in die Schwierigkeit, ob und inwieweit man wirklich sagen kann, dass das Datenschutzrecht im Zeitalter von Trump den EU-Standards Rechnung trägt. Jedenfalls trägt der Anwalt die volle Sanktionslast, falls die Prüfung von ihm versehentlich falsch läuft.
  • Zudem impliziert § 43e BRAO "eine tiefe Verneigung vor der heimischen IT- und TK-Wirtschaft" (so Härting, in: LTO). Denn vor der Beauftragung auch eines auswärtigen europäischen Dienstleisters muss der Anwalt im Einzelfall prüfen, ob der im Ausland bestehende Datenschutz "dem Schutz im Inland vergleichbar ist". Dies ist europarechtlich problematisch, da es IT-Dienstleister aus anderen EU-Mitgliedstaaten ohne sachlichen Grund diskriminiert. Es entspricht auch nicht dem Geist der DS-GVO, die den europäischen Datenraum einheitlich mit einem Rechtsrahmen für den Datenschutz ausstatten will.
  • Angedacht wurde ferner, dass die Prüfung des auswärtigen Rechts für den Anwalt entbehrlich ist, wenn eine solche Prüfung mit dem Wesen des Geheimnisses unverträglich ist. Auf das einzelne Datenschutzniveau soll es nicht mehr ankommen, wenn dies für die Durchsetzung des Geheimnisschutzes unbedeutend ist. Auch der Hinweis auf eine solche de minimis-Regel ist aber wenig hilfreich, da dadurch der Geheimnisschutz verwässert und auf die Schultern des einzelnen Anwalts verlagert wird.

Der Gesetzesentwurf, der schon den Bundesrat passiert hat und der noch im Bundesgesetzblatt zu veröffentlichen ist, ist unausgegoren und gerade für Anwälte problematisch (dazu auch allg. demnächst ausführlich Hoeren, MMR 1/2018). Die Anwälte treffen künftig enorme Prüfungsrisiken, wenn sie externe Dienstleister - insbesondere mit der Speicherung von Honorardaten - beauftragen wollen.

Sie müssen schlimmstenfalls zwei verschiedene Abrechnungssysteme fahren und zwei getrennte externe Datenverarbeitungen vorhalten: Zum einen ist da der große Bestand an Anwaltsdaten ohne Mandatsbezug, der nach § 203 StGB bei bestehender Geheimhaltungsverpflichtung auf externe Dienstleister abgewälzt werden kann. Zum anderen wären die wenigen Kerndaten mit unmittelbarem Mandatsbezug, für deren externe Verwaltung die Einwilligung des Mandanten nachzuholen und ggf. zu beweisen wäre. Dies erscheint aber wenig praktikabel.

Fraglich ist, was es dazu an Alternativen gibt: Lässt man einmal das Datenschutzrecht außen vor und betrachtet sich nur die BRAO, drohen dem Anwalt bei Verstoß gegen § 43e BRAO lediglich anwaltsgerichtliche Verfahren, nicht aber strafrechtliche Konsequenzen. Die BRAO ist allerdings nur auf in Deutschland zugelassene Anwälte anwendbar. Ausländische Anwälte brauchen daher die Vorgaben der BRAO gar nicht zu beachten und können z. B. Daten mit Mandatsbezug ohne Einwilligung extern vergeben. Doch dann käme nur eine Flucht ins Ausland in den Blick, was dem in Deutschland niedergelassenen Anwalt wenig hilft.

Letztendlich verbleibt dem Anwalt nur die Verschlüsselung der Daten; denn dann fehlt es am Personenbezug. Dabei reicht eine einfache Verschlüsselung nicht aus, wenn diese allgemein rekonstruierbar ist. In dieser Situation kann ihm kaum ein richtiger Rat bedenkenlos gegeben werden. Es bedarf also einer restriktiven Auslegung des § 43e BRAO oder zumindest einer Feststellung der Anwaltskammern, wonach diese Vorschrift, was den Mandatsbezug angeht, eng auszulegen ist. Nur so wird die Schutznorm zu Gunsten des Mandanten ihrem eigentlichen Sinn zugeführt, nämlich den Schutz des Mandanten bei der Verarbeitung sensibelster Daten durch externe Dienstleister.