律师的电子邮件沟通和个人数据的披露

fabiha01

如今，律师和客户之间的沟通通常通过电子邮件快速、便捷地进行。但是这个通信渠道的数据保护怎么样？

数据保护法是否允许这样做？
有些人可能会问自己，受职业保密约束的律师进行这种数据处理是否符合数据保护法。通信中包含敏感内容的情况并不少见，这取决于聘请法律顾问的具体原因。我们已经报道过有关律师日常工作中人工智能（AI）的数据保护问题。

原则上，艺术。 GDPR 第 6（1）（f）条可被视为电子邮件通信框架内数据处理的法律依据。律师的合法利益体现在有效处理他们的信件上，这也适用于初次接触。

技术和组织措施很重要
然而，根据艺术。 32 GDPR，还必须确保律师采取适当的技术和组织措施，以确保与风险相适应的保护水平。

这对于律师来说尤其重要，因为根据《联邦律师法》（BRAO）第 43a 条第 2 款，他们受职业保密的约束，因此有义务对他们在执业过程​​中所知的信息保密。根据《刑法典》（StGB）第 203 条第 1 款第 3 项的规定，违法行为甚至可能导致刑事后果。

巴伐利亚州数据保护监督局的观点
巴伐利亚州数据保护监督局（BayLDA）在其2019年第9份年度报告（见第69页）中已经指出，受职业保密约束的人员在发送电子邮件时通常必须确保传输加密。

当发送对数据主体的权利和自由具有高风险的数据时，内容加密也是必要的。只要仅包含数据主体的数据，就应该能够在数据主体同意的情况下将适当的保护级别降低到仅仅是传输加密。但如果电子邮件中还包含第三方的敏感个人数据，风险较高，内容加密就至关重要。

在其当前的 2023 年活动报告中，BayLDA 再次澄清，根据第 6 条，律师通过电子邮件进行的通信本身并不需要数据主体的同意。 GDPR 第 6（1）（a）条（参见第 59 页）。据此，同意并不是必要的，特别是如果有关人员不是数据主体自己的客户之一。相反，律师根据艺术的合法利益。 GDPR 第 6（1）（f）条可用于此类数据处理。

然而，如果数据主体反对律师使用其电子邮件地址，则在利益平衡中必须考虑到这一点。可能会出现违背当事人意愿使用电子邮件通信的情况，例如：如果没有其他联系方式并且情况特别紧急，则可能会出现这种情况。

中期结论
律师受职业保密约束这一事实本身并不意味着电子邮件通信本身需要数据主体的同意或内容加密。例如，德国商业传真列表 约会提醒只能通过传输加密发送。

个人信息的披露
BayLDA 在其 2023 年年度报告（见第 59 页）中进一步声明，律师不仅必须在电子邮件通信中特别小心，而且在信函中也必须特别小心：

一名律师向当事人的雇主发送了一份有关已经签发的扣押和转移令的索赔清单。然而，这是向公司的一般地址进行的，而不是像雇主之前要求的那样，直接向公司的人力资源部门发送保密通知。

律师这种“错误处理”的后果是，公司人力资源部门以外的多名员工都了解了上述扣押程序。这违反了完整性和保密性的数据保护原则。据此，必须以确保个人数据的适当安全的方式处理个人数据，特别是防止未经授权的处理（GDPR 第 5（1）（f）条）。

结论
在发送包含个人数据的文件时，必须确保只有收件人才能真正了解其内容。必须尽可能排除第三方的知识，而不仅仅是在接收者明确提出请求的情况下。例如，可以通过添加保密通知并具体处理（例如人力资源部门）来实现。