Datenschutz und juristische Fachübersetzung
von , veröffentlicht am 29.03.2018Bei diesem Beitrag handelt es sich lediglich um die Grübeleien eines urlaubsreifen Übersetzers, die ganz grob das Verhältnis zwischen dem Datenschutz und der juristischen Fachübersetzung betreffen. Dieser Beitrag sollte daher nicht als eine Beratung – und schon gar nicht als eine qualifizierte Beratung – aufgefasst werden. Ich hoffe sogar, dass ich bei der nachstehenden Ziffer 3 Unrecht habe, weil mir die Folgen in dem Fall rechtlich wie menschlich etwas paradox scheinen.
1 Kundendaten und Auftragsdaten
Übersetzungsdienstleister, die regelmäßig juristische Personen wie Anwalts- und Wirtschaftskanzleien (kurz: »Geschäftskunden«) bedienen, haben grob gesagt zwei Vorgänge mit datenschutzrechtlicher Relevanz. Auf der einen Seite erhalten Übersetzungsdienstleister personenbezogene Daten der jeweiligen Mitarbeiter und Mitarbeiterinnen des entsprechenden Geschäftskunden. Diese Daten – nennen wir diese »Kundendaten« – umfassen regelmäßig Vor- und Nachname, Arbeitgeber, Geschäftsanschrift, Geschäftstelefonnummer, Geschäfts-E-Mailadresse und ggfs. Urlaubs- bzw. Krankheitsvertretungen der betroffenen Person. Bei Geschäftskunden entsprechen also im Regelfall der Geschäftskunde dem Arbeitgeber, die Rechnungsadresse der Geschäftsanschrift und die gewünschten Möglichkeiten der Kontaktaufnahme zwecks Auftragsabwicklung der Geschäftstelefonnummer und -E-Mailadresse. Auf der anderen Seite erhalten Übersetzungsdienstleister mindestens einen zu übersetzenden Text, der im Bereich der juristischen Fachübersetzung regelmäßig personenbezogene Daten enthält – nennen wir diesen Text (mit und ohne personenbezogene Daten) »Auftragsdaten«. Man denke nur an Arbeitsverträge, notarielle Urkunden, Schriftsätze und Ähnliches. Bis Dato werden aufgrund einer zuweilen gebotenen Eile die bei Auftragsdaten vorhandenen personenbezogenen Daten häufig ohne Weiteres weitergegeben und selten geschwärzt oder pseudonymisiert – und wenn diese geschwärzt oder pseudonymisiert werden, so wird die Pseudonymisierung oder Schwärzung selten richtig und vollständig durchgeführt.
Die bei Kundendaten vorhandenen personenbezogenen Daten dürfen Übersetzungsdienstleister im Regelfall verarbeiten. Es liegt eine Einwilligung der jeweiligen Mitarbeiter und Mitarbeiterinnen im Sinne der Datenschutzgrundverordnung (»DSGVO«) vor (Artikel 6 Abs. 1 Buchstabe a DSGVO). Auch wenn diese Einwilligung im Regelfall nicht explizit durch eine schriftliche Erklärung erfolgt, liegt sie vor, da die Mitarbeiter und Mitarbeiterinnen des Geschäftskunden durch eine »eindeutige[] bestätigende[] Handlung« zu verstehen geben, dass »sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden« sind (Artikel 4 DSGVO). Diese Einwilligung hat auch mindestens einen weiteren Erlaubnistatbestand nach der DSGVO zur Folge. Die Verarbeitung dieser Daten dient entweder dem Abschluss eines Übersetzungsvertrags oder der Anbahnung vorvertraglicher Maßnahmen wie der Angebotserstellung (vgl. Artikel 6 Abs. 1 Buchstabe b DSGVO). Bei Auftragserteilung könnte die Verarbeitung dieser Daten auch unter Umständen einen weiteren Erlaubnistatbestand begründen. Dieser läge beispielsweise vor, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des jeweiligen Übersetzungsdienstleisters als Verantwortlichen (Aufbewahrungspflicht etwa) erforderlich ist (Artikel 6 Abs. 1 Buchstabe c). Konkret könnten Übersetzungsdienstleister also bis zu drei verschiedene Erlaubnistatbestände für die Verarbeitung der bei Kundendaten vorhandenen personenbezogenen Daten vorliegen. Dieser Fall ist eindeutig und unproblematisch.
Bei Auftragsdaten wird es aber problematisch. Bei Geschäftskunden liegen in der Regel die drei oben genannten Erlaubnistatbestände für eine Verarbeitung der bei Auftragsdaten vorhandenen personenbezogenen Daten nicht vor. Es liegt höchstens ein Erlaubnistatbestand vor – und zwar, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen [= Übersetzungsdienstleister] oder seines Geschäftskunden erforderlich ist (Artikel 6 Abs. 1 Buchstabe f). Dieser hängt meinem Verständnis nach sehr stark von der Konstellation des Einzelfalls ab. Eine gute Arbeitshypothese lautet daher: Übersetzungsdienstleister dürfen die bei Auftragsdaten vorhandenen personenbezogenen Daten nicht verarbeiten.
2 Beglaubigte Übersetzungen
Beglaubigte Übersetzungen könnten unter Umständen eine regelrechte Ausnahme darstellen – vor allem, wenn diese richterlich angeordnet werden oder anderweitig gesetzlich erforderlich sind. Ich lehne mich aus dem Fenster und behaupte vorbehaltlich weiterer Informationen, dass für die Verarbeitung der bei Auftragsdaten vorhandenen personenbezogenen Daten bis zu zwei Erlaubnistatbestände nach der DSGVO vorliegen können. Die Verarbeitung dieser Daten ist erforderlich: entweder »für die Wahrnehmung einer Aufgabe [], die im öffentlichen Interesse [= Rechtsverfolgung etwa] liegt oder in Ausübung öffentlicher Gewalt [= Verwaltungsakte etwa] erfolgt, die dem Verantwortlichen [= Übersetzungsdienstleister] übertragen wurde« (Artikel 6 Abs. 1 Buchstabe e), oder aber je nach Konstellation des Einzelfalls zur Wahrung berechtigter Interessen des Verantwortlichen [= Übersetzungsdienstleister] und seines Geschäftskunden erforderlich ist (Artikel 6 Abs. 1 Buchstabe f).
3 Folgen einer Weitergabe der bei Auftragsdaten vorhandenen personenbezogenen Daten bei nicht Vorliegen verordnungsgemäßer Erlaubnisse
Für den Fall, dass bei Auftragsdaten vorhandene personenbezogene Daten an Übersetzungsdienstleister durch Geschäftskunden weitergegeben werden, haften sowohl die Geschäftskunden als auch die Übersetzungsdienstleister jeweils als Verantwortliche für die Verarbeitung dieser personenbezogenen Daten nach Artikel 82 DSGVO gesamtschuldnerisch und somit könnte die Informationspflicht nach Artikel 14 DSGVO bei Übersetzungsdienstleistern ausgelöst werden. In diesem Fall könnten Übersetzungsdienstleister nämlich dazu verpflichtet sein, der jeweiligen betroffenen Person eine Information zu senden, in der unter anderem »die Zwecke der Verarbeitung« angegeben werden (Artikel 14 DSGVO). Diese Konstellation scheint sowohl für Übersetzungsdienstleister als auch für Geschäftskunden höchst unangenehm und geschäftsschädigend zu sein. Denn der Schutz personenbezogener Daten scheint sämtliche bereits bestehenden zum allgemeinen Schutz vertraulicher Informationen und Daten bestimmten Mechanismen zu überwiegen.
Diese Konstellation scheint für Übersetzungsdienstleister höchst unangenehm zu sein, weil sie beispielsweise zum Verstoß gegen allgemeine Vertraulichkeitsverpflichtungen, konkrete Vertraulichkeitsvereinbarungen, das Datengeheimnis, das Fernmeldegeheimnis bzw. das Sozialgeheimnis verordnungsgemäß und gesetzlich verpflichtet wären. Zur Klarstellung verhält es sich allem Anschein nach so: Wenn in diesem Fall Übersetzungsdienstleister ihre Pflichten nach der DSGVO erfüllen wollen, so müssten sie einen Vertrauensbruch ihren Geschäftskunden gegenüber begehen und gegen sämtliche vertraglichen und weiteren gesetzlichen Verpflichtungen verstoßen; wenn diese dahingegen ihre vertraglichen und weiteren gesetzlichen Verpflichtungen erfüllen wollen, so müssten sie gegen ihre Pflichten nach der DSGVO verstoßen. Für Geschäftskunden scheint diese Konstellation höchst unangenehm zu sein, weil ihre vertraulichen Mandate (zumindest teilweise) durch ihren Übersetzungsdienstleister verordnungsgemäß und gesetzlich offengelegt werden müssten. Neben einem etwaigen Verstoß gegen das Mandats- und Berufsgeheimnis, der infolge einer solchen Offenlegung einhergehen könnte und den Rechtsanwälte und Rechtsanwältinnen anscheinend dulden müssten, könnten diese – um nur ein Beispiel zu nennen – das Überraschungselement bei einstweiligen Verfügungen und anderen Streitsachen verlieren.
In diesem Fall gäbe es keine glückliche Vertragspartei eines Übersetzungsauftrags. Die Geschäftsschädigung liegt auf der Hand. … Das Ganze scheint mir rechtlich wie menschlich etwas paradox.
4 Empfehlungen
Um unerwünschte Haftungsfälle zu vermeiden, sollten Geschäftskunden keine personenbezogenen Daten mit den Auftragsdaten an ihre Übersetzungsdienstleister weitergeben, da sie diese Daten mit höchster Wahrscheinlichkeit nicht weitergeben dürfen. Konkret sollten Geschäftskunden sämtliche personenbezogenen Daten vor Weitergabe an ihren Übersetzungsdienstleister entweder pseudonymisieren oder schwärzen.
Bei beglaubigten Übersetzungen sollten Geschäftskunden der guten Ordnung halber ihren Übersetzungsdienstleister den Erlaubnistatbestand mitteilen, der die Verarbeitung der bei Auftragsdaten vorhandenen personenbezogenen Daten erlaubt. Sollte ein Geschäftskunde eine solche Mitteilung versehentlich vergessen, so sollte sich der Übersetzungsdienstleister danach erkundigen.
Die in vorstehender Ziffer 3 ausgeführte Konstellation setzt ja voraus, dass der Geschäftskunde seinem Übersetzungsdienstleister so viele personenbezogene Daten im Ausgangstext übermittelt, dass der Übersetzungsdienstleister die betroffene Person identifizieren und kontaktieren könnte. Da die bei Auftragsdaten vorhandenen personenbezogenen Daten regelmäßig nicht für die Verarbeitung erforderlich sind, sind Übersetzungsdienstleister als Verantwortliche nach Artikel 11 DSGVO nicht zur Aufbewahrung, Einholung oder Verarbeitung zusätzlicher Informationen zu der jeweils betroffenen Person verpflichtet, bloß um die DSGVO einzuhalten. Eine nur teilweise Pseudonymisierung oder Schwärzung, die eine Kontaktaufnahme oder Identifizierung der jeweils betroffenen Person nicht ermöglichte, wäre für mein Empfinden nicht im Sinne der DSGVO, sodass man lieber von einer solchen teilweisen Pseudonymisierung oder Schwärzung absehen und die bei Auftragsdaten vorhandenen personenbezogenen Daten richtig und vollständig pseudonymisieren oder schwärzen sollte.
5 Einige Schlussworte
Wie oben bereits erwähnt, erhoffe ich mir, Unrecht bei der vorstehenden Ziffer 3 zu haben. Mir wäre es recht, wenn die wohlbekannten Mechanismen europäischen und deutschen Rechts wie Vertraulichkeitsvereinbarungen und die Einhaltung gesetzlich vorgeschriebener Geheimnisse bei der Weitergabe von den bei Auftragsdaten vorhandenen personenbezogenen Daten eingreifen würden oder aber wenn zum Beispiel das Mandatsgeheimnis auf Übersetzungsdienstleister bei Auftragserteilung übertragen würde. Das ist alles, so vermute ich jedenfalls, eher unwahrscheinlich.
Sollte etwas in diesem Beitrag unrichtig sein, so rücken Sie das mal bitte durch Kommentare zurecht.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenDas Problem ist ein Scheinproblem! Die Lösung für "Kundendaten" ist zutreffend erfasst. Die "Auftragsdaten" werden im Rahmen der Auftragsverarbeitung verarbeitet. Also ist ein AV-Vertrag gemäß Art. 28 DS GVO abzuschließen. Und dieser ist für den Übersetzungsdienstleister Rechtsgrundlage (Vertragserfüllung)