News
Längere Speicherdauer für Daten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte
Viele deutsche Unternehmen sind entweder schon jetzt oder spätestens ab Mitte Dezember 2023 dazu verpflichtet, eine interne Meldestelle für Hinweisgeber einzurichten. In einigen Fällen werden die Aufgaben der internen Meldestelle von Mitarbeitern aus der Rechtsabteilung wahrgenommen, die als Syndikusrechtsanwälte zugelassen sind. Geht bei einem solchen Unternehmen eine Hinweismeldung ein, so ist diese von den Syndikusrechtsanwälten der internen Meldestelle zu dokumentieren. In dieser Konstellation treffen Aufbewahrungs- und Löschpflichten aus dem Hinweisgeberschutzgesetz (HinSchG) einerseits und Aufbewahrungspflichten der Bundesrechtsanwaltsordnung (BRAO) andererseits aufeinander. Die Aufbewahrungspflicht für Handakten aus § 50 Abs. 1 BRAO beträgt 6 Jahre und damit also doppelt so lange, wie die Regelaufbewahrungsfrist aus § 11 Abs. 5 Satz 1 HinSchG.
Gerade im Bereich Hinweisgeberschutz kann es im Interesse eines Unternehmens sein, Hinweismeldungen und damit im Zusammenhang stehende Dokumente möglichst lange aufzubewahren. Beispielsweise zur Verteidigung gegen einen Vorwurf eines Mitarbeiters, eine Benachteiligung habe aufgrund einer von ihm erteilten Hinweismeldung stattgefunden. Aber auch fernab dessen wird es in der Natur der im Bereich Hinweisgeberschutz erfolgenden Datenverarbeitungen liegen, dass Unternehmen solche Daten lieber länger aufbewahren als zu früh zu löschen. Die Anwendung der BRAO-Vorschrift könnte Unternehmen in dem Zusammenhang die Möglichkeit bieten, eine Rechtsgrundlage für eine Speicherdauer von mehr als 3 Jahren zu haben.
Zunächst stellt sich allerdings die vorgelagerte Frage, ob § 50 Abs. 1 BRAO überhaupt auf Syndikusrechtsanwälte anwendbar ist, wenn diese die Aufgabe der internen Meldestelle im Unternehmen wahrnehmen. In diesem Newsbeitrag beantworten wir die eben benannte Vorfrage und gehen anschließend darauf ein, welche Aufbewahrungs- und Löschpflichten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte zu beachten sind.
Anwendbarkeit des § 50 Abs. 1 BRAO auf Syndikusrechtsanwälte
Grundsätzlich enthält die BRAO Vorschriften, welche für Rechtsanwälte und für Syndikusrechtsanwälte gelten. Nach § 46 c Abs. 1 BRAO sind nämlich die Vorschriften für Rechtsanwälte auch auf Syndikusrechtsanwälte anwendbar, soweit nicht an einer Stelle geregelt wird, dass einzelne Vorschriften aus der BRAO ausnahmsweise nicht für Syndikusrechtsanwälte gelten. Die Ausnahmen, in denen die BRAO doch nicht auf Syndikusrechtsanwälte anwendbar ist, regelt der § 46 Abs. 3 BRAO. Diese Norm nimmt auch explizit auf § 50 BRAO Bezug. Das ist genau jene Vorschrift, welche die Regelung zur Aufbewahrung von Handakten enthält.
In § 46 Abs. 3 BRAO ist allerdings geregelt, dass nur § 50 Abs. 2 und 3 BRAO nicht auf Syndikusrechtsanwälte anwendbar sind. Das heißt im Umkehrschluss, dass § 50 Abs. 1 BRAO, der die Aufbewahrungspflicht von Handakten regelt, auf den Syndikusrechtsanwalt anwendbar sein muss. Der Gesetzgeber hat sich also sogar explizit damit auseinandergesetzt, welche Regelungen des § 50 BRAO nicht für Syndikusrechtsanwälte gelten sollen und welche nicht. Dabei ist der Gesetzgeber offensichtlich zum Entschluss gekommen, dass die Bestimmungen über das Führen von Handakten und deren Aufbewahrung auch auf Syndikusrechtsanwälte anwendbar sein sollen.
Im Ergebnis bedeutet dies, also dass § 50 Abs. 1 BRAO definitiv auch genauso für Syndikusrechtsanwälte gilt, wie es für „gewöhnliche“ Rechtsanwälte der Fall ist. Wenn ein Syndikusrechtsanwalt die Aufgabe der internen Meldestelle wahrnimmt, dann gilt für die dabei vorgenommenen Tätigkeiten also auch der § 50 Abs. 1 BRAO. Unter dieser Vorschrift sind Syndikusrechtsanwälte als Bestandteil der internen Meldestelle dazu verpflichtet, Handakten zu führen und diese für 6 Jahre ab Ende des Kalenderjahres aufzubewahren, in dem ein Auftrag beendet wurde.
Speicherdauer in HinSchG unter Beachtung der BRAO
Das HinSchG enthält die Regelvorgabe, dass die Dokumentation zu einer Hinweismeldung drei Jahre aufzubewahren und danach zu löschen ist. In vorherigen Entwürfen im Gesetzgebungsverfahren war lange 2 Jahre als starre Frist vorgesehen und es gab keinen Anhaltspunkt dafür, dass länger andauernde Aufbewahrungsfristen aus anderen Gesetzen vorrangig gelten sollten. Die Aufbewahrungsdauer wurde in der letzten Phase des Gesetzgebungsverfahrens verlängert und sieht in der aktuellen Fassung auch vor, dass andere Aufbewahrungspflichten aus anderen Gesetzen mit bedacht werden können. Fernab der Vorgaben aus § 11 Abs. 5 HinSchG ist für den Syndikusrechtsanwalt entscheidend, die einschlägigen Aufbewahrungs- und Löschpflichten aus den verschiedenen Regelwerken zu kennen, ihnen nachzukommen und die Dokumentation ordnungsgemäß zu führen. Dazu zählt auch der § 50 Abs. 1 BRAO.
Abweichend von der Regelfrist von 3 Jahren kann die Dokumentation nach § 11 Abs. 5 Satz 2 HinSchG länger aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist. Man kann also auch zum Ergebnis kommen, dass für Pflichten aus dem HinSchG im Einzelfall eine Aufbewahrung für länger als 3 Jahre erlaubt sein kann. Daneben gibt es noch die Möglichkeit, sich auf längere Aufbewahrungsfristen in anderen Gesetzten zu berufen. In der Praxis ist der Begründungsaufwand für eine legitime Aufbewahrung über die 3 Jahre hinaus auf Basis der BRAO-Vorgaben deutlich geringer, als wenn ein Unternehmen argumentieren müsste, warum eine vom Gesetzgeber im Hinweisgeberschutzgesetz aufgestellte Frist keine Beachtung finden soll und stattdessen eine längere Aufbewahrungszeit schon allein unter dem HinSchG angemessen ist. Diese Abwägung dürfte leichter zu Gunsten des Unternehmens ausfallen, wenn die verlängerte Speicherdauer durch die Verpflichtung nach einem anderen Gesetz, hier der BRAO, begründet wird. Es wird demgegenüber schwieriger sein zum Ergebnis zu gelangen, dass für die Erfüllung einer Anforderung aus dem HinSchG selbst eine Aufbewahrung über 3 Jahre hinaus möglich ist. § 11 Abs. 5 Satz 2 HinSchG kann aber fernab des Berufsrechts auch beispielsweise einen Gleichlauf mit den von dem Unternehmen im Rahmen der DSGVO festgelegten Löschfristen ermöglichen
Wie oben bereits dargelegt, sieht § 50 Abs. 1 BRAO auch für Syndikusrechtsanwälte eine Verpflichtung vor, Handakten zu führen. Der Rechtsanwalt hat die Handakten für die Dauer von sechs Jahren aufzubewahren. Wenn also die Normen über die Aufbewahrung von Handakten aus der BRAO auch auf Syndikusrechtsanwälte Anwendung finden, ermöglicht dies Unternehmen eine wesentlich längere Aufbewahrung der Dokumentation zu einer Hinweismeldung. Sofern Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 50 Abs. 1 BRAO die alleinige Rechtsgrundlage für die Speicherung von Hinweismeldungen und dazugehörigen Dokumentationen ist, kann ein Unternehmen zwar nicht ohne Weiteres die Daten auch für andere Zwecke verwenden. Gäbe es jedoch eine Situation, in der besondere überwiegende berechtigte Interessen an der Weiterverwertung an einer begrenzten Menge an Daten bestünden und diese Daten nur noch in der Handakte vorhanden wären, dann spricht grundsätzlich nichts dagegen, dass die Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO im Einzelfall weiterverwendet werden können.
Zusammenfassung der Ergebnisse und deren Folgen für die Praxis
Im Ergebnis ermöglicht die Aufbewahrungspflicht für Handakten, dass die Dokumentation über eine Hinweismeldung abweichend von der 3-Jahresfrist des HinSchG 6 Jahre aufbewahrt werden kann, wenn ein Syndikusrechtsanwalt die Aufgabe der internen Meldestelle wahrnimmt. Denn die Vorschrift über die Aufbewahrung von Handakten in der BRAO ist auch auf Syndikusrechtsanwälte anwendbar. Einerseits hat der Syndikusrechtsanwalt die Aufbewahrungspflichten aus dem HinSchG und der BRAO zu beachten, um Verpflichtungen aus diesen Gesetzen gerecht zu werden. Andererseits bietet die im Gegensatz zum HinSchG längere Aufbewahrungsfrist für Unternehmen, bei denen ein Syndikusrechtsanwalt die Aufgaben der internen Meldestelle wahrnimmt, die Möglichkeit, die Dokumentation zu einer Hinweismeldung für einen längeren Zeitraum aufzubewahren. Diese Möglichkeit können sich Unternehmen zunutze machen, die ein Interesse an einer langen Aufbewahrung von Informationen zu einer Hinweismeldung haben.
Wir danken unserem Wissenschaftlichen Mitarbeiter Marcel Martin für die Unterstützung bei der Erstellung dieses Newsbeitrags.
News
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.
Umsetzung von Risikomanagementmaßnahmen im Zusammenhang mit der NIS-2-Richtlinie und Rückgriff auf Maßnahmen nach Art. 32 DSGVO
Die Umsetzung der Risikomanagementmaßnahmen nach der NIS-2-Richtlinie und dem BSIG als Umsetzungsgesetz scheint für viele betroffene Organisationen im ersten Moment herausfordernd. Dies liegt häufig daran, dass die eher abstrakt wirkenden Vorgaben wie z.B. „Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen“ Organisationen abschrecken, da nicht auf Anhieb erkennbar ist, was konkret zu tun ist.
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Territorialer Anwendungsbereich von NIS-2 – Wann gilt das BSIG für Managed Service Provider (MSP) aus Drittländern?
In einem früheren Beitrag haben wir uns mit der Frage auseinandergesetzt, wer nach dem geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) einzuordnen ist. Ist also ein Unternehmen eines Unternehmensverbundes zentral für den Betrieb der IT des Verbundes zuständig, kann es als MSP und damit als wichtige oder besonders wichtige Einrichtung i. S. v. § 28 Abs. 1 Nr. 4 und / oder § 28 Abs. 2 Nr. 3 BSIG einzuordnen sein – sofern es in den Anwendungsbereich des BSIG fällt.
Der CRA – Was sollten Unternehmen 2026 und darüber hinaus beachten?
Der Cyber Resilience Act (CRA) zielt darauf ab, dass auf dem europäischen Markt bereitgestellte Produkte mit digitalen Elementen ein einheitliches Cybersicherheitsniveau aufweisen. Zu diesem Zweck legt der CRA Pflichten für sämtliche Wirtschaftsakteure der Produktlieferkette fest, insbesondere für den Hersteller, aber auch für die Händler von Produkten mit digitalen Elementen.
Bestandskundenwerbung (nur) nach UWG: EuGH-Entscheidung Inteligo Media
Der EuGH hat in der Rechtssache C-654/23 (Inteligo Media) klargestellt, dass bei Bestandskundenwerbung nach Art. 13 Abs. 2 ePrivacy-RL die Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO nicht zur Anwendung kommen. Damit weicht das Urteil von der bislang vielfach vertretenen Behördenpraxis ab. Zugleich erweitert der EuGH durch seine Auslegung des Begriffs „Verkauf“ den Anwendungsbereich der Bestandskundenausnahme.