Entscheidungen zum Datenschutzrecht  ·  26. April 2026

BVwG: Rechtsanwältin bleibt trotz Mandantenweisung E-Mails an eine andere Person zu versenden datenschutzrechtlich verantwortlich - Recht auf Geheimhaltung

 

BVwG, 24.02.2026,  W274 2331886-1/8E
Vorinstanz: DSB,17.11.2025, D124.2593/25 2025-0.938.408

 

Rechtssatz

Eine Rechtsanwältin bleibt bei der Verarbeitung personenbezogener Daten im Rahmen der Mandatsausübung grundsätzlich Verantwortliche im Sinne des Art. 4 Z 7 DSGVO.

Eine Mandantenweisung, Korrespondenz mit personenbezogenen Daten eines Verfahrensgegners an das E-Mail-Postfach eines unbeteiligten Dritten zu senden, entbindet die Rechtsanwältin nicht von ihrer datenschutzrechtlichen Verantwortung, wenn die Befolgung dieser Weisung gegen Datenschutzrecht verstößt.

 

Sachverhalt

Im Zuge eines Scheidungsverfahrens vertrat eine Rechtsanwältin die Ex-Ehefrau des Beschwerdeführers. Die Mandantin befürchtete, der Beschwerdeführer könne Zugriff auf ihr persönliches E-Mail-Postfach haben. Daher ersuchte sie ihre Rechtsanwältin, die elektronische Korrespondenz über die E-Mail-Adresse ihres Onkels zu führen.

Die Rechtsanwältin übermittelte daraufhin Unterlagen an dieses E-Mail-Postfach. Darunter befanden sich personenbezogene Daten des Beschwerdeführers, insbesondere eine aktuelle Immobilienbewertung, eine Aufstellung von Geldbeträgen des Vaters, Lohnzettel für das erste Quartal 2025, eine E-Mail-Korrespondenz mit seiner Rechtsvertretung sowie ein Entwurf einer Scheidungsfolgenvereinbarung.

Der Beschwerdeführer machte zunächst eine Verletzung seines Auskunftsrechts nach Art. 15 DSGVO geltend. Später brachte er zusätzlich vor, durch die Übermittlung seiner Daten an eine am Scheidungsverfahren unbeteiligte Person in seinem Recht auf Geheimhaltung nach § 1 DSG verletzt worden zu sein.

 

Die Datenschutzbehörde wies die Beschwerde ab. Das BVwG gab der Beschwerde hinsichtlich der Verletzung der Geheimhaltung statt, weil die Rechtsanwältin die Unterlagen an eine unbeteiligte Partei übermittelt hatte.

 

Rechtliche Begründung

Das BVwG stellte klar, dass die Übermittlung personenbezogener Daten an ein E-Mail-Postfach eines Dritten eine Verarbeitung nach Art. 4 Z 2 DSGVO darstellt. Es kommt dabei nicht darauf an, ob der Dritte die Inhalte tatsächlich gelesen hat. Ausreichend ist, dass ihm die Möglichkeit zur Kenntnisnahme eröffnet wurde.

 

Die Rechtsanwältin argumentierte, sie habe lediglich eine Weisung ihrer Mandantin umgesetzt. Dem folgte das BVwG nicht.

Rechtsanwälte verarbeiten personenbezogene Daten im Rahmen der Mandatsausübung regelmäßig als eigenständige Verantwortliche. Ihre Tätigkeit ist nach § 9 RAO gesetzeskonform zu führen. Mandantenweisungen sind daher nur zu befolgen, soweit sie nicht gegen Gesetze verstoßen.

 

Auch die von der Rechtsanwältin genannten Rechtsgrundlagen überzeugten das Gericht nicht. Art. 6 Abs. 1 lit. b DSGVO konnte die Übermittlung an das E-Mail-Postfach eines unbeteiligten Dritten nicht rechtfertigen, weil ein Mandatsverhältnis keine Pflicht oder Befugnis begründet, datenschutzwidrige Weisungen auszuführen. Auch Art. 6 Abs. 1 lit. f DSGVO trug die Verarbeitung nicht, weil mildere und zumutbare Alternativen bestanden hätten, etwa eine neue E-Mail-Adresse, eine Passwortänderung, ein sicherer Downloadbereich oder postalische Übermittlung.

 

Das BVwG kam daher zum Ergebnis, dass die Rechtsanwältin den Beschwerdeführer im Recht auf Geheimhaltung nach § 1 DSG verletzt hat. Die Revision wurde zugelassen, weil höchstgerichtliche Rechtsprechung zur Verantwortlichkeit eines Rechtsanwalts bei einer datenschutzwidrigen Mandantenweisung bislang nicht ersichtlich war.

 

Fazit

Die Entscheidung ist für die anwaltliche Praxis und für alle beruflichen Geheimnisträger besonders relevant.

 

Wer personenbezogene Daten verarbeitet, kann sich nicht allein darauf berufen, auf Wunsch oder Weisung eines Auftraggebers gehandelt zu haben. Maßgeblich bleibt, ob die gewählte Verarbeitung datenschutzrechtlich zulässig ist.

 

Besonders deutlich wird: Eine Übermittlung an das E-Mail-Postfach eines Dritten ist nicht bloß eine technische Zustellung, sondern kann eine Offenlegung personenbezogener Daten darstellen. Das gilt auch dann, wenn der Dritte die Nachricht angeblich nicht liest.

 

Schlussfolgerung für Verantwortliche

Verantwortliche sollten Kommunikationswege sorgfältig prüfen, wenn personenbezogene Daten an E-Mail-Adressen übermittelt werden, die nicht eindeutig der betroffenen oder berechtigten empfangenden Person zugeordnet sind.

 

Dies gilt insbesondere bei sensiblen oder höchstpersönlichen Informationen wie Einkommensdaten, Vermögenswerten, familienrechtlichen Unterlagen oder anwaltlicher Korrespondenz.

Organisationen sollten klare interne Regeln vorsehen, wie mit alternativen Zustelladressen, privaten Postfächern und Drittadressen umzugehen ist. Bestehen Zweifel, sind sichere Alternativen zu wählen, etwa verschlüsselte Kommunikation, geschützte Portale, passwortgesicherte Downloads oder postalische Zustellung.

 

 

Tags: Rechtsanwalt; Verantwortlicher; Mandantenweisung; Geheimhaltung; E-Mail-Übermittlung; Scheidungsverfahren; Offenlegung; Drittpostfach; Art. 6 DSGVO; § 1 DSG; an, Art. 4 DSGVO – Begriffsbestimmungen; Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung; Art. 15 DSGVO – Auskunftsrecht der betroffenen Person; Art. 77 DSGVO – Rech

Kommentar schreiben

Kommentare: 0
1 Gilt für Lieferungen in folgendes Land: Österreich. Lieferzeiten für andere Länder und Informationen zur Berechnung des Liefertermins siehe hier: Liefer- und Zahlungsbedingungen
2 inkl. MwSt.
Impressum | AGB | Widerrufsbelehrung und -formular | Datenschutz | Cookie-Richtlinie | Sitemap | Vertrag widerrufen
(C) by dataprotect schweiger.legal Rechtsanwälte OG | Dr. Thomas Schweiger, LL.M. (Duke)
Anmelden Abmelden | Bearbeiten