Archiv der Kategorie: Datenschutz

Die Clean-Desk-Policy in der Anwaltskanzlei

L. Klauser-Fotolia
L. Klauser-Fotolia

Wenn wir heute von einer sogenannten “Clean Desktop Policy” sprechen, haben wir gleich das Bild der Forderung nach einem absolut aufgeräumten Schreibtisch vor uns.

Viele Inhaber von Anwaltskanzleien sind der festen Überzeugung, dass es einen solch aufgeräumten Schreibtisch nicht geben kann.
Leider wird vielfach übersehen, dass im Vordergrund der sogenannten “Clean Desk Policy” nicht  die Frage eines aufgeräumten Schreibtisches steht, sondern insbesondere die Frage der Sicherheit von vertraulichen Informationen.
Der aufgeräumte Schreibtisch ist eher nur ein Ergebnis der Vorsorge, erhaltene Informationen tatsächlich vertraulich zu halten. Die Clean-Desk-Policy in der Anwaltskanzlei weiterlesen

Non-legal Outsourcing von Kanzleien

© fotomek - fotolia
© fotomek – fotolia

“Heureka” könnte man ausrufen, nach dem die fünfte Satzungsversammlung in ihrem dritten Anlauf das sogenannte „Non-legal Outsourcing von Kanzleien“ im Rahmen des Berufsrechts geregelt hat.

Ich möchte nachfolgend kurz sowohl die alte Vorschrift des § 2 BORA, wie auch den Entwurf der neuen Vorschrift des § 2 BORA vorstellen. Wohl gemerkt, diese Änderung muss noch durch das Bundesministerium der Justiz und für Verbraucherschutz geprüft und soweit dem zugestimmt wird, anschließend in den Mitteilungen der BRAK verkündet werden, damit sie wirksam und anwendbar wird. Non-legal Outsourcing von Kanzleien weiterlesen

Altpapierentsorgung in der Anwaltskanzlei

Gestern brachte ich wieder einmal den Papiermüll zu dem dafür vorgesehenen Container. Ich öffnete den Deckel des Containers und was war zu sehen? Mir stach sofort eine nicht geöffnete Wahlbenachrichtigung für die bevorstehende Europawahl ins Auge. Schön mit Vorname, Name und voller Anschrift. Aha, jetzt wusste ich also, wer nicht wählen gehen würde.
Nicht dass Sie jetzt denken, ich würde Papiercontainer durchwühlen. Nein, auch die darin liegenden Kartonagen mit voller Anschrift eines Empfängers gaben Aufschluss über das bevorzugte Versandhaus.
Interessant diese Erkenntnisse, die ohne die Mittel der NSA nur durch das Öffnen eines Müllcontainers gewonnen werden konnten.
Da stellt sich mir gleich die Frage, was ich wohl finden würde, wenn ich mir einmal die Papiercontainer einer Gewerbeeinheit ansehen würde. Habe ich natürlich nicht gemacht, aber ich wette mit Ihnen, dass auch dort interessante Informationen zu finden sein würden.

Wie halten Sie das eigentlich in Ihrer Anwaltskanzlei mit der Entsorgung des Altpapiers und hiermit meine ich nicht die alten Zeitschriften, sondern das in der Kanzlei gefertigte Schriftgut, was nicht versenden wurde, sondern in dem Papierkorb endete? Wohin schafft Ihre Putzfrau dieses Papier? Wird dieses Papier bei Ihnen geschreddert, bei einem Fremdunternehmen geschreddert oder gelangt es unbehandelt in den Papiercontainer?

Altpapierentsorgung in der Anwaltskanzlei weiterlesen

Business Continuity Management in der Anwaltskanzlei (der Plan_2)

In Teil vier der kleinen Abhandlung hatten wir das Szenario eines Brandes behandelt. Im Einzelnen wurden von mir die Konsequenzen eines solchen Brandes aufgezeigt, wobei diese natürlich nicht abschließend dargestellt sein können.

Ich hoffe, diese haben Ihnen keine schlaflosen Nächte beschert.
Lassen Sie mich nachfolgend auf die einzelnen Punkt eingehen.
Vorab allerdings möchte ich darauf hinweisen, dass ein Business Continuity Plan nichts anderes ist, als eine Handlungsanweisung auf bestimmte Ereignisse und selbstverständlich nur das Ergebnis der Planung darstellt.

 

Keine Büroräume

Gerade die Frage „keine Büroräume“ bedarf einer vorherigen umfassendenPlanung.
Je nach Größe des Anwaltsbüros kommt man hierbei natürlich zu absolut anderen Ergebnissen.
Eine sogenannte Ein-Mann-Kanzlei kann leicht auch übergangsweise aus den Wohnräumen des Anwalts heraus“ betrieben“ werden. Voraussetzung ist natürlich, dass die Räumlichkeiten eine Trennung zwischen Wohnraum und übergangsweise genutztem Raum als Geschäftsraum zulassen.

Wenn die Anwaltskanzlei allerdings etwas größer ist, wird im Vorfeld eine Notwendigkeit gegeben sein, für den Fall einer Krise oder eines anderen Ereignisses entsprechende Räumlichkeiten anmieten zu können.

Dieses kann in einer befreundeten Anwaltskanzlei möglich sein, aber auch in einem der vielen in großen Städten angebotenen Bürocenter.

Auch Business Hotels sind auf solche Fälle eingerichtet, man kann dort ganze Zimmerfluchten anmieten, die die Möglichkeit bieten, übergangsweise das Geschäft einer Anwaltskanzlei von dort zu führen.
In größeren Kanzleien ist die Möglichkeit gegeben vom Home Office aus zu arbeiten, d.h. es kann über einen gesicherten Zugriff auf das firmeneigene Netzwerk zugegriffen werden. Dieses bietet natürlich viele Möglichkeiten und für einen solchen Fall ist es eigentlich ausreichend, Konferenzräume anzumieten und die Arbeiten von zu Hause aus durchzuführen. Überwiegend kann davon ausgegangen werden, dass auch die nichtjuristischen Mitarbeiter Heimarbeitsplätze zur Verfügung haben, d.h. die Möglichkeit haben über ein ISDN- oder DSL Anschluss auf das Firmennetz zuzugreifen, wenn die IT-Möglichkeiten gegeben sind. Dieses setzt allerdings voraus, dass zumindest der Betrieb des eigenen Servers noch gesichert ist. Bei unserem Szenario des In größeren Kanzleien ist die Möglichkeit gegeben vom Home Office aus zu arbeiten, d.h. es kann über einen gesicherten Zugriff auf das firmeneigenen Netzwerk zugegriffen werden. Dieses bietet natürlich viele Möglichkeiten und für einen solchen Fall ist es eigentlich ausreichend, Konferenzräume an zu mieten und die Arbeiten von zuhause aus durchzuführen. Überwiegend kann davon ausgegangen werden, dass auch die nichtjuristischen Mitarbeiter Heimarbeitsplätze zur Verfügung haben, d.h. die Möglichkeit haben über ein Internet oder DSL Anschluss auf das Firmennetz zuzugreifen, wenn in die IT Möglichkeiten gegeben sind. Diese setzt allerdings voraus, dass zumindest der Betrieb des eigenen Servers noch gesichert ist. Bei unserem Szenario des Abbrandes des gesamten Büros stoßen wir natürlich hier auf erhebliche Schwierigkeiten aber dazu kommen wir später unter den anderen Punkten.

 

 

Keine Arbeitsplätze

etwas schwieriger wird es sein, adäquate Arbeitsplätze zu beschaffen. Ich denke hierbei insbesondere an höhenverstellbare Tische, die gewohnten Bürostühle und vieles mehr. Die Lieferzeiten solcher Möbel liegen zwischen sechs und zehn Wochen. Das ist natürlich zu lang um mit dem Beginn der Geschäftstätigkeit abzuwarten.

Hier kann auf Vermieter von Büromöbeln zurückgegriffen werden, die es in großer Anzahl gibt.
Allerdings wird die Anmietung neuer Büroräume länger dauern, als die Lieferzeiten für Büromöbel.

 

Keine IT

Keine IT bedeutet in unserem Falle, dass keine IT-Unterstützung des Arbeitsablaufes mehr möglich ist. D.h. der Server steht nicht mehr zur Verfügung, die gesamte Infrastruktur ist gestört. Sicherlich besteht die Möglichkeit kurzfristig Ersatzbeschaffung durchzuführen, d.h. Arbeitsplätze ebenso zu beschaffen, wie einen Server. Auch die Software zu erhalten, wird auf keine Probleme stoßen.

Allerdings wird es problematisch eine Infrastruktur aufzubauen, wenn keine Büroräume zur Verfügung stehen. Zumindest aber sollte im Falle eines Schadens sofort damit begonnen werden, kurzfristige Ersatzbeschaffung vorzunehmen um auch hier bestehende Lieferzeiten möglichst abzukürzen.

 

Keine elektronischen Daten (elektronische Akten, Fristen, Termine, Adressdateien etc.)

Dieses ist wohl das größte Problem im Rahmen einer Krise für die Anwaltskanzlei. Wie wollen Sie elektronische Akten bearbeiten, die in elektronischer Form nicht mehr zur Verfügung stehen? Wie Fristen erfüllen, die nicht mehr bekannt sind, wie Termine wahrnehmen, die nicht bekannt sind.

Hier hilft es schon, wenn Sie sich im Vorfeld eine z. B. wöchentliche Termin- und Fristenliste ausdrucken lassen, die außerhalb des Büros aufbewahrt wird. Diese sollte alle notwendigen Angaben enthalten, damit z. B. ein Rechtsmittel eingelegt, eine Fristverlängerung oder eine Terminverlegung beantragt werden kann.

Sie haben noch nicht einmal mehr die Möglichkeit ihre Mandanten zu informieren, wenn Ihnen die Adressendaten ihrer Mandanten fehlen. Sicherlich kommt es auch hier wieder auf die Größe der Kanzlei an. Aber gerade auch bei Kanzleien mit Laufmandantschaft ist es problematisch, die jeweiligen Adressendaten anderweitig zusammen zu finden. Aber hier wird Ihnen hoffentlich die Datensicherung, die täglich in Ihrem Büro vorgenommen wird, helfen.

 

Keine ausgelagerte Datensicherung

Schlimmer wird der Umstand, wenn die Datensicherung nicht oder nicht mehr zur Verfügung steht. Dieses ist immer dann die Gefahr, wenn sich das Datensicherungsmedium in der Nähe des Servers befindet, zum Beispiel weil gerade das Datensicherungsmedium von außerhalb ins Büro geschafft wurde um die Datensicherung vorzunehmen und just zu diesem Zeitpunkt die Krise eintritt.

Dieses kann natürlich nicht passieren, denn die Datensicherung nach einem vernünftigen anerkannten Datensicherungskonzept durchgeführt wird.

Hinweise hierzu können Sie unter https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m06/m06033.html finden. Natürlich ist auch bezüglich des Konzepts Größe und Umfang der Kanzlei zu berücksichtigen.

Bei einer Vielzahl von Beratungsgesprächen wird allerdings festgestellt, dass gerade in kleinen bis mittleren Kanzleien nur mit zwei Medien gearbeitet wird d.h. das am Montag benutzte Medium wird am Mittwoch bereits wieder zu Datensicherung genutzt. Es wird auch festgestellt, dass Datensicherungsmedien nicht ausgelagert werden sondern im Büro verbleiben. Es geht ja schließlich nur darum, so der Gedanke, dass die Daten, die sich auf dem Server befinden, anderweitig nochmals gespeichert sind. Man macht sich dabei gar keine Gedanken darüber, dass gerade auch diese Medien beschädigt oder vernichtet werden können. Hier ist absoluter Vorsicht geboten.

 

Keine körperlichen Akten

in Zeiten, in denen das papierlose Büro propagiert wird, versuchen immer mehr Anwaltskanzleien ohne eine körperliche Akte zu arbeiten. Stichwort ist die „elektronische Akte“. Hiergegen ist eigentlich nichts einzuwenden, wenn sichergestellt ist, dass jederzeit eine vollständige elektronische Akte zur Verfügung steht. Wie bereits oben unter dem Punkt Datensicherung ausgeführt, ist gerade in solchen Fällen ein anerkanntes Datensicherungskonzept absolut wichtig. Sicherlich kann ein Outsourcing der Bewegungsdaten täglich vorgenommen werden, sicherlich kann auch die gesamte Aktenverwaltung outgesurft werden, dieses entbindet auf jeden Fall nicht von einer Datensicherung.

 

Keine Geschäftspapiere, wie Versicherungspolicen etc.

Auch dieses kann zu einem erheblichen Problem für die Anwaltskanzlei führen. Wie wollen Sie Ansprüche gegenüber ihrer Versicherungsgesellschaft geltend machen, wenn Ihnen weder die Versicherungsbedingungen, noch die Versicherungsnummer oder die Versicherungsgesellschaft bekannt ist. Auch hier ist wieder festzustellen, dass bei kleineren Anwaltskanzleien das Problem nicht allzu groß ist, da dort überwiegend mit einer Versicherungsgesellschaft gearbeitet wird. Sinnvollerweise sollten gerade solche Papiere, wie Versicherungspolicen zumindest in Form einer Fotokopie ausgelagert oder elektronisch erfasst werden.
Bankverbindungen sind bekannt, so dass Kontoauszüge abgefordert werden können. Aus den Kontoauszügen kann teilweise entnommen werden, mit welchen Geschäftspartnern welche Geschäftsvorfälle abgewickelt wurden so dass auch hier Kopien abgefordert werden können. Soweit die Buchhaltung ebenfalls elektronisch durchgeführt wurde, steht aufgrund einer hoffentlich vorhandenen Datensicherung die Möglichkeit zur Verfügung, auch aus den Buchungsvorfällen im Einzelnen die Geschäftsvorfälle zu rekonstruieren. Es wäre müßig, sämtliche Geschäftspapiere die so tagtäglich in einer Anwaltskanzlei anfallen, kopieren und auslagern zu wollen oder die Geschäftspapiere insgesamt auslagern zu wollen.

Gleiches gilt für die Personalakten. Haben Sie eine Auflistung aller Ihrer Mitarbeiter mit Anschrift und Kommunikationsmittel ausgelagert? Wenn nicht, sollten Sie sich jetzt einmal das Szenario „Bürobrand“ vorstellen und die Möglichkeit, wie Sie Ihre Mitarbeiter erreichen wollen.

 

Keine Daten von Geschäftspartnern (also Telefonnummer, Ansprechpartner, Kundennummer) Sicherlich wird bekannt sein, wo zum Beispiel das letzte Diktiergerät gekauft wurde, bei welcher Telefongesellschaft das Festnetz geführt wurde. Probleme werden allerdings immer auftreten, bestimmte Daten die für eine schnellstmögliche Wiederherstellung der Arbeitsfähigkeit notwendig sind, aus der Erinnerung zu rekonstruieren.

 

Fazit

Es geht darum, einen Plan für alle Eventualitäten zu entwickeln. Sich Gedanken über dringende Notwendigkeiten erst dann zu machen, wenn der Schaden schon eingetreten ist, ist zu spät.
Schauen Sie sich die Gliederung des BSI-Standards 100-4 an, legen Sie die Gliederung Ihrer Planung zu Grunde und Sie sind auf dem guten Weg.
Wenn Sie Unterstützung benötigen, steht Ihnen die Organisationsberatung Treysse natürlich jederzeit gerne zur Verfügung.

 

 

Business Continuity Management in der Anwaltskanzlei

Das zur Zeit in vielen Bundesländern vorhandene Hochwasser und die damit verbundenen Schäden rücken den Gedanken nach einer Absicherung vor solchen Schäden, gerade im betrieblichen Bereich, wieder in den Vordergrund.

Bereits Mitte Mai 2012 wurde die ISO 22301:2012 mit dem Namen „Societal security – Business continuity management systems – Requirements“ verabschiedet.
Dieser Standard soll für jedes Unternehmen angewendet werden können, da er von der Branche oder Größe des Unternehmens unabhängig ist.

In der Anwaltschaft ist der Begriff des Business Continuity Managements leider noch relativ unbekannt, was überwiegend darauf zurückzuführen sein wird, dass die Gefahren für relativ gering gehalten werden. Große Kanzleien führen bereits einen sogenannten Business Continuity Plan.

Die Gefahren bestehen allerdings nicht nur im wetterbedingten Bereich, sondern ergeben sich auch aus Feuer-, Terror-und Seuchengefahr. Ja, auch Krankheit, Probleme mit einem gebuchten Dienstleister können Gefahren für den Betriebsablauf darstellen.

Ein gutes Business Continuity Management stellt eine Rahmenstruktur bereit, die es Ihnen ermöglicht, eventuelle Bedrohungen zu identifizieren, die Auswirkungen der Bedrohungen auf  Ihre Kanzlei festzustellen eine Struktur aufzubauen, die mit den Gefahren, die aus diesen Bedrohungen hervor gehen, fertig zu werden und ihre und die Interessen ihres Mandanten zu schützen.

In den nachfolgenden Beiträgen werde ich kurz auf die notwendigen einzelnen Projektschritte eingehen, die die Einführung eines Business Continuity Management in der Anwaltskanzlei ermöglichen. Dabei werde ich weniger auf die Norm selbst, als auf die Erfordernisse einer Anwaltskanzlei eingehen.

Teil 2 Business Continuity Management in der Anwaltskanzlei (Das Krisenteam)

Teil 3 Business Continuity Management in der Anwaltskanzlei (Die Risiken)

Teil 4 Business Continuity Management in der Anwaltskanzlei (Der Plan)

Teil 5 Business Continuity Management in der Anwaltskanzlei (Der Plan_2)

 

Datenschutz in der Anwaltskanzlei (Teil 8)

Wie bereits in Teil 7 angekündigt, komme ich heute zum technischen Teil des Datenschutzes, wenn man das einmal so benennen will.

Vorschriften hierüber finden Sie in § 9 BDSG

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Wie die Maßnahmen zu gestalten sind, wird in der Anlage zu § 9 BDSG, auf die ich nachfolgend eingehen möchte, eindeutig festgelegt:

Erst einmal gilt der Grundsatz

“Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,”

Datenschutz in der Anwaltskanzlei (Teil 8) weiterlesen

Datenschutz in der Anwaltskanzlei (Teil 7)

Wie in Teil 6 angekündigt, möchte ich heute auf die Personaldaten im Rahmen des Datenschutzes eingehen.

Die Vorschrift hierüber finden Sie in § 32 BDSG:

 

“§ 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.
(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.”

Nach Absatz 1 dürfen Sie also Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erheben, verarbeiten oder nutzen, wenn dies für die nachfolgenden Fälle notwendig ist:

Entscheidung über die Begründung eines Beschäftigungsverhältnisses

Die Regelung beginnt bereits in der Phase der Anbahnung eines Beschäftigungsverhältnisses, d. h. es muss noch keine vertragliche Beziehung bestehen. Nach der Definition des BDSG (§ 3 Abs. 11 Nr. 7) sind Beschäftigte

  1. Arbeitnehmerinnen und Arbeitnehmer,
  2. zu ihrer Berufsbildung Beschäftigte,
  3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
  4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
  5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
  6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
  7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,
  8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

Durch § 32 Abs. 1 BDSG ist auch die Anbahnung eines Beschäftigungsverhältnisses in den Kreis einbezogen worden.

Das Fragerecht des Arbeitgebers zum Zwecke der Begründung eines Beschäftigungsverhältnisses bezieht sich ausschließlich auf Fragen, an deren Beantwortung der Arbeitgeber ein auf das beabsichtigte Beschäftigungsverhältnis berechtigtes Interesse hat. Diese Fragen können je nach Beschäftigungsverhältnis mehr oder weniger umfangreich sein.

So ist z. B. die Frage nach Vorstrafen oder auch laufenden Ermittlungsverfahren bei der Anstellung in einem Anwaltsbüro als berechtigt anzusehen. Die Fragen nach einer Erkrankung, speziell HIV z. B. nicht, da nicht zu erwarten ist, dass der Bewerber in Blutkontakt mit Mitarbeitern der Kanzlei kommt. Die Fragestellung nach allgemeinen Vorerkrankungen ist unzulässig. Nach Alkohol- oder Drogenabhängigkeit kann jedoch gefragt werden, da diese für das Beschäftigungsverhältnis in einer Anwaltskanzlei schon relevant sein können.
Fragen nach Qualifikation sind selbstverständlich zulässig. Ebenso können Fragen nach Vermögensverhältnissen, also Insolvenz, Pfändungen etc. bei besonderen Vertrauensstellungen zulässig sein.

Hüten sollten Sie sich auf jeden Fall, Fragen nach Religion oder Weltanschauung, nach sexuellen Orientierungen, Gewerkschaftszugehörigkeit oder solchen, die als Geschlechterdiskriminierung verstanden werden könnten, zu stellen.

Durchführung des Beschäftigungsverhältnisses

Selbstverständlich gilt auch hier, dass nur die Daten erhoben, verarbeitet oder genutzt werden dürfen, die zur Durchführung des Beschäftigungsverhältnisses erforderlich sind.

  • Vor- und Zuname,
  • Anschrift,
  • Familienstand,
  • Geburtsdatum,
  • Geschlecht,
  • Berufliche Qualifikation,
  • Religionszugehörigkeit (steuerliche Zwecke)
  • Schwerbehinderung, soweit eine solche besteht und dieses für das Beschäftigungsverhältnis relevant ist
  • Steuerklasse,
  • Fortbildungen im Rahmen des Beschäftigungsverhältnisses

Je nach Tätigkeit können weitere Daten hinzutreten. Die Auflistung soll nur ein Beispiel sein und ist natürlich nicht vollständig.

Beendigung des Beschäftigungsverhältnisses

Sie werden sich bestimmt fragen, welche Daten sollten bei Beendigung des Beschäftigungsverhältnisses zusätzlich gespeichert werden. Nun, wie es es mit der Speicherung von Daten im Rahmen einer betriebsbedingten Kündigung und der Grundlage für die Sozialauswahl? Kommt auch in Anwaltskanzleien ab und an vor.

Zur Aufdeckung von Straftaten

Auch diese Fälle sind schon in Anwaltskanzleien vorgekommen. Anfallende Daten können hier z. B. Videoaufnahmen, Ergebnisse aus der Überwachung von Telekommunikation etc. sein. Ein minenreiches Feld, was nicht in einem kurzen Beitrag abgehandelt werden kann. Hier sollten Sie sich auf jeden Fall durch einen externen Datenschutzbeauftragten beraten lassen.

Löschung der Daten

Wann die Daten zu löschen sind, ergibt sich aus § 35 Abs. Abs. 2 Nr. 3 BDSG:

” Personenbezogene Daten sind zu löschen, wenn….
sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist…….”

Soweit der Berechtigte nicht in die weitere Speicherung der Daten eingewilligt hat, sind diese zu löschen. Dieses gilt sowohl für die bei Begründung eines Beschäftigungsverhältnisses erhobenen Daten, wie auch nach Beendigung eines Beschäftigungsverhältnisses. Selbstverständlich sind die Sondervorschriften nach dem Arbeitszeitgesetz, HGB, AO, EStG etc. nach Beendigung eines Beschäftigungsverhältnisses zu berücksichtigen.

So, dass sind erst einmal die wichtigsten Grundlagen bezüglich des Datenschutzes im Rahmen eines Beschäftigungsverhältnisses.

Im nächsten und letzten Beitrag werde ich auf die Frage der notwendigen technischen und organisatorischen Maßnahmen (§ 9 BDSG) eingehen, auch ein leider sehr vernachlässigtes Feld im Rahmen des Datenschutzes in einer Anwaltskanzlei.

Wird fortgesetzt

Datenschutz in der Anwaltskanzlei (Teil 6)

In Teil 5 hatte ich bereits angekündigt, die Kategorie “Marketingdaten” in dem hier vorliegenden Teil unseres kleinen Artikels zu behandeln.

Während bis vor kurzer Zeit Marketing in den Anwaltskanzleien kaum wahrgenommen wurde, kommen immer mehr Anwälte zu der Erkenntnis, dass der Verzicht auf Marketing automatisch einen Verzicht auf Mandate nach sich ziehen kann.

Marketing ist ein weites Feld und nicht nur mit Werbung gleich zu setzen, wie vielfach angenommen wird. Aber das ist nicht unser Thema an dieser Stelle. Werbung und Mandantenpflege ist jedoch ein Bestandteil und hierzu werden nun einmal Daten benötigt, deren Erhebung und Verwendung im weitesten Sinne die Problematik einiger datenschutzrechtlichen Vorschriften nach sich ziehen.

Die mit wichtigste Vorschrift für Werbung finden wir in § 28 Abs. 3 BDSG:

“(3) Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist

  1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat,
  2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift oder
  3. für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und § 34g des Einkommensteuergesetzes steuerbegünstigt sind.

Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten hinzuspeichern. Zusammengefasste personenbezogene Daten nach Satz 2 dürfen auch dann für Zwecke der Werbung übermittelt werden, wenn die Übermittlung nach Maßgabe des § 34 Absatz 1a Satz 1 gespeichert wird; in diesem Fall muss die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig hervorgehen. Unabhängig vom Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist. Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. Nach den Sätzen 1, 2 und 4 übermittelte Daten dürfen nur für den Zweck verarbeitet oder genutzt werden, für den sie übermittelt worden sind.”

Es wird also grundsätzlich immer dann, wenn personenbezogene Daten für persönlich adressierte Werbebriefe verwendet werden sollen, eine Einwilligung des Betroffenen benötigt. Wo ein Grundsatz ist, gibt es natürlich auch Ausnahmen und zwar

  • die Verwendung von Listendaten
    • für die Zwecke der Werbung für eigene Angebote (§ 28 Abs. 3 Satz 2 Nr. 1 BDSG)
    • für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift (§ 28 Abs. 3 Satz 2 Nr. 2 BDSG)
    • und für Zwecke der Werbung für Spenden (§ 28 Abs. 3 Satz 2 Nr. 3 BDSG)

Die Möglichkeit der Nutzung von Listendaten wird hier nur der Vollständigkeit wegen aufgeführt. Sie wird in einer Anwaltskanzlei wohl kaum vorkommen.

Grundsätzlich gilt, dass für einen sauberen Datenbestand grundsätzlich die Einwilligung des Betroffenen eingeholt werden sollte, die auch eindeutig den Zweck und die Verwendung der Daten beinhaltet. Nur dann sind Sie zumindest nach dem BDSG auf der sicheren Seite.

Sobald Sie Ihre “Werbung” – und hierzu zählen auch die viel geliebten Newsletter – auf elektronischem Weg verteilen, also sogenannte E-Mail-Werbung betreiben, kommt auf jeden Fall zusätzlich das UWG und hier vor allem § 7 Abs. 2 Nr. 3 UWG) zum Zuge:

“bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, oder……”

Sie sehen, auch hier wird wieder auf eine ausdrückliche vorherige Einwilligung abgestellt.

Auch hier gibt es wieder eine Ausnahmen und zwar in § 7 Abs. 3 UWG:

“(3) Abweichend von Absatz 2 Nummer 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn

  1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
  2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  3. der Kunde der Verwendung nicht widersprochen hat und
  4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.”

Achten Sie stets darauf, dass Sie, soweit eine Einwilligung notwendig ist, Sie nachweisen können müssen, dass Ihnen eine solche vorliegt. Hierauf sind wir ja bereits eingegangen.

So viel also zu dieser Datenkategorie.
Auf die Kategorie “Personaldaten” werde ich im nächsten Teil eingehen.

Wird fortgesetzt

 

Datenschutz in der Anwaltskanzlei (Teil 5)

Wie in Teil 4 bereits angekündigt, möchte ich in diesem Teil auf die Geschäftsdaten eingehen.

Die Definition der Geschäftsdaten und die Erlaubnistatbestände finden Sie in § 28 Abs. 1 BDSG:

“(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig

1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder
3.wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.”

Eigentlich würde auch der Anwaltsvertrag unter § 28 Abs. 1 Ziffer 1 BDSG fallen, wenn dieser nicht, wie wir in Teil 2 dieser Serie bereits festgestellt haben, Sondervorschriften aus dem Berufsrecht unterfallen würde.

In der Anwaltskanzlei fallen unter Ziffer 1 vor allem die Daten der Lieferanten, Wartungsdienste etc., also alle die rechtsgeschäftlichen Schuldverhältnisse, die nicht

  • Mandatsverhältnisse
  • Mitarbeiterverträge (wohl aber Verträge mit Zeitarbeitsfirmen)

betreffen.

Die Vorschrift in § 28 Abs. 1 Ziffer 2 BDSG geht hier noch weiter. Unter diese Zulässigkeitsvorschrift können auch Daten fallen wie z. B.

  • Marktanalysedaten
  • Daten eines potentiellen Mandaten für den Zeitraum der Akquise (aber nur für diesen Zeitraum). Hier greift das Berufsrecht noch nicht.

Und dann bleiben noch die Daten nach 3 28 Abs. 2 Ziffer 3 BDSG, die auf Daten angewiesen sind, die allgemein zugänglich sind. Was aber sind das für Daten?
Als allgemein zugänglich gelten Daten aus

  • Massenmedien, wie Zeitschriften, Radio, Fernsehen, Sozialen Netzwerken (also Twitter, Facebook und wie sie alle heißen)
  • Zugänglichen Registern, wie Vereinsregister, Handelsregister etc.
  • sonstigen elektronischen und Printmedien, soweit diese allgemein zugänglich sind.

Achten sie bei Nutzung der allgemein zugänglichen Daten aber auch auf das schutzwürdige Interesse des Betroffenen. Hier müssen Sie eine Abwägung vornehmen.

Auf die in Teil 2 genannte Kategorie “Marketingdaten” werde ich im nächsten Teil näher eingehen.

Wird fortgesetzt

Datenschutz in der Anwaltskanzlei (Teil 4)

In Teil 3 haben wir das Prinzip “Verbot mit Erlaubnisvorbehalt” behandelt und festgestellt, dass grundsätzlich (bis auf die dort genannten Ausnahmen) eine Einwilligung des Betroffenen notwendig ist. Das BDSG sagt uns natürlich auch, wie diese Einwilligung auszusehen hat. Die Vorschriften hierüber finden Sie teilweise in § 4a Abs. 1 BDSG:

  • Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. (§ 4a Abs. 1 Satz 1 BDSG)
  • Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. (§ 4a Abs. 1 Satz 2 BDSG)
  • Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. (§ 4a Abs. 1 Satz 3 BDSG)
  • Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. (§ 4a Abs. 1 Satz 4 BDSG)

Die Freiwilligkeit der Entscheidung des Betroffenen ist oberstes Gebot. Diese Vorschrift soll garantieren, dass gerade Personen, die in einem Abhängigkeitsverhältnis stehen, die freie Entscheidung über ihre persönlichen Daten treffen können. Dieses gilt vor allem für Mitarbeiter, für die es im BDSG Sondervorschriften gibt, zu denen ich später kommen werde, die aber bei fehlender Freiwilligkeit Gefahr laufen würden, dass auch nicht im Rahmen von vertraglich notwendigen Daten, Daten erfasst werden könnten.
Die Freiwilligkeit soll auch gewährleisten, dass keine anderen Nachteile für den Betroffenen entstehen, wie z. B. dass eine Dienstleistung nur erbracht wird, wenn in die Erhebung, Verwendung etc. von personenbezogenen Daten eingewilligt wird. Die Systematik erkennen Sie auch, wenn Sie sich die Vorschriften über das P-Konto in § 850k Abs. 8 Satz 5 ZPO anschauen. Danach dürfen nicht mehr, als die Daten, die in § 850K Abs. 8 Satz 4 ZPO angegeben sind, weitergegeben werden, auch wenn der Betroffene einer Weitergabe eingewilligt hat. Der Gesetzgeber hat gerade in diesem Bereich die Gefahr einer Abhängigkeit zwischen Einwilligung und Dienstleistung erkannt und dieser vorgebeugt.

Grundsätzlich bedarf die Einwilligung einer Schriftform. Wie bei jedem Grundsatz gibt es natürlich Ausnahmen. Diese werden auf “besondere Umstände” abgestellt. Nun, welche kennt das BDSG?

Andere Einwilligung einschl. mündlicher Einwilligung

  • Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn,
  • dass die Einwilligung elektronisch erklärt wird
    • und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird
    • und der Betroffene deren Inhalt jederzeit abrufen
    • und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. (§ 28 Abs. 3a Satz 1 BDSG)
  • Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben. (§ 28 Abs. 3a Satz 2 BDSG)

Wann können diese Vorschriften greifen?
Angenommen, es ruft eine Person in Ihrer Kanzlei an, die in keinem Mandatsverhältnis zu Ihnen steht und bittet auf Grund einer Empfehlung um Zusendung Ihrer monatlichen Mitteilung zu Gesetzesänderungen z. B. im Bereich des Familienrechts. Sie sagen dieses zu und bitten um Mitteilung von Daten, wie z. B. Namen und Vorname, Anschrift und soweit vorhanden E-Mail- Adresse. Sie bitten um Einwilligung, dass Sie die bei dem Betroffenen erhobenen Daten elektronisch speichern und für den Zweck der Zusendung Ihrer Gesetzesänderungsmitteilungen im Familienrecht verwenden dürfen. Der Betroffene stimmt diesem mündlich (telefonisch) zu. Dann haben Sie diese Einwilligung und den Inhalt der Einwilligung (also für den Zweck der Zusendung Ihrer Gesetzesänderungsmitteilungen im Familienrecht) dem Betroffenen schriftlich zu bestätigen.

Soweit die Einwilligung elektronisch z. B. auf Ihrer Website erfolgt ist, müssen Sie die oben genannten technischen Voraussetzungen sicher stellen, also dass die Einwilligung protokolliert wird, der Betroffene diese jederzeit abrufen und mit Wirkung für die Zukunft widerrufen kann. Hier hilft nur ein sogenanntes “Opt-In”, besser noch “Double-Opt-In”.

Soweit die Einwilligung im Zusammenhang mit anderer Erklärungen erfolgt, ist sie besonders hervorzuheben (s. oben § 4a Abs. 1 Satz 4 BDSG).
Auch diese Vorschrift ist eine reine Schutzvorschrift für den Betroffenen. Vielfach wird versucht, solche Einwilligungen in Allgemeinen Geschäftsbedingungen “unterzubringen”. Hier sind diese zumindest “drucktechnisch” besonders hervorzuheben, also z. B. in Fettdruck. Ich nehme einmal an, dass Sie solche Einwilligungserklärungen in Ihren Mandatsbedingungen enthalten haben, einschl. der Einwilligung für den Schriftverkehr im E-Mail-Verfahren?

Im nächsten Teil dieser kleinen Serie werden wir uns mit der Kategorie “Geschäftsdaten”, also den Daten, die in keinem Zusammenhang mit einem Mandatsverhältnis stehen, beschäftigen.

Wird fortgesetzt