Archiv der Kategorie: Datenschutz

Datenschutz in der Anwaltskanzlei (Teil 3)

Nachdem in Teil 2 die Mandatsdaten behandelt und festgestellt wurde, dass – für die Anwaltschaft – bezogen auf die der Verschwiegenheitspflicht unterliegenden Mandatsdaten das BDSG nicht anwendbar ist, möchte ich auf die weiteren Datenkategorien eingehen.

Voraussetzung ist allerdings, dass die Grundlagen des BDSG erste einmal erörtert werden.

Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG)

Erst einmal ist davon auszugehen, dass die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten unzulässig ist, es sei denn

  • das Bundesdatenschutzgesetzt oder
  • eine andere Rechtsvorschrift
    • erlaubt
    • oder ordnet dieses an oder
  • der Betroffene willigt hierin ein.

Von wem sind die Daten zu erheben (§ 4 Abs. 2 BDSG)

Grundsätzlich sind die Daten beim Betroffenen zu erheben. Selbstverständlich gibt es hiervon wieder Ausnahmen, wenn

  • die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht (§ 4 Abs 2 Ziffer 1 BDSG)  oder
  • die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde (§ 4 Abs. 2 Ziffer 2 BDSG

und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

Aber was ist unter “die zu erfüllende Verwaltungsaufgabe ….. in § 4 Abs. 2 Ziffer 1 BDSG zu verstehen?
Hierunter könnten z. B. die Daten fallen, die Sie bei Ihrem Mandanten über den Gegner, gegnerischen Anwalt etc. abfragen. Diese sind für die Bearbeitung des Mandats (also der Verwaltungsaufgabe) oder zur Erfüllung des Geschäftszwecks erforderlich.

Aufklärungspflicht im Rahmen der Datenerhebung

Soweit dem Betroffenen die nachfolgenden Angaben nicht bereits anderweitig bekannt sind

  • die Identität der verantwortlichen Stelle (§ 4 Abs. 3 Ziffer 1),
  • die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung (§ 4 Abs. 3 Ziffer 2) und
  • die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss § 4 Abs. 3 Ziffer 3,

ist dieser hiervon zu unterrichten.

Hintergrund ist, dass der Betroffene in der Lage sein soll seine Rechte auf Auskunft, Berichtigung oder Löschung  geltend machen zu können. Das ist nur möglich, wenn der die Identität der verantwortlichen Stelle kennt. Er soll auch wissen, welchen Zweck die Erhebung und Verarbeitung oder Nutzung seiner Daten verfolgt. Denken Sie nur an die Vielzahl der sogenannten “Gewinnausschüttungen'”, die eigentlich nur dazu dienen, Daten von Dritten zu erheben, um diese im Rahmen von Marketingmassnahmen zu nutzen oder diese Daten zu veräußern.
Hier ist es schon wichtig, dass der Betroffene den Zweck der Datenerhebung kennt und auch entscheiden kann, ob er die Daten unter diesen Umständen überhaupt zur Verfügung stellen will.
Ebenso verhält es sich mit der Kategorie von Empfängern der Daten.
Es wird darauf abgestellt, ob der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung hätte rechnen müssen. Übermittlung ist grundsätzlich eine Weitergabe an Dritte. Dieses gilt auch innerhalb eines Konzerns. Wenn Sie also Daten dem Otto Versand zur Verfügung stellen, kann dieser nicht ohne weiteres diese Daten an Baur oder einem anderen Unternehmen des Konzerns übermitteln. Hiermit muß der Verbrauchen nicht rechnen. Folglich hat der Otto Versand bei Erhebung der Daten hierauf hinzuweisen.
Sicherlich fragen Sie sich jetzt, was hat das mit der Anwaltskanzlei zu tun? Dieses Beispiel sollte Sie für diese Thematik sensibilisieren. Vielfach ist einer Anwaltskanzlei auch eine Steuerberatungsgesellschaft angeschlossen und hier kann diese Vorschrift bei Nichteinhaltung zu erheblichen Problemen führen.

Freiwilligkeit

Als letztes möchte ich noch auf den Teil der Vorschrift:

“Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.”

verweisen.

Der erste Teil kommt immer nur dann zum Zuge, wenn der Betroffene aufgrund einer Rechtsvorschrift zur Auskunft verpflichtet ist. Das wird Ihnen gegenüber im Rahmen der Tätigkeit in einer Anwaltskanzlei wenn überhaupt, nur selten der Fall sein. Etwas anderes ist da schon der zweite Teil “oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen”. Das könnte z. B. der Fall sein, bei Auskunftserteilung zum Erhalt von Prozesskostenhilfe.
Treffen alle genannten Punkte nicht zu, ist der Betroffene auf die Freiwilligkeit seiner Auskunft im Hinblick auf die von ihm geforderten Angaben hinzuweisen

Wird fortgesetzt

 

 

 

 

 

 

Datenschutz in der Anwaltskanzlei (Teil 2)

Nachdem wir in Teil 1 die mit wichtigsten Begriffe des Bundesdatenschutzgesetzes kennen gelernt haben, möchte ich kurz auf die durch § 3a BDSG geforderte Datenvermeidung und Datensparsamkeit eingehen.

“Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.”

Diese Vorschrift sagt eigentlich alles und sollte bei allen Datenerhebungen im Vordergrund stehen. Hier trifft die Aussage: “so viel wie nötig, so wenig wie möglich” zu.

Eine mit der wichtigsten Vorschriften für die Nutzung von Daten in der Anwaltschaft ist in § 1 Abs. 3 BDSG zu finden:

” Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.”

Nun, was ist hierunter zu verstehen?

Das Bundesdatenschutzgesetz findet immer  dann keine Anwendung, soweit andere Rechtsvorschriften des Bundes, also z. B.

  • Gesetze
  •  Rechtsverordnungen, sowie Satzungen der bundesmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts

eine abweichende Regelung vorsehen.

Gerade in diesem Bereich, sind Besonderheiten im Rahmen der Anwaltskanzlei zu berücksichtigen.

In einer Anwaltskanzlei kennen wir in der Regel folgende – nun nennen wir es einmal vereinfacht – Datengruppen oder auch Datenkategorien:

  • sogenannte Mandatsdaten, d. h. alle Daten, die zur Durchführung eines Mandats erforderlich sind,
  • sogenannte Geschäftsdaten, denen ein Schuldverhältnis, wie z. B. Lieferanten, Vermieter, Wartungsfirmen etc.
  • sogenannte Marketingsdaten, wie z. B. Akquisedaten, Daten aus dem Networking
  • und letztendlich die Personaldaten.

Diese Datengruppen unterliegen verschiedenen datenschutzrechtlichen Regelungen.

Mandatsdaten

Wohl zuzustimmen ist der zur Zeit geltenden Meinung, dass aufgrund der Subsidiaritätsanordnung in § 1 Abs. 3 BDSG die für den Rechtsanwalt geltenden Vorschriften vor allem in §§ 43a Abs. 2 BRAO und 2 BORA eine Anwendung des BDSG auf die Mandatsdaten ausschließt und zwar insoweit, wie sich die Verschwiegenheit auf die Mandatsdaten bezieht.

§ 43a Abs. 2 BRAO lautet:

” Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet. Diese Pflicht bezieht sich auf alles, was ihm in Ausübung seines Berufes bekannt geworden ist. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.”

Diese Vorschrift geht als berufsrechtliche Vorschrift dem BDSG vor.

Sicherlich muss man sich dann aber auch fragen, welche Daten unterliegen der Vorschrift des § 43a Abs. 2 BRAO? Fallen hierunter die Daten, die sich nicht auf den Mandanten beziehen, also z. B. die personenbezogenen Daten des Gegners, des gegnerischen Anwalts, des Sachverständigen, des Gerichtsvollziehers und viele andere natürliche Personen mehr?
Die Rechtsanwaltskammer Stuttgart unterscheidet aus diesem Grund zwischen den mandatsbezogenen Daten und solchen Daten der gegnerischen Partei und kommt zu dem Schluss, dass §§ 43a Abs. 2 BRAO und 2 BORA nur die personenbezogenen Daten betrifft, die der Mandant als Herr des Geheimnisses geschützt wissen will. Nicht geschützt wird dagegen nach überwiegender Auffassung das sogenannte Drittgeheimnis, so dass bezüglich der Daten Dritter – kurze Zusammenfassung – das BDSG Anwendung findet.

Auf die weiteren Datenkategorien werden wir im nächsten Teil eingehen.

 

Datenschutz in der Anwaltskanzlei (Teil 1)

Nach wie vor wird der Datenschutz in den Anwaltskanzleien noch recht stiefmütterlich behandelt.

In diesem und den Folgebeiträgen möchte ich einmal kurz skizzieren, worauf zu achten ist, wenn Daten in einer Anwaltskanzlei verarbeitet werden.

Lassen Sie mich bitte kurz die Systematik des Bundesdatenschutzgesetzes (kurz BDSG) anhand einer kleinen Grafik darstellen:

Systematik BDSG
Systematik BDSG

Zweck des Bundesdatenschutzgesetztes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG)

Der Einzelne

Und schon stellt sich die Frage, was meint der Gesetzgeber mit “den Einzelnen”? Gemeint ist hier nur die natürlich Person, die durch das BDSG geschützt werden soll. Juristische Personen fallen nur dann unter die Vorschriften des BDSG, wenn durch sie unmittelbar auf eine Einzelperson abgestellt werden kann. Dieses kann z. B. bei einer Einmann-GmbH der Fall sein.

Umgang

Das Bundesdatenschutzgesetzt gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten (§ 1 Abs. 2 BDSG).
Aber was ist unter diesen Begriffen wiederum zu verstehen? Auch hier lässt uns der Gesetzgeber natürlich nicht alleine.

Erhebung

Erheben ist das Beschaffen von Daten über den Betroffenen (§ 3 Abs. 3 BDSG)

Verarbeiten

Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (§ 3 Abs. 4 BDSG). Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
Speichern das

  • Erfassen,
  • Aufnehmen
  • oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung, (§ 3 Abs. 4 Satz 1 BDSG)

Verändern das

  • inhaltliche Umgestalten gespeicherter personenbezogener Daten, (§ 3 Abs. 4 Satz 2 BDSG)

Übermitteln das

  • Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
  • die Daten an den Dritten weitergegeben werden oder
  • der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, (§ 3 Abs. 4 Satz 3 BDSG)

Sperren das

  • Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, (§ 3 Abs. 4 Satz 4 BDSG)

Löschen das

  • Unkenntlichmachen gespeicherter personenbezogener Daten. (§ 3 Abs. 4 Satz 5 BDSG)

Nutzen

Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. ( 3 Abs. 5 BDSG)

Nun haben Sie schon einige der wichtigsten Begriffe aus dem BDSG kennen gelernt, die Ihnen nachfolgend immer wieder begegnen werden.

Wird fortgesetzt

 

DE-Mail auf dem Weg für rechtssichere E-Mail

Bundestag macht den Weg für DE-Mail frei

Der Bundestag hat am 24.02.2011 den Weg frei gemacht für den E-Mail-Dienst auf der Basis des sogenannten “DE-Mail-Gesetzes”.

Es wird damit gerechnet, das der Start des Dienstes im dritten Quartal 2011 möglich sein wird. Voraussetzung für den Start ist, dass die Anbieter sich beim BSI für diesen Dienst zertifizieren haben lassen.

Datenschutztool zur Unterweisung von Mitarbeitern

Das Thema Datenschutz tritt heute mehr denn je in den Vordergrund.
Um so wichtiger ist eine umfassende Information der mit der Verarbeitung persönlicher Daten natürlicher Personen befassten Personen.

Der betriebliche Datenschutzbeauftragte (externer wie auch interner) ist gem. § 4g Abs. 1 Satz 2 BDSG verpflichtet die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.
Dabei bleibt es dem Datenschutzbeauftragten nach herrschender Meinung unbenommen, dieses in mündlicher, schriftlicher oder auch elektronischer Form vorzunehmen.
Hier setzt das Tool “Datenschutzunterrichtung” an.

Das Tool wird in der Form eines E-Learning Lehrganges zur Verfügung gestellt und hat unter anderem folgenden Inhalt:

  • Zweck des Datenschutzes
    • Personenbezogene Daten
    • Verständnisfragen
  • Automatisierte Verarbeitung
    • nicht automatisierte Datei
    • Verständnisfragen
  • Begriff der Be- u. Verarbeitung
    • Erheben
    • Verarbeiten
    • Nutzen
    • Anonymisieren
    • Pseudonymisieren
    • Verständnisfragen
    • Verantwortliche Stelle
    • Empfänger
    • mobile Datenträger
    • Beschäftigte
  • Geltungsbereich
  • für wen gilt das BDSG
  • Grundsatz
  • Was darf das Unternehmen
  • Verständnisfragen
  • Was muss das Unternehmen
  • Was darf der Mitarbeiter
  • Verständnisfragen
  • Technische Maßnahmen mit Beispielen
    • Zutrittskontrolle
    • Zugangskontrolle
    • Eingabekontrolle
    • Zugriffskontrolle
    • Verfügbarkeitskontrolle
    • Datentrennungsgebot
    • Auftragskontrolle
    • Weitergabekontrolle
  • Folgen des Verstoßes
  • § 5 BDSG

Geliefert wird dieses Tool in Form einer Exe-Datei. Es bedarf keiner Installation, kann also von CD, USB-Stick etc. gestartet werden.

Die Demo-Version ist voll lauffähig und nicht in der Nutzung eingeschränkt. Sie können diese hier anfordern.