Schlagwort-Archive: Datenschutz in der Anwaltskanzlei

Notebook mit Daten abhanden gekommen, was nun?

torbz - Fotolia
torbz – Fotolia

Eine vielfach wenig beachtete Vorschrift ist die des § 42 a BDSG betreffend die „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“.

Wenn man bedenkt, dass

  • Weltweit jährlich mehr als 800.000 Notebooks „verloren“ gehen,
  • Pro Woche mehr als 12.000 Notebooks auf US-Flughäfen,
  • Pro Woche mehr als 4.000 Notebooks auf UK-Flughäfen

„verloren“ gehen, davon Notebook mit Daten abhanden gekommen, was nun? weiterlesen

Datenschutz in der Anwaltskanzlei (Teil 7)

Wie in Teil 6 angekündigt, möchte ich heute auf die Personaldaten im Rahmen des Datenschutzes eingehen.

Die Vorschrift hierüber finden Sie in § 32 BDSG:

 

“§ 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.
(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.”

Nach Absatz 1 dürfen Sie also Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erheben, verarbeiten oder nutzen, wenn dies für die nachfolgenden Fälle notwendig ist:

Entscheidung über die Begründung eines Beschäftigungsverhältnisses

Die Regelung beginnt bereits in der Phase der Anbahnung eines Beschäftigungsverhältnisses, d. h. es muss noch keine vertragliche Beziehung bestehen. Nach der Definition des BDSG (§ 3 Abs. 11 Nr. 7) sind Beschäftigte

  1. Arbeitnehmerinnen und Arbeitnehmer,
  2. zu ihrer Berufsbildung Beschäftigte,
  3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
  4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
  5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
  6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
  7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,
  8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

Durch § 32 Abs. 1 BDSG ist auch die Anbahnung eines Beschäftigungsverhältnisses in den Kreis einbezogen worden.

Das Fragerecht des Arbeitgebers zum Zwecke der Begründung eines Beschäftigungsverhältnisses bezieht sich ausschließlich auf Fragen, an deren Beantwortung der Arbeitgeber ein auf das beabsichtigte Beschäftigungsverhältnis berechtigtes Interesse hat. Diese Fragen können je nach Beschäftigungsverhältnis mehr oder weniger umfangreich sein.

So ist z. B. die Frage nach Vorstrafen oder auch laufenden Ermittlungsverfahren bei der Anstellung in einem Anwaltsbüro als berechtigt anzusehen. Die Fragen nach einer Erkrankung, speziell HIV z. B. nicht, da nicht zu erwarten ist, dass der Bewerber in Blutkontakt mit Mitarbeitern der Kanzlei kommt. Die Fragestellung nach allgemeinen Vorerkrankungen ist unzulässig. Nach Alkohol- oder Drogenabhängigkeit kann jedoch gefragt werden, da diese für das Beschäftigungsverhältnis in einer Anwaltskanzlei schon relevant sein können.
Fragen nach Qualifikation sind selbstverständlich zulässig. Ebenso können Fragen nach Vermögensverhältnissen, also Insolvenz, Pfändungen etc. bei besonderen Vertrauensstellungen zulässig sein.

Hüten sollten Sie sich auf jeden Fall, Fragen nach Religion oder Weltanschauung, nach sexuellen Orientierungen, Gewerkschaftszugehörigkeit oder solchen, die als Geschlechterdiskriminierung verstanden werden könnten, zu stellen.

Durchführung des Beschäftigungsverhältnisses

Selbstverständlich gilt auch hier, dass nur die Daten erhoben, verarbeitet oder genutzt werden dürfen, die zur Durchführung des Beschäftigungsverhältnisses erforderlich sind.

  • Vor- und Zuname,
  • Anschrift,
  • Familienstand,
  • Geburtsdatum,
  • Geschlecht,
  • Berufliche Qualifikation,
  • Religionszugehörigkeit (steuerliche Zwecke)
  • Schwerbehinderung, soweit eine solche besteht und dieses für das Beschäftigungsverhältnis relevant ist
  • Steuerklasse,
  • Fortbildungen im Rahmen des Beschäftigungsverhältnisses

Je nach Tätigkeit können weitere Daten hinzutreten. Die Auflistung soll nur ein Beispiel sein und ist natürlich nicht vollständig.

Beendigung des Beschäftigungsverhältnisses

Sie werden sich bestimmt fragen, welche Daten sollten bei Beendigung des Beschäftigungsverhältnisses zusätzlich gespeichert werden. Nun, wie es es mit der Speicherung von Daten im Rahmen einer betriebsbedingten Kündigung und der Grundlage für die Sozialauswahl? Kommt auch in Anwaltskanzleien ab und an vor.

Zur Aufdeckung von Straftaten

Auch diese Fälle sind schon in Anwaltskanzleien vorgekommen. Anfallende Daten können hier z. B. Videoaufnahmen, Ergebnisse aus der Überwachung von Telekommunikation etc. sein. Ein minenreiches Feld, was nicht in einem kurzen Beitrag abgehandelt werden kann. Hier sollten Sie sich auf jeden Fall durch einen externen Datenschutzbeauftragten beraten lassen.

Löschung der Daten

Wann die Daten zu löschen sind, ergibt sich aus § 35 Abs. Abs. 2 Nr. 3 BDSG:

” Personenbezogene Daten sind zu löschen, wenn….
sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist…….”

Soweit der Berechtigte nicht in die weitere Speicherung der Daten eingewilligt hat, sind diese zu löschen. Dieses gilt sowohl für die bei Begründung eines Beschäftigungsverhältnisses erhobenen Daten, wie auch nach Beendigung eines Beschäftigungsverhältnisses. Selbstverständlich sind die Sondervorschriften nach dem Arbeitszeitgesetz, HGB, AO, EStG etc. nach Beendigung eines Beschäftigungsverhältnisses zu berücksichtigen.

So, dass sind erst einmal die wichtigsten Grundlagen bezüglich des Datenschutzes im Rahmen eines Beschäftigungsverhältnisses.

Im nächsten und letzten Beitrag werde ich auf die Frage der notwendigen technischen und organisatorischen Maßnahmen (§ 9 BDSG) eingehen, auch ein leider sehr vernachlässigtes Feld im Rahmen des Datenschutzes in einer Anwaltskanzlei.

Wird fortgesetzt

Datenschutz in der Anwaltskanzlei (Teil 4)

In Teil 3 haben wir das Prinzip “Verbot mit Erlaubnisvorbehalt” behandelt und festgestellt, dass grundsätzlich (bis auf die dort genannten Ausnahmen) eine Einwilligung des Betroffenen notwendig ist. Das BDSG sagt uns natürlich auch, wie diese Einwilligung auszusehen hat. Die Vorschriften hierüber finden Sie teilweise in § 4a Abs. 1 BDSG:

  • Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. (§ 4a Abs. 1 Satz 1 BDSG)
  • Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. (§ 4a Abs. 1 Satz 2 BDSG)
  • Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. (§ 4a Abs. 1 Satz 3 BDSG)
  • Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. (§ 4a Abs. 1 Satz 4 BDSG)

Die Freiwilligkeit der Entscheidung des Betroffenen ist oberstes Gebot. Diese Vorschrift soll garantieren, dass gerade Personen, die in einem Abhängigkeitsverhältnis stehen, die freie Entscheidung über ihre persönlichen Daten treffen können. Dieses gilt vor allem für Mitarbeiter, für die es im BDSG Sondervorschriften gibt, zu denen ich später kommen werde, die aber bei fehlender Freiwilligkeit Gefahr laufen würden, dass auch nicht im Rahmen von vertraglich notwendigen Daten, Daten erfasst werden könnten.
Die Freiwilligkeit soll auch gewährleisten, dass keine anderen Nachteile für den Betroffenen entstehen, wie z. B. dass eine Dienstleistung nur erbracht wird, wenn in die Erhebung, Verwendung etc. von personenbezogenen Daten eingewilligt wird. Die Systematik erkennen Sie auch, wenn Sie sich die Vorschriften über das P-Konto in § 850k Abs. 8 Satz 5 ZPO anschauen. Danach dürfen nicht mehr, als die Daten, die in § 850K Abs. 8 Satz 4 ZPO angegeben sind, weitergegeben werden, auch wenn der Betroffene einer Weitergabe eingewilligt hat. Der Gesetzgeber hat gerade in diesem Bereich die Gefahr einer Abhängigkeit zwischen Einwilligung und Dienstleistung erkannt und dieser vorgebeugt.

Grundsätzlich bedarf die Einwilligung einer Schriftform. Wie bei jedem Grundsatz gibt es natürlich Ausnahmen. Diese werden auf “besondere Umstände” abgestellt. Nun, welche kennt das BDSG?

Andere Einwilligung einschl. mündlicher Einwilligung

  • Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn,
  • dass die Einwilligung elektronisch erklärt wird
    • und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird
    • und der Betroffene deren Inhalt jederzeit abrufen
    • und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. (§ 28 Abs. 3a Satz 1 BDSG)
  • Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben. (§ 28 Abs. 3a Satz 2 BDSG)

Wann können diese Vorschriften greifen?
Angenommen, es ruft eine Person in Ihrer Kanzlei an, die in keinem Mandatsverhältnis zu Ihnen steht und bittet auf Grund einer Empfehlung um Zusendung Ihrer monatlichen Mitteilung zu Gesetzesänderungen z. B. im Bereich des Familienrechts. Sie sagen dieses zu und bitten um Mitteilung von Daten, wie z. B. Namen und Vorname, Anschrift und soweit vorhanden E-Mail- Adresse. Sie bitten um Einwilligung, dass Sie die bei dem Betroffenen erhobenen Daten elektronisch speichern und für den Zweck der Zusendung Ihrer Gesetzesänderungsmitteilungen im Familienrecht verwenden dürfen. Der Betroffene stimmt diesem mündlich (telefonisch) zu. Dann haben Sie diese Einwilligung und den Inhalt der Einwilligung (also für den Zweck der Zusendung Ihrer Gesetzesänderungsmitteilungen im Familienrecht) dem Betroffenen schriftlich zu bestätigen.

Soweit die Einwilligung elektronisch z. B. auf Ihrer Website erfolgt ist, müssen Sie die oben genannten technischen Voraussetzungen sicher stellen, also dass die Einwilligung protokolliert wird, der Betroffene diese jederzeit abrufen und mit Wirkung für die Zukunft widerrufen kann. Hier hilft nur ein sogenanntes “Opt-In”, besser noch “Double-Opt-In”.

Soweit die Einwilligung im Zusammenhang mit anderer Erklärungen erfolgt, ist sie besonders hervorzuheben (s. oben § 4a Abs. 1 Satz 4 BDSG).
Auch diese Vorschrift ist eine reine Schutzvorschrift für den Betroffenen. Vielfach wird versucht, solche Einwilligungen in Allgemeinen Geschäftsbedingungen “unterzubringen”. Hier sind diese zumindest “drucktechnisch” besonders hervorzuheben, also z. B. in Fettdruck. Ich nehme einmal an, dass Sie solche Einwilligungserklärungen in Ihren Mandatsbedingungen enthalten haben, einschl. der Einwilligung für den Schriftverkehr im E-Mail-Verfahren?

Im nächsten Teil dieser kleinen Serie werden wir uns mit der Kategorie “Geschäftsdaten”, also den Daten, die in keinem Zusammenhang mit einem Mandatsverhältnis stehen, beschäftigen.

Wird fortgesetzt

Datenschutz in der Anwaltskanzlei (Teil 1)

Nach wie vor wird der Datenschutz in den Anwaltskanzleien noch recht stiefmütterlich behandelt.

In diesem und den Folgebeiträgen möchte ich einmal kurz skizzieren, worauf zu achten ist, wenn Daten in einer Anwaltskanzlei verarbeitet werden.

Lassen Sie mich bitte kurz die Systematik des Bundesdatenschutzgesetzes (kurz BDSG) anhand einer kleinen Grafik darstellen:

Systematik BDSG
Systematik BDSG

Zweck des Bundesdatenschutzgesetztes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG)

Der Einzelne

Und schon stellt sich die Frage, was meint der Gesetzgeber mit “den Einzelnen”? Gemeint ist hier nur die natürlich Person, die durch das BDSG geschützt werden soll. Juristische Personen fallen nur dann unter die Vorschriften des BDSG, wenn durch sie unmittelbar auf eine Einzelperson abgestellt werden kann. Dieses kann z. B. bei einer Einmann-GmbH der Fall sein.

Umgang

Das Bundesdatenschutzgesetzt gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten (§ 1 Abs. 2 BDSG).
Aber was ist unter diesen Begriffen wiederum zu verstehen? Auch hier lässt uns der Gesetzgeber natürlich nicht alleine.

Erhebung

Erheben ist das Beschaffen von Daten über den Betroffenen (§ 3 Abs. 3 BDSG)

Verarbeiten

Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (§ 3 Abs. 4 BDSG). Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
Speichern das

  • Erfassen,
  • Aufnehmen
  • oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung, (§ 3 Abs. 4 Satz 1 BDSG)

Verändern das

  • inhaltliche Umgestalten gespeicherter personenbezogener Daten, (§ 3 Abs. 4 Satz 2 BDSG)

Übermitteln das

  • Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
  • die Daten an den Dritten weitergegeben werden oder
  • der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, (§ 3 Abs. 4 Satz 3 BDSG)

Sperren das

  • Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, (§ 3 Abs. 4 Satz 4 BDSG)

Löschen das

  • Unkenntlichmachen gespeicherter personenbezogener Daten. (§ 3 Abs. 4 Satz 5 BDSG)

Nutzen

Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. ( 3 Abs. 5 BDSG)

Nun haben Sie schon einige der wichtigsten Begriffe aus dem BDSG kennen gelernt, die Ihnen nachfolgend immer wieder begegnen werden.

Wird fortgesetzt