Versicherungsrecht. VersR. Anwaltliches Datenschutzmanagement Qualitätsstandards. Prof. Dr. Hans-Peter Schwintowski, Berlin. (VersR 2012, )

Größe: px
Ab Seite anzeigen:

Download "Versicherungsrecht. VersR. Anwaltliches Datenschutzmanagement Qualitätsstandards. Prof. Dr. Hans-Peter Schwintowski, Berlin. (VersR 2012, 1325 1332)"

Transkript

1 PDF Zeitschrift für Versicherungsrecht, Haftungs- und Schadensrecht VersR Versicherungsrecht Herausgeber: Prof. Dr. Egon Lorenz, Mannheim. He raus ge ber bei rat: Prof. Dr. Wal ter Bayer, Jena; Dr. Georg Büch ner, Stutt gart; VRiBGH a. D. Karl-Diet rich Bund schuh, Karls ruhe; Prof. Dr. Dr. h. c. mult. Claus-Wil helm Ca na ris, Mün chen; Prof. Drs. iur. Drs. med. h. c. Erwin Deutsch, Göt tin gen; Prof. Dr. Mein rad Dre her, Mainz; RA Dr. Bodo Hasse, LL.M., Mün chen; VRiBGH a. D. Dr. Die ter Hoe gen, Karls ruhe; Prof. Dr. Ernst Kling mül ler, Köln; RA Dr. Theo Langheid, Köln; Prof. Dr. Dr. h. c. Die ter Me di cus, Mün chen; RA Dr. Bernd Mi cha els, Düs sel dorf; Vi ze präsbgh a. D. Dr. Gerda Mül ler, Karls ruhe; VRiBGH a. D. Dr. Erich Stef fen, Karls ruhe; VRiBGH a. D. Wil fried Terno, Karls ruhe. Haupt schrift lei tung: Prof. Dr. Egon Lo renz. Wei tere Mit glie der der Schrift lei tung: RA Dr. Peter Bach, Köln (Ver si che rungs ver trags recht), VRi OLG a. D. Lothar Jaeger, Köln (Berufs- und Amtshaftungsrecht), Prof. Dr. Dirk Looschelders, Düsseldorf (Internationales Privatrecht und betriebliche Altersversorgung), Prof. Dr. Peter Reiff, Trier (Transportrecht, Verfahrens- und Kostenrecht, Auslandsrecht), Prof. Dr. Manfred Wandt, Frankfurt/M. (Grund la gen des Ver si che rungs rechts, all ge mei nes Haf tungs recht und an gren zende Ge biete). VersR 63. Jahr gang 1. November 2012 Heft Anwaltliches Datenschutzmanagement Qualitätsstandards Prof. Dr. Hans-Peter Schwintowski, Berlin (VersR 2012, )

2 2 Aufsätze VersR 2012 Heft 31 Anwaltliches Datenschutzmanagement Qualitätsstandards Prof. Dr. Hans-Peter Schwintowski, Berlin* I. Grundlegung Anwälte sind Vertrauensträger par excellence sie erfahren von ihren Mandanten Dinge, die höchst privat und oft geheim sind und bleiben sollen. Die Rechtsordnung verpflichtet die Anwaltschaft deshalb zur Verschwiegenheit ( 43 a BRAO) und sanktioniert den Geheimnisbruch durch Freiheits- und Geldstrafe ( 203 StGB). Anwälte sind aber auch Organ der Rechtspflege sie sind folglich für die Funktionsfähigkeit des Rechtsstaats mitverantwortlich. Dies impliziert einen verantwortungsvollen und angemessenen Umgang mit sämtlichen personenbezogenen Daten, die Anwälte zu verarbeiten haben dazu gehören z. B. auch die Daten von Prozessgegnern, Zeugen oder Sachverständigen. Diese Gemengelage zwischen den Anforderungen des BDSG und der berufsrechtlichen Verschwiegenheitspflicht führt vor allem durch die modernen elektronischen Medien zu einem immer stärker werdenden Spannungsverhältnis. Schon die Frage, ob der Anwalt mit seinem Mandanten (unverschlüsselte) s wechseln darf, löst Stirnrunzeln aus. Die Datenschützer meinen, dafür bedürfe es einer Einwilligung des Mandanten ( 4 a BDSG). Noch schwerer wiegt die Frage, ob man die Aktenverwaltung einer Anwaltskanzlei einem externen Dienstleister überantworten darf. Genügt es, diesen Dienstleister im Rahmen eines Vertrags nach 11 BDSG zur Verschwiegenheit zu verpflichten oder muss man mehr tun? Muss der Mandant eventuell in das Outsourcing (Auslagern) einwilligen ( 4 a BDSG)? Noch moderner ist die neue Welt des Cloud Computing. Darf eine Anwaltskanzlei überhaupt am Cloud Computing teilnehmen? Liegt darin womöglich bereits ein Geheimnisbruch i. S. d. 203 StGB? Die Fragen könnten fortgesetzt werden. Sie zeigen, dass die rechtlichen Rahmenbedingungen für das anwaltliche Datenschutzmanagement zurzeit nur unzureichend aufeinander abgestimmt sind. Deshalb wird seit einiger Zeit auch über die Reform des Datenschutzrechts aus der Sicht von Anwaltskanzleien diskutiert 1. Der Ruf nach dem Gesetzgeber ist nicht falsch, wird aber schon aus verfassungsrechtlicher Perspektive (Art. 12 GG) allenfalls zu Korrekturen im Bereich von Mindestanforderungen führen können. Parallel und ergänzend wird deshalb hier ein Zertifizierungssystem für Anwaltskanzleien im Bereich des Datenmanagements vorgeschlagen. Ein solches Zertifizierungssystem beruht auf freiwillig festgelegten Qualitätsstandards (ähnlich den DIN-Normen in der Technik). Die Standards werden wie im Bereich der Gütesiegel durch die Zertifizierungsstelle (das kann eine private Unternehmung sein) transparent nach außen festgelegt und unterliegen einem permanenten Diskussionsund Optimierungsprozess in der Praxis. Auf diese Weise steuern Anwaltskanzleien letztlich selbst das Qualitätslevel beim Datenmanagement, beziehen aber anders als heute die Mandantschaft und deren Wünsche und Bedürfnisse in den Diskussionsprozess mit ein, d. h., es entsteht eine Qualitätsoptimierung über einen Marktprozess. Dies bedeutet, dass auch Dritte z. B. Rechtsschutzversicherer oder Prozessfinanzierer ein Interesse und auch eine Funktion bei der Qualitätssicherung des Datenschutzmanagements durch Anwälte haben. Rechtsschutzversicherer und Prozessfinanzierer sind ihrerseits Dienstleister gegenüber rechtsuchenden Betroffenen. Die Verbraucher, um die es häufig geht, sind bei der Suche nach einem kompetenten Anwalt regelmäßig überfordert 2. Die Dienste der Rechtsanwaltskammern, Anwaltssuchmaschinen oder auch der Begriff der Fachanwälte oder der Anwälte mit Interessenschwerpunkten sind für den Verbraucher kaum aussagefähig 3. Auf diese Problematik reagieren einige Rechts- schutzversicherer, indem sie Listen mit Partneranwälten führen 4. Die Frage ist nur, welche Qualitätskriterien die Rechtsschutzversicherer eigentlich an die Partneranwälte stellen. Die Rechtsuchenden gehen jedenfalls wie selbstverständlich davon aus, dass ein Rechtsschutzversicherer oder Prozessfinanzierer nur solche Anwaltskanzleien empfiehlt, die ein angemessenes und nachhaltiges Datenschutzmanagement betreiben. Das ist für einen Versicherten, der sich hilfesuchend an seinen Rechtschutzversicherer wendet, schon deshalb naheliegend, weil der Rechtsschutzversicherer für ihn insoweit eine individuelle Fürsorge- und Schutzpflicht erfüllt ( 241 Abs. 2 BGB). Der Rechtsuchende, der eine Anwaltsempfehlung erbittet, erwartet mithin von seinem Rechtsschutzversicherer/Prozessfinanzierer, dass dieser nur solche Anwälte und Kanzleien empfiehlt, die ein ausreichendes, nachhaltiges und jedenfalls ihn, den Mandanten, nicht schädigendes Datenschutzmanagement eingerichtet haben und praktizieren. Ausgehend von dieser berechtigten Erwartungshaltung der Versicherten/Betroffenen, wird im Folgenden ein Qualitätsrating für das anwaltliche Datenschutzmanagement vorgeschlagen. Ein solches Ratingsystem könnte den Rechtsschutzversicherern/ Prozessfinanzierern bei der Auswahl geeigneter Anwaltskanzleien helfen. Kanzleien, denen es nicht gelingt, die Datenschutzanforderungen zu erfüllen, die das Gesetz vorschreibt, würden aus dem Kreis der zu empfehlenden Kanzleien schon deshalb ausgeschlossen werden müssen, weil der Rechtsschutzversicherer/ Prozessfinanzierer, der eine solche Kanzlei empfiehlt, seine Fürsorge- und Schutzpflicht gegenüber seinem Versicherten/Betroffenen verletzt. Im Folgenden werden zunächst einmal die Rechtsgrundlagen und die darauf aufbauenden grundlegenden Judikate knapp vorgestellt, sodass eine belastbare Informationsgrundlage entsteht. Danach wird das Zertifizierungssystem in drei Stufen (Mindest-, Basis-, Höchststandard) einschließlich der Inhalte entwickelt. II. Rechtsgrundlagen Die Rechtsgrundlagen für das anwaltliche Datenschutzmanagement finden sich im Straf- und Berufsrecht sowie in den Datenschutzgesetzen der Länder und dem Bundesdatenschutzgesetz (BDSG), das hier im Mittelpunkt stehen wird. Straf- und berufsrechtlich geht es um die Verschwiegenheitspflicht der Anwälte. Datenschutzrechtlich sind alle personenbezogenen Daten geschützt ( 1 Abs. 2 BDSG). Verboten ist die Erhebung, Verarbeitung und Nutzung dieser Daten durch öffentliche und private Stellen (z. B. Rechtsanwälte), sofern die Verarbeitung geschäftsmäßig, also nicht ausschließlich für persönliche oder familiäre Tätigkeiten, erfolgt ( 1 Abs. 2 Nr. 3 BDSG). Es handelt sich also um ein Ver- * Der Autor ist Inhaber des Lehrstuhls für Bürgerliches Recht, Handels-, Wirtschafts- und Europarecht an der Humboldt-Universität zu Berlin. 1 Vertiefend Leutheusser-Schnarrenberger RuP 2012, 129 (134), unter Hinweis auf den Entwurf der DatenschutzgrundVO der EU (S. 135 f.); AnwBl 2012, 477; Ewer AnwBl 2012, Trittmacher/Köster, Welchen Wert hat die freie Anwaltswahl bei der Rechtsschutzversicherung für den Verbraucher? VuR 5/2012 Editorial S Trittmacher/Köster VuR 5/2012 Editorial S Trittmacher/Köster VuR 5/2012 Editorial S. 166.

3 VersR 2012 Heft 31 Aufsätze 3 bot mit Erlaubnisvorbehalt. Dieses Konzept, das auf dem Volkszählungsurteil des BVerfG aus dem Jahr beruht, beinhaltet eine sehr einfache Grundregel: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, etwa durch Rechtsanwälte, ist verboten, es sei denn, es liegt eine Einwilligung des Mandanten vor ( 4 a Abs. 1 BDSG) oder aber das Gesetz selbst erlaubt, wie etwa in 28, 29 BDSG, die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Der Wortlaut der wichtigsten straf-, berufs- und datenschutzrechtlichen Normen lautet: StGB Ein Rechtsanwalt, der unbefugt ein fremdes Geheimnis offenbart, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft ( 203 Abs. 1 Nr. 3 StGB). Das Gleiche gilt für die berufsmäßig tätigen Gehilfen der Rechtsanwälte und für diejenigen, die sich auf den Beruf vorbereiten (Referendare) nach 203 Abs. 3 StGB a BRAO/ 2 BORA Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen ( 43 a Abs. 2 BRAO, 2 BORA). 3. Bundesdatenschutzgesetz 6 a) 1 Abs. 3 BDSG Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. b) 4 Abs. 1 BDSG/ 4 a Abs. 1 BDSG Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit der Betroffene eingewilligt hat ( 4 Abs. 1 BDSG). Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht ( 4 a BDSG). c) 9 BDSG Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. d) 11 Abs. 1 BDSG Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften über den Datenschutz verantwortlich. e) 28 BDSG Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten ist zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist ( 28 Abs. 1 Nr. 1 BDSG). Das Gleiche gilt, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt ( 28 Abs. 1 Nr. 2 BDSG). III. Rechtsprechung Die folgende kursorische Rechtsprechungsübersicht gibt jene Entscheidungen wieder, die den Umgang mit personenbezogenen Daten durch Rechtsanwälte berühren. Ausgangspunkt und Grundlage aller dieser Entscheidungen ist das Urteil des BVerfG aus dem Jahr In diesem Urteil hat das BVerfG das subjektive Recht eines jeden Bürgers auf informationelle Selbstbestimmung, sowohl im öffentlichen wie auch im privaten Bereich, entwickelt. Von besonderer Bedeutung für die Anwaltschaft ist ferner das Urteil des KG vom Mit diesem Urteil hat das KG klargestellt, dass ein Rechtsanwalt nicht verpflichtet ist, dem Datenschutzbeauftragten mandatsbezogene Informationen zu geben, die seiner Verschwiegenheitspflicht unterliegen. 1. BGH vom VersR 1995, Eine Bestimmung in einem Kanzleiübernahmevertrag 10, die den Veräußerer auch ohne Einwilligung der betroffenen Mandanten verpflichtet, seine Akten dem Erwerber zu überlassen, ist nichtig BGH vom (NotC 19/89) Das Datenschutzgesetz des Landes Nordrhein-Westfalen ist auf Notare anwendbar. Die hiernach bestehende Verpflichtung ( 23 Abs. 1 DSG NRW 1988), elektronisch geführte Dateien, in denen personenbezogene Daten gespeichert sind, bei dem Landesbeauftragten für Datenschutz anzumelden, widerspricht nicht der Verschwiegenheitspflicht des Notars nach 18 Abs. 1 BNotO BVerfG vom VersR 2008, Anwaltliche Werbung darf auch den Zweck verfolgen, Mandanten zulasten der Konkurrenz zu gewinnen. Insoweit kann die Anwaltssozietät im Internet mit sogenannten Gegnerlisten werben. 4. FG Nürnberg vom (6 K 1286/08) Die Finanzbehörde kann im Rahmen einer Außenprüfung verlangen, dass Unterlagen, die mithilfe eines Datenverarbeitungssystems erstellt worden sind, nach ihren Vorgaben maschinell ausgewertet werden ( 147 Abs. 1 AO). Die Datenbestände sind so zu organisieren, dass bei einer zulässigen Einsichtnahme in die steuerlich relevanten Datenbestände keine geschützten Bereiche tangiert werden können. 5. KG vom (1 Ws [B] 51/07) Die Verschwiegenheitspflicht des Rechtsanwalts schließt die Anwendung des BDSG aus ( 43 a Abs. 2 BRAO i. V. m. 1 Abs. 3 S. 2 BDSG). Der Rechtsanwalt ist nicht verpflichtet, dem Datenschutzbeauftragten mandatsbezogene Informationen zu geben, die seiner Verschwiegenheitspflicht unterliegen OLG Köln vom (Ss 254/00) Die Befugnis zur Offenbarung fremder Geheimnisse i. S. d. 203 StGB kann sich auch aus dem die Rechtsordnung allgemein 5 BVerfG vom BvR 209/83 u. a. NJW 1984, 419 (Volkszählung). 6 BDSG i. d. F. vom BGBl I BVerfG vom BvR 209/83 u. a. NJW 1984, 419 (Volkszählung). 8 KG vom Ws (B) 51/07 NJW 2011, BGH vom VIII ZR 94/94 VersR 1995, Dazu Römermann, Praxisverkauf und Praxisbewertung bei Freiberuflern ein (scheinbar) unlösbares Problem NJW 2012, Im Anschluss an BGH vom VIII ZR 4/91 BGHZ 116, 268 = VersR 1992, 448 (Arztpraxis). 12 Vertiefend Mihm, Datenschutzaufsicht durch den Landesbeauftragten für Datenschutz und Aufsichtsbehörde im Notariat NJW 1998, BVerfG vom BvR 1625/06 VersR 2008, Härting, Anwaltsgeheimnis: Schutz vor dem Datenschutz AnwBl 2011, 50.

4 4 Aufsätze VersR 2012 Heft 31 beherrschenden Grundsätzen über die Abwägung widerstreitender Pflichten oder Interessen ergeben. So kann der Träger eines fremden Geheimnisses (z. B. ein Rechtsanwalt) berechtigt sein, die Schweigepflicht zu brechen, wenn das zur Wahrung eines höherwertigen Rechtsguts erforderlich ist und der Widerstreit der rechtlich geschützten Güter nur durch die Preisgabe des einen und nicht auf andere Weise gelöst werden kann. IV. Verhältnis zwischen Berufsrecht und BDSG Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften des BDSG vor ( 1 Abs. 3 BDSG). Aus dem Wort soweit folgt, dass ein Vorrang des anwaltlichen Berufsrechts ( 43 a BRAO/ 203 StGB) nur im Rahmen des Anwendungsbereichs des Berufsrechts in Betracht kommt. Wenn und soweit das anwaltliche Berufsrecht mit Blick auf personenbezogene Daten gar nicht anzuwenden ist, kann es auch keinen Vorrang dieser Vorschriften geben in diesen Fällen sind die Regeln des BDSG in vollem Umfang anzuwenden 15. Sehr plastisch hat es Sabine Leutheusser-Schnarrenberger formuliert: Berufsrechtliche Verschwiegenheitspflicht und Datenschutzrecht sind, bildlich gesprochen, zwei Kreise mit unterschiedlichen Schutzrichtungen, die sich nur teilweise überschneiden: So reicht die Verschwiegenheitspflicht beispielsweise weiter als das Datenschutzrecht, weil sie nicht nur personenbezogene Daten, sondern alle Geheimnisse umfasst. Und das Datenschutzrecht reicht weiter, weil es nicht auf den Schutz des Mandanten beschränkt ist 16. Auch das KG weist darauf hin, dass die berufsrechtlichen Bestimmungen der BRAO überwiegend den Schutz des Mandanten und das öffentliche Interesse an einer funktionierenden Strafrechtspflege betreffen 17. Dagegen schützt das BDSG sämtliche Personen (auch Gegner des Mandanten), die durch den Umgang des Rechtsanwalts mit personenbezogenen Daten beeinträchtigt werden ( 1 Abs. 1 BDSG). Daraus folgt, dass das anwaltliche Berufsrecht die Regeln des BDSG nur verdrängt, soweit dies berufsrechtlich zwingend erforderlich ist 18. Mandatsbezogene Informationen darf der Rechtsanwalt deshalb auch dem Datenschutzbeauftragten nicht offenbaren 19. Tut er es trotzdem, so wird dies mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft ( 203 Abs. 1 Nr. 3 StGB). Außerhalb der berufsrechtlichen Verschwiegenheitspflichten ist der Rechtsanwalt den Regeln des BDSG unterworfen 20. Gemeint ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Dritter vor allem der Forderungsgegner. Denkbar ist auch der Zugriff der Finanzbehörden auf gespeicherte Daten, etwa im Rahmen einer Außenprüfung ( 147 AO). In diesen Fällen müssen die Datenbestände so organisiert sein, dass bei einer zulässigen Einsichtnahme in die steuerlich relevanten Datenbestände keine geschützten Bereiche tangiert werden können 21. Ganz besonders sensibel ist die Einschaltung externer Dritter in die Verwaltung personenbezogener Daten. Häufig werden Aktenbestände elektronisch ausgelagert. Oft fungieren externe Dienstleister als Telefonzentrale des Rechtsanwalts. Eine Einwilligung der Mandanten in diese Kanzleiorganisation liegt regelmäßig nicht vor 22. Die Grundregeln zur Auftragsdatenverarbeitung ( 11 BDSG) werden nicht oder nicht in vollständigem Umfang beachtet. Oft wird übersehen, dass die externen Dienstleister keine berufsmäßig tätigen Gehilfen des Rechtsanwalts sind, sodass die Auftragsdatenverarbeitung zwar nach dem BDSG zulässig, aber nach 203 StGB dennoch strafbar sein kann 23. Es fehlt regelmäßig an einer formwirksamen Einwilligung des Mandanten in die konkrete Datenverarbeitung ( 4 a BDSG). Besonders problematisch ist das immer selbstverständlicher werdende Cloud Computing, also das Speichern digitaler Unterlagen und Informationen auf Servern externer Anbieter 24. Auch der Präsident des Deutschen Anwaltsvereins, Wolfgang Ewer, weist darauf hin, dass externe PC-Techniker, zertifizierte Aktenvernichtungsunternehmen, Anwaltssoftware zur Speicherung sämtlicher Datenbestände der Kanzlei auf Großrechnern, aus dem anwaltlichen Alltag nicht mehr hinweggedacht werden können 25. Er fordert ergänzende gesetzliche Regelungen, wonach die externen Dienstleister eine berufsspezifische Zuverlässigkeit und persönliche und fachliche Eignung nachweisen müssen und sich gegenüber dem Anwalt so zur Verschwiegenheit verpflichten, dass der Schutz des Mandatsgeheimnisses gewährleistet ist 26. Der Ruf nach dem Gesetzgeber ist sicherlich nicht falsch, greift aber zu kurz. Die Frage ist, ob Mandanten und Dritte nicht durch Qualitätsstandards beim Datenmanagement von Anwälten geschützt werden können. Die Anwälte würden die Qualitätsstandards offenlegen, sodass jeder Mandant und jeder Dritte erkennen kann, in welchem Maß sich ein Anwalt an bestimmte Standards bei der Verwaltung personenbezogener Daten zu halten gedenkt. Durch die Diskussion und Festlegung solcher Qualitätsstandards für Datenmanagement von Rechtsanwälten entsteht ein Marktprozess um Datensicherheit, der selbstverständlich durch gesetzgeberische Maßnahmen flankiert werden kann. Der Vorteil des Marktprozesses ist, dass die Anwälte die Qualitätsstandards selbst in der Hand halten und sachgerecht ent- und fortentwickeln können. Anpassungen an sich verändernde Gewohnheiten und Prozesse sind schnell und ohne bürokratischen Aufwand möglich. Anwälte können darüber hinaus mit den von ihnen verwirklichten Qualitätsstandards im Außenverhältnis werben und sich auf diese Weise auch gegenüber konkurrierenden Kanzleien abgrenzen und profilieren. Die Frage lautet, ob es möglich ist, Qualitätsstandards zu formulieren, denen sich ein Rechtsanwalt freiwillig unterwerfen kann. V. Qualitätsstandards für das anwaltliche Datenschutzmanagement In der Literatur herrscht Einigkeit darüber, dass vom Rechtsanwalt Kundenorientierung und striktes Qualitätsmanagement ge- 15 KG vom Ws (B) 51/07 NJW 2011, 324 m. w. N.; Kazemi, Datenschutz in der Anwaltskanzlei in Mitgliederbrief des Bayrischen Anwaltsverbands 2011, 6; Eberhardt, Rechtsschutzversicherung im Wandel in Gedächtnisschrift für Ulrich Hübner 2012 (im Erscheinen) S Leutheusser-Schnarrenberger AnwBl 2012, KG vom Ws (B) 51/07 NJW 2011, KG vom Ws (B) 51/07 NJW 2011, KG vom Ws (B) 51/07 NJW 2011, 324; weiter gehend Rüpke, Datenschutz, Mandatsgeheimnis und anwaltliche Kommunikationsfreiheit NJW 2008, 1121; Mehr Rechtssicherheit für anwaltliche Datenverarbeitung ein Vorschlag zur informationsrechtlichen Ergänzung der Bundesrechtsanwaltsordnung ZRP 2008, 87; Anwaltsrecht und Datenschutzrecht NJW 1993, 3097; Freie Advokatur, anwaltliches Berufsgeheimnis und datenschutzrechtliche Kontrollbefugnisse RDV 2003, Vertiefend Weichert, Datenschutz auch bei Anwälten? NJW 2009, 550 (552); Redeker, Datenschutz auch bei Anwälten aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis NJW 2009, 554; so auch KG vom Ws (B) 51/07 NJW 2011, FG Nürnberg vom K 1286/08 DStR 2010, Kazemi aao (Fn. 15). 23 Kazemi aao (Fn. 15). 24 Leutheusser-Schnarrenberger AnwBl 2012, Ewer AnwBl 2012, Ewer AnwBl 2012, 476.

5 VersR 2012 Heft 31 Aufsätze 5 fordert wird 27. Maß aller Dinge sind die Bedürfnisse des Mandanten 28. Daneben ist der Anwalt Organ der Rechtspflege 29. Aus diesen beiden Polen sind Qualitätsmaßstäbe für das anwaltliche Datenschutzmanagement zu entwickeln. Qualitätsstandards für anwaltliches Datenmanagement können aus drei Sachkategorien entwickelt werden. Der Mindeststandard enthält die gesetzlich zwingend erforderlichen Vorkehrungen und Vereinbarungen. Für diesen Mindeststandard bietet es sich an, das Symbol D (für Datenmanagement) zu vergeben. Die zweite Kategorie, der Basisstandard, nimmt Verhaltensweisen und Vereinbarungen mit auf, die rechtlich nicht zwingend notwendig sind, aber den Datenschutz im Sinne eines best practise optimieren für den Basisstandard empfiehlt sich das Kürzel DD. Die dritte Kategorie, der Höchststandard, umfasst Vereinbarungen und Verhaltensweisen, die aus der Perspektive der Mandantschaft und der Rechtsordnung einen besonders sensiblen Umgang mit anwaltlichen Daten oberhalb gesetzlicher Vorschriften umsetzen. Es geht in diesem Fall um die Verwirklichung wissenschaftlicher Datenschutzstandards soweit vorhanden. Ferner werden mandantengerechte, individualisierte Datenschutzkonzepte quasi maßgeschneidert. Dies rechtfertigt die Vergabe von DDD. VI. Mindeststandard (D) 1. Das Mandatsverhältnis a) Einwilligung des Mandanten Nach 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Da anwaltliche Datenverarbeitung weder vom BDSG noch von anderen Rechtsvorschriften erlaubt oder angeordnet ist, kommt es entscheidend auf die Einwilligung an. Der Mandant muss in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten einwilligen. Dies umfasst die Einwilligung, externe Dienstleister in das Datenschutzmanagement mit einzubeziehen ( 11 BDSG). Gemeint sind etwa IT-Dienstleister, Schreib- und Telefondienste, Buchhaltung oder Aktenvernichtung, aber auch die Hersteller von Anwaltssoftware, die die externe Speicherung sämtlicher Datenbestände der Kanzlei auf Großrechnern anbieten, sodass der Anwalt einen Großteil seiner Tätigkeit über das Notebook oder über das Tablet erledigen kann. Die Einwilligung des Mandanten in diese weitgehend IT-basierten Dienstleistungen ist für den Anwalt auch deshalb von besonderer Bedeutung, weil sich seine Strafbarkeit ( 203 Abs. 1 Nr. 3 StGB) allein nach dem ausdrücklichen und konkludenten Einverständnis oder der mutmaßlichen Einwilligung des betroffenen Mandanten ergibt 30. Die externen Dienstleister, die Mandatsgeheimnisse offenbaren, sind übrigens nicht nach 203 StGB strafbar, weil 203 Abs. 3 StGB nur berufsmäßig tätige Gehilfen des Anwalts diesem gleichstellt. Mit berufsmäßig tätigen Gehilfen sind Fachangestellte, Mitarbeiter im Sekretariat, Referendare und sonstige in der Kanzlei angestellte Mitarbeiter gemeint, nicht jedoch externe Dienstleister 31. Bedenkt man, dass die moderne Anwaltskanzlei ohne externe Dienstleister heute praktisch nicht mehr existieren kann, erscheint die strafrechtliche Privilegierung für externe Dienstleister nicht mehr zeitgemäß 32. b) Unverschlüsselter -Verkehr Der unverschlüsselte -Verkehr zwischen Anwalt und Mandanten ist prinzipiell ohne größere Probleme für interessierte Dritte zugänglich und abhörbar. Dies bedeutet, dass eine Anwaltskanzlei, die den Mindeststandard (D) erfüllen will, zwei Möglichkeiten hat: Entweder sie verzichtet auf den unverschlüsselten -Verkehr mit dem Mandanten und beschränkt sich auf Briefe und Faxe. Stattdessen könnte die Anwaltskanzlei den Mandanten um eine Einwilligung in den unverschlüsselten E- Mail-Verkehr nach 4 a Abs. 1 BDSG bitten. Die Einwilligung muss auf der freien Entscheidung des Mandanten beruhen. Der Mandant ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung und auf die Folgen der Verweigerung der Einwilligung hinzuweisen ( 4 a Abs. 1 S. 2 BDSG). Die Einwilligung bedarf der Schriftform ( 4 a Abs. 1 S. 3 BDSG). Will die Kanzlei ohne Einwilligung des Mandanten am - Verkehr teilnehmen, so muss sie mit Verschlüsselungen arbeiten die damit verbundenen Anforderungen betreffen die Stufe DD. c) Insbesondere: Cloud Computing Im Ergebnis heißt dies, dass der Mandant in die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten, insbesondere im -Verkehr und gegenüber externen Dienstleistern, einwilligen muss. Dies gilt in besonderer Weise, wenn die Kanzlei am Cloud Computing, also dem Speichern digitaler Unterlagen und Informationen auf Servern externer Anbieter, teilnimmt 33. Cloud Computing wirft die Grundfrage auf, ob Datensicherheit im Sinne der anwaltlichen Verschwiegenheitspflicht überhaupt noch gewährleistet werden kann. Ein Anwalt, der am Cloud Computing teilnimmt, muss dem Mandanten im Einzelnen erklären, dass seine Daten über das Internet ungerichtet verteilt sind. Der Zugriff auf diese Daten kann nicht mehr kontrolliert werden. Die Teilnahme am Cloud Computing wirft die Frage auf, ob eine solche Teilnahme nicht die anwaltliche Verschwiegenheitspflicht nach 43 a BRAO automatisch verletzt. In jedem Fall muss aber die Einwilligungserklärung des Mandanten ausdrücklich auf das Cloud Computing bezogen sein und dem Mandanten muss im Einzelnen erklärt worden sein, welche Gefahren sich für ihn aus dem Cloud Computing ergeben können ( 4 a Abs. 1 S. 2 BDSG) Einwilligung Dritter Hierneben müsste es auch eine Einwilligung aller Personen geben, deren Daten im Zusammenhang mit dem Mandatsverhältnis 27 Jahn/Palm, Outsourcing in der Kanzlei: Verletzung von Privatgeheimnissen? AnwBl 2011, 613; unter Hinweis auf Krämer, Zum Qualitätsverständnis anwaltlicher Rechtsberatung NJW 1996, 2354 und Zuck, Die notwendige Reform des anwaltlichen Berufsund Standesrechts NJW 1988, 175 (179). 28 Jahn/Palm AnwBl 2011, 613; unter Hinweis auf Streck AnwBl 1996, 57 (62); Steinbrück, Zertifizierung von Anwaltskanzleien nach DIN EN ISO 9000 ff. Total Quality Management in der Anwaltskanzlei NJW 1997, Vertiefend Härting, IT-Sicherheit in der Anwaltskanzlei das Anwaltsgeheimnis im Zeitalter der Informationstechnologie NJW 2005, 1248 (1250) m. w. N.; Filges, Die Zukunft des anwaltlichen Berufsrechts nach der Reform ist vor der Reform NJW 2010, 2619 (2621 f.). 30 Härting NJW 2005, 1248 (1249) m. w. N. 31 Härting NJW 2005, 1248 (1249) m. w. N. 32 Härting NJW 2005, 1248 (1249) m. w. N. 33 Vertiefend Leutheusser-Schnarrenberger AnwBl. 2012, 477; Härting, IT-Sicherheit und Berufsrecht das Anwaltsgeheimnis im Zeichen von Cloud Computing ITRB 2011, 242; vertiefend Maisch/ Seidel, Cloud-Nutzung für Berufsgeheimnisträger 203 StGB als Show Stopper? Datenschutz Berater 2012, 127 die Verfasser verwechseln allerdings die vorherigen Zustimmung (Einwilligung: 183 BGB) mit der nachträglichen Zustimmung (Genehmigung: 184 BGB) und kommen deshalb zu nicht ganz überzeugenden Schlussfolgerungen. 34 In diesem Sinn auch die Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom S. 25 abrufbar unter

6 6 Aufsätze VersR 2012 Heft 31 erhoben, verarbeitet und genutzt werden. Das sind insbesondere die Forderungsgegner oder sonstige Dritte, z. B. Unfallbeteiligte und Zeugen. Normalerweise müssen Personen von der Speicherung ihrer Daten benachrichtigt werden ( 33 Abs. 1 BDSG). Eine für die Anwaltschaft äußerst wichtige Ausnahme gibt es in 33 Abs. 2 Nr. 3 BDSG. Danach besteht die Benachrichtigungspflicht nicht, wenn die Daten wegen des überwiegenden rechtlichen Interesses eines Dritten (gemeint ist der Mandant) wie üblich geheim gehalten werden müssen. Ist die Speicherung der Daten im Rahmen des Mandantschaftsverhältnisses jedoch nicht mehr erforderlich, so sind sie zu löschen ( 35 Abs. 2 Nr. 3 BDSG). 3. Technische und organisatorische Maßnahmen ( 9 BDSG) Nach 9 BDSG haben Anwälte die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die vom BDSG und den Datenschutzgesetzen der Länder geforderte Datensicherheit zu gewährleisten. Dabei sind Maßnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Mit Blick auf diese technischen und organisatorischen Maßnahmen des BDSG geht es einerseits um die Organisation des Anwaltsbüros und andererseits um die kanzleiinterne Datensicherheit. a) Organisation des Anwaltsbüros Sämtliche Anwälte, Referendare und Mitarbeiter der Kanzlei sind Geheimnisträger nach 203 Abs. 1 Nr. 3 StGB. Sie sind deshalb verpflichtet, Mandantengeheimnisse nicht zu offenbaren 35. Ein Geheimnis kann auch durch Unterlassen offenbart werden ( 13 StGB). Mitarbeiter, die über ihre PC-Bildschirme Zugang zu sensiblen Mandatsdaten haben, müssen folglich beim Verlassen des Arbeitsplatzes den Zugang zum Bildschirm sperren. Das gilt nicht nur bei Antreten der Mittagspause oder des Feierabends, sondern auch dann, wenn man den Arbeitsplatz für eine kürzere Zeitspanne verlässt (Gang zur Toilette), es sei denn, die Kanzlei verfügt über räumliche Vorkehrungen im Sinne von Chinese Walls. Gemeint ist, dass der Zugang zum Sekretariat oder zum jeweiligen Anwaltsarbeitsplatz nur mittels Schlüssel oder Transponder möglich ist. Bei Zugang zu besonders sensiblen Daten sind die Schlüssel/Transponder nur ausgesuchten autorisierten Mitarbeitern zugewiesen. Wenn und soweit der Zugang zu den Räumlichkeiten auf diese Weise für unbefugte Dritte weitgehend geschützt ist, müssen die Bildschirme beim Verlassen des Arbeitsplatzes nicht unbedingt gesperrt werden. Soweit räumliche Vorkehrungen wie beschrieben nicht bestehen, ist dagegen eine Sperrung der Bildschirme unabdingbar, einerseits um den Anforderungen des 203 StGB zu genügen, aber auch um die Vertraulichkeit gegenüber dem Mandanten nach 43 a BRAO zu wahren. Anwaltskanzleien, die nicht über Chinese Walls verfügen, müssen Arbeitsanweisungen zur Sperrung des Bildschirms beim Verlassen des Arbeitsplatzes vorhalten und der Beauftragte für den Datenschutz muss die Sperrung der Bildschirme im Einzelfall zumindest stichprobenartig in wiederkehrenden Abständen kontrollieren. Geheimnisse können auch offenbart werden, weil es innerhalb der Kanzlei für die Mandanten keine Diskretionszonen gibt. Mandanten, die beispielsweise in einem Vorzimmer der Kanzlei gemeinsam warten, können aus der bloßen Anwesenheit bestimmter (bekannter) Personen Rückschlüsse ziehen. Noch problematischer wird es, wenn der Mandant zum Gespräch etwa mit den Worten aufgerufen wird: Herr Meier in der Familiensache Meier./. Meier. Um konkludente Offenbarungen dieser Art zu vermeiden, muss es Diskretionszonen im Empfangsbereich und getrennte Wartezimmer oder aber ein Besuchsmanagement geben, das Mandanten und Drittbegegnungen weitgehend vermeidet. Korrespondierend zur Sperrung der PC-Arbeitsplätze müssen die klassischen Akten in Papierform so unter Verschluss gehalten werden, dass sie unbefugten Dritten nicht zugänglich sind. Das setzt im Regelfall eine Büroorganisation mit (verschließbaren) Aktenschränken oder Räumen voraus, die nur für besonders autorisierte Mitarbeiter mithilfe von Schlüsseln/Transpondern betretbar sind. b) Kanzleiinterne Datensicherheit Mandantengeheimnisse können auch offenbart werden, weil das kanzleiintern praktizierte System der Datensicherheit nicht dem Stand der Technik entspricht. Die Grundfrage lautet, ob der Kanzlei überhaupt bewusst ist, dass es IT-Systeme mit unterschiedlicher Datensicherheit 36 gibt und dass die Kanzlei sich für ein System entschieden hat, das aus der Perspektive ihrer Mandantenbedürfnisse die größtmögliche Sicherheit bietet. Hat also zunächst einmal ein Sicherheitssystemvergleich stattgefunden und wird ein solcher Vergleich mit daraus resultierender Aktualisierung der Software in regelmäßigen Abständen (je nach technischer Entwicklungsgeschwindigkeit) durchgeführt? Eine nicht ganz unwichtige Kontrollfrage im Hintergrund lautet, ob die Kanzlei für den Fall, dass Hardware oder Software ausgetauscht werden müssen, entsprechende bilanzielle Rückstellungen gebildet hat. Grundsätzlich sind die personenbezogenen Daten durch anerkannte kryptografische Verfahren zu verschlüsseln. Damit können Dritte die gespeicherten Daten ohne Besitz des Zugangsschlüssels nur unter Aufwendung immenser Kosten auslösen. Auch Cloud-Dienste können genutzt werden, wenn sie innerhalb der EU liegen und die sensiblen Daten durch Verschlüsselung geschützt sind. Je nach Größe der Kanzlei und Strukturierung der Mandantschaft ist es sinnvoll, über die technische Trennung von Daten innerhalb der Facharbeitsgruppen und Sekretariate nachzudenken. Je mehr Datentrennung stattfindet, je weniger Menschen Zugriff auf Daten haben, desto geringer ist die Gefahr der Offenbarung von Geheimnissen. Kontrollfragen lauten: Werden getrennte Datenverarbeitungssysteme benutzt, sind Firewalls installiert, gibt es eine Verwaltung und Einschränkung von Benutzerrechten, sind Regeln für den sicheren Passwortgebrauch, für das Sperren und Löschen von Daten festgelegt und werden vertrauliche Informationen vor Wartungsarbeiten am IT-System gelöscht? Sehr wichtig ist auch, ob Antivirensoftware eingesetzt wird, ob bei jedem Virenbefall der Datenschutzbeauftragte informiert wird und ob immer beachtet wird, dass das Arbeiten mit virenverseuchten Datenträgern und Hardware unterlassen wird. Genau besehen müssen Fragen dieser Art permanent fort- und weiterentwickelt werden, je nach Stand der Technik. Auf der einen Seite stehen Techniken zum Schützen und zum Separieren von Daten (Signatur-/Verschlüsselungssysteme), auf der anderen Seite steht die Technik des Datenhacking und der Datensabotage durch Viren. Beide Bereiche reagieren aufeinander und entwickeln sich fort. 4. Auftragsdatenverarbeitung ( 11 BDSG) Werden personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt, so ist der Auftraggeber (Anwalt) für die Einhal- 35 Zu den derzeitigen Tatbestandsgrenzen und der Diskussion darüber: vertiefend Jahn/Palm AnwBl 2011, 613 (615 ff.); Rüpke, Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts ein quasi-datenschutzrechtliches Missverständnis zu 203 StGB? NJW 2003, Hierzu zum Stichwort Informationssicherheit org/wiki/informationssicherheit sensibledaten verschl. C3. BC sseln.

7 VersR 2012 Heft 31 Aufsätze 7 tung des Datenschutzrechts verantwortlich ( 11 Abs. 1 BDSG). Der Anwalt muss den Auftragnehmer (z. B. externer IT-Dienstleister) unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen und kontrollieren ( 11 Abs. 2 S. 1 BDSG). Der Auftrag ist schriftlich zu erteilen; wobei im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 [BDSG] zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach [ 11 Abs. 4 BDSG] bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Das Outsourcing der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten auf externe Dienstleister ist also im Rahmen von 11 BDSG möglich, wenn der Auftrag schriftlich erteilt wird und die im Einzelnen genannten Festlegungen erfolgen. Die in 11 Abs. 2 in den Nr. 1 bis 10 genannten Festlegungen werden mit dem Wort insbesondere eingeleitet. Dies bedeutet, dass es auch Festlegungen geben kann, die außerhalb der Nr. 1 bis 10 (ergänzend) notwendig sind. So liegt es beispielsweise nahe, mit dem externen Dienstleister ausdrücklich zu vereinbaren, dass dieser am Cloud Computing nicht oder nur verschlüsselt innerhalb der EU teilnimmt. Der Abschluss eines Vertrags zur externen Auftragsdatenverarbeitung ist im Rahmen des 11 BDSG ohne Weiteres zulässig. Gegenüber dem Mandanten bedarf die externe Auftragsdatenverarbeitung aber der Einwilligung 37. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Mandanten beruht ( 4 a Abs. 1 BDSG). Die Entscheidung des Mandanten kann nur frei sein, wenn ihm der vorgesehene Zweck der Auftragsdatenverarbeitung durch externe Dienstleister angemessen deutlich gemacht wird. Dazu gehört nicht nur der allgemeine Hinweis auf die Datenverarbeitung durch externe Dritte, sondern auch die Darlegung, welche Dienstleistungen im Einzelnen ausgelagert werden, nach welchen Kriterien die externen Dienstleister ausgesucht wurden, in welcher Weise der Anwalt den externen Dienstleister kontrolliert und welche nicht wegzudiskutierenden Risiken bei der Datenverarbeitung aus der Einschaltung des externen Dienstleisters entstehen. Ganz besonders wichtig ist der Hinweis, dass der externe Dienstleister und sämtliche Personen, die bei ihm beschäftigt sind, ausdrücklich zur Verschwiegenheit verpflichtet wurden ( 2 Abs. 4 BORA) Datenschutzbeauftragter Anwaltskanzleien, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen ( 4 f Abs. 1 BDSG) 39. Dies gilt nicht, wenn höchstens neun Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind ( 4 f Abs. 1 S. 3 BDSG). In diesem Fall hat der Leiter der Kanzlei die Erfüllung der Aufgaben des Beauftragten für den Datenschutz in anderer Weise sicherzustellen ( 4 g Abs. 2 a BDSG). Die Kontrollpflichten des Datenschutzbeauftragten betreffen die Daten, die nicht dem Anwaltsgeheimnis unterfallen 40. Der Datenschutzbeauftragte wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin ( 4 g Abs. 1 BDSG). Zu diesem Zweck kann sich der Beauftragte in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständigen Behörde wenden ( 4 g Abs. 1 S. 2 BDSG). Er kann die Beratung nach 38 Abs. 1 S. 2 BDSG in Anspruch nehmen. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten ( 4 g Abs. 1 Nr. 1 BDSG). Außerdem hat er die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Vorschriften des BDSG sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen ( 4 g Abs. 1 Nr. 2 BDSG). 6. Zwischenergebnis Der gesetzliche Mindeststandard (D), den jede Anwaltskanzlei einzuhalten hat, setzt sich somit zusammen aus: der Einwilligung des Mandanten zur Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten nach 4, 4 a BDSG; bei Teilnahme am Cloud Computing müssen dem Mandanten die mit dem Cloud Computing verbundenen Datenunsicherheiten unmissverständlich vor Augen geführt worden sein; Datenschutzgerechte Organisation des Anwaltsbüros; Datenschutzgerechte kanzleiinterne Datensicherheit, insbesondere Verschlüsselung der Daten, sodass Dritte keinen Zugriff nehmen können; Bei externer Auftragsdatenverarbeitung Abschluss eines schriftlichen Vertrags ( 11 BDSG), auf den sich die Einwilligung ( 4 a Abs. 1 BDSG) beziehen muss; Bestellung eines Beauftragten für den Datenschutz. VII. Basisstandard (DD) Der Basisstandard (DD) nimmt zunächst einmal die Kriterien des Mindeststandards (D) in sich auf, erweitert diese aber um An- 37 Brisch, Outsourcing in der Anwaltskanzlei Kammerforum-Mitteilungen der Rechtsanwaltskammer Köln 2010 H. 1 S. 3 bis Ein Beispiel für die Verschwiegenheitserklärung findet sich bei Jahn/Palm (AnwBl 2011, 613 [614 f.]) eine Vertragsstrafe enthält die Verschwiegenheitserklärung, die ein Anbieter für externe Dienstleistungen entwickelt hat, allerdings nicht. Da die externen Dienstleister nach dem derzeitigen Rechtszustand von der Strafdrohung des 203 StGB bei der Offenbarung von Geheimnissen ausgenommen sind, wäre eine Kompensation dieser Rechtsschutzlücke durch eine (freiwillige) Vertragsstrafe für besonders sorgfältige Kanzleien und externe Dienstleister naheliegend und erwägenswert. 39 Schöttle, Datenschutzkontrolle in der Anwaltskanzlei AnwBl 2005, 740; Sassenberg/Schulz, Anwaltskanzlei und Datenschutzbeauftragter AnwBl 2007, 769; Redeker, Datenschutz auch bei Anwälten aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis NJW 2009, 554; Abel (Hrsg.), Datenschutz in Anwaltschaft, Notariat und Justiz 2. Aufl passim; Rüpke, Freie Advokatur, anwaltliche Informationsverarbeitung und Datenschutzrecht 1995 passim. 40 Härting NJW 2005, 1248 (1250); Rüpke, Ein Beauftragter für den Datenschutz in der Anwaltskanzlei AnwBl 2004, 552 (555).

8 8 Aufsätze VersR 2012 Heft 31 forderungen, die oberhalb der gesetzlichen Anforderungen des BDSG liegen. Diese Anforderungen können sich im Zeitablauf verändern, etwa durch die Weiterentwicklung von Technik, aber auch durch Eingriffe des Gesetzgebers. Deshalb können hier die Anforderungen an den Basisstandard (DD) nur angedeutet werden. Es handelt sich zudem um einen Diskussionsvorschlag, der keinen Anspruch auf Vollständigkeit erhebt. 1. Mandantenaufnahmebogen Eine Kanzlei, die mit DD zertifiziert sein will, müsste die Datenerhebung durch einen Mandantenaufnahmebogen dokumentieren. Innerhalb dieses Mandantenaufnahmebogens müsste der Mandant strukturiert und standardisiert über die verwendete Datensicherheitsarchitektur innerhalb der Kanzlei informiert werden. 2. Verschlüsselungsstandards Eine mit DD zertifizierte Kanzlei muss auf die Einwilligung des Mandanten in den unverschlüsselten -Verkehr verzichten und stattdessen mit anerkannten Verschlüsselungsstandards arbeiten. In Betracht kommt der Standard Pretty Good Privacy (PGP), ein Verschlüsselungs- und Authentifizierungsverfahren, das von der Firma Symantec kostenpflichtig angeboten wird. Unter der Bezeichnung GnuPG existiert daneben eine kostenfreie Variante. Wichtig ist, dass der Austausch der Schlüssel nicht über eine unverschlüsselte erfolgt, weil diese leicht abgefangen und im Internet mitgelesen werden kann. Der Austausch sollte deshalb per Briefpost erfolgen. Insgesamt ist dieses Verfahren wegen der Software-Installation und dem Schlüsselaustausch für beide Seiten mit relativ großem Aufwand verbunden. Als Alternative kommt die Webakte minus Mandant von e.consult in Betracht. Der Rechtsanwalt richtet die Webakte ein. Der Mandant erhält die Zugangsdaten direkt von seinem Anwalt. Der Anwalt weist den Mandanten per unverschlüsselter darauf hin, dass es neuen Posteingang gibt. Der Mandant, der die Korrespondenz lesen möchte, muss sich nur mit seinen Zugangsdaten über eine verschlüsselte Verbindung im Internet anmelden und kann dort den Posteingang lesen und innerhalb des Systems auch verschlüsselte Nachrichten und Dokumente an den Anwalt versenden. Dieses Verfahren verursacht beim Mandanten weniger Aufwand, da keine Software installiert werden muss. Jeder Internetzugang reicht aus. Der Mandant ist an ähnliche Verfahren, etwa beim Onlinebanking oder auch beim Kunden-Log-in verschiedener Versicherer wie beispielsweise auf huk24.de gewöhnt. 3. Cloud Computing Cloud-Dienste können genutzt werden, wenn sie innerhalb der EU liegen und die Daten durch Verschlüsselung geschützt sind. VIII. Höchststandard (DDD) Kanzleien, die auf den Höchststandard (DDD) Wert legen, sollten ein Datenschutzniveau verwirklichen, das weit oberhalb der gesetzlichen Anforderungen liegt und sich ausschließlich an den Wünschen und Bedürfnissen der Mandanten auf der einen Seite und der Funktionsfähigkeit der Rechtsordnung auf der anderen Seite orientiert. Nicht alle Mandanten werden Wert auf ein solches überobligatorisches, fakultatives Datenschutzmanagement legen. Mandanten aber, die etwa, wie große oder mittlere Unternehmen, Ministerien oder Bundesoberbehörden, über höchst sensible Daten verfügen, werden Wert auf eine Datenschutzarchitektur legen, die höchsten Ansprüchen genügt und permanent (täglich) fortentwickelt und angepasst wird. Die daraus resultierenden Kanzleimehrkosten werden von dieser Mandantschaft akzeptiert werden. Es ist nicht ganz einfach, einen Katalog von Anforderungen aufzustellen, der den allerhöchsten Wünschen und Bedürfnissen an eine adäquate Datensicherheitsarchitektur entspricht. Es geht um die Verwirklichung eines Standards, der oberhalb vom Stand der Technik liegt (wissenschaftlicher Standard). Es wird eine mandantengerechte, individuelle, also maßgeschneiderte Datensicherheitsarchitektur für den jeweiligen Einzelfall entwickelt. Auch hier können die Anforderungen an den Höchststandard (DDD) nicht endgültig festgelegt, sondern nur angedeutet werden. 1. DIN EN ISO 9001 Eine Kanzlei, die den Höchststandard (DDD) ausweisen will, muss nach DIN EN ISO 9001 zertifiziert sein. Mit ISO 9001 werden Verfahrensabläufe in der Kanzlei als Standardprozesse definiert und an den Anforderungen für ein Qualitätsmanagement gemessen. Diese Anforderungen sind vor allem für formale Abläufe wie Fristwahrungen aber auch für die sensiblen Belange des Datenschutzes bedeutsam 41. Gerhard Richter weist darauf hin, dass mit ISO 9001 die Implementierung grundlegender Arbeitsabläufe gewährleistet werden soll der Servicegedanke gegenüber dem Kunden wird mit Leben erfüllt Externe Sicherheitstests Eine DDD-zertifizierte Kanzlei muss sich durch externe Sicherheitstester überprüfen und kontrollieren lassen. Die Tests müssen nicht immer, aber gelegentlich unangemeldet durchgeführt werden. Der Sicherheitstester sollte mit dem Zertifizierer nicht identisch sein, um Interessenkonflikte auszuschließen. In der Praxis werden externe Dienstleister wie DETACK, Cirsoec und n.runs empfohlen. 3. Verschlüsselte Kommunikationswege Zunächst einmal sind die Verschlüsselungsstandards, die schon für DD Geltung beanspruchen, auch hier zu verwenden. Darüber hinaus ist die ist die Kommunikation über zertifizierte und verschlüsselte Kommunikationswege zu führen. In Betracht kommt etwa die Kommunikation über das GDV-Branchennetz, wenn es um eine Kommunikation mit Versicherern oder Sachverständigen geht. Im Verkehr mit Behörden geht es um den OSCI-Standard. Im Mandantenverkehr müsste mit qualifizierten Signaturen nach dem Signaturgesetz gearbeitet werden, sodass die Authentizität des Absenders und die Verschlüsselung der Daten sichergestellt ist. Die Kanzlei nimmt am Black-Box-Verfahren teil, ein Verfahren, mit dem personenbezogene Daten vollständig verschlüsselt hochgeladen werden. 4. Cloud Computing Die Kanzlei nimmt an den Cloud-Diensten im Grundsatz nicht teil. Eine Ausnahme kann nur dann gelten, wenn die Dienste durch Formen der Verschlüsselung nahezu absolut sicher sind. 5. Risikomesssystem Schließlich stellt sich die Frage nach einem kanzleiinternen Risikomesssystem für alternative Datenverarbeitung. Es handelt sich um ein Risikomesssystem, ganz ähnlich demjenigen, das Unternehmen im Rahmen von 91 Abs. 2 AktG zur Messung unter- 41 Eberhardt, Recht haben und Recht bekommen ein Expertengespräch, abrufbar auf Lawyerslife.de. 42 Richter, Freie Anwaltswalt (Analyse, Standpunkt und Ausblick) abrufbar unter Lawyerslife.de.

9 VersR 2012 Heft 31 Aufsätze 9 nehmerischer Risiken verwenden müssen. Im Rahmen eines solchen Risikomesssystems würden auf der einen Seite die Risiken aus einer kanzleiinternen Datenverarbeitung den Risiken bei einer kanzleiexternen Datenverarbeitung gegenübergestellt werden. Parallel werden die Kosten zur Vermeidung der jeweiligen Risiken ermittelt. Ergänzend wird der Schaden geschätzt, der einerseits dem Mandanten und andererseits der Rechtsordnung bei Eintreten der verschiedenen verbleibenden Risiken entstehen könnte. Auf der Grundlage einer derart erarbeiteten Risikomatrix wird sodann das Mandantengespräch geführt und zusammen mit dem Mandanten wird abgewogen, welche Risiken man im Ergebnis eingeht und welche besser nicht. Diese Risikoeinschätzung ist für den Mandanten zugleich die Grundlage seines eigenen Risikomesssystems nach 91 Abs. 2 AktG und der daraus resultierenden bilanziellen Drohverlustrückstellungen. Szenarien dieser Art sind etwa denkbar in Fällen, in denen es um große Massenschäden mit drohendem Strafschadensersatz (punitive damages), etwa in den USA, geht. IX. Wesentliche Ergebnisse 1. Qualitätsstandards, die zur Grundlage von Empfehlungen für Rechtsschutzversicherer/Prozessfinanzierer gemacht werden können, sind möglich. 2. Es wird ein dreistufiges Zertifizierungssystem vorgeschlagen, bestehend aus: Mindeststandard (D), Basisstandard (DD) und Höchststandard (DDD). 3. Die Zertifizierung kann durch (private) Zertifizierer erfolgen. 4. Der Mindeststandard (D) setzt sich zusammen aus: der Einwilligung des Mandanten zur Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten nach 4, 4 a BDSG; bei Teilnahme am Cloud Computing müssen dem Mandanten die mit dem Cloud Computing verbundenen Datenunsicherheiten unmissverständlich vor Augen geführt worden sein; datenschutzgerechte Organisation des Anwaltsbüros; Datenschutzgerechte kanzleiinterne Datensicherheit, insbesondere Verschlüsselung der Daten, sodass Dritte keinen Zugriff nehmen können; Bei externer Auftragsdatenverarbeitung Abschluss eines schriftlichen Vertrags ( 11 BDSG), auf den sich die Einwilligung ( 4 a Abs. 1 BDSG) beziehen muss; Bestellung eines Beauftragten für den Datenschutz. 5. Der Basisstandard (DD) nimmt die Kriterien des Mindeststandards (D) in sich auf und erweitert diese um Anforderungen, die gesetzlich nicht zwingend gefordert werden. Dazu gehören insbesondere die Dokumentation im Rahmen eines Mandantenaufnahmebogens und die Verschlüsselung des -Verkehrs, einschließlich Cloud Computing. 6. Der Höchststandard (DDD) verwirklicht eine Datenschutzarchitektur auf wissenschaftlichem Niveau. Entwickelt wird für den Einzelfall eine mandantengerechte, individuell-maßgeschneiderte Datenschutzarchitektur, verbunden mit externen Sicherheitschecks. Impressum Herausgeber Verlag Versicherungswirtschaft GmbH, Karlsruhe Hauptschriftleitung Prof. Dr. Egon Lorenz Weitere Mitglieder der Schriftleitung RA Dr. Peter Bach (Versicherungsvertragsrecht), VRiOLG a. D. Lothar Jaeger (Berufs- und Amtshaftungsrecht), Prof. Dr. Dirk Looschelders (Internationales Privatrecht und betriebliche Altersversorgung), Prof. Dr. Peter Reiff (Transportrecht, Verfahrens- und Kostenrecht, Auslandsrecht), Prof. Dr. Manfred Wandt (Grundlagen des Versicherungsrechts, allgemeines Haftungsrecht und angrenzende Gebiete) Redaktion Sibylle Bierhalter -168, Michael Göpfrich -134, Susanne Mir Motahari-Ferber -138, Katharina Wurm -135, Telefax Postanschrift Verlag Versicherungswirtschaft GmbH Klosestraße 20 24, Karlsruhe Postfach 6469, Karlsruhe Telefon , Telefax Internet: vvw.de Bitte geben Sie bei Zuschriften an den Verlag immer Ihre Kundennummer an. Geschäftsführer Wolfgang Knippenberg, Rechtsanwalt Anzeigen Benjamin Bittmann -119, Claudia Dinges -139, Telefax Abonnementbetreuung Günther Schnauder -131, Telefax Herstellung Leitung: Marina Hummel -154, Oliver Brenner -140, Vertrieb/Marketing Bernd Walter -114, Konto Landesbank Baden-Württemberg, Stuttgart BLZ , Konto SWIFT SOLADEST IBAN DE Umsatzsteuer-Identifikationsnummer DE Druck Druck + Verlagsgesellschaft Südwest mbh, Karlsruhe Manuskripte Der Verlag haftet nicht für unverlangt eingesandte Manuskripte. Die Entscheidung über Annahme oder Ablehnung wird dem Einsender nach Vorliegen des vollständigen druckfertigen Manuskripts schriftlich bekannt gegeben. Im Fall der Annahme erwirbt der Verlag das ausschließliche Verlagsrecht bis zum Ablauf des Urheberrechts sowie die ausschließliche Befugnis zur Einspeicherung in eine Datenbank oder zu jeglicher Vervielfältigung und Verbreitung online oder offline ohne zusätzliche Vergütung. Frühestens nach Ablauf eines Jahres nach Veröffentlichung kann ein Nachdruck in einer Publikation eines anderen Verlags erfolgen, jedoch nur mit vorheriger Genehmigung und einer genauen Quellenangabe. Das Recht für die elektronische Verwertung bleibt beim Verlag. Urheber- und Verlagsrechte Die Zeitschrift und alle veröffentlichten Beiträge sind urheberrechtlich geschützt. Dies gilt auch für veröffentlichte Gerichtsentscheidungen und Leitsätze, soweit sie redaktionell oder vom Einsender redigiert bzw. erarbeitet wurden. Der Rechtsschutz erstreckt sich auch auf Datenbanken und andere elektronische Medien und Systeme. Kein Teil dieser Zeitschrift darf außerhalb der engen Grenzen des Urheberrechtsgesetzes ohne vorherige schriftliche Genehmigung des Verlags in irgendeiner Form reproduziert oder in eine maschinell oder elektronisch verwendbare Sprache übertragen werden. Durch Mitgliedschaft in der Vereinigung Presse Internationale des Assurances (PIA) laufender Austausch von Informationen mit anderen führenden europäischen Fachzeitschriften. Gerichtsstand Karlsruhe Erscheinungsweise am 1. und 5. und 20. jeden Monats. Bezugspreis Deutschland: jährlich (bei 36 Heften und vier Beilagen Ausland) 298, inkl. gesetzl. MwSt. und Versandkosten, Ausland: zzgl. MwSt. und Versandkosten; Einzelheft 9,80 inkl. gesetzl. MwSt. zzgl. Versandkosten. Bestellungen direkt beim Verlag. Kündigung zum Quartalsende mit 4 Wochen Kündigungsfrist. Bei Einstellung oder Unterbrechung der Lieferung aus Gründen, die der Verlag nicht zu vertreten hat, besteht kein Anspruch auf Rückvergütung von Bezugsgeldern. Nicht eingegangene Exemplare können nur innerhalb von 6 Wochen nach dem Erscheinungsdatum reklamiert werden; Postverlagsort: Karlsruhe. Anzeigenpreise Es gelten die Mediadaten vom 1. Januar ISSN

- Qualitätsstandards. Anwaltliches Datenschutzmanagement. Coburg, am 30. November 2012. Humboldt-Universität zu Berlin: Juristische Fakultät

- Qualitätsstandards. Anwaltliches Datenschutzmanagement. Coburg, am 30. November 2012. Humboldt-Universität zu Berlin: Juristische Fakultät Humboldt-Universität zu Berlin: Juristische Fakultät Anwaltliches Datenschutzmanagement - Qualitätsstandards am Prof. Dr. Hans-Peter Schwintowski Anwälte sind Vertrauensträger par excellence Sie schulden

Mehr

Datenschutz bei Rechtsanwälten

Datenschutz bei Rechtsanwälten Datenschutz bei Rechtsanwälten Vortrag von: Rechtsanwalt Dr. Holger Zuck Anwaltskanzlei Zuck & Quaas, Stuttgart 1 Datenschutz bei Rechtsanwälten Normen: Bereichsspezifische Normen: BRAO (insb. 43, 43a,

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Anwaltsgeheimnis 2.0. Dr. Astrid Auer-Reinsdorff Rechtsanwältin & Fachanwältin IT-Recht. Forum E-Justiz XINNOVATIONS 2010

Anwaltsgeheimnis 2.0. Dr. Astrid Auer-Reinsdorff Rechtsanwältin & Fachanwältin IT-Recht. Forum E-Justiz XINNOVATIONS 2010 1 Anwaltsgeheimnis 2.0 Dr. Astrid Auer-Reinsdorff Rechtsanwältin & Fachanwältin IT-Recht Forum E-Justiz XINNOVATIONS 2010 2 E-Kanzlei versus Verschwiegenheit? Email-Kommunikation IT-Dienstleistungen (Hosting,

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 HerzlichWillkommen ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 Datenschutz bei Fernzugriff; Risiken und Lösung stefan.herold@aarcon.net www.aarcon.net

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte RABER & COLL. Rechtsanwälte INFO-Post Gerhart-Hauptmann-Straße 6 99096 Erfurt Telefon: (0361) 43 05 63 7 E-Mail: recht@raberundcoll.de Telefax: (0361) 43 05 63 99 www.raberundcoll.de 6/2013 Die anlasslose

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Datenschutz: Der Tod des Bestandsverkaufes

Datenschutz: Der Tod des Bestandsverkaufes Datenschutz: Der Tod des Bestandsverkaufes ein Vortrag von: Rechtsanwalt Dipl. Mag.- Jur. Björn Thorben M. Jöhnke Versicherungsrecht Gewerblicher Rechtsschutz Copyright / Der Urheberschutz bezieht sich

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK 1 CLOUD COMPUTING - RECHTLICHE RAHMENBEDINGUNGEN Dr. Martin Schirmbacher Berlin, 24. April 2012 Gliederung 2 ÜBERBLICK Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Nutzungsrechte Folgen

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Bekämpfung von Spam - Rechtliche Rahmenbedingungen - Sicherheit oder Unsicherheit?

Bekämpfung von Spam - Rechtliche Rahmenbedingungen - Sicherheit oder Unsicherheit? Bekämpfung von Spam - Rechtliche Rahmenbedingungen - Sicherheit oder Unsicherheit? Frankfurt, 28. April 2008 Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf Ivo Ivanov Rechtsanwalt eco-verband 1 Agenda

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG und der IT-Sicherheit Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG 1.1 Legaldefinitionen Aufgabe: Stellen Sie gegenüber, in welchen Fällen von einer "Übermittlung"

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Natascha Düren Forum Rot, it-sa 2013 Nürnberg, 10.10.2013 Besuchen Sie uns! it-sa 2013, Halle

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

1. bvh-datenschutztag 2013

1. bvh-datenschutztag 2013 1 CLOUD COMPUTING, DATENSCHUTZ ASPEKTE DER VERTRAGSGESTALTUNG UND BIG DATA Rechtsanwalt Daniel Schätzle Berlin, 20. März 2013 1. bvh-datenschutztag 2013 Was ist eigentlich Cloud Computing? 2 WESENTLICHE

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Datenschutzrecht. Vorlesung im Sommersemester 2015

Datenschutzrecht. Vorlesung im Sommersemester 2015 Priv.-Doz. Dr. Claudio Franzius claudio.franzius@rz.hu-berlin.de Datenschutzrecht Vorlesung im Sommersemester 2015 Literatur Marion Albers, Datenschutzrecht, in: Ehlers/Fehling/Pünder (Hrsg.), Besonderes

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Bonalinostr. 1-96110 Scheßlitz - Telefon: +49 (0)9542 / 464 99 99 email: info@webhosting-franken.de Web: http:// Vertrag Auftragsdatenverarbeitung Auftraggeber und Webhosting Franken Inhaber Holger Häring

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Rahmenvertrag. zwischen der

Rahmenvertrag. zwischen der Rahmenvertrag zwischen der Innung für Orthopädie-Technik NORD, Innung für Orthopädie-Technik Niedersachsen/Bremen, Landesinnung für Orthopädie-Technik Sachsen-Anhalt Bei Schuldts Stift 3, 20355 Hamburg

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin 4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin Vortrag zum Thema Qualitätssicherung und Datenschutz, Anforderungen an den Datenschutz aus der Sicht des

Mehr

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg Datenschutzrecht in Österreich und Deutschland Ein Vergleich RA Marcel Keienborg Zur Geschichte des Datenschutzes Die Wiege des Datenschutzes: In den USA (1960er/70 Jahre) Privacy Act of 1974 Debatten

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

Fragen und Antworten zur WebAkte

Fragen und Antworten zur WebAkte Fragen und Antworten zur WebAkte Sie sind Anwalt und haben Fragen zu Datenschutz und Datensicherheit bei der Nutzung der WebAkte? Das ehrt Sie, denn es zeigt, dass Ihnen das Thema wichtig ist. Und das

Mehr

Datenschutz und Datensicherheit. Warum Datenschutz

Datenschutz und Datensicherheit. Warum Datenschutz Datenschutz und Datensicherheit 14.10.2003 1 Warum Datenschutz Imageverlust Steigende Sensibilität der Nutzer und Kunden für Datenschutzbelange Vorschrift durch Gesetze mithin Geldstrafen Höchststrafe

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht

Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht Melanie Gutmann Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht Wirtschaftliche Interessen der Banken im Spannungsverhältnis zum Geheimhaltungsinteresse

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

Herzlich willkommen zum Vortrag über. Datenschutz im Unternehmen

Herzlich willkommen zum Vortrag über. Datenschutz im Unternehmen Herzlich willkommen zum Vortrag über Datenschutz im Unternehmen Gesellschaft für f r Datenschutz Mittelhessen mbh Henning Welz Auf der Appeling 8 35043 Marburg Tel.: 06421/30979 28 28 Fax: 06421/30979

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb 2.1 Bestellung des betrieblichen Datenschutzbeauftragten 31 2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb Auch wenn nicht alle Handwerksbetriebe einen betrieblichen Datenschutzbeauftragten

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

BDSG-Novelle I und II BDSG-Novelle I und II Eine Zusammenfassung der wichtigsten Neuerrungen Okt-12 Rechtsanwalt Matthias Marzluf 1 BDSG-Novelle I und II BDSG-Novelle II Okt-12 Rechtsanwalt Matthias Marzluf

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Karsten U. Bartels LL.M. HK2 Rechtsanwälte 1 Meine Punkte Cloud Service Provider 2 IT-Outsourcing

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

E-Mail-Marketing, Spam, E-Mail-Filterung und Datenschutz was ist erlaubt, was nicht?

E-Mail-Marketing, Spam, E-Mail-Filterung und Datenschutz was ist erlaubt, was nicht? E-Mail-Marketing, Spam, E-Mail-Filterung und Datenschutz was ist erlaubt, was nicht? Dr. Hendrik Schöttle Rechtsanwalt Fachanwalt für IT-Recht OSDC Nürnberg 7. April 2011 Übersicht E-Mail-Marketing Spam

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Muster für ein Impressum und eine Datenschutzerkläi'uyy nw \ni(tviivkpoiicm z/tzhilhamv UzhAm.hjn In Uayuti

Muster für ein Impressum und eine Datenschutzerkläi'uyy nw \ni(tviivkpoiicm z/tzhilhamv UzhAm.hjn In Uayuti Muster für ein Impressum und eine Datenschutzerkläi'uyy nw \ni(tviivkpoiicm z/tzhilhamv UzhAm.hjn In Uayuti liopii'eßöyrri Herausgeber Name, Hausanschrift und Postanschrift der Behörde (vollständige ladungsfähige

Mehr

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen Zählen, speichern, spionieren Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen 1 Themen Teil 1 Einführung in das Das Volkszählungsurteil Bundes-, Landes- und Sondergesetze Grundstrukturen

Mehr

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1 Datenschutz für das Liegenschaftskataster Dipl.-Ing. Michael Rösler-Goy Landesamt für Vermessung und Geoinformation Bayern Rösler-Goy: Datenschutz für das Liegenschaftskataster 1 1. Wozu dient Datenschutz?

Mehr

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Cristina Baier Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Verlag Dr. Kovac Hamburg 2010 -IX- Inhaltsverzeichnis Literaturverzeichnis XVII Einleitung.. > «>..»..». 1 1. Teil:

Mehr

Lidl muss zahlen Millionen-Strafe für die Schnüffler Teure Bespitzelung: Der Discounter

Lidl muss zahlen Millionen-Strafe für die Schnüffler Teure Bespitzelung: Der Discounter Einleitung Handel mit Millionen Melderegisterdaten aufgedeckt Der Skandal um den illegalen Adresshandel ist offenbar um ein dunkles Kapitel reicher. Laut einem Zeitungsbericht haben mindestens acht Unternehmen

Mehr