Versicherungsrecht. VersR. Anwaltliches Datenschutzmanagement Qualitätsstandards. Prof. Dr. Hans-Peter Schwintowski, Berlin. (VersR 2012, )

Transkript

1 PDF Zeitschrift für Versicherungsrecht, Haftungs- und Schadensrecht VersR Versicherungsrecht Herausgeber: Prof. Dr. Egon Lorenz, Mannheim. He raus ge ber bei rat: Prof. Dr. Wal ter Bayer, Jena; Dr. Georg Büch ner, Stutt gart; VRiBGH a. D. Karl-Diet rich Bund schuh, Karls ruhe; Prof. Dr. Dr. h. c. mult. Claus-Wil helm Ca na ris, Mün chen; Prof. Drs. iur. Drs. med. h. c. Erwin Deutsch, Göt tin gen; Prof. Dr. Mein rad Dre her, Mainz; RA Dr. Bodo Hasse, LL.M., Mün chen; VRiBGH a. D. Dr. Die ter Hoe gen, Karls ruhe; Prof. Dr. Ernst Kling mül ler, Köln; RA Dr. Theo Langheid, Köln; Prof. Dr. Dr. h. c. Die ter Me di cus, Mün chen; RA Dr. Bernd Mi cha els, Düs sel dorf; Vi ze präsbgh a. D. Dr. Gerda Mül ler, Karls ruhe; VRiBGH a. D. Dr. Erich Stef fen, Karls ruhe; VRiBGH a. D. Wil fried Terno, Karls ruhe. Haupt schrift lei tung: Prof. Dr. Egon Lo renz. Wei tere Mit glie der der Schrift lei tung: RA Dr. Peter Bach, Köln (Ver si che rungs ver trags recht), VRi OLG a. D. Lothar Jaeger, Köln (Berufs- und Amtshaftungsrecht), Prof. Dr. Dirk Looschelders, Düsseldorf (Internationales Privatrecht und betriebliche Altersversorgung), Prof. Dr. Peter Reiff, Trier (Transportrecht, Verfahrens- und Kostenrecht, Auslandsrecht), Prof. Dr. Manfred Wandt, Frankfurt/M. (Grund la gen des Ver si che rungs rechts, all ge mei nes Haf tungs recht und an gren zende Ge biete). VersR 63. Jahr gang 1. November 2012 Heft Anwaltliches Datenschutzmanagement Qualitätsstandards Prof. Dr. Hans-Peter Schwintowski, Berlin (VersR 2012, )

2 2 Aufsätze VersR 2012 Heft 31 Anwaltliches Datenschutzmanagement Qualitätsstandards Prof. Dr. Hans-Peter Schwintowski, Berlin* I. Grundlegung Anwälte sind Vertrauensträger par excellence sie erfahren von ihren Mandanten Dinge, die höchst privat und oft geheim sind und bleiben sollen. Die Rechtsordnung verpflichtet die Anwaltschaft deshalb zur Verschwiegenheit ( 43 a BRAO) und sanktioniert den Geheimnisbruch durch Freiheits- und Geldstrafe ( 203 StGB). Anwälte sind aber auch Organ der Rechtspflege sie sind folglich für die Funktionsfähigkeit des Rechtsstaats mitverantwortlich. Dies impliziert einen verantwortungsvollen und angemessenen Umgang mit sämtlichen personenbezogenen Daten, die Anwälte zu verarbeiten haben dazu gehören z. B. auch die Daten von Prozessgegnern, Zeugen oder Sachverständigen. Diese Gemengelage zwischen den Anforderungen des BDSG und der berufsrechtlichen Verschwiegenheitspflicht führt vor allem durch die modernen elektronischen Medien zu einem immer stärker werdenden Spannungsverhältnis. Schon die Frage, ob der Anwalt mit seinem Mandanten (unverschlüsselte) s wechseln darf, löst Stirnrunzeln aus. Die Datenschützer meinen, dafür bedürfe es einer Einwilligung des Mandanten ( 4 a BDSG). Noch schwerer wiegt die Frage, ob man die Aktenverwaltung einer Anwaltskanzlei einem externen Dienstleister überantworten darf. Genügt es, diesen Dienstleister im Rahmen eines Vertrags nach 11 BDSG zur Verschwiegenheit zu verpflichten oder muss man mehr tun? Muss der Mandant eventuell in das Outsourcing (Auslagern) einwilligen ( 4 a BDSG)? Noch moderner ist die neue Welt des Cloud Computing. Darf eine Anwaltskanzlei überhaupt am Cloud Computing teilnehmen? Liegt darin womöglich bereits ein Geheimnisbruch i. S. d. 203 StGB? Die Fragen könnten fortgesetzt werden. Sie zeigen, dass die rechtlichen Rahmenbedingungen für das anwaltliche Datenschutzmanagement zurzeit nur unzureichend aufeinander abgestimmt sind. Deshalb wird seit einiger Zeit auch über die Reform des Datenschutzrechts aus der Sicht von Anwaltskanzleien diskutiert 1. Der Ruf nach dem Gesetzgeber ist nicht falsch, wird aber schon aus verfassungsrechtlicher Perspektive (Art. 12 GG) allenfalls zu Korrekturen im Bereich von Mindestanforderungen führen können. Parallel und ergänzend wird deshalb hier ein Zertifizierungssystem für Anwaltskanzleien im Bereich des Datenmanagements vorgeschlagen. Ein solches Zertifizierungssystem beruht auf freiwillig festgelegten Qualitätsstandards (ähnlich den DIN-Normen in der Technik). Die Standards werden wie im Bereich der Gütesiegel durch die Zertifizierungsstelle (das kann eine private Unternehmung sein) transparent nach außen festgelegt und unterliegen einem permanenten Diskussionsund Optimierungsprozess in der Praxis. Auf diese Weise steuern Anwaltskanzleien letztlich selbst das Qualitätslevel beim Datenmanagement, beziehen aber anders als heute die Mandantschaft und deren Wünsche und Bedürfnisse in den Diskussionsprozess mit ein, d. h., es entsteht eine Qualitätsoptimierung über einen Marktprozess. Dies bedeutet, dass auch Dritte z. B. Rechtsschutzversicherer oder Prozessfinanzierer ein Interesse und auch eine Funktion bei der Qualitätssicherung des Datenschutzmanagements durch Anwälte haben. Rechtsschutzversicherer und Prozessfinanzierer sind ihrerseits Dienstleister gegenüber rechtsuchenden Betroffenen. Die Verbraucher, um die es häufig geht, sind bei der Suche nach einem kompetenten Anwalt regelmäßig überfordert 2. Die Dienste der Rechtsanwaltskammern, Anwaltssuchmaschinen oder auch der Begriff der Fachanwälte oder der Anwälte mit Interessenschwerpunkten sind für den Verbraucher kaum aussagefähig 3. Auf diese Problematik reagieren einige Rechts- schutzversicherer, indem sie Listen mit Partneranwälten führen 4. Die Frage ist nur, welche Qualitätskriterien die Rechtsschutzversicherer eigentlich an die Partneranwälte stellen. Die Rechtsuchenden gehen jedenfalls wie selbstverständlich davon aus, dass ein Rechtsschutzversicherer oder Prozessfinanzierer nur solche Anwaltskanzleien empfiehlt, die ein angemessenes und nachhaltiges Datenschutzmanagement betreiben. Das ist für einen Versicherten, der sich hilfesuchend an seinen Rechtschutzversicherer wendet, schon deshalb naheliegend, weil der Rechtsschutzversicherer für ihn insoweit eine individuelle Fürsorge- und Schutzpflicht erfüllt ( 241 Abs. 2 BGB). Der Rechtsuchende, der eine Anwaltsempfehlung erbittet, erwartet mithin von seinem Rechtsschutzversicherer/Prozessfinanzierer, dass dieser nur solche Anwälte und Kanzleien empfiehlt, die ein ausreichendes, nachhaltiges und jedenfalls ihn, den Mandanten, nicht schädigendes Datenschutzmanagement eingerichtet haben und praktizieren. Ausgehend von dieser berechtigten Erwartungshaltung der Versicherten/Betroffenen, wird im Folgenden ein Qualitätsrating für das anwaltliche Datenschutzmanagement vorgeschlagen. Ein solches Ratingsystem könnte den Rechtsschutzversicherern/ Prozessfinanzierern bei der Auswahl geeigneter Anwaltskanzleien helfen. Kanzleien, denen es nicht gelingt, die Datenschutzanforderungen zu erfüllen, die das Gesetz vorschreibt, würden aus dem Kreis der zu empfehlenden Kanzleien schon deshalb ausgeschlossen werden müssen, weil der Rechtsschutzversicherer/ Prozessfinanzierer, der eine solche Kanzlei empfiehlt, seine Fürsorge- und Schutzpflicht gegenüber seinem Versicherten/Betroffenen verletzt. Im Folgenden werden zunächst einmal die Rechtsgrundlagen und die darauf aufbauenden grundlegenden Judikate knapp vorgestellt, sodass eine belastbare Informationsgrundlage entsteht. Danach wird das Zertifizierungssystem in drei Stufen (Mindest-, Basis-, Höchststandard) einschließlich der Inhalte entwickelt. II. Rechtsgrundlagen Die Rechtsgrundlagen für das anwaltliche Datenschutzmanagement finden sich im Straf- und Berufsrecht sowie in den Datenschutzgesetzen der Länder und dem Bundesdatenschutzgesetz (BDSG), das hier im Mittelpunkt stehen wird. Straf- und berufsrechtlich geht es um die Verschwiegenheitspflicht der Anwälte. Datenschutzrechtlich sind alle personenbezogenen Daten geschützt ( 1 Abs. 2 BDSG). Verboten ist die Erhebung, Verarbeitung und Nutzung dieser Daten durch öffentliche und private Stellen (z. B. Rechtsanwälte), sofern die Verarbeitung geschäftsmäßig, also nicht ausschließlich für persönliche oder familiäre Tätigkeiten, erfolgt ( 1 Abs. 2 Nr. 3 BDSG). Es handelt sich also um ein Ver- * Der Autor ist Inhaber des Lehrstuhls für Bürgerliches Recht, Handels-, Wirtschafts- und Europarecht an der Humboldt-Universität zu Berlin. 1 Vertiefend Leutheusser-Schnarrenberger RuP 2012, 129 (134), unter Hinweis auf den Entwurf der DatenschutzgrundVO der EU (S. 135 f.); AnwBl 2012, 477; Ewer AnwBl 2012, Trittmacher/Köster, Welchen Wert hat die freie Anwaltswahl bei der Rechtsschutzversicherung für den Verbraucher? VuR 5/2012 Editorial S Trittmacher/Köster VuR 5/2012 Editorial S Trittmacher/Köster VuR 5/2012 Editorial S. 166.

3 VersR 2012 Heft 31 Aufsätze 3 bot mit Erlaubnisvorbehalt. Dieses Konzept, das auf dem Volkszählungsurteil des BVerfG aus dem Jahr beruht, beinhaltet eine sehr einfache Grundregel: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, etwa durch Rechtsanwälte, ist verboten, es sei denn, es liegt eine Einwilligung des Mandanten vor ( 4 a Abs. 1 BDSG) oder aber das Gesetz selbst erlaubt, wie etwa in 28, 29 BDSG, die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Der Wortlaut der wichtigsten straf-, berufs- und datenschutzrechtlichen Normen lautet: StGB Ein Rechtsanwalt, der unbefugt ein fremdes Geheimnis offenbart, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft ( 203 Abs. 1 Nr. 3 StGB). Das Gleiche gilt für die berufsmäßig tätigen Gehilfen der Rechtsanwälte und für diejenigen, die sich auf den Beruf vorbereiten (Referendare) nach 203 Abs. 3 StGB a BRAO/ 2 BORA Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen ( 43 a Abs. 2 BRAO, 2 BORA). 3. Bundesdatenschutzgesetz 6 a) 1 Abs. 3 BDSG Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. b) 4 Abs. 1 BDSG/ 4 a Abs. 1 BDSG Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit der Betroffene eingewilligt hat ( 4 Abs. 1 BDSG). Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht ( 4 a BDSG). c) 9 BDSG Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. d) 11 Abs. 1 BDSG Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften über den Datenschutz verantwortlich. e) 28 BDSG Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten ist zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist ( 28 Abs. 1 Nr. 1 BDSG). Das Gleiche gilt, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt ( 28 Abs. 1 Nr. 2 BDSG). III. Rechtsprechung Die folgende kursorische Rechtsprechungsübersicht gibt jene Entscheidungen wieder, die den Umgang mit personenbezogenen Daten durch Rechtsanwälte berühren. Ausgangspunkt und Grundlage aller dieser Entscheidungen ist das Urteil des BVerfG aus dem Jahr In diesem Urteil hat das BVerfG das subjektive Recht eines jeden Bürgers auf informationelle Selbstbestimmung, sowohl im öffentlichen wie auch im privaten Bereich, entwickelt. Von besonderer Bedeutung für die Anwaltschaft ist ferner das Urteil des KG vom Mit diesem Urteil hat das KG klargestellt, dass ein Rechtsanwalt nicht verpflichtet ist, dem Datenschutzbeauftragten mandatsbezogene Informationen zu geben, die seiner Verschwiegenheitspflicht unterliegen. 1. BGH vom VersR 1995, Eine Bestimmung in einem Kanzleiübernahmevertrag 10, die den Veräußerer auch ohne Einwilligung der betroffenen Mandanten verpflichtet, seine Akten dem Erwerber zu überlassen, ist nichtig BGH vom (NotC 19/89) Das Datenschutzgesetz des Landes Nordrhein-Westfalen ist auf Notare anwendbar. Die hiernach bestehende Verpflichtung ( 23 Abs. 1 DSG NRW 1988), elektronisch geführte Dateien, in denen personenbezogene Daten gespeichert sind, bei dem Landesbeauftragten für Datenschutz anzumelden, widerspricht nicht der Verschwiegenheitspflicht des Notars nach 18 Abs. 1 BNotO BVerfG vom VersR 2008, Anwaltliche Werbung darf auch den Zweck verfolgen, Mandanten zulasten der Konkurrenz zu gewinnen. Insoweit kann die Anwaltssozietät im Internet mit sogenannten Gegnerlisten werben. 4. FG Nürnberg vom (6 K 1286/08) Die Finanzbehörde kann im Rahmen einer Außenprüfung verlangen, dass Unterlagen, die mithilfe eines Datenverarbeitungssystems erstellt worden sind, nach ihren Vorgaben maschinell ausgewertet werden ( 147 Abs. 1 AO). Die Datenbestände sind so zu organisieren, dass bei einer zulässigen Einsichtnahme in die steuerlich relevanten Datenbestände keine geschützten Bereiche tangiert werden können. 5. KG vom (1 Ws [B] 51/07) Die Verschwiegenheitspflicht des Rechtsanwalts schließt die Anwendung des BDSG aus ( 43 a Abs. 2 BRAO i. V. m. 1 Abs. 3 S. 2 BDSG). Der Rechtsanwalt ist nicht verpflichtet, dem Datenschutzbeauftragten mandatsbezogene Informationen zu geben, die seiner Verschwiegenheitspflicht unterliegen OLG Köln vom (Ss 254/00) Die Befugnis zur Offenbarung fremder Geheimnisse i. S. d. 203 StGB kann sich auch aus dem die Rechtsordnung allgemein 5 BVerfG vom BvR 209/83 u. a. NJW 1984, 419 (Volkszählung). 6 BDSG i. d. F. vom BGBl I BVerfG vom BvR 209/83 u. a. NJW 1984, 419 (Volkszählung). 8 KG vom Ws (B) 51/07 NJW 2011, BGH vom VIII ZR 94/94 VersR 1995, Dazu Römermann, Praxisverkauf und Praxisbewertung bei Freiberuflern ein (scheinbar) unlösbares Problem NJW 2012, Im Anschluss an BGH vom VIII ZR 4/91 BGHZ 116, 268 = VersR 1992, 448 (Arztpraxis). 12 Vertiefend Mihm, Datenschutzaufsicht durch den Landesbeauftragten für Datenschutz und Aufsichtsbehörde im Notariat NJW 1998, BVerfG vom BvR 1625/06 VersR 2008, Härting, Anwaltsgeheimnis: Schutz vor dem Datenschutz AnwBl 2011, 50.

4 4 Aufsätze VersR 2012 Heft 31 beherrschenden Grundsätzen über die Abwägung widerstreitender Pflichten oder Interessen ergeben. So kann der Träger eines fremden Geheimnisses (z. B. ein Rechtsanwalt) berechtigt sein, die Schweigepflicht zu brechen, wenn das zur Wahrung eines höherwertigen Rechtsguts erforderlich ist und der Widerstreit der rechtlich geschützten Güter nur durch die Preisgabe des einen und nicht auf andere Weise gelöst werden kann. IV. Verhältnis zwischen Berufsrecht und BDSG Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften des BDSG vor ( 1 Abs. 3 BDSG). Aus dem Wort soweit folgt, dass ein Vorrang des anwaltlichen Berufsrechts ( 43 a BRAO/ 203 StGB) nur im Rahmen des Anwendungsbereichs des Berufsrechts in Betracht kommt. Wenn und soweit das anwaltliche Berufsrecht mit Blick auf personenbezogene Daten gar nicht anzuwenden ist, kann es auch keinen Vorrang dieser Vorschriften geben in diesen Fällen sind die Regeln des BDSG in vollem Umfang anzuwenden 15. Sehr plastisch hat es Sabine Leutheusser-Schnarrenberger formuliert: Berufsrechtliche Verschwiegenheitspflicht und Datenschutzrecht sind, bildlich gesprochen, zwei Kreise mit unterschiedlichen Schutzrichtungen, die sich nur teilweise überschneiden: So reicht die Verschwiegenheitspflicht beispielsweise weiter als das Datenschutzrecht, weil sie nicht nur personenbezogene Daten, sondern alle Geheimnisse umfasst. Und das Datenschutzrecht reicht weiter, weil es nicht auf den Schutz des Mandanten beschränkt ist 16. Auch das KG weist darauf hin, dass die berufsrechtlichen Bestimmungen der BRAO überwiegend den Schutz des Mandanten und das öffentliche Interesse an einer funktionierenden Strafrechtspflege betreffen 17. Dagegen schützt das BDSG sämtliche Personen (auch Gegner des Mandanten), die durch den Umgang des Rechtsanwalts mit personenbezogenen Daten beeinträchtigt werden ( 1 Abs. 1 BDSG). Daraus folgt, dass das anwaltliche Berufsrecht die Regeln des BDSG nur verdrängt, soweit dies berufsrechtlich zwingend erforderlich ist 18. Mandatsbezogene Informationen darf der Rechtsanwalt deshalb auch dem Datenschutzbeauftragten nicht offenbaren 19. Tut er es trotzdem, so wird dies mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft ( 203 Abs. 1 Nr. 3 StGB). Außerhalb der berufsrechtlichen Verschwiegenheitspflichten ist der Rechtsanwalt den Regeln des BDSG unterworfen 20. Gemeint ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Dritter vor allem der Forderungsgegner. Denkbar ist auch der Zugriff der Finanzbehörden auf gespeicherte Daten, etwa im Rahmen einer Außenprüfung ( 147 AO). In diesen Fällen müssen die Datenbestände so organisiert sein, dass bei einer zulässigen Einsichtnahme in die steuerlich relevanten Datenbestände keine geschützten Bereiche tangiert werden können 21. Ganz besonders sensibel ist die Einschaltung externer Dritter in die Verwaltung personenbezogener Daten. Häufig werden Aktenbestände elektronisch ausgelagert. Oft fungieren externe Dienstleister als Telefonzentrale des Rechtsanwalts. Eine Einwilligung der Mandanten in diese Kanzleiorganisation liegt regelmäßig nicht vor 22. Die Grundregeln zur Auftragsdatenverarbeitung ( 11 BDSG) werden nicht oder nicht in vollständigem Umfang beachtet. Oft wird übersehen, dass die externen Dienstleister keine berufsmäßig tätigen Gehilfen des Rechtsanwalts sind, sodass die Auftragsdatenverarbeitung zwar nach dem BDSG zulässig, aber nach 203 StGB dennoch strafbar sein kann 23. Es fehlt regelmäßig an einer formwirksamen Einwilligung des Mandanten in die konkrete Datenverarbeitung ( 4 a BDSG). Besonders problematisch ist das immer selbstverständlicher werdende Cloud Computing, also das Speichern digitaler Unterlagen und Informationen auf Servern externer Anbieter 24. Auch der Präsident des Deutschen Anwaltsvereins, Wolfgang Ewer, weist darauf hin, dass externe PC-Techniker, zertifizierte Aktenvernichtungsunternehmen, Anwaltssoftware zur Speicherung sämtlicher Datenbestände der Kanzlei auf Großrechnern, aus dem anwaltlichen Alltag nicht mehr hinweggedacht werden können 25. Er fordert ergänzende gesetzliche Regelungen, wonach die externen Dienstleister eine berufsspezifische Zuverlässigkeit und persönliche und fachliche Eignung nachweisen müssen und sich gegenüber dem Anwalt so zur Verschwiegenheit verpflichten, dass der Schutz des Mandatsgeheimnisses gewährleistet ist 26. Der Ruf nach dem Gesetzgeber ist sicherlich nicht falsch, greift aber zu kurz. Die Frage ist, ob Mandanten und Dritte nicht durch Qualitätsstandards beim Datenmanagement von Anwälten geschützt werden können. Die Anwälte würden die Qualitätsstandards offenlegen, sodass jeder Mandant und jeder Dritte erkennen kann, in welchem Maß sich ein Anwalt an bestimmte Standards bei der Verwaltung personenbezogener Daten zu halten gedenkt. Durch die Diskussion und Festlegung solcher Qualitätsstandards für Datenmanagement von Rechtsanwälten entsteht ein Marktprozess um Datensicherheit, der selbstverständlich durch gesetzgeberische Maßnahmen flankiert werden kann. Der Vorteil des Marktprozesses ist, dass die Anwälte die Qualitätsstandards selbst in der Hand halten und sachgerecht ent- und fortentwickeln können. Anpassungen an sich verändernde Gewohnheiten und Prozesse sind schnell und ohne bürokratischen Aufwand möglich. Anwälte können darüber hinaus mit den von ihnen verwirklichten Qualitätsstandards im Außenverhältnis werben und sich auf diese Weise auch gegenüber konkurrierenden Kanzleien abgrenzen und profilieren. Die Frage lautet, ob es möglich ist, Qualitätsstandards zu formulieren, denen sich ein Rechtsanwalt freiwillig unterwerfen kann. V. Qualitätsstandards für das anwaltliche Datenschutzmanagement In der Literatur herrscht Einigkeit darüber, dass vom Rechtsanwalt Kundenorientierung und striktes Qualitätsmanagement ge- 15 KG vom Ws (B) 51/07 NJW 2011, 324 m. w. N.; Kazemi, Datenschutz in der Anwaltskanzlei in Mitgliederbrief des Bayrischen Anwaltsverbands 2011, 6; Eberhardt, Rechtsschutzversicherung im Wandel in Gedächtnisschrift für Ulrich Hübner 2012 (im Erscheinen) S Leutheusser-Schnarrenberger AnwBl 2012, KG vom Ws (B) 51/07 NJW 2011, KG vom Ws (B) 51/07 NJW 2011, KG vom Ws (B) 51/07 NJW 2011, 324; weiter gehend Rüpke, Datenschutz, Mandatsgeheimnis und anwaltliche Kommunikationsfreiheit NJW 2008, 1121; Mehr Rechtssicherheit für anwaltliche Datenverarbeitung ein Vorschlag zur informationsrechtlichen Ergänzung der Bundesrechtsanwaltsordnung ZRP 2008, 87; Anwaltsrecht und Datenschutzrecht NJW 1993, 3097; Freie Advokatur, anwaltliches Berufsgeheimnis und datenschutzrechtliche Kontrollbefugnisse RDV 2003, Vertiefend Weichert, Datenschutz auch bei Anwälten? NJW 2009, 550 (552); Redeker, Datenschutz auch bei Anwälten aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis NJW 2009, 554; so auch KG vom Ws (B) 51/07 NJW 2011, FG Nürnberg vom K 1286/08 DStR 2010, Kazemi aao (Fn. 15). 23 Kazemi aao (Fn. 15). 24 Leutheusser-Schnarrenberger AnwBl 2012, Ewer AnwBl 2012, Ewer AnwBl 2012, 476.

5 VersR 2012 Heft 31 Aufsätze 5 fordert wird 27. Maß aller Dinge sind die Bedürfnisse des Mandanten 28. Daneben ist der Anwalt Organ der Rechtspflege 29. Aus diesen beiden Polen sind Qualitätsmaßstäbe für das anwaltliche Datenschutzmanagement zu entwickeln. Qualitätsstandards für anwaltliches Datenmanagement können aus drei Sachkategorien entwickelt werden. Der Mindeststandard enthält die gesetzlich zwingend erforderlichen Vorkehrungen und Vereinbarungen. Für diesen Mindeststandard bietet es sich an, das Symbol D (für Datenmanagement) zu vergeben. Die zweite Kategorie, der Basisstandard, nimmt Verhaltensweisen und Vereinbarungen mit auf, die rechtlich nicht zwingend notwendig sind, aber den Datenschutz im Sinne eines best practise optimieren für den Basisstandard empfiehlt sich das Kürzel DD. Die dritte Kategorie, der Höchststandard, umfasst Vereinbarungen und Verhaltensweisen, die aus der Perspektive der Mandantschaft und der Rechtsordnung einen besonders sensiblen Umgang mit anwaltlichen Daten oberhalb gesetzlicher Vorschriften umsetzen. Es geht in diesem Fall um die Verwirklichung wissenschaftlicher Datenschutzstandards soweit vorhanden. Ferner werden mandantengerechte, individualisierte Datenschutzkonzepte quasi maßgeschneidert. Dies rechtfertigt die Vergabe von DDD. VI. Mindeststandard (D) 1. Das Mandatsverhältnis a) Einwilligung des Mandanten Nach 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Da anwaltliche Datenverarbeitung weder vom BDSG noch von anderen Rechtsvorschriften erlaubt oder angeordnet ist, kommt es entscheidend auf die Einwilligung an. Der Mandant muss in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten einwilligen. Dies umfasst die Einwilligung, externe Dienstleister in das Datenschutzmanagement mit einzubeziehen ( 11 BDSG). Gemeint sind etwa IT-Dienstleister, Schreib- und Telefondienste, Buchhaltung oder Aktenvernichtung, aber auch die Hersteller von Anwaltssoftware, die die externe Speicherung sämtlicher Datenbestände der Kanzlei auf Großrechnern anbieten, sodass der Anwalt einen Großteil seiner Tätigkeit über das Notebook oder über das Tablet erledigen kann. Die Einwilligung des Mandanten in diese weitgehend IT-basierten Dienstleistungen ist für den Anwalt auch deshalb von besonderer Bedeutung, weil sich seine Strafbarkeit ( 203 Abs. 1 Nr. 3 StGB) allein nach dem ausdrücklichen und konkludenten Einverständnis oder der mutmaßlichen Einwilligung des betroffenen Mandanten ergibt 30. Die externen Dienstleister, die Mandatsgeheimnisse offenbaren, sind übrigens nicht nach 203 StGB strafbar, weil 203 Abs. 3 StGB nur berufsmäßig tätige Gehilfen des Anwalts diesem gleichstellt. Mit berufsmäßig tätigen Gehilfen sind Fachangestellte, Mitarbeiter im Sekretariat, Referendare und sonstige in der Kanzlei angestellte Mitarbeiter gemeint, nicht jedoch externe Dienstleister 31. Bedenkt man, dass die moderne Anwaltskanzlei ohne externe Dienstleister heute praktisch nicht mehr existieren kann, erscheint die strafrechtliche Privilegierung für externe Dienstleister nicht mehr zeitgemäß 32. b) Unverschlüsselter -Verkehr Der unverschlüsselte -Verkehr zwischen Anwalt und Mandanten ist prinzipiell ohne größere Probleme für interessierte Dritte zugänglich und abhörbar. Dies bedeutet, dass eine Anwaltskanzlei, die den Mindeststandard (D) erfüllen will, zwei Möglichkeiten hat: Entweder sie verzichtet auf den unverschlüsselten -Verkehr mit dem Mandanten und beschränkt sich auf Briefe und Faxe. Stattdessen könnte die Anwaltskanzlei den Mandanten um eine Einwilligung in den unverschlüsselten E- Mail-Verkehr nach 4 a Abs. 1 BDSG bitten. Die Einwilligung muss auf der freien Entscheidung des Mandanten beruhen. Der Mandant ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung und auf die Folgen der Verweigerung der Einwilligung hinzuweisen ( 4 a Abs. 1 S. 2 BDSG). Die Einwilligung bedarf der Schriftform ( 4 a Abs. 1 S. 3 BDSG). Will die Kanzlei ohne Einwilligung des Mandanten am - Verkehr teilnehmen, so muss sie mit Verschlüsselungen arbeiten die damit verbundenen Anforderungen betreffen die Stufe DD. c) Insbesondere: Cloud Computing Im Ergebnis heißt dies, dass der Mandant in die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten, insbesondere im -Verkehr und gegenüber externen Dienstleistern, einwilligen muss. Dies gilt in besonderer Weise, wenn die Kanzlei am Cloud Computing, also dem Speichern digitaler Unterlagen und Informationen auf Servern externer Anbieter, teilnimmt 33. Cloud Computing wirft die Grundfrage auf, ob Datensicherheit im Sinne der anwaltlichen Verschwiegenheitspflicht überhaupt noch gewährleistet werden kann. Ein Anwalt, der am Cloud Computing teilnimmt, muss dem Mandanten im Einzelnen erklären, dass seine Daten über das Internet ungerichtet verteilt sind. Der Zugriff auf diese Daten kann nicht mehr kontrolliert werden. Die Teilnahme am Cloud Computing wirft die Frage auf, ob eine solche Teilnahme nicht die anwaltliche Verschwiegenheitspflicht nach 43 a BRAO automatisch verletzt. In jedem Fall muss aber die Einwilligungserklärung des Mandanten ausdrücklich auf das Cloud Computing bezogen sein und dem Mandanten muss im Einzelnen erklärt worden sein, welche Gefahren sich für ihn aus dem Cloud Computing ergeben können ( 4 a Abs. 1 S. 2 BDSG) Einwilligung Dritter Hierneben müsste es auch eine Einwilligung aller Personen geben, deren Daten im Zusammenhang mit dem Mandatsverhältnis 27 Jahn/Palm, Outsourcing in der Kanzlei: Verletzung von Privatgeheimnissen? AnwBl 2011, 613; unter Hinweis auf Krämer, Zum Qualitätsverständnis anwaltlicher Rechtsberatung NJW 1996, 2354 und Zuck, Die notwendige Reform des anwaltlichen Berufsund Standesrechts NJW 1988, 175 (179). 28 Jahn/Palm AnwBl 2011, 613; unter Hinweis auf Streck AnwBl 1996, 57 (62); Steinbrück, Zertifizierung von Anwaltskanzleien nach DIN EN ISO 9000 ff. Total Quality Management in der Anwaltskanzlei NJW 1997, Vertiefend Härting, IT-Sicherheit in der Anwaltskanzlei das Anwaltsgeheimnis im Zeitalter der Informationstechnologie NJW 2005, 1248 (1250) m. w. N.; Filges, Die Zukunft des anwaltlichen Berufsrechts nach der Reform ist vor der Reform NJW 2010, 2619 (2621 f.). 30 Härting NJW 2005, 1248 (1249) m. w. N. 31 Härting NJW 2005, 1248 (1249) m. w. N. 32 Härting NJW 2005, 1248 (1249) m. w. N. 33 Vertiefend Leutheusser-Schnarrenberger AnwBl. 2012, 477; Härting, IT-Sicherheit und Berufsrecht das Anwaltsgeheimnis im Zeichen von Cloud Computing ITRB 2011, 242; vertiefend Maisch/ Seidel, Cloud-Nutzung für Berufsgeheimnisträger 203 StGB als Show Stopper? Datenschutz Berater 2012, 127 die Verfasser verwechseln allerdings die vorherigen Zustimmung (Einwilligung: 183 BGB) mit der nachträglichen Zustimmung (Genehmigung: 184 BGB) und kommen deshalb zu nicht ganz überzeugenden Schlussfolgerungen. 34 In diesem Sinn auch die Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom S. 25 abrufbar unter

6 6 Aufsätze VersR 2012 Heft 31 erhoben, verarbeitet und genutzt werden. Das sind insbesondere die Forderungsgegner oder sonstige Dritte, z. B. Unfallbeteiligte und Zeugen. Normalerweise müssen Personen von der Speicherung ihrer Daten benachrichtigt werden ( 33 Abs. 1 BDSG). Eine für die Anwaltschaft äußerst wichtige Ausnahme gibt es in 33 Abs. 2 Nr. 3 BDSG. Danach besteht die Benachrichtigungspflicht nicht, wenn die Daten wegen des überwiegenden rechtlichen Interesses eines Dritten (gemeint ist der Mandant) wie üblich geheim gehalten werden müssen. Ist die Speicherung der Daten im Rahmen des Mandantschaftsverhältnisses jedoch nicht mehr erforderlich, so sind sie zu löschen ( 35 Abs. 2 Nr. 3 BDSG). 3. Technische und organisatorische Maßnahmen ( 9 BDSG) Nach 9 BDSG haben Anwälte die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die vom BDSG und den Datenschutzgesetzen der Länder geforderte Datensicherheit zu gewährleisten. Dabei sind Maßnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Mit Blick auf diese technischen und organisatorischen Maßnahmen des BDSG geht es einerseits um die Organisation des Anwaltsbüros und andererseits um die kanzleiinterne Datensicherheit. a) Organisation des Anwaltsbüros Sämtliche Anwälte, Referendare und Mitarbeiter der Kanzlei sind Geheimnisträger nach 203 Abs. 1 Nr. 3 StGB. Sie sind deshalb verpflichtet, Mandantengeheimnisse nicht zu offenbaren 35. Ein Geheimnis kann auch durch Unterlassen offenbart werden ( 13 StGB). Mitarbeiter, die über ihre PC-Bildschirme Zugang zu sensiblen Mandatsdaten haben, müssen folglich beim Verlassen des Arbeitsplatzes den Zugang zum Bildschirm sperren. Das gilt nicht nur bei Antreten der Mittagspause oder des Feierabends, sondern auch dann, wenn man den Arbeitsplatz für eine kürzere Zeitspanne verlässt (Gang zur Toilette), es sei denn, die Kanzlei verfügt über räumliche Vorkehrungen im Sinne von Chinese Walls. Gemeint ist, dass der Zugang zum Sekretariat oder zum jeweiligen Anwaltsarbeitsplatz nur mittels Schlüssel oder Transponder möglich ist. Bei Zugang zu besonders sensiblen Daten sind die Schlüssel/Transponder nur ausgesuchten autorisierten Mitarbeitern zugewiesen. Wenn und soweit der Zugang zu den Räumlichkeiten auf diese Weise für unbefugte Dritte weitgehend geschützt ist, müssen die Bildschirme beim Verlassen des Arbeitsplatzes nicht unbedingt gesperrt werden. Soweit räumliche Vorkehrungen wie beschrieben nicht bestehen, ist dagegen eine Sperrung der Bildschirme unabdingbar, einerseits um den Anforderungen des 203 StGB zu genügen, aber auch um die Vertraulichkeit gegenüber dem Mandanten nach 43 a BRAO zu wahren. Anwaltskanzleien, die nicht über Chinese Walls verfügen, müssen Arbeitsanweisungen zur Sperrung des Bildschirms beim Verlassen des Arbeitsplatzes vorhalten und der Beauftragte für den Datenschutz muss die Sperrung der Bildschirme im Einzelfall zumindest stichprobenartig in wiederkehrenden Abständen kontrollieren. Geheimnisse können auch offenbart werden, weil es innerhalb der Kanzlei für die Mandanten keine Diskretionszonen gibt. Mandanten, die beispielsweise in einem Vorzimmer der Kanzlei gemeinsam warten, können aus der bloßen Anwesenheit bestimmter (bekannter) Personen Rückschlüsse ziehen. Noch problematischer wird es, wenn der Mandant zum Gespräch etwa mit den Worten aufgerufen wird: Herr Meier in der Familiensache Meier./. Meier. Um konkludente Offenbarungen dieser Art zu vermeiden, muss es Diskretionszonen im Empfangsbereich und getrennte Wartezimmer oder aber ein Besuchsmanagement geben, das Mandanten und Drittbegegnungen weitgehend vermeidet. Korrespondierend zur Sperrung der PC-Arbeitsplätze müssen die klassischen Akten in Papierform so unter Verschluss gehalten werden, dass sie unbefugten Dritten nicht zugänglich sind. Das setzt im Regelfall eine Büroorganisation mit (verschließbaren) Aktenschränken oder Räumen voraus, die nur für besonders autorisierte Mitarbeiter mithilfe von Schlüsseln/Transpondern betretbar sind. b) Kanzleiinterne Datensicherheit Mandantengeheimnisse können auch offenbart werden, weil das kanzleiintern praktizierte System der Datensicherheit nicht dem Stand der Technik entspricht. Die Grundfrage lautet, ob der Kanzlei überhaupt bewusst ist, dass es IT-Systeme mit unterschiedlicher Datensicherheit 36 gibt und dass die Kanzlei sich für ein System entschieden hat, das aus der Perspektive ihrer Mandantenbedürfnisse die größtmögliche Sicherheit bietet. Hat also zunächst einmal ein Sicherheitssystemvergleich stattgefunden und wird ein solcher Vergleich mit daraus resultierender Aktualisierung der Software in regelmäßigen Abständen (je nach technischer Entwicklungsgeschwindigkeit) durchgeführt? Eine nicht ganz unwichtige Kontrollfrage im Hintergrund lautet, ob die Kanzlei für den Fall, dass Hardware oder Software ausgetauscht werden müssen, entsprechende bilanzielle Rückstellungen gebildet hat. Grundsätzlich sind die personenbezogenen Daten durch anerkannte kryptografische Verfahren zu verschlüsseln. Damit können Dritte die gespeicherten Daten ohne Besitz des Zugangsschlüssels nur unter Aufwendung immenser Kosten auslösen. Auch Cloud-Dienste können genutzt werden, wenn sie innerhalb der EU liegen und die sensiblen Daten durch Verschlüsselung geschützt sind. Je nach Größe der Kanzlei und Strukturierung der Mandantschaft ist es sinnvoll, über die technische Trennung von Daten innerhalb der Facharbeitsgruppen und Sekretariate nachzudenken. Je mehr Datentrennung stattfindet, je weniger Menschen Zugriff auf Daten haben, desto geringer ist die Gefahr der Offenbarung von Geheimnissen. Kontrollfragen lauten: Werden getrennte Datenverarbeitungssysteme benutzt, sind Firewalls installiert, gibt es eine Verwaltung und Einschränkung von Benutzerrechten, sind Regeln für den sicheren Passwortgebrauch, für das Sperren und Löschen von Daten festgelegt und werden vertrauliche Informationen vor Wartungsarbeiten am IT-System gelöscht? Sehr wichtig ist auch, ob Antivirensoftware eingesetzt wird, ob bei jedem Virenbefall der Datenschutzbeauftragte informiert wird und ob immer beachtet wird, dass das Arbeiten mit virenverseuchten Datenträgern und Hardware unterlassen wird. Genau besehen müssen Fragen dieser Art permanent fort- und weiterentwickelt werden, je nach Stand der Technik. Auf der einen Seite stehen Techniken zum Schützen und zum Separieren von Daten (Signatur-/Verschlüsselungssysteme), auf der anderen Seite steht die Technik des Datenhacking und der Datensabotage durch Viren. Beide Bereiche reagieren aufeinander und entwickeln sich fort. 4. Auftragsdatenverarbeitung ( 11 BDSG) Werden personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt, so ist der Auftraggeber (Anwalt) für die Einhal- 35 Zu den derzeitigen Tatbestandsgrenzen und der Diskussion darüber: vertiefend Jahn/Palm AnwBl 2011, 613 (615 ff.); Rüpke, Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts ein quasi-datenschutzrechtliches Missverständnis zu 203 StGB? NJW 2003, Hierzu zum Stichwort Informationssicherheit org/wiki/informationssicherheit sensibledaten verschl. C3. BC sseln.

7 VersR 2012 Heft 31 Aufsätze 7 tung des Datenschutzrechts verantwortlich ( 11 Abs. 1 BDSG). Der Anwalt muss den Auftragnehmer (z. B. externer IT-Dienstleister) unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen und kontrollieren ( 11 Abs. 2 S. 1 BDSG). Der Auftrag ist schriftlich zu erteilen; wobei im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 [BDSG] zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach [ 11 Abs. 4 BDSG] bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Das Outsourcing der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten auf externe Dienstleister ist also im Rahmen von 11 BDSG möglich, wenn der Auftrag schriftlich erteilt wird und die im Einzelnen genannten Festlegungen erfolgen. Die in 11 Abs. 2 in den Nr. 1 bis 10 genannten Festlegungen werden mit dem Wort insbesondere eingeleitet. Dies bedeutet, dass es auch Festlegungen geben kann, die außerhalb der Nr. 1 bis 10 (ergänzend) notwendig sind. So liegt es beispielsweise nahe, mit dem externen Dienstleister ausdrücklich zu vereinbaren, dass dieser am Cloud Computing nicht oder nur verschlüsselt innerhalb der EU teilnimmt. Der Abschluss eines Vertrags zur externen Auftragsdatenverarbeitung ist im Rahmen des 11 BDSG ohne Weiteres zulässig. Gegenüber dem Mandanten bedarf die externe Auftragsdatenverarbeitung aber der Einwilligung 37. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Mandanten beruht ( 4 a Abs. 1 BDSG). Die Entscheidung des Mandanten kann nur frei sein, wenn ihm der vorgesehene Zweck der Auftragsdatenverarbeitung durch externe Dienstleister angemessen deutlich gemacht wird. Dazu gehört nicht nur der allgemeine Hinweis auf die Datenverarbeitung durch externe Dritte, sondern auch die Darlegung, welche Dienstleistungen im Einzelnen ausgelagert werden, nach welchen Kriterien die externen Dienstleister ausgesucht wurden, in welcher Weise der Anwalt den externen Dienstleister kontrolliert und welche nicht wegzudiskutierenden Risiken bei der Datenverarbeitung aus der Einschaltung des externen Dienstleisters entstehen. Ganz besonders wichtig ist der Hinweis, dass der externe Dienstleister und sämtliche Personen, die bei ihm beschäftigt sind, ausdrücklich zur Verschwiegenheit verpflichtet wurden ( 2 Abs. 4 BORA) Datenschutzbeauftragter Anwaltskanzleien, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen ( 4 f Abs. 1 BDSG) 39. Dies gilt nicht, wenn höchstens neun Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind ( 4 f Abs. 1 S. 3 BDSG). In diesem Fall hat der Leiter der Kanzlei die Erfüllung der Aufgaben des Beauftragten für den Datenschutz in anderer Weise sicherzustellen ( 4 g Abs. 2 a BDSG). Die Kontrollpflichten des Datenschutzbeauftragten betreffen die Daten, die nicht dem Anwaltsgeheimnis unterfallen 40. Der Datenschutzbeauftragte wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin ( 4 g Abs. 1 BDSG). Zu diesem Zweck kann sich der Beauftragte in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständigen Behörde wenden ( 4 g Abs. 1 S. 2 BDSG). Er kann die Beratung nach 38 Abs. 1 S. 2 BDSG in Anspruch nehmen. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten ( 4 g Abs. 1 Nr. 1 BDSG). Außerdem hat er die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Vorschriften des BDSG sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen ( 4 g Abs. 1 Nr. 2 BDSG). 6. Zwischenergebnis Der gesetzliche Mindeststandard (D), den jede Anwaltskanzlei einzuhalten hat, setzt sich somit zusammen aus: der Einwilligung des Mandanten zur Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten nach 4, 4 a BDSG; bei Teilnahme am Cloud Computing müssen dem Mandanten die mit dem Cloud Computing verbundenen Datenunsicherheiten unmissverständlich vor Augen geführt worden sein; Datenschutzgerechte Organisation des Anwaltsbüros; Datenschutzgerechte kanzleiinterne Datensicherheit, insbesondere Verschlüsselung der Daten, sodass Dritte keinen Zugriff nehmen können; Bei externer Auftragsdatenverarbeitung Abschluss eines schriftlichen Vertrags ( 11 BDSG), auf den sich die Einwilligung ( 4 a Abs. 1 BDSG) beziehen muss; Bestellung eines Beauftragten für den Datenschutz. VII. Basisstandard (DD) Der Basisstandard (DD) nimmt zunächst einmal die Kriterien des Mindeststandards (D) in sich auf, erweitert diese aber um An- 37 Brisch, Outsourcing in der Anwaltskanzlei Kammerforum-Mitteilungen der Rechtsanwaltskammer Köln 2010 H. 1 S. 3 bis Ein Beispiel für die Verschwiegenheitserklärung findet sich bei Jahn/Palm (AnwBl 2011, 613 [614 f.]) eine Vertragsstrafe enthält die Verschwiegenheitserklärung, die ein Anbieter für externe Dienstleistungen entwickelt hat, allerdings nicht. Da die externen Dienstleister nach dem derzeitigen Rechtszustand von der Strafdrohung des 203 StGB bei der Offenbarung von Geheimnissen ausgenommen sind, wäre eine Kompensation dieser Rechtsschutzlücke durch eine (freiwillige) Vertragsstrafe für besonders sorgfältige Kanzleien und externe Dienstleister naheliegend und erwägenswert. 39 Schöttle, Datenschutzkontrolle in der Anwaltskanzlei AnwBl 2005, 740; Sassenberg/Schulz, Anwaltskanzlei und Datenschutzbeauftragter AnwBl 2007, 769; Redeker, Datenschutz auch bei Anwälten aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis NJW 2009, 554; Abel (Hrsg.), Datenschutz in Anwaltschaft, Notariat und Justiz 2. Aufl passim; Rüpke, Freie Advokatur, anwaltliche Informationsverarbeitung und Datenschutzrecht 1995 passim. 40 Härting NJW 2005, 1248 (1250); Rüpke, Ein Beauftragter für den Datenschutz in der Anwaltskanzlei AnwBl 2004, 552 (555).

8 8 Aufsätze VersR 2012 Heft 31 forderungen, die oberhalb der gesetzlichen Anforderungen des BDSG liegen. Diese Anforderungen können sich im Zeitablauf verändern, etwa durch die Weiterentwicklung von Technik, aber auch durch Eingriffe des Gesetzgebers. Deshalb können hier die Anforderungen an den Basisstandard (DD) nur angedeutet werden. Es handelt sich zudem um einen Diskussionsvorschlag, der keinen Anspruch auf Vollständigkeit erhebt. 1. Mandantenaufnahmebogen Eine Kanzlei, die mit DD zertifiziert sein will, müsste die Datenerhebung durch einen Mandantenaufnahmebogen dokumentieren. Innerhalb dieses Mandantenaufnahmebogens müsste der Mandant strukturiert und standardisiert über die verwendete Datensicherheitsarchitektur innerhalb der Kanzlei informiert werden. 2. Verschlüsselungsstandards Eine mit DD zertifizierte Kanzlei muss auf die Einwilligung des Mandanten in den unverschlüsselten -Verkehr verzichten und stattdessen mit anerkannten Verschlüsselungsstandards arbeiten. In Betracht kommt der Standard Pretty Good Privacy (PGP), ein Verschlüsselungs- und Authentifizierungsverfahren, das von der Firma Symantec kostenpflichtig angeboten wird. Unter der Bezeichnung GnuPG existiert daneben eine kostenfreie Variante. Wichtig ist, dass der Austausch der Schlüssel nicht über eine unverschlüsselte erfolgt, weil diese leicht abgefangen und im Internet mitgelesen werden kann. Der Austausch sollte deshalb per Briefpost erfolgen. Insgesamt ist dieses Verfahren wegen der Software-Installation und dem Schlüsselaustausch für beide Seiten mit relativ großem Aufwand verbunden. Als Alternative kommt die Webakte minus Mandant von e.consult in Betracht. Der Rechtsanwalt richtet die Webakte ein. Der Mandant erhält die Zugangsdaten direkt von seinem Anwalt. Der Anwalt weist den Mandanten per unverschlüsselter darauf hin, dass es neuen Posteingang gibt. Der Mandant, der die Korrespondenz lesen möchte, muss sich nur mit seinen Zugangsdaten über eine verschlüsselte Verbindung im Internet anmelden und kann dort den Posteingang lesen und innerhalb des Systems auch verschlüsselte Nachrichten und Dokumente an den Anwalt versenden. Dieses Verfahren verursacht beim Mandanten weniger Aufwand, da keine Software installiert werden muss. Jeder Internetzugang reicht aus. Der Mandant ist an ähnliche Verfahren, etwa beim Onlinebanking oder auch beim Kunden-Log-in verschiedener Versicherer wie beispielsweise auf huk24.de gewöhnt. 3. Cloud Computing Cloud-Dienste können genutzt werden, wenn sie innerhalb der EU liegen und die Daten durch Verschlüsselung geschützt sind. VIII. Höchststandard (DDD) Kanzleien, die auf den Höchststandard (DDD) Wert legen, sollten ein Datenschutzniveau verwirklichen, das weit oberhalb der gesetzlichen Anforderungen liegt und sich ausschließlich an den Wünschen und Bedürfnissen der Mandanten auf der einen Seite und der Funktionsfähigkeit der Rechtsordnung auf der anderen Seite orientiert. Nicht alle Mandanten werden Wert auf ein solches überobligatorisches, fakultatives Datenschutzmanagement legen. Mandanten aber, die etwa, wie große oder mittlere Unternehmen, Ministerien oder Bundesoberbehörden, über höchst sensible Daten verfügen, werden Wert auf eine Datenschutzarchitektur legen, die höchsten Ansprüchen genügt und permanent (täglich) fortentwickelt und angepasst wird. Die daraus resultierenden Kanzleimehrkosten werden von dieser Mandantschaft akzeptiert werden. Es ist nicht ganz einfach, einen Katalog von Anforderungen aufzustellen, der den allerhöchsten Wünschen und Bedürfnissen an eine adäquate Datensicherheitsarchitektur entspricht. Es geht um die Verwirklichung eines Standards, der oberhalb vom Stand der Technik liegt (wissenschaftlicher Standard). Es wird eine mandantengerechte, individuelle, also maßgeschneiderte Datensicherheitsarchitektur für den jeweiligen Einzelfall entwickelt. Auch hier können die Anforderungen an den Höchststandard (DDD) nicht endgültig festgelegt, sondern nur angedeutet werden. 1. DIN EN ISO 9001 Eine Kanzlei, die den Höchststandard (DDD) ausweisen will, muss nach DIN EN ISO 9001 zertifiziert sein. Mit ISO 9001 werden Verfahrensabläufe in der Kanzlei als Standardprozesse definiert und an den Anforderungen für ein Qualitätsmanagement gemessen. Diese Anforderungen sind vor allem für formale Abläufe wie Fristwahrungen aber auch für die sensiblen Belange des Datenschutzes bedeutsam 41. Gerhard Richter weist darauf hin, dass mit ISO 9001 die Implementierung grundlegender Arbeitsabläufe gewährleistet werden soll der Servicegedanke gegenüber dem Kunden wird mit Leben erfüllt Externe Sicherheitstests Eine DDD-zertifizierte Kanzlei muss sich durch externe Sicherheitstester überprüfen und kontrollieren lassen. Die Tests müssen nicht immer, aber gelegentlich unangemeldet durchgeführt werden. Der Sicherheitstester sollte mit dem Zertifizierer nicht identisch sein, um Interessenkonflikte auszuschließen. In der Praxis werden externe Dienstleister wie DETACK, Cirsoec und n.runs empfohlen. 3. Verschlüsselte Kommunikationswege Zunächst einmal sind die Verschlüsselungsstandards, die schon für DD Geltung beanspruchen, auch hier zu verwenden. Darüber hinaus ist die ist die Kommunikation über zertifizierte und verschlüsselte Kommunikationswege zu führen. In Betracht kommt etwa die Kommunikation über das GDV-Branchennetz, wenn es um eine Kommunikation mit Versicherern oder Sachverständigen geht. Im Verkehr mit Behörden geht es um den OSCI-Standard. Im Mandantenverkehr müsste mit qualifizierten Signaturen nach dem Signaturgesetz gearbeitet werden, sodass die Authentizität des Absenders und die Verschlüsselung der Daten sichergestellt ist. Die Kanzlei nimmt am Black-Box-Verfahren teil, ein Verfahren, mit dem personenbezogene Daten vollständig verschlüsselt hochgeladen werden. 4. Cloud Computing Die Kanzlei nimmt an den Cloud-Diensten im Grundsatz nicht teil. Eine Ausnahme kann nur dann gelten, wenn die Dienste durch Formen der Verschlüsselung nahezu absolut sicher sind. 5. Risikomesssystem Schließlich stellt sich die Frage nach einem kanzleiinternen Risikomesssystem für alternative Datenverarbeitung. Es handelt sich um ein Risikomesssystem, ganz ähnlich demjenigen, das Unternehmen im Rahmen von 91 Abs. 2 AktG zur Messung unter- 41 Eberhardt, Recht haben und Recht bekommen ein Expertengespräch, abrufbar auf Lawyerslife.de. 42 Richter, Freie Anwaltswalt (Analyse, Standpunkt und Ausblick) abrufbar unter Lawyerslife.de.

9 VersR 2012 Heft 31 Aufsätze 9 nehmerischer Risiken verwenden müssen. Im Rahmen eines solchen Risikomesssystems würden auf der einen Seite die Risiken aus einer kanzleiinternen Datenverarbeitung den Risiken bei einer kanzleiexternen Datenverarbeitung gegenübergestellt werden. Parallel werden die Kosten zur Vermeidung der jeweiligen Risiken ermittelt. Ergänzend wird der Schaden geschätzt, der einerseits dem Mandanten und andererseits der Rechtsordnung bei Eintreten der verschiedenen verbleibenden Risiken entstehen könnte. Auf der Grundlage einer derart erarbeiteten Risikomatrix wird sodann das Mandantengespräch geführt und zusammen mit dem Mandanten wird abgewogen, welche Risiken man im Ergebnis eingeht und welche besser nicht. Diese Risikoeinschätzung ist für den Mandanten zugleich die Grundlage seines eigenen Risikomesssystems nach 91 Abs. 2 AktG und der daraus resultierenden bilanziellen Drohverlustrückstellungen. Szenarien dieser Art sind etwa denkbar in Fällen, in denen es um große Massenschäden mit drohendem Strafschadensersatz (punitive damages), etwa in den USA, geht. IX. Wesentliche Ergebnisse 1. Qualitätsstandards, die zur Grundlage von Empfehlungen für Rechtsschutzversicherer/Prozessfinanzierer gemacht werden können, sind möglich. 2. Es wird ein dreistufiges Zertifizierungssystem vorgeschlagen, bestehend aus: Mindeststandard (D), Basisstandard (DD) und Höchststandard (DDD). 3. Die Zertifizierung kann durch (private) Zertifizierer erfolgen. 4. Der Mindeststandard (D) setzt sich zusammen aus: der Einwilligung des Mandanten zur Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten nach 4, 4 a BDSG; bei Teilnahme am Cloud Computing müssen dem Mandanten die mit dem Cloud Computing verbundenen Datenunsicherheiten unmissverständlich vor Augen geführt worden sein; datenschutzgerechte Organisation des Anwaltsbüros; Datenschutzgerechte kanzleiinterne Datensicherheit, insbesondere Verschlüsselung der Daten, sodass Dritte keinen Zugriff nehmen können; Bei externer Auftragsdatenverarbeitung Abschluss eines schriftlichen Vertrags ( 11 BDSG), auf den sich die Einwilligung ( 4 a Abs. 1 BDSG) beziehen muss; Bestellung eines Beauftragten für den Datenschutz. 5. Der Basisstandard (DD) nimmt die Kriterien des Mindeststandards (D) in sich auf und erweitert diese um Anforderungen, die gesetzlich nicht zwingend gefordert werden. Dazu gehören insbesondere die Dokumentation im Rahmen eines Mandantenaufnahmebogens und die Verschlüsselung des -Verkehrs, einschließlich Cloud Computing. 6. Der Höchststandard (DDD) verwirklicht eine Datenschutzarchitektur auf wissenschaftlichem Niveau. Entwickelt wird für den Einzelfall eine mandantengerechte, individuell-maßgeschneiderte Datenschutzarchitektur, verbunden mit externen Sicherheitschecks. Impressum Herausgeber Verlag Versicherungswirtschaft GmbH, Karlsruhe Hauptschriftleitung Prof. Dr. Egon Lorenz Weitere Mitglieder der Schriftleitung RA Dr. Peter Bach (Versicherungsvertragsrecht), VRiOLG a. D. Lothar Jaeger (Berufs- und Amtshaftungsrecht), Prof. Dr. Dirk Looschelders (Internationales Privatrecht und betriebliche Altersversorgung), Prof. Dr. Peter Reiff (Transportrecht, Verfahrens- und Kostenrecht, Auslandsrecht), Prof. Dr. Manfred Wandt (Grundlagen des Versicherungsrechts, allgemeines Haftungsrecht und angrenzende Gebiete) Redaktion Sibylle Bierhalter -168, Michael Göpfrich -134, Susanne Mir Motahari-Ferber -138, Katharina Wurm -135, Telefax redaktion-versr@vvw.de Postanschrift Verlag Versicherungswirtschaft GmbH Klosestraße 20 24, Karlsruhe Postfach 6469, Karlsruhe Telefon , Telefax Internet: vvw.de Bitte geben Sie bei Zuschriften an den Verlag immer Ihre Kundennummer an. Geschäftsführer Wolfgang Knippenberg, Rechtsanwalt Anzeigen Benjamin Bittmann -119, bittmann@vvw.de Claudia Dinges -139, dinges@vvw.de Telefax Abonnementbetreuung Günther Schnauder -131, schnauder@vvw.de Telefax Herstellung Leitung: Marina Hummel -154, hummel@vvw.de Oliver Brenner -140, brenner@vvw.de Vertrieb/Marketing Bernd Walter -114, walter@vvw.de Konto Landesbank Baden-Württemberg, Stuttgart BLZ , Konto SWIFT SOLADEST IBAN DE Umsatzsteuer-Identifikationsnummer DE Druck Druck + Verlagsgesellschaft Südwest mbh, Karlsruhe Manuskripte Der Verlag haftet nicht für unverlangt eingesandte Manuskripte. Die Entscheidung über Annahme oder Ablehnung wird dem Einsender nach Vorliegen des vollständigen druckfertigen Manuskripts schriftlich bekannt gegeben. Im Fall der Annahme erwirbt der Verlag das ausschließliche Verlagsrecht bis zum Ablauf des Urheberrechts sowie die ausschließliche Befugnis zur Einspeicherung in eine Datenbank oder zu jeglicher Vervielfältigung und Verbreitung online oder offline ohne zusätzliche Vergütung. Frühestens nach Ablauf eines Jahres nach Veröffentlichung kann ein Nachdruck in einer Publikation eines anderen Verlags erfolgen, jedoch nur mit vorheriger Genehmigung und einer genauen Quellenangabe. Das Recht für die elektronische Verwertung bleibt beim Verlag. Urheber- und Verlagsrechte Die Zeitschrift und alle veröffentlichten Beiträge sind urheberrechtlich geschützt. Dies gilt auch für veröffentlichte Gerichtsentscheidungen und Leitsätze, soweit sie redaktionell oder vom Einsender redigiert bzw. erarbeitet wurden. Der Rechtsschutz erstreckt sich auch auf Datenbanken und andere elektronische Medien und Systeme. Kein Teil dieser Zeitschrift darf außerhalb der engen Grenzen des Urheberrechtsgesetzes ohne vorherige schriftliche Genehmigung des Verlags in irgendeiner Form reproduziert oder in eine maschinell oder elektronisch verwendbare Sprache übertragen werden. Durch Mitgliedschaft in der Vereinigung Presse Internationale des Assurances (PIA) laufender Austausch von Informationen mit anderen führenden europäischen Fachzeitschriften. Gerichtsstand Karlsruhe Erscheinungsweise am 1. und 5. und 20. jeden Monats. Bezugspreis Deutschland: jährlich (bei 36 Heften und vier Beilagen Ausland) 298, inkl. gesetzl. MwSt. und Versandkosten, Ausland: zzgl. MwSt. und Versandkosten; Einzelheft 9,80 inkl. gesetzl. MwSt. zzgl. Versandkosten. Bestellungen direkt beim Verlag. Kündigung zum Quartalsende mit 4 Wochen Kündigungsfrist. Bei Einstellung oder Unterbrechung der Lieferung aus Gründen, die der Verlag nicht zu vertreten hat, besteht kein Anspruch auf Rückvergütung von Bezugsgeldern. Nicht eingegangene Exemplare können nur innerhalb von 6 Wochen nach dem Erscheinungsdatum reklamiert werden; Postverlagsort: Karlsruhe. Anzeigenpreise Es gelten die Mediadaten vom 1. Januar ISSN