Versicherungsrecht. VersR. Anwaltliches Datenschutzmanagement Qualitätsstandards. Prof. Dr. Hans-Peter Schwintowski, Berlin. (VersR 2012, )

Größe: px
Ab Seite anzeigen:

Download "Versicherungsrecht. VersR. Anwaltliches Datenschutzmanagement Qualitätsstandards. Prof. Dr. Hans-Peter Schwintowski, Berlin. (VersR 2012, 1325 1332)"

Transkript

1 PDF Zeitschrift für Versicherungsrecht, Haftungs- und Schadensrecht VersR Versicherungsrecht Herausgeber: Prof. Dr. Egon Lorenz, Mannheim. He raus ge ber bei rat: Prof. Dr. Wal ter Bayer, Jena; Dr. Georg Büch ner, Stutt gart; VRiBGH a. D. Karl-Diet rich Bund schuh, Karls ruhe; Prof. Dr. Dr. h. c. mult. Claus-Wil helm Ca na ris, Mün chen; Prof. Drs. iur. Drs. med. h. c. Erwin Deutsch, Göt tin gen; Prof. Dr. Mein rad Dre her, Mainz; RA Dr. Bodo Hasse, LL.M., Mün chen; VRiBGH a. D. Dr. Die ter Hoe gen, Karls ruhe; Prof. Dr. Ernst Kling mül ler, Köln; RA Dr. Theo Langheid, Köln; Prof. Dr. Dr. h. c. Die ter Me di cus, Mün chen; RA Dr. Bernd Mi cha els, Düs sel dorf; Vi ze präsbgh a. D. Dr. Gerda Mül ler, Karls ruhe; VRiBGH a. D. Dr. Erich Stef fen, Karls ruhe; VRiBGH a. D. Wil fried Terno, Karls ruhe. Haupt schrift lei tung: Prof. Dr. Egon Lo renz. Wei tere Mit glie der der Schrift lei tung: RA Dr. Peter Bach, Köln (Ver si che rungs ver trags recht), VRi OLG a. D. Lothar Jaeger, Köln (Berufs- und Amtshaftungsrecht), Prof. Dr. Dirk Looschelders, Düsseldorf (Internationales Privatrecht und betriebliche Altersversorgung), Prof. Dr. Peter Reiff, Trier (Transportrecht, Verfahrens- und Kostenrecht, Auslandsrecht), Prof. Dr. Manfred Wandt, Frankfurt/M. (Grund la gen des Ver si che rungs rechts, all ge mei nes Haf tungs recht und an gren zende Ge biete). VersR 63. Jahr gang 1. November 2012 Heft Anwaltliches Datenschutzmanagement Qualitätsstandards Prof. Dr. Hans-Peter Schwintowski, Berlin (VersR 2012, )

2 2 Aufsätze VersR 2012 Heft 31 Anwaltliches Datenschutzmanagement Qualitätsstandards Prof. Dr. Hans-Peter Schwintowski, Berlin* I. Grundlegung Anwälte sind Vertrauensträger par excellence sie erfahren von ihren Mandanten Dinge, die höchst privat und oft geheim sind und bleiben sollen. Die Rechtsordnung verpflichtet die Anwaltschaft deshalb zur Verschwiegenheit ( 43 a BRAO) und sanktioniert den Geheimnisbruch durch Freiheits- und Geldstrafe ( 203 StGB). Anwälte sind aber auch Organ der Rechtspflege sie sind folglich für die Funktionsfähigkeit des Rechtsstaats mitverantwortlich. Dies impliziert einen verantwortungsvollen und angemessenen Umgang mit sämtlichen personenbezogenen Daten, die Anwälte zu verarbeiten haben dazu gehören z. B. auch die Daten von Prozessgegnern, Zeugen oder Sachverständigen. Diese Gemengelage zwischen den Anforderungen des BDSG und der berufsrechtlichen Verschwiegenheitspflicht führt vor allem durch die modernen elektronischen Medien zu einem immer stärker werdenden Spannungsverhältnis. Schon die Frage, ob der Anwalt mit seinem Mandanten (unverschlüsselte) s wechseln darf, löst Stirnrunzeln aus. Die Datenschützer meinen, dafür bedürfe es einer Einwilligung des Mandanten ( 4 a BDSG). Noch schwerer wiegt die Frage, ob man die Aktenverwaltung einer Anwaltskanzlei einem externen Dienstleister überantworten darf. Genügt es, diesen Dienstleister im Rahmen eines Vertrags nach 11 BDSG zur Verschwiegenheit zu verpflichten oder muss man mehr tun? Muss der Mandant eventuell in das Outsourcing (Auslagern) einwilligen ( 4 a BDSG)? Noch moderner ist die neue Welt des Cloud Computing. Darf eine Anwaltskanzlei überhaupt am Cloud Computing teilnehmen? Liegt darin womöglich bereits ein Geheimnisbruch i. S. d. 203 StGB? Die Fragen könnten fortgesetzt werden. Sie zeigen, dass die rechtlichen Rahmenbedingungen für das anwaltliche Datenschutzmanagement zurzeit nur unzureichend aufeinander abgestimmt sind. Deshalb wird seit einiger Zeit auch über die Reform des Datenschutzrechts aus der Sicht von Anwaltskanzleien diskutiert 1. Der Ruf nach dem Gesetzgeber ist nicht falsch, wird aber schon aus verfassungsrechtlicher Perspektive (Art. 12 GG) allenfalls zu Korrekturen im Bereich von Mindestanforderungen führen können. Parallel und ergänzend wird deshalb hier ein Zertifizierungssystem für Anwaltskanzleien im Bereich des Datenmanagements vorgeschlagen. Ein solches Zertifizierungssystem beruht auf freiwillig festgelegten Qualitätsstandards (ähnlich den DIN-Normen in der Technik). Die Standards werden wie im Bereich der Gütesiegel durch die Zertifizierungsstelle (das kann eine private Unternehmung sein) transparent nach außen festgelegt und unterliegen einem permanenten Diskussionsund Optimierungsprozess in der Praxis. Auf diese Weise steuern Anwaltskanzleien letztlich selbst das Qualitätslevel beim Datenmanagement, beziehen aber anders als heute die Mandantschaft und deren Wünsche und Bedürfnisse in den Diskussionsprozess mit ein, d. h., es entsteht eine Qualitätsoptimierung über einen Marktprozess. Dies bedeutet, dass auch Dritte z. B. Rechtsschutzversicherer oder Prozessfinanzierer ein Interesse und auch eine Funktion bei der Qualitätssicherung des Datenschutzmanagements durch Anwälte haben. Rechtsschutzversicherer und Prozessfinanzierer sind ihrerseits Dienstleister gegenüber rechtsuchenden Betroffenen. Die Verbraucher, um die es häufig geht, sind bei der Suche nach einem kompetenten Anwalt regelmäßig überfordert 2. Die Dienste der Rechtsanwaltskammern, Anwaltssuchmaschinen oder auch der Begriff der Fachanwälte oder der Anwälte mit Interessenschwerpunkten sind für den Verbraucher kaum aussagefähig 3. Auf diese Problematik reagieren einige Rechts- schutzversicherer, indem sie Listen mit Partneranwälten führen 4. Die Frage ist nur, welche Qualitätskriterien die Rechtsschutzversicherer eigentlich an die Partneranwälte stellen. Die Rechtsuchenden gehen jedenfalls wie selbstverständlich davon aus, dass ein Rechtsschutzversicherer oder Prozessfinanzierer nur solche Anwaltskanzleien empfiehlt, die ein angemessenes und nachhaltiges Datenschutzmanagement betreiben. Das ist für einen Versicherten, der sich hilfesuchend an seinen Rechtschutzversicherer wendet, schon deshalb naheliegend, weil der Rechtsschutzversicherer für ihn insoweit eine individuelle Fürsorge- und Schutzpflicht erfüllt ( 241 Abs. 2 BGB). Der Rechtsuchende, der eine Anwaltsempfehlung erbittet, erwartet mithin von seinem Rechtsschutzversicherer/Prozessfinanzierer, dass dieser nur solche Anwälte und Kanzleien empfiehlt, die ein ausreichendes, nachhaltiges und jedenfalls ihn, den Mandanten, nicht schädigendes Datenschutzmanagement eingerichtet haben und praktizieren. Ausgehend von dieser berechtigten Erwartungshaltung der Versicherten/Betroffenen, wird im Folgenden ein Qualitätsrating für das anwaltliche Datenschutzmanagement vorgeschlagen. Ein solches Ratingsystem könnte den Rechtsschutzversicherern/ Prozessfinanzierern bei der Auswahl geeigneter Anwaltskanzleien helfen. Kanzleien, denen es nicht gelingt, die Datenschutzanforderungen zu erfüllen, die das Gesetz vorschreibt, würden aus dem Kreis der zu empfehlenden Kanzleien schon deshalb ausgeschlossen werden müssen, weil der Rechtsschutzversicherer/ Prozessfinanzierer, der eine solche Kanzlei empfiehlt, seine Fürsorge- und Schutzpflicht gegenüber seinem Versicherten/Betroffenen verletzt. Im Folgenden werden zunächst einmal die Rechtsgrundlagen und die darauf aufbauenden grundlegenden Judikate knapp vorgestellt, sodass eine belastbare Informationsgrundlage entsteht. Danach wird das Zertifizierungssystem in drei Stufen (Mindest-, Basis-, Höchststandard) einschließlich der Inhalte entwickelt. II. Rechtsgrundlagen Die Rechtsgrundlagen für das anwaltliche Datenschutzmanagement finden sich im Straf- und Berufsrecht sowie in den Datenschutzgesetzen der Länder und dem Bundesdatenschutzgesetz (BDSG), das hier im Mittelpunkt stehen wird. Straf- und berufsrechtlich geht es um die Verschwiegenheitspflicht der Anwälte. Datenschutzrechtlich sind alle personenbezogenen Daten geschützt ( 1 Abs. 2 BDSG). Verboten ist die Erhebung, Verarbeitung und Nutzung dieser Daten durch öffentliche und private Stellen (z. B. Rechtsanwälte), sofern die Verarbeitung geschäftsmäßig, also nicht ausschließlich für persönliche oder familiäre Tätigkeiten, erfolgt ( 1 Abs. 2 Nr. 3 BDSG). Es handelt sich also um ein Ver- * Der Autor ist Inhaber des Lehrstuhls für Bürgerliches Recht, Handels-, Wirtschafts- und Europarecht an der Humboldt-Universität zu Berlin. 1 Vertiefend Leutheusser-Schnarrenberger RuP 2012, 129 (134), unter Hinweis auf den Entwurf der DatenschutzgrundVO der EU (S. 135 f.); AnwBl 2012, 477; Ewer AnwBl 2012, Trittmacher/Köster, Welchen Wert hat die freie Anwaltswahl bei der Rechtsschutzversicherung für den Verbraucher? VuR 5/2012 Editorial S Trittmacher/Köster VuR 5/2012 Editorial S Trittmacher/Köster VuR 5/2012 Editorial S. 166.

3 VersR 2012 Heft 31 Aufsätze 3 bot mit Erlaubnisvorbehalt. Dieses Konzept, das auf dem Volkszählungsurteil des BVerfG aus dem Jahr beruht, beinhaltet eine sehr einfache Grundregel: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, etwa durch Rechtsanwälte, ist verboten, es sei denn, es liegt eine Einwilligung des Mandanten vor ( 4 a Abs. 1 BDSG) oder aber das Gesetz selbst erlaubt, wie etwa in 28, 29 BDSG, die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Der Wortlaut der wichtigsten straf-, berufs- und datenschutzrechtlichen Normen lautet: StGB Ein Rechtsanwalt, der unbefugt ein fremdes Geheimnis offenbart, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft ( 203 Abs. 1 Nr. 3 StGB). Das Gleiche gilt für die berufsmäßig tätigen Gehilfen der Rechtsanwälte und für diejenigen, die sich auf den Beruf vorbereiten (Referendare) nach 203 Abs. 3 StGB a BRAO/ 2 BORA Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen ( 43 a Abs. 2 BRAO, 2 BORA). 3. Bundesdatenschutzgesetz 6 a) 1 Abs. 3 BDSG Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. b) 4 Abs. 1 BDSG/ 4 a Abs. 1 BDSG Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit der Betroffene eingewilligt hat ( 4 Abs. 1 BDSG). Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht ( 4 a BDSG). c) 9 BDSG Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. d) 11 Abs. 1 BDSG Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften über den Datenschutz verantwortlich. e) 28 BDSG Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten ist zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist ( 28 Abs. 1 Nr. 1 BDSG). Das Gleiche gilt, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt ( 28 Abs. 1 Nr. 2 BDSG). III. Rechtsprechung Die folgende kursorische Rechtsprechungsübersicht gibt jene Entscheidungen wieder, die den Umgang mit personenbezogenen Daten durch Rechtsanwälte berühren. Ausgangspunkt und Grundlage aller dieser Entscheidungen ist das Urteil des BVerfG aus dem Jahr In diesem Urteil hat das BVerfG das subjektive Recht eines jeden Bürgers auf informationelle Selbstbestimmung, sowohl im öffentlichen wie auch im privaten Bereich, entwickelt. Von besonderer Bedeutung für die Anwaltschaft ist ferner das Urteil des KG vom Mit diesem Urteil hat das KG klargestellt, dass ein Rechtsanwalt nicht verpflichtet ist, dem Datenschutzbeauftragten mandatsbezogene Informationen zu geben, die seiner Verschwiegenheitspflicht unterliegen. 1. BGH vom VersR 1995, Eine Bestimmung in einem Kanzleiübernahmevertrag 10, die den Veräußerer auch ohne Einwilligung der betroffenen Mandanten verpflichtet, seine Akten dem Erwerber zu überlassen, ist nichtig BGH vom (NotC 19/89) Das Datenschutzgesetz des Landes Nordrhein-Westfalen ist auf Notare anwendbar. Die hiernach bestehende Verpflichtung ( 23 Abs. 1 DSG NRW 1988), elektronisch geführte Dateien, in denen personenbezogene Daten gespeichert sind, bei dem Landesbeauftragten für Datenschutz anzumelden, widerspricht nicht der Verschwiegenheitspflicht des Notars nach 18 Abs. 1 BNotO BVerfG vom VersR 2008, Anwaltliche Werbung darf auch den Zweck verfolgen, Mandanten zulasten der Konkurrenz zu gewinnen. Insoweit kann die Anwaltssozietät im Internet mit sogenannten Gegnerlisten werben. 4. FG Nürnberg vom (6 K 1286/08) Die Finanzbehörde kann im Rahmen einer Außenprüfung verlangen, dass Unterlagen, die mithilfe eines Datenverarbeitungssystems erstellt worden sind, nach ihren Vorgaben maschinell ausgewertet werden ( 147 Abs. 1 AO). Die Datenbestände sind so zu organisieren, dass bei einer zulässigen Einsichtnahme in die steuerlich relevanten Datenbestände keine geschützten Bereiche tangiert werden können. 5. KG vom (1 Ws [B] 51/07) Die Verschwiegenheitspflicht des Rechtsanwalts schließt die Anwendung des BDSG aus ( 43 a Abs. 2 BRAO i. V. m. 1 Abs. 3 S. 2 BDSG). Der Rechtsanwalt ist nicht verpflichtet, dem Datenschutzbeauftragten mandatsbezogene Informationen zu geben, die seiner Verschwiegenheitspflicht unterliegen OLG Köln vom (Ss 254/00) Die Befugnis zur Offenbarung fremder Geheimnisse i. S. d. 203 StGB kann sich auch aus dem die Rechtsordnung allgemein 5 BVerfG vom BvR 209/83 u. a. NJW 1984, 419 (Volkszählung). 6 BDSG i. d. F. vom BGBl I BVerfG vom BvR 209/83 u. a. NJW 1984, 419 (Volkszählung). 8 KG vom Ws (B) 51/07 NJW 2011, BGH vom VIII ZR 94/94 VersR 1995, Dazu Römermann, Praxisverkauf und Praxisbewertung bei Freiberuflern ein (scheinbar) unlösbares Problem NJW 2012, Im Anschluss an BGH vom VIII ZR 4/91 BGHZ 116, 268 = VersR 1992, 448 (Arztpraxis). 12 Vertiefend Mihm, Datenschutzaufsicht durch den Landesbeauftragten für Datenschutz und Aufsichtsbehörde im Notariat NJW 1998, BVerfG vom BvR 1625/06 VersR 2008, Härting, Anwaltsgeheimnis: Schutz vor dem Datenschutz AnwBl 2011, 50.

4 4 Aufsätze VersR 2012 Heft 31 beherrschenden Grundsätzen über die Abwägung widerstreitender Pflichten oder Interessen ergeben. So kann der Träger eines fremden Geheimnisses (z. B. ein Rechtsanwalt) berechtigt sein, die Schweigepflicht zu brechen, wenn das zur Wahrung eines höherwertigen Rechtsguts erforderlich ist und der Widerstreit der rechtlich geschützten Güter nur durch die Preisgabe des einen und nicht auf andere Weise gelöst werden kann. IV. Verhältnis zwischen Berufsrecht und BDSG Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften des BDSG vor ( 1 Abs. 3 BDSG). Aus dem Wort soweit folgt, dass ein Vorrang des anwaltlichen Berufsrechts ( 43 a BRAO/ 203 StGB) nur im Rahmen des Anwendungsbereichs des Berufsrechts in Betracht kommt. Wenn und soweit das anwaltliche Berufsrecht mit Blick auf personenbezogene Daten gar nicht anzuwenden ist, kann es auch keinen Vorrang dieser Vorschriften geben in diesen Fällen sind die Regeln des BDSG in vollem Umfang anzuwenden 15. Sehr plastisch hat es Sabine Leutheusser-Schnarrenberger formuliert: Berufsrechtliche Verschwiegenheitspflicht und Datenschutzrecht sind, bildlich gesprochen, zwei Kreise mit unterschiedlichen Schutzrichtungen, die sich nur teilweise überschneiden: So reicht die Verschwiegenheitspflicht beispielsweise weiter als das Datenschutzrecht, weil sie nicht nur personenbezogene Daten, sondern alle Geheimnisse umfasst. Und das Datenschutzrecht reicht weiter, weil es nicht auf den Schutz des Mandanten beschränkt ist 16. Auch das KG weist darauf hin, dass die berufsrechtlichen Bestimmungen der BRAO überwiegend den Schutz des Mandanten und das öffentliche Interesse an einer funktionierenden Strafrechtspflege betreffen 17. Dagegen schützt das BDSG sämtliche Personen (auch Gegner des Mandanten), die durch den Umgang des Rechtsanwalts mit personenbezogenen Daten beeinträchtigt werden ( 1 Abs. 1 BDSG). Daraus folgt, dass das anwaltliche Berufsrecht die Regeln des BDSG nur verdrängt, soweit dies berufsrechtlich zwingend erforderlich ist 18. Mandatsbezogene Informationen darf der Rechtsanwalt deshalb auch dem Datenschutzbeauftragten nicht offenbaren 19. Tut er es trotzdem, so wird dies mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft ( 203 Abs. 1 Nr. 3 StGB). Außerhalb der berufsrechtlichen Verschwiegenheitspflichten ist der Rechtsanwalt den Regeln des BDSG unterworfen 20. Gemeint ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Dritter vor allem der Forderungsgegner. Denkbar ist auch der Zugriff der Finanzbehörden auf gespeicherte Daten, etwa im Rahmen einer Außenprüfung ( 147 AO). In diesen Fällen müssen die Datenbestände so organisiert sein, dass bei einer zulässigen Einsichtnahme in die steuerlich relevanten Datenbestände keine geschützten Bereiche tangiert werden können 21. Ganz besonders sensibel ist die Einschaltung externer Dritter in die Verwaltung personenbezogener Daten. Häufig werden Aktenbestände elektronisch ausgelagert. Oft fungieren externe Dienstleister als Telefonzentrale des Rechtsanwalts. Eine Einwilligung der Mandanten in diese Kanzleiorganisation liegt regelmäßig nicht vor 22. Die Grundregeln zur Auftragsdatenverarbeitung ( 11 BDSG) werden nicht oder nicht in vollständigem Umfang beachtet. Oft wird übersehen, dass die externen Dienstleister keine berufsmäßig tätigen Gehilfen des Rechtsanwalts sind, sodass die Auftragsdatenverarbeitung zwar nach dem BDSG zulässig, aber nach 203 StGB dennoch strafbar sein kann 23. Es fehlt regelmäßig an einer formwirksamen Einwilligung des Mandanten in die konkrete Datenverarbeitung ( 4 a BDSG). Besonders problematisch ist das immer selbstverständlicher werdende Cloud Computing, also das Speichern digitaler Unterlagen und Informationen auf Servern externer Anbieter 24. Auch der Präsident des Deutschen Anwaltsvereins, Wolfgang Ewer, weist darauf hin, dass externe PC-Techniker, zertifizierte Aktenvernichtungsunternehmen, Anwaltssoftware zur Speicherung sämtlicher Datenbestände der Kanzlei auf Großrechnern, aus dem anwaltlichen Alltag nicht mehr hinweggedacht werden können 25. Er fordert ergänzende gesetzliche Regelungen, wonach die externen Dienstleister eine berufsspezifische Zuverlässigkeit und persönliche und fachliche Eignung nachweisen müssen und sich gegenüber dem Anwalt so zur Verschwiegenheit verpflichten, dass der Schutz des Mandatsgeheimnisses gewährleistet ist 26. Der Ruf nach dem Gesetzgeber ist sicherlich nicht falsch, greift aber zu kurz. Die Frage ist, ob Mandanten und Dritte nicht durch Qualitätsstandards beim Datenmanagement von Anwälten geschützt werden können. Die Anwälte würden die Qualitätsstandards offenlegen, sodass jeder Mandant und jeder Dritte erkennen kann, in welchem Maß sich ein Anwalt an bestimmte Standards bei der Verwaltung personenbezogener Daten zu halten gedenkt. Durch die Diskussion und Festlegung solcher Qualitätsstandards für Datenmanagement von Rechtsanwälten entsteht ein Marktprozess um Datensicherheit, der selbstverständlich durch gesetzgeberische Maßnahmen flankiert werden kann. Der Vorteil des Marktprozesses ist, dass die Anwälte die Qualitätsstandards selbst in der Hand halten und sachgerecht ent- und fortentwickeln können. Anpassungen an sich verändernde Gewohnheiten und Prozesse sind schnell und ohne bürokratischen Aufwand möglich. Anwälte können darüber hinaus mit den von ihnen verwirklichten Qualitätsstandards im Außenverhältnis werben und sich auf diese Weise auch gegenüber konkurrierenden Kanzleien abgrenzen und profilieren. Die Frage lautet, ob es möglich ist, Qualitätsstandards zu formulieren, denen sich ein Rechtsanwalt freiwillig unterwerfen kann. V. Qualitätsstandards für das anwaltliche Datenschutzmanagement In der Literatur herrscht Einigkeit darüber, dass vom Rechtsanwalt Kundenorientierung und striktes Qualitätsmanagement ge- 15 KG vom Ws (B) 51/07 NJW 2011, 324 m. w. N.; Kazemi, Datenschutz in der Anwaltskanzlei in Mitgliederbrief des Bayrischen Anwaltsverbands 2011, 6; Eberhardt, Rechtsschutzversicherung im Wandel in Gedächtnisschrift für Ulrich Hübner 2012 (im Erscheinen) S Leutheusser-Schnarrenberger AnwBl 2012, KG vom Ws (B) 51/07 NJW 2011, KG vom Ws (B) 51/07 NJW 2011, KG vom Ws (B) 51/07 NJW 2011, 324; weiter gehend Rüpke, Datenschutz, Mandatsgeheimnis und anwaltliche Kommunikationsfreiheit NJW 2008, 1121; Mehr Rechtssicherheit für anwaltliche Datenverarbeitung ein Vorschlag zur informationsrechtlichen Ergänzung der Bundesrechtsanwaltsordnung ZRP 2008, 87; Anwaltsrecht und Datenschutzrecht NJW 1993, 3097; Freie Advokatur, anwaltliches Berufsgeheimnis und datenschutzrechtliche Kontrollbefugnisse RDV 2003, Vertiefend Weichert, Datenschutz auch bei Anwälten? NJW 2009, 550 (552); Redeker, Datenschutz auch bei Anwälten aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis NJW 2009, 554; so auch KG vom Ws (B) 51/07 NJW 2011, FG Nürnberg vom K 1286/08 DStR 2010, Kazemi aao (Fn. 15). 23 Kazemi aao (Fn. 15). 24 Leutheusser-Schnarrenberger AnwBl 2012, Ewer AnwBl 2012, Ewer AnwBl 2012, 476.

5 VersR 2012 Heft 31 Aufsätze 5 fordert wird 27. Maß aller Dinge sind die Bedürfnisse des Mandanten 28. Daneben ist der Anwalt Organ der Rechtspflege 29. Aus diesen beiden Polen sind Qualitätsmaßstäbe für das anwaltliche Datenschutzmanagement zu entwickeln. Qualitätsstandards für anwaltliches Datenmanagement können aus drei Sachkategorien entwickelt werden. Der Mindeststandard enthält die gesetzlich zwingend erforderlichen Vorkehrungen und Vereinbarungen. Für diesen Mindeststandard bietet es sich an, das Symbol D (für Datenmanagement) zu vergeben. Die zweite Kategorie, der Basisstandard, nimmt Verhaltensweisen und Vereinbarungen mit auf, die rechtlich nicht zwingend notwendig sind, aber den Datenschutz im Sinne eines best practise optimieren für den Basisstandard empfiehlt sich das Kürzel DD. Die dritte Kategorie, der Höchststandard, umfasst Vereinbarungen und Verhaltensweisen, die aus der Perspektive der Mandantschaft und der Rechtsordnung einen besonders sensiblen Umgang mit anwaltlichen Daten oberhalb gesetzlicher Vorschriften umsetzen. Es geht in diesem Fall um die Verwirklichung wissenschaftlicher Datenschutzstandards soweit vorhanden. Ferner werden mandantengerechte, individualisierte Datenschutzkonzepte quasi maßgeschneidert. Dies rechtfertigt die Vergabe von DDD. VI. Mindeststandard (D) 1. Das Mandatsverhältnis a) Einwilligung des Mandanten Nach 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Da anwaltliche Datenverarbeitung weder vom BDSG noch von anderen Rechtsvorschriften erlaubt oder angeordnet ist, kommt es entscheidend auf die Einwilligung an. Der Mandant muss in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten einwilligen. Dies umfasst die Einwilligung, externe Dienstleister in das Datenschutzmanagement mit einzubeziehen ( 11 BDSG). Gemeint sind etwa IT-Dienstleister, Schreib- und Telefondienste, Buchhaltung oder Aktenvernichtung, aber auch die Hersteller von Anwaltssoftware, die die externe Speicherung sämtlicher Datenbestände der Kanzlei auf Großrechnern anbieten, sodass der Anwalt einen Großteil seiner Tätigkeit über das Notebook oder über das Tablet erledigen kann. Die Einwilligung des Mandanten in diese weitgehend IT-basierten Dienstleistungen ist für den Anwalt auch deshalb von besonderer Bedeutung, weil sich seine Strafbarkeit ( 203 Abs. 1 Nr. 3 StGB) allein nach dem ausdrücklichen und konkludenten Einverständnis oder der mutmaßlichen Einwilligung des betroffenen Mandanten ergibt 30. Die externen Dienstleister, die Mandatsgeheimnisse offenbaren, sind übrigens nicht nach 203 StGB strafbar, weil 203 Abs. 3 StGB nur berufsmäßig tätige Gehilfen des Anwalts diesem gleichstellt. Mit berufsmäßig tätigen Gehilfen sind Fachangestellte, Mitarbeiter im Sekretariat, Referendare und sonstige in der Kanzlei angestellte Mitarbeiter gemeint, nicht jedoch externe Dienstleister 31. Bedenkt man, dass die moderne Anwaltskanzlei ohne externe Dienstleister heute praktisch nicht mehr existieren kann, erscheint die strafrechtliche Privilegierung für externe Dienstleister nicht mehr zeitgemäß 32. b) Unverschlüsselter -Verkehr Der unverschlüsselte -Verkehr zwischen Anwalt und Mandanten ist prinzipiell ohne größere Probleme für interessierte Dritte zugänglich und abhörbar. Dies bedeutet, dass eine Anwaltskanzlei, die den Mindeststandard (D) erfüllen will, zwei Möglichkeiten hat: Entweder sie verzichtet auf den unverschlüsselten -Verkehr mit dem Mandanten und beschränkt sich auf Briefe und Faxe. Stattdessen könnte die Anwaltskanzlei den Mandanten um eine Einwilligung in den unverschlüsselten E- Mail-Verkehr nach 4 a Abs. 1 BDSG bitten. Die Einwilligung muss auf der freien Entscheidung des Mandanten beruhen. Der Mandant ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung und auf die Folgen der Verweigerung der Einwilligung hinzuweisen ( 4 a Abs. 1 S. 2 BDSG). Die Einwilligung bedarf der Schriftform ( 4 a Abs. 1 S. 3 BDSG). Will die Kanzlei ohne Einwilligung des Mandanten am - Verkehr teilnehmen, so muss sie mit Verschlüsselungen arbeiten die damit verbundenen Anforderungen betreffen die Stufe DD. c) Insbesondere: Cloud Computing Im Ergebnis heißt dies, dass der Mandant in die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten, insbesondere im -Verkehr und gegenüber externen Dienstleistern, einwilligen muss. Dies gilt in besonderer Weise, wenn die Kanzlei am Cloud Computing, also dem Speichern digitaler Unterlagen und Informationen auf Servern externer Anbieter, teilnimmt 33. Cloud Computing wirft die Grundfrage auf, ob Datensicherheit im Sinne der anwaltlichen Verschwiegenheitspflicht überhaupt noch gewährleistet werden kann. Ein Anwalt, der am Cloud Computing teilnimmt, muss dem Mandanten im Einzelnen erklären, dass seine Daten über das Internet ungerichtet verteilt sind. Der Zugriff auf diese Daten kann nicht mehr kontrolliert werden. Die Teilnahme am Cloud Computing wirft die Frage auf, ob eine solche Teilnahme nicht die anwaltliche Verschwiegenheitspflicht nach 43 a BRAO automatisch verletzt. In jedem Fall muss aber die Einwilligungserklärung des Mandanten ausdrücklich auf das Cloud Computing bezogen sein und dem Mandanten muss im Einzelnen erklärt worden sein, welche Gefahren sich für ihn aus dem Cloud Computing ergeben können ( 4 a Abs. 1 S. 2 BDSG) Einwilligung Dritter Hierneben müsste es auch eine Einwilligung aller Personen geben, deren Daten im Zusammenhang mit dem Mandatsverhältnis 27 Jahn/Palm, Outsourcing in der Kanzlei: Verletzung von Privatgeheimnissen? AnwBl 2011, 613; unter Hinweis auf Krämer, Zum Qualitätsverständnis anwaltlicher Rechtsberatung NJW 1996, 2354 und Zuck, Die notwendige Reform des anwaltlichen Berufsund Standesrechts NJW 1988, 175 (179). 28 Jahn/Palm AnwBl 2011, 613; unter Hinweis auf Streck AnwBl 1996, 57 (62); Steinbrück, Zertifizierung von Anwaltskanzleien nach DIN EN ISO 9000 ff. Total Quality Management in der Anwaltskanzlei NJW 1997, Vertiefend Härting, IT-Sicherheit in der Anwaltskanzlei das Anwaltsgeheimnis im Zeitalter der Informationstechnologie NJW 2005, 1248 (1250) m. w. N.; Filges, Die Zukunft des anwaltlichen Berufsrechts nach der Reform ist vor der Reform NJW 2010, 2619 (2621 f.). 30 Härting NJW 2005, 1248 (1249) m. w. N. 31 Härting NJW 2005, 1248 (1249) m. w. N. 32 Härting NJW 2005, 1248 (1249) m. w. N. 33 Vertiefend Leutheusser-Schnarrenberger AnwBl. 2012, 477; Härting, IT-Sicherheit und Berufsrecht das Anwaltsgeheimnis im Zeichen von Cloud Computing ITRB 2011, 242; vertiefend Maisch/ Seidel, Cloud-Nutzung für Berufsgeheimnisträger 203 StGB als Show Stopper? Datenschutz Berater 2012, 127 die Verfasser verwechseln allerdings die vorherigen Zustimmung (Einwilligung: 183 BGB) mit der nachträglichen Zustimmung (Genehmigung: 184 BGB) und kommen deshalb zu nicht ganz überzeugenden Schlussfolgerungen. 34 In diesem Sinn auch die Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom S. 25 abrufbar unter

6 6 Aufsätze VersR 2012 Heft 31 erhoben, verarbeitet und genutzt werden. Das sind insbesondere die Forderungsgegner oder sonstige Dritte, z. B. Unfallbeteiligte und Zeugen. Normalerweise müssen Personen von der Speicherung ihrer Daten benachrichtigt werden ( 33 Abs. 1 BDSG). Eine für die Anwaltschaft äußerst wichtige Ausnahme gibt es in 33 Abs. 2 Nr. 3 BDSG. Danach besteht die Benachrichtigungspflicht nicht, wenn die Daten wegen des überwiegenden rechtlichen Interesses eines Dritten (gemeint ist der Mandant) wie üblich geheim gehalten werden müssen. Ist die Speicherung der Daten im Rahmen des Mandantschaftsverhältnisses jedoch nicht mehr erforderlich, so sind sie zu löschen ( 35 Abs. 2 Nr. 3 BDSG). 3. Technische und organisatorische Maßnahmen ( 9 BDSG) Nach 9 BDSG haben Anwälte die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die vom BDSG und den Datenschutzgesetzen der Länder geforderte Datensicherheit zu gewährleisten. Dabei sind Maßnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Mit Blick auf diese technischen und organisatorischen Maßnahmen des BDSG geht es einerseits um die Organisation des Anwaltsbüros und andererseits um die kanzleiinterne Datensicherheit. a) Organisation des Anwaltsbüros Sämtliche Anwälte, Referendare und Mitarbeiter der Kanzlei sind Geheimnisträger nach 203 Abs. 1 Nr. 3 StGB. Sie sind deshalb verpflichtet, Mandantengeheimnisse nicht zu offenbaren 35. Ein Geheimnis kann auch durch Unterlassen offenbart werden ( 13 StGB). Mitarbeiter, die über ihre PC-Bildschirme Zugang zu sensiblen Mandatsdaten haben, müssen folglich beim Verlassen des Arbeitsplatzes den Zugang zum Bildschirm sperren. Das gilt nicht nur bei Antreten der Mittagspause oder des Feierabends, sondern auch dann, wenn man den Arbeitsplatz für eine kürzere Zeitspanne verlässt (Gang zur Toilette), es sei denn, die Kanzlei verfügt über räumliche Vorkehrungen im Sinne von Chinese Walls. Gemeint ist, dass der Zugang zum Sekretariat oder zum jeweiligen Anwaltsarbeitsplatz nur mittels Schlüssel oder Transponder möglich ist. Bei Zugang zu besonders sensiblen Daten sind die Schlüssel/Transponder nur ausgesuchten autorisierten Mitarbeitern zugewiesen. Wenn und soweit der Zugang zu den Räumlichkeiten auf diese Weise für unbefugte Dritte weitgehend geschützt ist, müssen die Bildschirme beim Verlassen des Arbeitsplatzes nicht unbedingt gesperrt werden. Soweit räumliche Vorkehrungen wie beschrieben nicht bestehen, ist dagegen eine Sperrung der Bildschirme unabdingbar, einerseits um den Anforderungen des 203 StGB zu genügen, aber auch um die Vertraulichkeit gegenüber dem Mandanten nach 43 a BRAO zu wahren. Anwaltskanzleien, die nicht über Chinese Walls verfügen, müssen Arbeitsanweisungen zur Sperrung des Bildschirms beim Verlassen des Arbeitsplatzes vorhalten und der Beauftragte für den Datenschutz muss die Sperrung der Bildschirme im Einzelfall zumindest stichprobenartig in wiederkehrenden Abständen kontrollieren. Geheimnisse können auch offenbart werden, weil es innerhalb der Kanzlei für die Mandanten keine Diskretionszonen gibt. Mandanten, die beispielsweise in einem Vorzimmer der Kanzlei gemeinsam warten, können aus der bloßen Anwesenheit bestimmter (bekannter) Personen Rückschlüsse ziehen. Noch problematischer wird es, wenn der Mandant zum Gespräch etwa mit den Worten aufgerufen wird: Herr Meier in der Familiensache Meier./. Meier. Um konkludente Offenbarungen dieser Art zu vermeiden, muss es Diskretionszonen im Empfangsbereich und getrennte Wartezimmer oder aber ein Besuchsmanagement geben, das Mandanten und Drittbegegnungen weitgehend vermeidet. Korrespondierend zur Sperrung der PC-Arbeitsplätze müssen die klassischen Akten in Papierform so unter Verschluss gehalten werden, dass sie unbefugten Dritten nicht zugänglich sind. Das setzt im Regelfall eine Büroorganisation mit (verschließbaren) Aktenschränken oder Räumen voraus, die nur für besonders autorisierte Mitarbeiter mithilfe von Schlüsseln/Transpondern betretbar sind. b) Kanzleiinterne Datensicherheit Mandantengeheimnisse können auch offenbart werden, weil das kanzleiintern praktizierte System der Datensicherheit nicht dem Stand der Technik entspricht. Die Grundfrage lautet, ob der Kanzlei überhaupt bewusst ist, dass es IT-Systeme mit unterschiedlicher Datensicherheit 36 gibt und dass die Kanzlei sich für ein System entschieden hat, das aus der Perspektive ihrer Mandantenbedürfnisse die größtmögliche Sicherheit bietet. Hat also zunächst einmal ein Sicherheitssystemvergleich stattgefunden und wird ein solcher Vergleich mit daraus resultierender Aktualisierung der Software in regelmäßigen Abständen (je nach technischer Entwicklungsgeschwindigkeit) durchgeführt? Eine nicht ganz unwichtige Kontrollfrage im Hintergrund lautet, ob die Kanzlei für den Fall, dass Hardware oder Software ausgetauscht werden müssen, entsprechende bilanzielle Rückstellungen gebildet hat. Grundsätzlich sind die personenbezogenen Daten durch anerkannte kryptografische Verfahren zu verschlüsseln. Damit können Dritte die gespeicherten Daten ohne Besitz des Zugangsschlüssels nur unter Aufwendung immenser Kosten auslösen. Auch Cloud-Dienste können genutzt werden, wenn sie innerhalb der EU liegen und die sensiblen Daten durch Verschlüsselung geschützt sind. Je nach Größe der Kanzlei und Strukturierung der Mandantschaft ist es sinnvoll, über die technische Trennung von Daten innerhalb der Facharbeitsgruppen und Sekretariate nachzudenken. Je mehr Datentrennung stattfindet, je weniger Menschen Zugriff auf Daten haben, desto geringer ist die Gefahr der Offenbarung von Geheimnissen. Kontrollfragen lauten: Werden getrennte Datenverarbeitungssysteme benutzt, sind Firewalls installiert, gibt es eine Verwaltung und Einschränkung von Benutzerrechten, sind Regeln für den sicheren Passwortgebrauch, für das Sperren und Löschen von Daten festgelegt und werden vertrauliche Informationen vor Wartungsarbeiten am IT-System gelöscht? Sehr wichtig ist auch, ob Antivirensoftware eingesetzt wird, ob bei jedem Virenbefall der Datenschutzbeauftragte informiert wird und ob immer beachtet wird, dass das Arbeiten mit virenverseuchten Datenträgern und Hardware unterlassen wird. Genau besehen müssen Fragen dieser Art permanent fort- und weiterentwickelt werden, je nach Stand der Technik. Auf der einen Seite stehen Techniken zum Schützen und zum Separieren von Daten (Signatur-/Verschlüsselungssysteme), auf der anderen Seite steht die Technik des Datenhacking und der Datensabotage durch Viren. Beide Bereiche reagieren aufeinander und entwickeln sich fort. 4. Auftragsdatenverarbeitung ( 11 BDSG) Werden personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt, so ist der Auftraggeber (Anwalt) für die Einhal- 35 Zu den derzeitigen Tatbestandsgrenzen und der Diskussion darüber: vertiefend Jahn/Palm AnwBl 2011, 613 (615 ff.); Rüpke, Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts ein quasi-datenschutzrechtliches Missverständnis zu 203 StGB? NJW 2003, Hierzu zum Stichwort Informationssicherheit org/wiki/informationssicherheit sensibledaten verschl. C3. BC sseln.

7 VersR 2012 Heft 31 Aufsätze 7 tung des Datenschutzrechts verantwortlich ( 11 Abs. 1 BDSG). Der Anwalt muss den Auftragnehmer (z. B. externer IT-Dienstleister) unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen und kontrollieren ( 11 Abs. 2 S. 1 BDSG). Der Auftrag ist schriftlich zu erteilen; wobei im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 [BDSG] zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach [ 11 Abs. 4 BDSG] bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Das Outsourcing der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten auf externe Dienstleister ist also im Rahmen von 11 BDSG möglich, wenn der Auftrag schriftlich erteilt wird und die im Einzelnen genannten Festlegungen erfolgen. Die in 11 Abs. 2 in den Nr. 1 bis 10 genannten Festlegungen werden mit dem Wort insbesondere eingeleitet. Dies bedeutet, dass es auch Festlegungen geben kann, die außerhalb der Nr. 1 bis 10 (ergänzend) notwendig sind. So liegt es beispielsweise nahe, mit dem externen Dienstleister ausdrücklich zu vereinbaren, dass dieser am Cloud Computing nicht oder nur verschlüsselt innerhalb der EU teilnimmt. Der Abschluss eines Vertrags zur externen Auftragsdatenverarbeitung ist im Rahmen des 11 BDSG ohne Weiteres zulässig. Gegenüber dem Mandanten bedarf die externe Auftragsdatenverarbeitung aber der Einwilligung 37. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Mandanten beruht ( 4 a Abs. 1 BDSG). Die Entscheidung des Mandanten kann nur frei sein, wenn ihm der vorgesehene Zweck der Auftragsdatenverarbeitung durch externe Dienstleister angemessen deutlich gemacht wird. Dazu gehört nicht nur der allgemeine Hinweis auf die Datenverarbeitung durch externe Dritte, sondern auch die Darlegung, welche Dienstleistungen im Einzelnen ausgelagert werden, nach welchen Kriterien die externen Dienstleister ausgesucht wurden, in welcher Weise der Anwalt den externen Dienstleister kontrolliert und welche nicht wegzudiskutierenden Risiken bei der Datenverarbeitung aus der Einschaltung des externen Dienstleisters entstehen. Ganz besonders wichtig ist der Hinweis, dass der externe Dienstleister und sämtliche Personen, die bei ihm beschäftigt sind, ausdrücklich zur Verschwiegenheit verpflichtet wurden ( 2 Abs. 4 BORA) Datenschutzbeauftragter Anwaltskanzleien, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen ( 4 f Abs. 1 BDSG) 39. Dies gilt nicht, wenn höchstens neun Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind ( 4 f Abs. 1 S. 3 BDSG). In diesem Fall hat der Leiter der Kanzlei die Erfüllung der Aufgaben des Beauftragten für den Datenschutz in anderer Weise sicherzustellen ( 4 g Abs. 2 a BDSG). Die Kontrollpflichten des Datenschutzbeauftragten betreffen die Daten, die nicht dem Anwaltsgeheimnis unterfallen 40. Der Datenschutzbeauftragte wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin ( 4 g Abs. 1 BDSG). Zu diesem Zweck kann sich der Beauftragte in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständigen Behörde wenden ( 4 g Abs. 1 S. 2 BDSG). Er kann die Beratung nach 38 Abs. 1 S. 2 BDSG in Anspruch nehmen. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten ( 4 g Abs. 1 Nr. 1 BDSG). Außerdem hat er die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Vorschriften des BDSG sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen ( 4 g Abs. 1 Nr. 2 BDSG). 6. Zwischenergebnis Der gesetzliche Mindeststandard (D), den jede Anwaltskanzlei einzuhalten hat, setzt sich somit zusammen aus: der Einwilligung des Mandanten zur Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten nach 4, 4 a BDSG; bei Teilnahme am Cloud Computing müssen dem Mandanten die mit dem Cloud Computing verbundenen Datenunsicherheiten unmissverständlich vor Augen geführt worden sein; Datenschutzgerechte Organisation des Anwaltsbüros; Datenschutzgerechte kanzleiinterne Datensicherheit, insbesondere Verschlüsselung der Daten, sodass Dritte keinen Zugriff nehmen können; Bei externer Auftragsdatenverarbeitung Abschluss eines schriftlichen Vertrags ( 11 BDSG), auf den sich die Einwilligung ( 4 a Abs. 1 BDSG) beziehen muss; Bestellung eines Beauftragten für den Datenschutz. VII. Basisstandard (DD) Der Basisstandard (DD) nimmt zunächst einmal die Kriterien des Mindeststandards (D) in sich auf, erweitert diese aber um An- 37 Brisch, Outsourcing in der Anwaltskanzlei Kammerforum-Mitteilungen der Rechtsanwaltskammer Köln 2010 H. 1 S. 3 bis Ein Beispiel für die Verschwiegenheitserklärung findet sich bei Jahn/Palm (AnwBl 2011, 613 [614 f.]) eine Vertragsstrafe enthält die Verschwiegenheitserklärung, die ein Anbieter für externe Dienstleistungen entwickelt hat, allerdings nicht. Da die externen Dienstleister nach dem derzeitigen Rechtszustand von der Strafdrohung des 203 StGB bei der Offenbarung von Geheimnissen ausgenommen sind, wäre eine Kompensation dieser Rechtsschutzlücke durch eine (freiwillige) Vertragsstrafe für besonders sorgfältige Kanzleien und externe Dienstleister naheliegend und erwägenswert. 39 Schöttle, Datenschutzkontrolle in der Anwaltskanzlei AnwBl 2005, 740; Sassenberg/Schulz, Anwaltskanzlei und Datenschutzbeauftragter AnwBl 2007, 769; Redeker, Datenschutz auch bei Anwälten aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis NJW 2009, 554; Abel (Hrsg.), Datenschutz in Anwaltschaft, Notariat und Justiz 2. Aufl passim; Rüpke, Freie Advokatur, anwaltliche Informationsverarbeitung und Datenschutzrecht 1995 passim. 40 Härting NJW 2005, 1248 (1250); Rüpke, Ein Beauftragter für den Datenschutz in der Anwaltskanzlei AnwBl 2004, 552 (555).

8 8 Aufsätze VersR 2012 Heft 31 forderungen, die oberhalb der gesetzlichen Anforderungen des BDSG liegen. Diese Anforderungen können sich im Zeitablauf verändern, etwa durch die Weiterentwicklung von Technik, aber auch durch Eingriffe des Gesetzgebers. Deshalb können hier die Anforderungen an den Basisstandard (DD) nur angedeutet werden. Es handelt sich zudem um einen Diskussionsvorschlag, der keinen Anspruch auf Vollständigkeit erhebt. 1. Mandantenaufnahmebogen Eine Kanzlei, die mit DD zertifiziert sein will, müsste die Datenerhebung durch einen Mandantenaufnahmebogen dokumentieren. Innerhalb dieses Mandantenaufnahmebogens müsste der Mandant strukturiert und standardisiert über die verwendete Datensicherheitsarchitektur innerhalb der Kanzlei informiert werden. 2. Verschlüsselungsstandards Eine mit DD zertifizierte Kanzlei muss auf die Einwilligung des Mandanten in den unverschlüsselten -Verkehr verzichten und stattdessen mit anerkannten Verschlüsselungsstandards arbeiten. In Betracht kommt der Standard Pretty Good Privacy (PGP), ein Verschlüsselungs- und Authentifizierungsverfahren, das von der Firma Symantec kostenpflichtig angeboten wird. Unter der Bezeichnung GnuPG existiert daneben eine kostenfreie Variante. Wichtig ist, dass der Austausch der Schlüssel nicht über eine unverschlüsselte erfolgt, weil diese leicht abgefangen und im Internet mitgelesen werden kann. Der Austausch sollte deshalb per Briefpost erfolgen. Insgesamt ist dieses Verfahren wegen der Software-Installation und dem Schlüsselaustausch für beide Seiten mit relativ großem Aufwand verbunden. Als Alternative kommt die Webakte minus Mandant von e.consult in Betracht. Der Rechtsanwalt richtet die Webakte ein. Der Mandant erhält die Zugangsdaten direkt von seinem Anwalt. Der Anwalt weist den Mandanten per unverschlüsselter darauf hin, dass es neuen Posteingang gibt. Der Mandant, der die Korrespondenz lesen möchte, muss sich nur mit seinen Zugangsdaten über eine verschlüsselte Verbindung im Internet anmelden und kann dort den Posteingang lesen und innerhalb des Systems auch verschlüsselte Nachrichten und Dokumente an den Anwalt versenden. Dieses Verfahren verursacht beim Mandanten weniger Aufwand, da keine Software installiert werden muss. Jeder Internetzugang reicht aus. Der Mandant ist an ähnliche Verfahren, etwa beim Onlinebanking oder auch beim Kunden-Log-in verschiedener Versicherer wie beispielsweise auf huk24.de gewöhnt. 3. Cloud Computing Cloud-Dienste können genutzt werden, wenn sie innerhalb der EU liegen und die Daten durch Verschlüsselung geschützt sind. VIII. Höchststandard (DDD) Kanzleien, die auf den Höchststandard (DDD) Wert legen, sollten ein Datenschutzniveau verwirklichen, das weit oberhalb der gesetzlichen Anforderungen liegt und sich ausschließlich an den Wünschen und Bedürfnissen der Mandanten auf der einen Seite und der Funktionsfähigkeit der Rechtsordnung auf der anderen Seite orientiert. Nicht alle Mandanten werden Wert auf ein solches überobligatorisches, fakultatives Datenschutzmanagement legen. Mandanten aber, die etwa, wie große oder mittlere Unternehmen, Ministerien oder Bundesoberbehörden, über höchst sensible Daten verfügen, werden Wert auf eine Datenschutzarchitektur legen, die höchsten Ansprüchen genügt und permanent (täglich) fortentwickelt und angepasst wird. Die daraus resultierenden Kanzleimehrkosten werden von dieser Mandantschaft akzeptiert werden. Es ist nicht ganz einfach, einen Katalog von Anforderungen aufzustellen, der den allerhöchsten Wünschen und Bedürfnissen an eine adäquate Datensicherheitsarchitektur entspricht. Es geht um die Verwirklichung eines Standards, der oberhalb vom Stand der Technik liegt (wissenschaftlicher Standard). Es wird eine mandantengerechte, individuelle, also maßgeschneiderte Datensicherheitsarchitektur für den jeweiligen Einzelfall entwickelt. Auch hier können die Anforderungen an den Höchststandard (DDD) nicht endgültig festgelegt, sondern nur angedeutet werden. 1. DIN EN ISO 9001 Eine Kanzlei, die den Höchststandard (DDD) ausweisen will, muss nach DIN EN ISO 9001 zertifiziert sein. Mit ISO 9001 werden Verfahrensabläufe in der Kanzlei als Standardprozesse definiert und an den Anforderungen für ein Qualitätsmanagement gemessen. Diese Anforderungen sind vor allem für formale Abläufe wie Fristwahrungen aber auch für die sensiblen Belange des Datenschutzes bedeutsam 41. Gerhard Richter weist darauf hin, dass mit ISO 9001 die Implementierung grundlegender Arbeitsabläufe gewährleistet werden soll der Servicegedanke gegenüber dem Kunden wird mit Leben erfüllt Externe Sicherheitstests Eine DDD-zertifizierte Kanzlei muss sich durch externe Sicherheitstester überprüfen und kontrollieren lassen. Die Tests müssen nicht immer, aber gelegentlich unangemeldet durchgeführt werden. Der Sicherheitstester sollte mit dem Zertifizierer nicht identisch sein, um Interessenkonflikte auszuschließen. In der Praxis werden externe Dienstleister wie DETACK, Cirsoec und n.runs empfohlen. 3. Verschlüsselte Kommunikationswege Zunächst einmal sind die Verschlüsselungsstandards, die schon für DD Geltung beanspruchen, auch hier zu verwenden. Darüber hinaus ist die ist die Kommunikation über zertifizierte und verschlüsselte Kommunikationswege zu führen. In Betracht kommt etwa die Kommunikation über das GDV-Branchennetz, wenn es um eine Kommunikation mit Versicherern oder Sachverständigen geht. Im Verkehr mit Behörden geht es um den OSCI-Standard. Im Mandantenverkehr müsste mit qualifizierten Signaturen nach dem Signaturgesetz gearbeitet werden, sodass die Authentizität des Absenders und die Verschlüsselung der Daten sichergestellt ist. Die Kanzlei nimmt am Black-Box-Verfahren teil, ein Verfahren, mit dem personenbezogene Daten vollständig verschlüsselt hochgeladen werden. 4. Cloud Computing Die Kanzlei nimmt an den Cloud-Diensten im Grundsatz nicht teil. Eine Ausnahme kann nur dann gelten, wenn die Dienste durch Formen der Verschlüsselung nahezu absolut sicher sind. 5. Risikomesssystem Schließlich stellt sich die Frage nach einem kanzleiinternen Risikomesssystem für alternative Datenverarbeitung. Es handelt sich um ein Risikomesssystem, ganz ähnlich demjenigen, das Unternehmen im Rahmen von 91 Abs. 2 AktG zur Messung unter- 41 Eberhardt, Recht haben und Recht bekommen ein Expertengespräch, abrufbar auf Lawyerslife.de. 42 Richter, Freie Anwaltswalt (Analyse, Standpunkt und Ausblick) abrufbar unter Lawyerslife.de.

9 VersR 2012 Heft 31 Aufsätze 9 nehmerischer Risiken verwenden müssen. Im Rahmen eines solchen Risikomesssystems würden auf der einen Seite die Risiken aus einer kanzleiinternen Datenverarbeitung den Risiken bei einer kanzleiexternen Datenverarbeitung gegenübergestellt werden. Parallel werden die Kosten zur Vermeidung der jeweiligen Risiken ermittelt. Ergänzend wird der Schaden geschätzt, der einerseits dem Mandanten und andererseits der Rechtsordnung bei Eintreten der verschiedenen verbleibenden Risiken entstehen könnte. Auf der Grundlage einer derart erarbeiteten Risikomatrix wird sodann das Mandantengespräch geführt und zusammen mit dem Mandanten wird abgewogen, welche Risiken man im Ergebnis eingeht und welche besser nicht. Diese Risikoeinschätzung ist für den Mandanten zugleich die Grundlage seines eigenen Risikomesssystems nach 91 Abs. 2 AktG und der daraus resultierenden bilanziellen Drohverlustrückstellungen. Szenarien dieser Art sind etwa denkbar in Fällen, in denen es um große Massenschäden mit drohendem Strafschadensersatz (punitive damages), etwa in den USA, geht. IX. Wesentliche Ergebnisse 1. Qualitätsstandards, die zur Grundlage von Empfehlungen für Rechtsschutzversicherer/Prozessfinanzierer gemacht werden können, sind möglich. 2. Es wird ein dreistufiges Zertifizierungssystem vorgeschlagen, bestehend aus: Mindeststandard (D), Basisstandard (DD) und Höchststandard (DDD). 3. Die Zertifizierung kann durch (private) Zertifizierer erfolgen. 4. Der Mindeststandard (D) setzt sich zusammen aus: der Einwilligung des Mandanten zur Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten nach 4, 4 a BDSG; bei Teilnahme am Cloud Computing müssen dem Mandanten die mit dem Cloud Computing verbundenen Datenunsicherheiten unmissverständlich vor Augen geführt worden sein; datenschutzgerechte Organisation des Anwaltsbüros; Datenschutzgerechte kanzleiinterne Datensicherheit, insbesondere Verschlüsselung der Daten, sodass Dritte keinen Zugriff nehmen können; Bei externer Auftragsdatenverarbeitung Abschluss eines schriftlichen Vertrags ( 11 BDSG), auf den sich die Einwilligung ( 4 a Abs. 1 BDSG) beziehen muss; Bestellung eines Beauftragten für den Datenschutz. 5. Der Basisstandard (DD) nimmt die Kriterien des Mindeststandards (D) in sich auf und erweitert diese um Anforderungen, die gesetzlich nicht zwingend gefordert werden. Dazu gehören insbesondere die Dokumentation im Rahmen eines Mandantenaufnahmebogens und die Verschlüsselung des -Verkehrs, einschließlich Cloud Computing. 6. Der Höchststandard (DDD) verwirklicht eine Datenschutzarchitektur auf wissenschaftlichem Niveau. Entwickelt wird für den Einzelfall eine mandantengerechte, individuell-maßgeschneiderte Datenschutzarchitektur, verbunden mit externen Sicherheitschecks. Impressum Herausgeber Verlag Versicherungswirtschaft GmbH, Karlsruhe Hauptschriftleitung Prof. Dr. Egon Lorenz Weitere Mitglieder der Schriftleitung RA Dr. Peter Bach (Versicherungsvertragsrecht), VRiOLG a. D. Lothar Jaeger (Berufs- und Amtshaftungsrecht), Prof. Dr. Dirk Looschelders (Internationales Privatrecht und betriebliche Altersversorgung), Prof. Dr. Peter Reiff (Transportrecht, Verfahrens- und Kostenrecht, Auslandsrecht), Prof. Dr. Manfred Wandt (Grundlagen des Versicherungsrechts, allgemeines Haftungsrecht und angrenzende Gebiete) Redaktion Sibylle Bierhalter -168, Michael Göpfrich -134, Susanne Mir Motahari-Ferber -138, Katharina Wurm -135, Telefax Postanschrift Verlag Versicherungswirtschaft GmbH Klosestraße 20 24, Karlsruhe Postfach 6469, Karlsruhe Telefon , Telefax Internet: vvw.de Bitte geben Sie bei Zuschriften an den Verlag immer Ihre Kundennummer an. Geschäftsführer Wolfgang Knippenberg, Rechtsanwalt Anzeigen Benjamin Bittmann -119, Claudia Dinges -139, Telefax Abonnementbetreuung Günther Schnauder -131, Telefax Herstellung Leitung: Marina Hummel -154, Oliver Brenner -140, Vertrieb/Marketing Bernd Walter -114, Konto Landesbank Baden-Württemberg, Stuttgart BLZ , Konto SWIFT SOLADEST IBAN DE Umsatzsteuer-Identifikationsnummer DE Druck Druck + Verlagsgesellschaft Südwest mbh, Karlsruhe Manuskripte Der Verlag haftet nicht für unverlangt eingesandte Manuskripte. Die Entscheidung über Annahme oder Ablehnung wird dem Einsender nach Vorliegen des vollständigen druckfertigen Manuskripts schriftlich bekannt gegeben. Im Fall der Annahme erwirbt der Verlag das ausschließliche Verlagsrecht bis zum Ablauf des Urheberrechts sowie die ausschließliche Befugnis zur Einspeicherung in eine Datenbank oder zu jeglicher Vervielfältigung und Verbreitung online oder offline ohne zusätzliche Vergütung. Frühestens nach Ablauf eines Jahres nach Veröffentlichung kann ein Nachdruck in einer Publikation eines anderen Verlags erfolgen, jedoch nur mit vorheriger Genehmigung und einer genauen Quellenangabe. Das Recht für die elektronische Verwertung bleibt beim Verlag. Urheber- und Verlagsrechte Die Zeitschrift und alle veröffentlichten Beiträge sind urheberrechtlich geschützt. Dies gilt auch für veröffentlichte Gerichtsentscheidungen und Leitsätze, soweit sie redaktionell oder vom Einsender redigiert bzw. erarbeitet wurden. Der Rechtsschutz erstreckt sich auch auf Datenbanken und andere elektronische Medien und Systeme. Kein Teil dieser Zeitschrift darf außerhalb der engen Grenzen des Urheberrechtsgesetzes ohne vorherige schriftliche Genehmigung des Verlags in irgendeiner Form reproduziert oder in eine maschinell oder elektronisch verwendbare Sprache übertragen werden. Durch Mitgliedschaft in der Vereinigung Presse Internationale des Assurances (PIA) laufender Austausch von Informationen mit anderen führenden europäischen Fachzeitschriften. Gerichtsstand Karlsruhe Erscheinungsweise am 1. und 5. und 20. jeden Monats. Bezugspreis Deutschland: jährlich (bei 36 Heften und vier Beilagen Ausland) 298, inkl. gesetzl. MwSt. und Versandkosten, Ausland: zzgl. MwSt. und Versandkosten; Einzelheft 9,80 inkl. gesetzl. MwSt. zzgl. Versandkosten. Bestellungen direkt beim Verlag. Kündigung zum Quartalsende mit 4 Wochen Kündigungsfrist. Bei Einstellung oder Unterbrechung der Lieferung aus Gründen, die der Verlag nicht zu vertreten hat, besteht kein Anspruch auf Rückvergütung von Bezugsgeldern. Nicht eingegangene Exemplare können nur innerhalb von 6 Wochen nach dem Erscheinungsdatum reklamiert werden; Postverlagsort: Karlsruhe. Anzeigenpreise Es gelten die Mediadaten vom 1. Januar ISSN

- Qualitätsstandards. Anwaltliches Datenschutzmanagement. Coburg, am 30. November 2012. Humboldt-Universität zu Berlin: Juristische Fakultät

- Qualitätsstandards. Anwaltliches Datenschutzmanagement. Coburg, am 30. November 2012. Humboldt-Universität zu Berlin: Juristische Fakultät Humboldt-Universität zu Berlin: Juristische Fakultät Anwaltliches Datenschutzmanagement - Qualitätsstandards am Prof. Dr. Hans-Peter Schwintowski Anwälte sind Vertrauensträger par excellence Sie schulden

Mehr

Datenschutz bei Rechtsanwälten

Datenschutz bei Rechtsanwälten Datenschutz bei Rechtsanwälten Vortrag von: Rechtsanwalt Dr. Holger Zuck Anwaltskanzlei Zuck & Quaas, Stuttgart 1 Datenschutz bei Rechtsanwälten Normen: Bereichsspezifische Normen: BRAO (insb. 43, 43a,

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

PRESSE INFORMATION. Experten diskutieren über Datenschutz in Anwaltskanzleien. Rechtsschutz-Kongress der HUK-COBURG:

PRESSE INFORMATION. Experten diskutieren über Datenschutz in Anwaltskanzleien. Rechtsschutz-Kongress der HUK-COBURG: Rechtsschutz-Kongress der : Experten diskutieren über Datenschutz in Anwaltskanzleien Professor Schwintowski fordert Qualitätsrating -Rechtsschutzversicherung bietet Empfehlungsanwälten eigene Checkliste

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Rundschreiben Nr. 41/96 Sicherung der notariellen Verschwiegenheitspflicht bei EDV-Installation

Rundschreiben Nr. 41/96 Sicherung der notariellen Verschwiegenheitspflicht bei EDV-Installation 30.10.1996 R 46/E 22 er An alle Notarkammern nachrichtlich: An das Präsidium der Bundesnotarkammer An den Badischen Notarverein An den Württembergischen Notarverein An die Notarkasse An die Ländernotarkasse

Mehr

3 HmbDSG - Datenverarbeitung im Auftrag

3 HmbDSG - Datenverarbeitung im Auftrag Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Rechtlicher Rahmen für Lernplattformen

Rechtlicher Rahmen für Lernplattformen Rechtlicher Rahmen für Lernplattformen Johannes Thilo-Körner Plattlinger Str. 58a, 94486 Osterhofen, Mobil.: 0151 / 61 61 46 62; Tel.: 09932 / 636 13 66-0, Fax.: 09932 / 636 13 66-9 E-Mail: Johannes@Thilo-Koerner-Consulting.de,Web:

Mehr

Anwaltsgeheimnis 2.0. Dr. Astrid Auer-Reinsdorff Rechtsanwältin & Fachanwältin IT-Recht. Forum E-Justiz XINNOVATIONS 2010

Anwaltsgeheimnis 2.0. Dr. Astrid Auer-Reinsdorff Rechtsanwältin & Fachanwältin IT-Recht. Forum E-Justiz XINNOVATIONS 2010 1 Anwaltsgeheimnis 2.0 Dr. Astrid Auer-Reinsdorff Rechtsanwältin & Fachanwältin IT-Recht Forum E-Justiz XINNOVATIONS 2010 2 E-Kanzlei versus Verschwiegenheit? Email-Kommunikation IT-Dienstleistungen (Hosting,

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Stabsstelle Datenschutz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Vertrag über Dienstleistungen einer/eines externen Datenschutzbeauftragten nach 4f Bundesdatenschutzgesetz -"BDSG"- zwischen vertreten

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

SUFFEL & KOLLEGEN, Jena. seit 1990 in Jena. RA Jan Schröder, FA für Arbeitsrecht. RA David Conrad. SUFFEL & KOLLEGEN, Rechtsanwälte

SUFFEL & KOLLEGEN, Jena. seit 1990 in Jena. RA Jan Schröder, FA für Arbeitsrecht. RA David Conrad. SUFFEL & KOLLEGEN, Rechtsanwälte seit 1990 in Jena RA Claus Suffel, FA Bau- und Architektenrecht RA Jan Schröder, FA für Arbeitsrecht RA Dr. Mathis Hoffmann RA David Conrad www.jenanwalt.de Datenschutzrecht für kleine und mittlere Unternehmen

Mehr

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 HerzlichWillkommen ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 Datenschutz bei Fernzugriff; Risiken und Lösung stefan.herold@aarcon.net www.aarcon.net

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Grundlagen des Datenschutzes. Musterlösung zur 1. Übung vom 30.04.2012: BDSG (1)

Grundlagen des Datenschutzes. Musterlösung zur 1. Übung vom 30.04.2012: BDSG (1) und der IT-Sicherheit Musterlösung zur 1. Übung vom 30.04.2012: BDSG (1) 1.1 Einwilligungserklärung Aufgabe: Welchen Anforderungen muss eine Einwilligung nach den Vorschriften des BDSG genügen? Begründen

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 des Sächsischen Datenschutzgesetzes (SächsDSG) i. d. F. der Bekanntmachung vom 25. August 2003 (SächsGVBl. S. 330), Rechtsbereinigt mit Stand vom 31.

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle...

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Stabsstelle Datenschutz Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Vereinbarung über die Datenverarbeitung im Auftrag (personenbezogene Daten / Sozialdaten) Zwischen..,

Mehr

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Mustermann GmbH Musterstr. 123 12345 Musterstadt Sehr geehrte(r) Frau/Herr, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen gilt

Mehr

Mitarbeiter Datenschutz vs. Call Center Steuerung. Ansätze. Rechtsfragen. Verantwortlichkeiten

Mitarbeiter Datenschutz vs. Call Center Steuerung. Ansätze. Rechtsfragen. Verantwortlichkeiten Mitarbeiter Datenschutz vs. Call Center Steuerung Ansätze. Rechtsfragen. Verantwortlichkeiten Begriffsabgrenzungen 3 Mitarbeiterdatenschutz 4 Datenverarbeitung im Call Center 6 Möglichkeiten der Datenerhebung

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren Grundsätzlich ist jeder Steuerberater zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, er beschäftigt

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

BvD Verbandstage 2015

BvD Verbandstage 2015 BvD Verbandstage 2015 Einsatz von Dienstleistern für Rechtsanwälte: Möglichkeiten und Grenzen RA Dr. Alexander Siegmund Geschäftsführer der Rechtsanwaltskammer München Mitglied des Ausschusses elektronischer

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Datenschutz kompakt online

Datenschutz kompakt online Datenschutz kompakt online Datenschutz im Unternehmen - schnell und rechtssicher organisiert und dokumentiert 1. Auflage 2007. Onlineprodukt. ISBN 978 3 8245 9120 6 Gewicht: 10 g Wirtschaft > Betriebswirtschaft:

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK 1 CLOUD COMPUTING - RECHTLICHE RAHMENBEDINGUNGEN Dr. Martin Schirmbacher Berlin, 24. April 2012 Gliederung 2 ÜBERBLICK Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Nutzungsrechte Folgen

Mehr

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Erläuterungen zum Abschluss der Datenschutzvereinbarung Erläuterungen zum Abschluss der Datenschutzvereinbarung Bei der Nutzung von 365FarmNet erfolgt die Datenverarbeitung durch die365farmnet GmbH im Auftrag und nach Weisung des Kunden. Die die365farmnet GmbH

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Anlage zur Auftragsdatenverarbeitung

Anlage zur Auftragsdatenverarbeitung Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung

Mehr

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Natascha Düren Forum Rot, it-sa 2013 Nürnberg, 10.10.2013 Besuchen Sie uns! it-sa 2013, Halle

Mehr

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten

Mehr

HEUKING KÜHN LÜER WOJTEK. Datenschutz bei Portfoliotransfers in Deutschland und der EU. Köln, 4. April 2014 René Schnichels

HEUKING KÜHN LÜER WOJTEK. Datenschutz bei Portfoliotransfers in Deutschland und der EU. Köln, 4. April 2014 René Schnichels HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in Deutschland und der EU Köln, 4. April 2014 René Schnichels I Wann spielt Datenschutz eine Rolle? 1. Vorbereitung der Bestandsübertragung:

Mehr

Datenschutzordnung (DSO) der Freien evangelischen Gemeinden

Datenschutzordnung (DSO) der Freien evangelischen Gemeinden Datenschutzordnung (DSO) der Freien evangelischen Gemeinden Begriffsbestimmungen: FeGs= zum Bund gehörige FeG- Ortsgemeinden, FeG- Kreise, Arbeitszweige des Bundes, Verwaltung des Bundes. Erforderlichkeit=

Mehr

Datenschutz in Arztpraxen/MVZ

Datenschutz in Arztpraxen/MVZ Datenschutz in Arztpraxen/MVZ Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Berlin Die sieben Säulen des ULD Datenschutzrecht (BDSG, LDSG, SGB, StGB) Inhalt Rechtliche Grundlagen für die

Mehr

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Nr.147. Gesetz zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen im Erzbistum Paderborn - PatDSG Zum Schutz von personenbezogenen

Mehr

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke, Justitiarin

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke, Justitiarin Landessportbund Berlin e. V. Datenschutz Cornelia Köhncke, Justitiarin Übersicht Rechtsgrundlagen Datenschutz Datenschutz in der Praxis Aktuelles Grundlagen BVerfG: Volkszählungsurteil vom 15.12.1983 Berührt

Mehr

1. bvh-datenschutztag 2013

1. bvh-datenschutztag 2013 1 CLOUD COMPUTING, DATENSCHUTZ ASPEKTE DER VERTRAGSGESTALTUNG UND BIG DATA Rechtsanwalt Daniel Schätzle Berlin, 20. März 2013 1. bvh-datenschutztag 2013 Was ist eigentlich Cloud Computing? 2 WESENTLICHE

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Datenschutz Anforderungen an den Verteidiger und Schutz des Mandatsgeheimnisses

Datenschutz Anforderungen an den Verteidiger und Schutz des Mandatsgeheimnisses Datenschutz Anforderungen an den Verteidiger und Schutz des Mandatsgeheimnisses Thilo Weichert, Leiter des ULD 22. StPO-Nordseetreffen Der gläserne Verteidiger das Mandatsverhältnis als Gegenstand staatlicher

Mehr

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung

Mehr

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH Technischer Datenschutz Thorsten Sagorski Campus Duisburg LG 110 Behördlich bestellte Datenschutzbeauftragte Herr Tuguntke Leiter des Justitiariats

Mehr

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte RABER & COLL. Rechtsanwälte INFO-Post Gerhart-Hauptmann-Straße 6 99096 Erfurt Telefon: (0361) 43 05 63 7 E-Mail: recht@raberundcoll.de Telefax: (0361) 43 05 63 99 www.raberundcoll.de 6/2013 Die anlasslose

Mehr

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte Informationstag "Ersetzendes Scannen" Berlin, 19.04.2013 "RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte Meine Punkte Leistungsvertrag

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Datenschutz- und Vertraulichkeitsvereinbarung

Datenschutz- und Vertraulichkeitsvereinbarung Datenschutz- und Vertraulichkeitsvereinbarung zwischen der Verein - nachstehend Verein genannt - und der Netxp GmbH Mühlstraße 4 84332 Hebertsfelden - nachstehend Vertragspartner genannt - wird vereinbart:

Mehr

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de Rundfunkgebühren für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de 1. Rechtsgrundlage Personenbezogene Daten von Rundfunkteilnehmerinnen und Rundfunkteilnehmern z. B. Namen

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

Schutz der Sozialdaten

Schutz der Sozialdaten Andreas Pirack Schutz der Sozialdaten Andreas Pirack 1 Interessenkollision Individuum Allgemeinheit Recht auf Privatsphäre Recht auf Privatsphäre Öffentliches Interesse 2 Informationelles Selbstbestimmungsrecht

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Datenschutz-Schulung

Datenschutz-Schulung Datenschutz-Schulung Revowerk ist gesetzlich dazu verpflichtet, seine Stammkundenbetreuer im Bereich Datenschutz zu schulen und sie vertraglich auf die Einhaltung der Datenschutzrichtlinien zu verpflichten.

Mehr

Secorvo. Partner und Unterstützer

Secorvo. Partner und Unterstützer Partner und Unterstützer Datenschutz Anspruch und Wirklichkeit im Unternehmen Karlsruher IT-Sicherheitsinitiative, 31.03.2004 Dirk Fox fox@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße

Mehr

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Baden-Württemberg INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z. B. Google Analytics 1 -

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Datenschutz und Schule

Datenschutz und Schule Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Die Erschließung von Nachlässen und der Datenschutz

Die Erschließung von Nachlässen und der Datenschutz Die Erschließung von Nachlässen und der Datenschutz Workshop Erschließung von Nachlässen Göttingen 12./13. November 2009 Dr. Harald Müller (Handschriftlicher) Nachlass Manuskripte Persönliche Dokumente

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern Kirchliches Amtsblatt für die Diözese Osnabrück, Band 48, Nr. 7, Seite 41 ff., Art. 50, Änderung im KA für die Diözese Osnabrück, Band

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Öffentliches Verfahrensverzeichnis

Öffentliches Verfahrensverzeichnis 2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Der Schutz Ihrer persönlichen Daten und Ihrer Privatsphäre ist uns sehr wichtig. Deshalb ist

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr