- Qualitätsstandards. Anwaltliches Datenschutzmanagement. Coburg, am 30. November Humboldt-Universität zu Berlin: Juristische Fakultät

Transkript

1 Humboldt-Universität zu Berlin: Juristische Fakultät Anwaltliches Datenschutzmanagement - Qualitätsstandards am Prof. Dr. Hans-Peter Schwintowski

2 Anwälte sind Vertrauensträger par excellence Sie schulden Verschwiegenheit ( 43a BRAO/ 203 StGB. Sie schulden verantwortungsvollen Umgang mit personenbezogenen Daten nach dem BDSG. S. 2/35 Prof. Dr. Hans-Peter Schwintowski

3 Einige Fragen: Dürfen Anwälte unverschlüsselte s mit den Mandanten wechseln? Dürfen Akten durch externe Dienstleister verwaltet werden? Dürfen Anwälte am Cloud Computing teilnehmen? S. 3/35 Prof. Dr. Hans-Peter Schwintowski

4 Einige Fragen: Wovon gehen Mandanten aus? - Dass ihr Anwalt verschwiegen ist und - dass ihr Anwalt ein angemessenes und nachhaltiges Datenschutzmanagement betreibt. S. 4/35 Prof. Dr. Hans-Peter Schwintowski

5 Erwartungshaltung Die Erwartungshaltung der Mandanten wird auf den Rechtsschutzversicherer/Prozessfinanzierer als Dienstleister projiziert. S. 5/35 Prof. Dr. Hans-Peter Schwintowski

6 Empfehlungen Wenn ein Rechtsschutzversicherer/Prozessfinanzierer einen Anwalt empfiehlt, so erwartet der Mandant, dass nur solche Anwälte/Kanzleien empfohlen werden, die ein angemessenes Datenschutzmanagement eingerichtet haben und praktizieren. S. 6/35 Prof. Dr. Hans-Peter Schwintowski

7 Rechtspflicht Daraus resultiert die Rechtspflicht ( 241 Abs. 2 BGB) der Rechtsschutzversicherer/Prozessfinanzierer, bei den von ihnen empfohlenen Anwaltskanzleien auf ein nachhaltiges, die Mandanten nicht schädigendes Datenschutzmanagement zu achten. S. 7/35 Prof. Dr. Hans-Peter Schwintowski

8 Vorschlag: Standardisiertes Qualitätsrating für anwaltliches Datenschutzmanagement Ein solches Ratingsystem erlaubt präzise Empfehlungen und setzt für die Anwälte klare Standards. S. 8/35 Prof. Dr. Hans-Peter Schwintowski

9 Qualitätsratingsystem D = Mindeststandard DD = Basisstandard DDD = Höchststandard S. 9/35 Prof. Dr. Hans-Peter Schwintowski

10 Wirkung eines Ratingsystems Der Ruf nach dem Gesetzgeber so der Präsident des Deutschen Anwaltsvereins, Wolfgang Ewer - wird zwar nicht überflüssig, aber relativiert und modifiziert. Die Anwaltschaft selbst setzt Qualitätsstandards. Die Qualitätsstandards können im Rahmen des Marktprozesses dynamisch und sachgerecht fortentwickelt werden. Anwälte können mit dem Qualitätsstandard werben und sich profilieren. S. 10/35 Prof. Dr. Hans-Peter Schwintowski

11 Mindeststandard (D) (1/16) 1. Mandatsverhältnis Einwilligung des Mandanten in Erhebung, Verarbeitung und Nutzung personenbezogener Daten ( 4 Abs. 1 BDSG). Umfasst die Einwilligung, externe Dienstleister in das Datenschutzmanagement mit einzubeziehen ( 11 BDSG). Unverschlüsselter verkehr ist für Dritte zugänglich und abhörbar. Anwalt hat zwei Möglichkeiten: S. 11/35 Prof. Dr. Hans-Peter Schwintowski

12 Mindeststandard (D) (2/16) Unverschlüsselter verkehr ist für Dritte zugänglich und abhörbar. Anwalt hat zwei Möglichkeiten: - entweder Kanzlei verzichtet auf unverschlüsselten verkehr (nur Briefe und Faxe) oder - Mandant willigt in den unverschlüsselten verkehr nach 4a Abs. 1 BDSG ein S. 12/35 Prof. Dr. Hans-Peter Schwintowski

13 Mindeststandard (D) (3/16) Einwilligung muss auf freier Entscheidung des Mandanten beruhen. Einwilligung bedarf der Schriftform. Will Kanzlei ohne Einwilligung am verkehr teilnehmen, so muss mit Verschlüsselungen gearbeitet werden (Stufe DD). S. 13/35 Prof. Dr. Hans-Peter Schwintowski

14 Mindeststandard (D) (4/16) 2. Insbesondere Cloud Computing Cloud Computing (= Speichern digitaler Informationen auf Servern externer Anbieter) wirft die Grundfrage auf, ob Datensicherheit überhaupt gewährleistet werden kann. Mandant muss jedenfalls vor Einwilligung im Einzelnen informiert werden, dass seine Daten über das Internet ungerichtet verteilt sind. S. 14/35 Prof. Dr. Hans-Peter Schwintowski

15 Mindeststandard (D) (5/16) Der Zugriff auf diese Daten kann nicht mehr kontrolliert werden. Die Einwilligung muss sich ausdrücklich auf das Cloud Computing beziehen und dem Mandanten müssen die Gefahren, die für ihn entstehen können, erklärt werden (Dokumentation). S. 15/35 Prof. Dr. Hans-Peter Schwintowski

16 Mindeststandard (D) (6/16) 3. Einwilligung Dritter Nach dem BDSG müsste auch die Einwilligung aller Personen, deren Daten im Zusammenhang mit dem Mandatsverhältnis erhoben werden, vorliegen. Wichtige Ausnahme: 33 Abs. 2 Nr. 3 BDSG keine Benachrichtigungspflicht, wenn die Daten wegen des überwiegenden rechtlichen Interesses eines Dritten (Mandanten) geheim gehalten werden müssen. S. 16/35 Prof. Dr. Hans-Peter Schwintowski

17 Mindeststandard (D) (7/16) Ist Speicherung der Daten nicht mehr erforderlich, so sind sie zu löschen ( 35 Abs. 2 Nr. 3 BDSG) S. 17/35 Prof. Dr. Hans-Peter Schwintowski

18 Mindeststandard (D) (8/16) 4. Technische und organisatorische Maßnahmen ( 9 BDSG) Organisation des Anwaltsbüros - PC-Bildschirme bei Verlassen des Arbeitsplatzes sperren. - Gilt auch für kürzere Zeitspannen, es sei denn, - Zugang zum Anwaltsarbeitsplatz ist nur mittels Schlüssels oder Transponders möglich. S. 18/35 Prof. Dr. Hans-Peter Schwintowski

19 Mindeststandard (D) (9/16) - Arbeitsanweisungen zur Sperrung des Bildschirms bei Verlassen des Arbeitsplatzes - Diskretionszonen innerhalb der Kanzlei für die Mandanten (kein gemeinsames Wartezimmer) - Akten in Papierform dürfen Dritten nicht zugänglich sein (verschließbare Aktenschränke oder Räume) S. 19/35 Prof. Dr. Hans-Peter Schwintowski

20 Mindeststandard (D) (10/16) 5. Kanzleiinterne Datensicherheit IT-System mit größtmöglicher Datensicherheit? Wird Software regelmäßig aktualisiert? Hat Kanzlei für die Anschaffung entsprechende Rückstellungen gebildet? Sind die personenbezogenen Daten durch anerkannte kryptografische Verfahren verschlüsselt (besonders wichtig bei Cloud Computing)? S. 20/35 Prof. Dr. Hans-Peter Schwintowski

21 Mindeststandard (D) (11/16) Werden die Daten zwischen den Facharbeitsgruppen und Sekretariaten getrennt? Sind Firewalls installiert? Gibt es eine Verwaltung und Einschränkung von Benutzerrechten? Gibt es Regeln für den sicheren Passwortgebrauch? S. 21/35 Prof. Dr. Hans-Peter Schwintowski

22 Mindeststandard (D) (12/16) Gibt es Regeln für das Sperren und Löschen von Daten? Werden vertrauliche Informationen vor Wartungsarbeiten am IT-System gelöscht? Wird Antivirensoftware eingesetzt? Wird bei jedem Virenbefall der Datenschutzbeauftragte informiert? S. 22/35 Prof. Dr. Hans-Peter Schwintowski

23 Mindeststandard (D) (13/16) 6. Auftragsdatenverarbeitung ( 11 BDSG) Wenn externe IT-Dienstleister beschäftigt werden, müssen diese sorgfältig ausgewählt und kontrolliert werden ( 11 Abs. 2 Satz 1 BDSG). Wird vereinbart, dass externer Dienstleister am Cloud Computing nicht oder nur verschlüsselt innerhalb der EU teilnimmt? Hat der Mandant in die externe Auftragsdatenverarbeitung eingewilligt? S. 23/35 Prof. Dr. Hans-Peter Schwintowski

24 Mindeststandard (D) (14/16) Ist dem Mandanten der Zweck der Auftragsdatenverarbeitung deutlich? Weiß er, welche Dienstleistungen im Einzelnen ausgesourced werden und nach welchen Kriterien ausgesucht und kontrolliert wird? Sind der externe Datenverarbeiter und sämtliche Personen, die bei ihm beschäftigt sind, ausdrücklich zur Verschwiegenheit verpflichtet worden ( 2 Abs. 4 BORA)? S. 24/35 Prof. Dr. Hans-Peter Schwintowski

25 Mindeststandard (D) (15/16) 7. Datenschutzbeauftragter Hat die Kanzlei einen Beauftragten für den Datenschutz (schriftlich) bestellt ( 4f BDSG)? Nicht nötig, wenn höchstens neun Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. In diesem Fall hat die Kanzlei die Erfüllung der Aufgaben des Datenschutzbeauftragten in anderer Weise sicher zu stellen ( 4g Abs. 2a BDSG). S. 25/35 Prof. Dr. Hans-Peter Schwintowski

26 Mindeststandard (D) (16/16) 8. Zusammenfassung: Einwilligung des Mandanten Datenunsicherheiten bei Cloud Computing unmissverständlich kommuniziert datenschutzgerechte Organisation des Anwaltsbüros datenschutzgerechte kanzleiinterne Datensicherheit (Verschlüsselung) bei externer Auftragsdatenverarbeitung: schriftlicher Vertrag und Einwilligung Bestellung eines Beauftragten für den Datenschutz S. 26/35 Prof. Dr. Hans-Peter Schwintowski

27 Basisstandard (DD) (1/3) Der Basisstandard (DD) nimmt die Kriterien des Mindeststandards (D) in sich auf und erweitert diese um Anforderungen, die oberhalb des BDSG liegen. 1.Mandantenaufnahmebogen (Datenerhebung dokumentieren) 2.Verschlüsselungsstandards S. 27/35 Prof. Dr. Hans-Peter Schwintowski

28 Basisstandard (DD) (2/3) 3. Statt unverschlüsselten verkehrs wird mit anerkannten Verschlüsselungsstandards gearbeitet (PGP/GnuPG; Alternative: Webakte Mandant von e.consult) S. 28/35 Prof. Dr. Hans-Peter Schwintowski

29 Basisstandard (DD) (3/3) 4. Cloud Computing nur, wenn die Dienste innerhalb der EU liegen und die Daten durch Verschlüsselung geschützt sind. S. 29/35 Prof. Dr. Hans-Peter Schwintowski

30 Höchststandard (DDD) (1/4) 1. Datenschutzniveau weit oberhalb der gesetzlichen Anforderungen. 2. Nicht alle Mandanten legen Wert auf ein solches überobligatorisches Datenschutzmanagement. 3. Wichtig für mittlere und große Unternehmen, Ministerien oder Bundesoberbehörden. 4. Datenschutzarchitektur genügt höchsten Ansprüchen und wird permanent (täglich) fortentwickelt. S. 30/35 Prof. Dr. Hans-Peter Schwintowski

31 Höchststandard (DDD) (2/4) 5. Kanzleimehrkosten werden von der Mandantschaft akzeptiert. 6. Standard oberhalb vom Durchschnittsstand der Technik (wissenschaftlicher Standard). 7. Mandantengerechte, individuelle, also maßgeschneiterte Datensicherheitsarchitektur für den Einzelfall. S. 31/35 Prof. Dr. Hans-Peter Schwintowski

32 Höchststandard (DDD) (3/4) 8. DIN EN ISO 9001: Verfahrensabläufe in der Kanzlei werden als Standardprozesse definiert und an den Anforderungen für ein Qualitätsmanagement gemessen (z.b. Fristwahrungen). 9. Kanzlei lässt sich durch externe Sicherheitstester überprüfen. Empfohlen in der Praxis: DETACK, Cirsoec und n.runs S. 32/35 Prof. Dr. Hans-Peter Schwintowski

33 Höchststandard (DDD) (4/4) 10. verschlüsselte Kommunikationswege (Black- Box-Verfahren/GDV-Branchennetz) 11. Kanzlei nimmt am Cloud Computing nicht teil. 12. Kanzlei betreibt ein Risikomesssystem, ähnlich dem von 91 Abs. 2 AktG, d.h.: Datenverarbeitungsrisiken werden ermittelt, im Mandantengespräch wird abgewogen, welche Risiken man im Ergebnis eingeht und welche nicht. Diese Risikoeinschätzung geht in das Risikomesssystem des Mandanten ein (bilanzielle Drohverlustrückstellungen), etwa bei großen Massenschäden mit drohendem Strafschadensersatz (punitive demages). S. 33/35 Prof. Dr. Hans-Peter Schwintowski

34 Zusammenfassung (1/2) 1. Qualitätsstandards, die zur Grundlage von Empfehlungen für Anwaltskanzleien gemacht werden, sind möglich. 2. Es wird ein dreistufiges Zertifizierungssystem vorgeschlagen, bestehend aus: - Mindeststandard (D) - Basisstandard (DD) - Höchststandard (DDD) 3. Die Zertifizierung kann durch (private) Zertifizierer erfolgen. S. 34/35 Prof. Dr. Hans-Peter Schwintowski

35 Zusammenfassung (2/2) 4. Die Anwaltschaft nimmt am Standardisierungsprozess und der Rückkoppelung in das Zertifizierungssystem aktiv teil. 5. Mit dem Zertifizierungssystem für das anwaltliche Datenschutzmanagement entsteht ein erstes (quantifizierbares) Messsystem für anwaltliche Leistungsfähigkeit. 6. Ziel sollte es sein, diesen ersten Schritt im Sinne eines umfassenden anwaltlichen Qualitätsmanagements auszubauen. S. 35/35 Prof. Dr. Hans-Peter Schwintowski