Zentrale

0711/45 99 89 0

Programm-Support

0711/169 1 65-50

Büro Günzburg

08221/356 80 20

p

News / Archiv

Datenschutz

Datenschutz und IT-Sicherheit

Datenschutz und IT-Sicherheit für die Anwaltskanzlei gewinnen immer mehr an Bedeutung.

Datenschutz und IT-Sicherheit für die Anwaltskanzlei gewinnen immer mehr an Bedeutung. Insbesondere die rechtlichen Anforderungen, die an Unternehmen gestellt werden, die DSGVO (Anpassung des Datenschutzes an europäisches Recht und Reformierung des BDSG im BDSG-neu) und die nach Art. 32 DS-GVO einhergendene Verpflichtung „Technische und Organisatorische Maßnahmen“ (TOM) zum Schutz personenbezogender Daten vorzuhalten, stellen für viele kleinere Unternehmen eine große Herausforderung dar.
Hierbei unterstützen wir Sie mit unseren kompetenten Mitarbeitern, die seit vielen Jahren ein umfangreiches Spektrum des technischen Datenschutzes bei einer Vielzahl zufriedener Kunden abdecken.IT-Sicherheit nach Art. 32 im Kontext mit Art. 39 DSGVO (Aufgaben eines Datenschutzbeauftragten). Genau das ist unsere Stärke.
Datenschutz mit einer 30-jährigen Erfahrung im IT-Umfeld. Das wichtigste der Zusammenarbeit mit einem externen Datenschutzbeauftragten ist Vertrauen. Genau das schenken uns unsere langjährigen Kunde.

Wir legen neben Qualität und einem „Datenschutz mit Augenmaß“ großen Wert auf entsprechende Zertifizierung und haben daher die Prüfung zum Datenschutzbeauftragten (TÜV) und IT-Sicherheitsbeauftragten (TÜV) erfolgreich absolviert.

Gerne beraten wir Sie mit unserem IT-Sicherheits- und Datenschutz „Ersthilfepaket“, stehen ihrem internen Datenschutzbeauftragten zur Seite oder nehmen bei Bedarf die Funktion eines externen Datenschutzbeauftragten ein.

Ihr Ansprechpartner:

Thomas Keis – Tel. 08221 – 356 8020 oder 0711 – 45 99 89 0
t.keis[at]ram-sued.de

b

TOM-Liste nach Art. 32 DSGVO der RA-MICRO Süd (PDF)

b

Vereinbarung Auftragsverarbeitung (PDF)

b

Hinweise Informationspflicht Art. 13 DSGVO (PDF)

b

Ersthilfepaket DSGVO (PDF)

Wir beraten Sie gerne!

0711 / 45 99 89 0

Externer Datenschutzbeauftragter (TÜV) nach DSGVO

Viele Unternehmen greifen beim Thema Datenschutz auf professionelle Beratung von außen zurück.
Durch diese Zertifizierung können wir Ihnen einen externen Datenschutzbeauftragten stellen, der seine Aufgaben nach Art. 39 DSGVO wahrnimmt.


Darüber hinaus können unternehmenspezifisch weitere Leistungen angefordert werden.
Gerade für Mittelstandskunden, die nur einen „Datenschutzbeauftragter als Funktion in Teilzeit“ benötigen, ist die Outsourcing Lösung preislich oft sehr interessant.

Durch die Auslagerung der Funktion Datenschutzbeauftragter ist das Haftungsrisiko für das Unternehmen und somit der Geschäftführung klar geregelt.

Schonen Sie die Ressourcen in Ihrem Unternehmen und lassen datenschutzrelevante Themen von einer externen Kraft über einen Dienstleistungsvertrag regeln.

Übt der interne Datenschutzbeauftragte seine Pflichten und Aufgaben in tatsächlich vollständiger Unabhängigkeit aus?

Oder haben Sie sich schon mal die Frage gestellt ob nicht evtl. ein externer Beauftragter diesem eher nachkommt? (siehe Erwägungsgrund 97).

 

Unsere Aufgaben als Ihr „Externer Datenschutzbeauftragter“:

      • Überwachung der Einhaltung DSGVO, anderer
      • Datenschutzvorschriften
      • Unterrichtung und Beratung des Verantwortlichen oder des
      • Auftragsverarbeiters und der Beschäftigten
      • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung
      • Zusammenarbeit mit der Aufsichtsbehörde
      • Anlaufstelle für die Aufsichtsbehörde

Fragen und Antworten zum Datenschutz

Verarbeitungsverzeichnis

Kann die Aufgabe „Führen des Verzeichnisses“ dem Datenschutzbeauftragten übertragen werden?

Wenn Sie in Art. 39 DS-GVO schauen, finden Sie eine Übersicht der mindestens vom Datenschutzbeaufragten wahrzunehmenden Aufgaben. Die Aufgabe „Führen des Verzeichnisses von Verarbeitungstätigkeiten“ suchen Sie dort vergebens. Aber: Nicht nur am Wörtchen „mindestens“ erkennen Sie, dass auch weitere Aufgaben  übertragen werden können. Dass der Datenschutzbeauftragte weitere Aufgaben und Pflichten übernehmen kann,  ist ausdrücklichin Art. 38 Abs. 6 Satz 1 DS-GVO erwähnt.

Sollen weitere Aufgaben übertragen werden, muss der Verantwortliche oder der Auftragsverarbeiter sicherstellen, dass diese Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Weil es sich beim Verzeichnis von Verarbeitungstätigkeiten in erster Linie um eine Dokumentationsaufgabe handelt, dürfte ein solcher Interessenkonflikt nicht bestehen.

Außerdem: Die Verantwortung für die Umsetzung  und die Zulieferung der zutreffend en Verzeichnisinformationenliegt weiterhin beim Verantwortlichen bzw. dem Auftragsverarbeiter. Quelle: datenschutz-aktuell

Was passiert, wenn man zum Geltungsbeginn der DS-GVO kein Verzeichnis hat?

Grundsätzlich kann dies dazu führen, dass der zur Führung eines Verzeichnisses verpflichtete Verantwortliche oder Auftragsverarbeiter ein Bußgeld riskiert. Der Bußgeldrahmen sollte nicht unterschätzt werden. So droht eine Geldbuße von bis zu 10 Mio. € oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Siehe auch Art. 83 DSGVO

Machen Sie auch Folgendes deutlich: Zwar dürfte auch in Zukunft die Datenschutzaufsichtsbehörde einen gewissen Spielraum bei der Frage haben, ob man ein Bußgeld wegen eines fehlenden Verzeichnisses verhängt. Allerdings soll das Bußgeld in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Das heißt: „Standardbußgelder“ dürfte es nicht geben. Je nach Einzelfall kann ein fehlendes Verzeichnis zu einem eher niedrigen oder hohen Bußgeld führen. Doch bei kleinen Unternehmen wird man auch ein niedriges Bußgeld eher nicht mehr aus der Portokasse zahlen können. Quelle: datenschutz-aktuell

Welchen Mehrwert bringt das Verzeichnis der Verarbeitungstätigkeiten dem Verantwortlichen?

Man kann das Verzeichnis der Verarbeitungstätigkeiten als unnötige Bürokratie ansehen. Doch eigentlich ist es mehr Hilfe und Unterstützung als Last. Schon bei der Erstellung des Verzeichnisses kann deutlich werden, wo Lücken im Datenschutz bestehen. Diese werden durch die verschiedenen Informationen sichtbar.
Das kann vor allem auch der IT-Abteilung helfen, geeignete Gegenmaßnahmen zu ergreifen. Und angemessene und vor allem umgesetzte Schutzmaßnahmen tragen nicht nur zum Datenschutz bei. Auch der Schutz sensibler Unternehmensinformationen (z. B. Entwicklungsdaten) wird sichergestellt.

Gespräche mit Verantwortlichen im Zuge einer Bestandandsaufnahme bzw. einer Erstbegehung erzeugen bei diesen eine hohes Maß der persönlichen Zufriedenheit sich jetzt mal selbst mit Themen der IT-Sicherheit beschäftigen zu dürfen, die bis dato keinerlei Bedeutung für ihn hatten. Er entwickelt dadurch oftmals sehr rasch eine hohes Bewusstsein für Schutzmaßnahmen und bringt sich im Rahmen seiner zeitlichen und technischen Möglichkeiten mit hohem Angagement in den Datenschutz mit ein. Prozesse werden optimiert und bisher „Alt eingefahrene“ Gewohnheiten abgeschafft. Mitarbeiter werden befragt und deren Arbeit wird wieder wertgeschätzt, was wiederum zu einer höheren Mitarbeiterzufriedenheit führen kann.

Kann ich als Datenschutzbeauftragter Unterstützung anfordern bei der Verzeichniserstellung?

Sollte man Ihnen die Aufgabe übertragen, das Verzeichnis der Verarbeitungstätigkeiten zu erstellen, muss das nicht heißen, dass Sie in den nächsten Wochen und Monaten kaum noch zu etwas anderem kommen. Niemand sagt nämlich, dass Sie das Verzeichnis ausschließlich in Eigenregie erstellen müssen. Fordern Sie als Datenschutzbeauftragter die erforderliche Unterstützung ein.

Das ist heute Ihr gutes Recht und es wird auch in Zukunft Ihr gutes Recht bleiben (vgl. Art. 38 Abs. 2 DS-GVO). Geht es um die Unterstützung bei der Erstellung, können Sie folgende Optionen ins Spiel bringen:

Option 1: Die Informationen für das Verzeichnis werden von den Fachabteilungen zugeliefert.
Option 2: Ihnen werden Mitarbeiter zugeordnet.
Option 3: Sie bekommen Unterstützung durch Praktikanten.
Quelle: datenschtutz-aktuelll

Entspricht das Verzeichnis des Verantwortlichen dem des Auftragsverarbeiters?

Verpflichtet ist sowohl der  Verantwortliche, als auch der Auftragsverarbeiter: beispielsweise ein IT-Dienstleister oder ein Lohnbüro.

Wenn Ihr Unternehmen nun solch ein Dienstleister ist, also als Aufragsverarbeiter personenbezogene Daten für andere Unternehmen (Verantwortliche) im Aufrag verarbeitet, muss das Verzeichnis der Verarbeitungstätigkeiten ebenfalls geführt werden (Der Dienstleister wird als Aufragnehmer in einer gesonderten Auftagsverarbeitungsvereinbarung bezeichnet).

Schauen Sie sich die Regelungen zu den beiden Verzeichnissen in Art. 30 Abs. 1 DS-GVO für den Verantwortlichen bzw. in Art. 30 Abs. 2 DS-GVO für den Auftragsverarbeiter an, stellen Sie schnell fest, dass diese in vielen Punkten identisch sind. Jedoch sind die Anforderungen an das Verzeichnis des Auftragsverarbeiters geringer. Es enthält z.B. keine Verarbeitungszwecke oder Löschfristen.

Datenschutzmanagement / Datenschutzorganisation

Ist ein Datenschutzmanagementsystem sinnvoll?

Sofern man einer Aufsichtsbehörde sämtliche Dokumente zur Rechtmäßigkeit der Verarbeitung nach Art. 5 DSGVO personenbezogener Daten darlegen möchte, macht es durchaus Sinn sich mit der Einführung eines DSMS zu beschäftigten. Hierzu zählt ein sog. Datenschutzhandbuch.
Hierzu sollte ein Team mit Personen zusammengestellt werden, die sich mit dem Datenschutz beschäftigen. Man nennt das dann „Aufbauorganisation“.

Was ist ein Datenschutzhandbuch?

Das Datenschutz-Handbuch ist eine Sammlung von wichtigen Dokumentationen und Nachweisen. In einer optisch anspruchsvollen Weise sammeln wir hier alles, was später auf Anfrage präsentiert werden muss.

Ein konkreter Anlass kann sein, dass die Datenschutz-Aufsichtsbehörde Auskünfte einfordert, oder dass der Betriebsrat gewisse Nachweise sehen möchte, oder dass die Geschäftsführung über den aktuellen Stand der Dinge informiert werden möchte. In allen diesen Fällen wird der unternehmensinterne Datenschutz-Koordinator dieses Datenschutz-Handbuch aufschlagen und die Antworten finden.

Umgang mit Datenpannen – Art. 33 und 34 DS-GVO

Stand im alten BDSG: Hohe Hürden für eine Meldung
Bereits früher (BDSG Alt)  waren unbefugten Datenzugriffe, umgangssprachlich „Datenpannen“ genannt, meldepflichtig.

Nach § 42a BDSG (Alt) mussten dafür allerdings zwei Voraussetzungen erfüllt sein:

1. Die personenbezogenen Daten müssen als sehr sensibel gelten, was z. B. bei Bank- und Gesundheitsdaten der Fall war.

2. Zusätzlich musste davon auszugehen sein, dass im konkreten Vorfall ein hohes Risiko für den Betroffenen gegeben ist, d. h. schwerwiegende Beeinträchtigungen drohen.

Diese Voraussetzungen führten bis zum 25.05.2018 dazu, dass nur vereinzelt Meldungen an die zuständige Aufsichtsbehörde gemacht wurden. Die jährliche Gesamtzahl solcher Meldungen bewegte sich daher meist nur in einem zweistelligen Bereich. Eine sehr große Dunkelziffer bezüglich nicht erkannter und nicht gemeldeter (Hacking-) Vorfälle konnte durchaus vermutet werden. Sofern jedoch eine meldepflichtige Datenpanne vorlag, war auch der Betroffene zu informieren.

Stand heute: Deutlich abgesenkte Hürden
Die DS-GVO regelt in den Artikeln 33 und 34 den Umgang bei Datenpannen. Dabei sieht die DS-GVO eine abgestufte Meldepflicht vor:
1. Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.

2. Eine Benachrichtigung der betroffenen Person muss dagegen nur dann erfolgen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Auch ist eine Information des Betroffenen nicht (mehr) erforderlich, wenn geeignete technische und organisatorische Maßnahmen vorhanden sind, die den Unbefugten Zugang auf die personenbezogenen Daten praktisch nicht ermöglichen – als explizites Beispiel ist die Verschlüsselung genannt. Ebenso kann auf eine Benachrichtigung des Betroffenen verzichtet werden, wenn wirk-same Maßnahmen zur Schadensbegrenzung ergriffen wurden und diese das hohe Risiko, das zum Zeitpunkt der Datenpanne bestand, eliminiert haben. Wie dieses Szenario in der Praxis ablaufen kann, muss insbesondere von Seiten der Aufsichtsbehörden noch geklärt werden.

Internet / SocialMedia

Was hat die Datenschutzerklärung damit zu tun?

Das ergibt sich allein aus den Rechtsgrundlagen und den bereitzustellenden Informationen, die weitergehend als bislang sein werden. Beispielsweise ist künftig über die zu Grunde gelegten Rechtsgrundlagen ebenso zu informieren wie über die Erforderlichkeit für einen Vertragsabschluss oder ob eine andere Verpflichtung zur Bereitstellung der Daten besteht. Viele der durch das Gesetz verlangten Informationen müssen für jede Funktion der Website gesondert bewertet werden. Daher bleibt es nicht aus, dass der Umfang der Datenschutzerklärungen weiter zunehmen wird. Die Informationen müssen gem. Art. 13 Abs. 1 DS-GVO „bei Erhebung“ der personenbezogenen Daten gegeben werden. Daher sollte die Datenschutzerklärung – wie bislang – regelmäßig mit nur einem Klick erreichbar sein (Artikel–29-Datenschutzgruppe, Working Paper 260, S. 8; zum BDSG a.?F. bereits Wintermeier, ZD 2013, 21 (23?f.); beim Impressum sind hingegen zwei Klicks ausreichend, BGH, Urt. v. 20. 3. 2006 – I ZR 228/03, MMR 2007, 40). Dem kann durch die Aufnahme des Links im Header oder Footer neben dem Impressum nachgekommen werden.

Was muss bei Blogs, Foren und Webshops beachtet werden?

Beim Einsatz von Blog-Funktionen, WebShop, Portalen oder Foren muss darauf geachtet werden, dass Betreiber (künftig:Host-Provider) Informationen speichern, da diese dafür haften können. Zeitpunkt, Metadaten, wie IP-Adresse und Zeitpunkt müssen somit gespeichert werden. Rechtsgrundlagen müssen immer genannt werden. Diese wird i.d.R. oftmals in Art. 6 DSGVO zu finden sein.

Weisen Sie darauf hin, dass kein Klarnamenszwang besteht. Aus Art. 25 DS-GVO könnte sogar hergeleitet werden, dass ein Pseudonym die betroffene Person schützen kann. Allerdings kann dies wiederum in sozialen Netzwerken wie Xing oder LinkedIn, welche Angebote zur Kontaktaufnahme untereinander vorhalten, nicht immer in Einklang mit dem Zweck der Datenverarbeitung solcher Anbieter gebracht werden.

Was muss beim Einsatz von Web Analytics tools auf Internetseiten beachtet werden?

Die Nutzung von Analysen zur Nutzung der eigenen Website ist heutzutage Standard. Betreiber von Websites möchten bspw. wissen, wie viele Nutzer ihre Seite besuchen, welche Information am gefragtesten sind, wie Nutzer das Angebot auffinden. So können die Angebote nutzerfreundlich ausgestaltet werden und der Umsatz der Unternehmen erhöht werden. Gebräuchlich ist der Begriff Web Analytics, regelmäßig finden sich auch Begriffe wie Web-Tracking oder Datenverkehrsanalyse. Beschrieben wird damit jede Erhebung von Zugriffsdaten auf Websites und die Auswertung des Verhaltens der Besucher. Die Analyse-Tools erfordern die Ermittlung einzelner Besucher, um das individuelle Verhalten auswerten zu können. Eine persönliche Identifizierung ist hingegen grundsätzlich nicht erforderlich, da nur statistische Daten erstellt werden sollen. Üblich ist es daher, auch aufgrund des Vorgehens der Datenschutz-Aufsichtsbehörden, dass die IP-Adresse nur verkürzt erhoben und direkt um das letzte Oktett gekürzt wird, so dass die zuvor personenbezogenen Nutzerdaten direkt anonymisiert werden und keine Zuordnung zu einem individuellen Nutzer erfolgen kann. Die Datenschutzerklärung sollte entsprechend ergänzt werden.

Einwilligung bei e-mail Newsletter

Die DSGVO verlangt eine aufgeklärte Willenserklärung des Users in die Datenerhebung und -verarbeitung. Die Einwilligung darf nicht pauschal, beispielsweise in Form einer Blanko-Einwilligung erfolgen. Diese sind möglichst genau zu bestimmen und müssen dem User eine informierte Entscheidung ermöglichen, seine Einwilligung im konkreten Fall zu erteilen oder zu versagen. Sie muss vielmehr erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden. Die DS-GVO Definition Einwilligung in Art. 4  (Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung…).
 

Opt-Out-Verfahren ist unzulässig

Eine bestimmte Form ist für die Einwilligung nicht vorgeschrieben. Erforderlich ist lediglich eine eindeutig bestätigende Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dem Erfordernis einer eindeutig bestätigenden Handlung entspricht etwa das Anklicken eines Kästchens beim Besuch einer Internetseite. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten keine Einwilligung darstellen (vgl. Erwägungsgrund 32 zur DSGVO).

Für Newsletter-Marketing bedeutet dies wiederum nach der DS-GVO, dass das Opt-Out-Verfahren  unzulässig ist Es ist eine eindeutig bestätigende Handlung notwendig, bei der die betroffene Person von sich aus tätig werden muss, etwa indem sie ein nicht vorangekreuztes Kästchen anklicken muss (Opt-in-Verfahren).

Worauf sollten gerade Newsletter-Verantwortliche ab Mai in Bezug auf Neukunden, aber auch hinsichtlich bereits bestehender Adresslisten, achten?

In der DSGVO sind eine Reihe von Gründe geregelt, die die Verarbeitung personenbezogener Daten, dazu gehören auch die verwendeten E-Mail-Adressen, zulassen. Im Rahmen von Newslettern ist in der Regel die Einwilligung des Empfängers der Grund, der die Verarbeitung zulässig werden lässt. Durch das DSGVO werden die Anforderungen an eine wirksame Einwilligung verschärft.

Daher gilt:

  • Der Verantwortliche muss nachweisen können, dass der Empfänger in die Verarbeitung seiner Daten eingewilligt hat, also auch, den Newsletter zu erhalten. Dies muss nicht schriftlich sein, eine Protokollierung elektronischer Einwilligungen ist sinnvoll.
  • Der Empfänger muss den Umfang der Daten, den Zweck, zu dem die Daten verarbeitet werden sollen, sowie die Folgen der Verweigerung einer Einwilligung kennen. Hierzu ist es erforderlich, dass das Ersuchen um die Einwilligung in leicht zugänglicher und verständlicher Form sowie in einer klaren und einfachen Sprache abgefasst ist. Der Empfänger ist schon bei der Einholung der Einwilligung auf die Möglichkeit des Widerrufs hinzuweisen. Eine nicht erforderliche Kopplung an eine Gegenleistung darf nicht erfolgen.
  • Bei in der Vergangenheit bereits wirksam gegebenen Einwilligungen ist es nicht erforderlich, dass diese wiederholt werden. Diese Einwilligungen sind jedoch trotzdem an den Wirksamkeitsvoraussetzungen der DS-GVO an eine Einwilligung zu messen. Verstößt eine früher gegebene Einwilligung allerdings gegen das Gebot der Freiwilligkeit, gilt sie nicht weiter fort und muss erneut eingeholt werden. Dies sollte tunlichst vor Inkrafttreten der DSGVO erfolgen.
Ist eine Anwaltskanzlei zur Verschlüsselten e-mail Kommunikation verpflichtet
Eine Transportverschlüsselung stellt derzeit wohl den Stand der Technik dar. Sie ist im Hinblick auf die datenschutzrechtlichen Anforderungen wohl das Mittel der Wahl für sämtliche Adressaten des Datenschutzrechts und somit auch für die Anwaltschaft.

 

Anders sieht es bei der Ende-zu-Ende-Verschlüsselung aus. Bei dem derzeitigen Stand der Technik und angesichts der aktuellen Rechtslage sprechen gute Argumente gegen das Bestehen einer Pflicht zur Verwendung einer Ende-zu-Ende-Verschlüsselung für Rechtsanwälte als Berufsgeheimnisträger. Ohne die Mitwirkung des Mandanten ist eine Ende-zu-Ende-Verschlüsselung momentan nicht möglich, einen einheitlichen Standard gibt es nicht. Darüber hinaus ist der Sicherheitsgewinn bei der Anwendung von Ende-zu-Ende-Verschlüsselung gering. Denn der Client-Rechner, auf welchem die E-Mail unverschlüsselt vorliegt, ist im Fall eines Angriffs das lohnendste und damit das wahrscheinlichste Angriffsziel. Damit ist die Ende-zu-Ende-Verschlüsselung nur so sicher wie die Client-Rechner von  Anwalt  und  Mandant  –  letztere  sind  das schwächste Glied in der Kette.
In der Nutzung oder der Angabe der E-Mail-Adresse zur Kontaktaufnahme durch den Mandanten ist eine konkludente Einwilligung in die Nutzung dieses Kommunikationswegs durch den Mandanten zu sehen, zumindest dann, wenn der Anwalt eine Transportverschlüsselung anbietet. Eine Aufklärung über die Risiken der E-Mail-Kommunikation ist angesichts der weiten Verbreitung der E-Mail nur dann erforderlich, wenn der Anwalt konkrete Anhaltspunkte dafür hat, dass der Mandant im konkreten Fall die Sicherheitsrisiken der E-Mail-Kommunikation nicht richtig einzuschätzen vermag.

Hinweis:
Dieses Angebot dient der allgemeinen Information. Es stellt keine Rechtsberatung dar und kann diese auch im Einzelfall nicht ersetzen. Die im Rahmen dieses Internetauftritts zur Verfügung gestellten Informationen werden nach Möglichkeit vollständig und aktuell gehalten. Wir übernehmen jedoch keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen.

Datenschutzbeauftragter (TÜV)

Wir bieten Ihnen folgende Dienstleistungen:

  • Grundlagen des Datenschutzes
  • Ziele, Aufbau und Grundregeln von DSGVO und BDSG-neu
  • Datengeheimnis, Straf- und Bußgeldvorschriften
  • Organisation des betrieblichen Datenschutzes
  • Informations- und Korrekturrechte
  • Beantwortung der Fragen zum Mitarbeiterdatenschutz
  • Personalaktenrecht und Auskunftsrecht
  • Mitarbeiterdatenschutz und Mitbestimmung
  • IT-Sicherheitsmaßnahmen, technische und organisatorische Maßnahmen
  • IT-Sicherheitsmechanismen, Kontrollmechanismen
  • Risikopotenziale und Lösungsmöglichkeiten
  • IT-Sicherheitskonzept und Verfahrensverzeichnis
  • Übermittlung personenbezogener Daten ins Ausland
  • Zusammenarbeit mit dem Betriebsrat
  • Umstellungshinweise zur EU-Datenschutz-Grundverordnung
  • praktische Umsetzung des Datenschutzes
  • IT-Security im Kontext des Datenschutzes
  • Datenschutz in Anwaltskanzleien in praktischer Umsetzung
  • Sensibilisierungsschulungen für Verantwortliche und Mitarbeiter

FAQ zum Datenschutz

Der Datenschutzbeauftragte

Unabhängig von der Zahl der Beschäftigten muss ein Datenschutzbeauftragter bestellt werden, wenn

Daten aus den besonderen Kategorien aus Art. 9/Art. 10 DSGVO – Daten über Beschuldigte, Angeklagte und Verurteilte („Daten über strafrechtliche Verurteilungen und Straftaten“) – verarbeitet werden, die Kerntätigkeit des Verantwortlichen daraus besteht und diese Datenverarbeitung umfangreich ist.

Um eine Kerntätigkeit des Verantwortlichen handelt es sich dann, wenn die Datenverarbeitung dem Geschäftszweck unmittelbar dient. Geschäftszweck einer Anwaltskanzlei ist die Beratung und Vertretung von Mandanten. Die Verarbeitung von Daten im Rahmen dieser Beratung und Vertretung dürfte also stets Kerntätigkeit sein. Von einer Nebentätigkeit dürfte demgegenüber auszugehen sein bei Verwaltungsaufgaben oder den Geschäftsprozess begleitenden Maßnahmen, wie zum Beispiel der Auswertung von Google Analytics. Als Faustregel kann gelten: Alles was in die Mandatsakte aufgenommen wird, um Grundlage der anwaltlichen Beratung oder eventuellen Sachvortrags zu sein, ist der Kerntätigkeit zuzurechnen.

Zuletzt tritt die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Zahl der Beschäftigten auch dann ein, wenn die Kerntätigkeit des Verantwortlichen in der Verarbeitung besonderer Kategorien von Daten besteht und diese Verarbeitung umfangreich ist.

Eine verlässliche Definition des Begriffs „umfangreich“ wird erst in einigen Jahren vorliegen, wenn die ersten Gerichte darüber entschieden haben. In der Literatur wird zum Beispiel vertreten, umfangreich bedeute „viele Personen oder große Mengen von Daten betreffend“ (BeckOK Datenschutzrecht, Wolff/Brink, DS-GVO Artikel 37, Rn. 8). Diese Definition ist natürlich unbrauchbar.
Eine andere Meinung vertritt, umfangreich bedeute „das übliche Maß bei Weitem übersteigend“ (Paal/Pauly, DS-GVO Art. 37, Rn. 9). Diese Ansicht, die die Norm als Ausnahmevorschrift behandelt, wird jedoch mit guten Argumenten kritisiert (vgl. Sydow, Europäische Datenschutzgrundverordnung, Art. 37, Rn. 84 ff.). Die dortige Ansicht geht davon aus, dass eine Datenverarbeitung dann umfangreich ist, wenn sie im Sinne des Schutzzwecks des Datenschutzrechts „relevant“ wird. Relevanz wird gesehen, wenn die Verarbeitung kein Einzelfall ist.

Quelle: Fachinfo-Broschüre von Dr. Astrid Auer-Reinsdorff /Kjell Vogelsang DSGVO: Die fünf wichtigsten Sofortmaßnahmen für Anwaltskanzleien

Was nun, wenn weniger als 10 Beschäftige, aber Art. 9/Art. 10 Verarbeitung stattfindet?
Viele Kanzleien haben einen bis drei Berufsträger und bleiben auch inklusive Büropersonal und Referendaren unter der 10-Personen- Grenze. Gleichzeitig bearbeiten häufig kleine Anwaltskanzleien Mandate aus den oben genannten Bereichen und verarbeiten demgemäß auch Daten aus den besonderen Kategorien nach Art. 9 und 10 DSGVO. Die Frage des Umfangs der Datenverarbeitung und der rechtlichen Beurteilung der Kategorie „umfangreich“ ist für diese Kanzleien also relevant für die Bestellung eines Datenschutzbeauftragten. Für die meisten der kleinen Anwaltskanzleien dürfte nur ein externer Datenschutzbeauftragter in Betracht kommen, sodass aus der Bedeutung des Wortes „umfangreich“ entweder ein Kostenfaktor durch Bestellung eines externen Datenschutzbeauftragten oder ein erhebliches rechtliches Risiko durch die Nicht-Benennung erwächst.
Es ist davon auszugehen, dass diese Frage in den nächsten Jahren gerichtlich geklärt wird. Aus jetziger Sicht ist anzuraten, sich der Ansicht anzuschließen, die eine umfangreiche Verarbeitung dann annimmt, wenn sie über den Einzelfall hinausgeht. Mit anderen Worten: Es sind all diejenigen Kanzleien betroffen, die regelmäßig Mandate aus den genannten Rechtsgebieten bearbeiten. Nicht betroffen dürften diejenigen Kanzleien sein, die zum Beispiel hauptsächlich Baurecht oder gewerblichen Rechtsschutz bearbeiten und „alle Jubeljahre“ einen Verkehrsunfall mit strafrechtlicher Relevanz für einen Studienfreund übernehmen.
Quelle: Fachinfo-Broschüre von Dr. Astrid Auer-Reinsdorff /Kjell Vogelsang DSGVO: Die fünf wichtigsten Sofortmaßnahmen für Anwaltskanzleien

Fragen und Antworten zum (externen) Datenschutzbeauftragten

Welche Leistungen sind im Dienstvertrag des externen DSB über einen Pauschalbetrag i.d.R. abgegolten?
  • die Mitwirkung an der Bearbeitung der kalendermonatlich jeweils ersten [zehn] Auskunfts-, Löschungs-, Berichtigungs-, Beschränkungs-, Datenübertragungs- und Widerspruchsersuchen von betroffenen Personen, in Form der zielgerichtete Weiterleitung dieser an den Auftraggeber gerichteten Ersuchen an die zuständigen Mitarbeiter des Auftraggebers, welche der Auftraggeber auf jederzeitiges Verlangen benennen wird und einer Beratung des Auftraggebers in Bezug auf diese Ersuchen, falls im Einzelfall gewünscht
  • die Bearbeitung von oder, je nach Einzelfall, zielgerichtete Weiterleitung von datenschutzrechtlich relevanten Anfragen (Art. 38 Abs. 4 DS-GVO) an die zuständigen Mitarbeiter des Auftraggebers, welche der Auftraggeber auf jederzeitiges Verlangen dem Beauftragten benennen wird
  • die Kommunikation mit der gem. Art. 55, 56 DS-GVO zuständigen Aufsichtsbehörde, von der ausdrücklich diejenige im Zusammenhang mit Sachverhalten betreffend die Verletzungen des Schutzes personenbezogener Daten („Datenschutzverletzung“, Art. 33 DS-GVO) ausgenommen ist
  • die Bereitstellung und Pflege von Formularen und Mustern (z.B. standardisierte Antwortmuster für Anfragen betroffener Personen) sowie die Erstellung jährlicher Tätigkeitsberichte
Welche Leistungen sind im Dienstvertrag i.d.R. gesondert leistungsbezogen zu vergüten?
  • die Mitwirkung an der Bearbeitung von Auskunfts-, Löschungs-, Berichtigungs-, Datenübertragungs- und Widerspruchsersuchen von betroffenen Personen ab dem [elften] Ersuchen pro Kalendermonat
  • die Schulung der mit dem Umgang mit personenbezogenen Daten befassten Mitarbeiter des Auftraggebers bezüglich der Erfordernisse des Datenschutzes (Art. 39 Abs. 1 lit. b DS-GVO)
  • die Mitwirkung bei der Durchführung der Datenschutz-Folgenabschätzung bei Verarbeitungen, die voraussichtlich hohe Risiken für Rechte und Freiheiten von betroffenen Personen haben (Art. 35 DS-GVO)
  • die Mitwirkung bei der Erstellung betrieblicher Anweisungen und Richtlinien zum datenschutzkonformen Umgang mit personenbezogenen Daten, etwa hinsichtlich des Umgangs mit E-Mail und Internet am Arbeitsplatz
  • die Wahrnehmung von Besprechungen und anderen Terminen, die nicht am Sitz des Auftraggebers stattfinden
  • die Durchführung von Vor-Ort-Prüfungen („Audits“) bei Subunternehmern, Vorlieferanten oder anderen für den Auftraggeber tätigen Dienstleistern, insbesondere auch die Durchführung von Kontrollen im Rahmen von Auftragsverarbeitungsverhältnissen i.S.v. Art. 28 DS-GVO
  • alle Tätigkeiten im Zusammenhang mit Sachverhalten betreffend Verletzungen des Schutzes personenbezogener Daten („Datenschutzverletzungen i.S.v. Art. 4 Nr. 12 DS-GVO, Art. 33 DS-GVO), einschließlich vorbeugender Maßnahmen zur Verhinderung und vorbereitender Maßnahmen im Hinblick auf adäquate Reaktionen
  • die Beantwortung konkreter Anfragen von Beschäftigten oder der Unternehmensleitung zum Datenschutz jenseits des Tagesgeschäfts (z.?B. datenschutzrechtliche Machbarkeit neuer Geschäftsmodelle)
  • die datenschutzrechtliche Beurteilung von konkreten Marketing-, Werbe- oder Vertriebsmaßnahmen (z.?B. Durchführung von Gewinnspielen); sowie der Aufbau, die Bewertung oder Fortentwicklung eines etwaig vorhandenen, umfassenden Datenschutzmanagementsystems oder Teile desselben z.?B. nach den Empfehlungen der IT-Grundschutz-Kataloge des BSI.
Darf ein DSB Rechtsdienstleistungen anbieten?

Die Annahme, dass es sich bei Teilen der Tätigkeit eines externen DSB um eine Rechtsdienstleistung handelt, ist nicht fernliegend. Denn gem. § 2 Abs. 1 RDG fällt hierunter jede Tätigkeit in konkreten fremden Angelegenheiten, die eine rechtliche Prüfung des Einzelfalls erfordert.

Insoweit ist – außer für den internen DSB, der keine fremde Angelegenheit besorgt – fraglich, ob sich der externe DSB wegen der von ihm vorzunehmenden rechtlichen Prüfungen in Angelegenheiten seines Auftraggebers auf § 5 Abs. 1 S. 1 RDG berufen kann. Diese Norm erlaubt Rechtsdienstleistungen durch Nichtanwälte dann, wenn sie im Zusammenhang mit einer anderen Tätigkeit als Nebenleistungen zum Berufs- oder Tätigkeitsbild gehört. In einer die Gewerbesteuerpflichtigkeit der Tätigkeit eines externen DSB betreffenden Entscheidung hat der BFH entschieden, dass es sich bei der Tätigkeit des DSB um ein eigenständiges, neues Berufsbild handele, zu dessen Ausübung „umfangreiche juristische Kenntnisse“ erforderlich seien (BFH, Urt. v. 5. 6. 2003 – IV R 34/01, BB 2003, 2108). Ob in dieser juristischen Tätigkeit eine Nebenleistung liegt, ist gem. § 5 Abs. 1 S. 2 RDG nach ihrem Inhalt, Umfang und sachlichen Zusammenhang mit der Haupttätigkeit unter Berücksichtigung der Rechtskenntnisse zu beurteilen, die für die Haupttätigkeit erforderlich sind. Insoweit erkennt der BFH an, dass die Ausübung des Berufs des externen DSB „nicht nur vertiefte Kenntnisse der Regelungen des Bundes- und des jeweiligen Landesdatenschutzgesetzes, sondern auch Kenntnisse bzgl. der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht voraussetzt“. Damit liegt es nahe, auch bei umfänglicheren oder schwierigeren juristischen Fragestellungen von einer zulässigen Nebenleistung des externen DSB auszugehen.
Quelle: Formularhandbuch Datenschutzrecht, 2. Auflage Koreng/Lachenmann

Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO

Jeder Verantwortliche und jeder Auftragsverarbeiter erstellen und führen ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten.

Die bisher als Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung bekannten Dokumentationspflichten (§ 4g Abs. 2 Satz 1 Bundesdatenschutzgesetz (BDSG) bzw. jeweiliges Landesdatenschutzgesetz) werden hinfällig.

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht).

Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.

Die vollständige Fassung der DS-GVO finden Sie im Internet unter: http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32016R0679.

Hinweise vom DAV zum Datenschutz lt. DSGVO

b

Hinweise zum Verzeichnis von Verarbeitungstätigkeiten (PDF)

b

Muster Verarbeitungsverzeichnis Verantwortlicher (PDF)

Videokonferenzsysteme Blizz und Jitsi kurz vorgestellt

ACHTUNG Datenschutzhinweis beachten!

Was ist Blizz?

Blizz ist die Online-Kollaborationslösung von TeamViewer, die es erlaubt, schnell und einfach Meetings, Präsentationen und Team Arbeit online zu veranstalten. Besonders auch für Schulungen und Unterricht ist blizz grad heutzutage eine schlanke und einfache Lösung, die Unterricht im virtuellem Raum ermöglicht.
Und für alle, die TeamViewer nicht kennen: TeamViewer, ein weltweit führender Anbieter von Remote-Konnektivitätslösungen aus Göppingen in Baden-Württemberg. Mit der gleichnamigen Software TeamViewer setzt Teamviewer den Fokus auf cloudbasierte Technologien, die Nutzern weltweit Online-Zusammenarbeit und Fernsupport ermöglichen.

Blizz ist für bis zu 5 Teilnehmer kostenlos und wird dann für bis zu 10 Teilnehmer mit 6 EUR/Mtl. und eigener Benutzerverwaltung berechnet.
Eine Fernwartung ist mit diesem tool nicht möglich. Hierzu setzt Teamviewer auf die hauseigene Lösung. Weitere Lizenzmodelle unter: https://www.blizz.com/de/pricing/

Anmeldung/Installation:
https://www.blizz.com/de/download/

Datenschutz:
Blizz basiert auf der branchenführenden Technologie von TeamViewer. Blizz ist ISO 27001 zertifiziert, 256Bit Ende-zu-Ende verschlüsselt und bietet eine optionale Zwei-Faktor-Authentifizierung. Blizz basiert auf der TeamViewer Architektur und ist Made in Germany.

Was ist Jitsi?

Jitsi Meet Videokonferenz per Browser oder App
VideokonferenzJitsi Meet
Jitsi Meet ist eine quelloffene Software, die Videokonferenzen mit einem oder mehreren Teilnehmern ermöglicht. Das Besondere: Für die Nutzung ist kein Konto notwendig, sondern lediglich ein Webbrowser (der WebRTC unterstützt) oder die App für Android bzw. iOS. Datenschutzsensible Nutzer finden die Jitsi-Meet-App ebenfalls im F-Droid-Store.
Welche Funktionen bietet Jitsi Meet?

Videokonferenz: Video- bzw. Audiochat mit einem oder mehreren Teilnehmern
Desktop-Freigabe | Screen-Sharing: Freigabe des Desktops oder bestimmten Fenstern, um anderen Teilnehmern Inhalte zu zeigen
Chat: Integrierte Chat-Funktion, um textbasierte Inhalte mit anderen Teilnehmern zu teilen.

Anmeldung/Installation:
https://jitsi.org/

Datenschutz:
Auf Basis von WebRTC werden Daten bzw. Media-Streams via Datagram Transport Layer Security (DTLS) und Secure Real-time Transport Protocol (SRTP) verschlüsselt übertragen. WebRTC bietet allerdings (noch) keine Möglichkeit, Videochats mit mehreren Teilnehmern Ende-zu-Ende zu verschlüsseln. Das bedeutet: Auf dem Transportweg bzw. im Netzwerk ist der Videochat verschlüsselt, auf dem Videochat-Server hingegen, der Jitsi Meet hostet, wird der gesamte Datenverkehr entschlüsselt und ist damit für den Betreiber einsehbar. Bei maximal zwei Teilnehmern unterstützt WebRTC die Ende-zu-Ende-Verschlüsselung – allerdings gibt es keine Garantie, dass dies auch funktioniert.

Datenschutzhinweise für Blizz,Jitsi und Teams auf eigens gehostetem Server oder beim Anbieter gehosteten Servern:

Völlig egal, was man nun nutzt. Wenn Beschäftigte oder Konferenzteilnehmer an diesen Meetings teilnehmen, muss zuvor über die damit involvierte Verarbeitung personenbezogener Daten informiert werden gem. Art. 13 DSGVO.

Hier einige Vorlagen zum Download, die individuell angepasst werden können.

b

Datenschutzhinweise Blizz V1 (PDF)

b

Datenschutzhinweise Jitsi Self Hosted V1 (PDF)

b

Datenschutzhinweise Jitsi Hosted V1 (PDF)

b

Datenschutzhinweise Microsoft Teams V1 (PDF)

Datenschutzrichtlinien im Homeoffice

Home-Office und Heimararbeit sind zwar in vielen Unternehmen schon in Teilbereichen möglich. Und es wäre auch ohne die aktuell Gesundheitslage ein Trend, der in der Arbeitswelt festen Einzug erhalten wird. Aber natürlich birgt eine Arbeit zuhause Risiken für die Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit von personenbezogenen Daten.

Diese Risiken sind nach Art. 32 DSGVO, Art. 24 Abs. 1 DSGVO und Art. 5 Abs. 1 lit. f) DSGVO zu „behandeln“, indem technische und organisatorische Maßnahmen getroffen werden, die diese Risiken ausschließen bzw. minimieren
.

Diese Maßnahmen sollten für die Beschäftigten, die Heimarbeit leisten bzw. im Home-Office arbeiten, als Richtlinie verbindlich gemacht werden.

b

Musterrichtlinien Homeoffice (PDF)

Wir aber einige Wochen „Home-Office“ bzw. „Mobiles Arbeiten“ hinter uns, und es ist an der Zeit die Datenschutzrelevanten Themen zu regeln. Wenn Kanzleien/Unternehmen personenbezogene Daten im Auftrag für Auftraggeber verarbeiten, sollten diese spätestens jetzt mal in ihrem Auftragsverarbeitungsvertrag nachschauen, ob es dort eine Regelung zur Datenverarbeitung in Privatwohnungen, zu Telearbeit oder zu „Home-Office“ gibt. Wenn es keine Regelung gibt oder diese untersagt ist, sollten die betreffenden Unternehmen sich jetzt mit den Auftraggebern in geeigneter Weise in Verbindung setzen. Ziel dieser Kontaktaufnahme sollte sein, die Arbeit im „Home Office“ auf eine rechtliche Grundlage zu stellen. Wenn es noch keine Regelung geben sollten, kann ein Anhang zum Auftragsverarbeitungsvertrag ergänzend abgeschlossen werden. Anbei ein kostenloses Muster:

b

Ergänzung für Auftragsverarbeiter im Homeoffice (PDF)

Bitte beachten Sie, dass Sei bei der Durchführung von Meetings/Webinaren im Zuge der Informationspflicht nach Art. 13 DSGVO den Teilnehmern mitteilen welchen Daten Sie erheben, wo die Daten bespeichert sind, Weitergabe an Dritte und zu welchem Zweck diese erhoben werden.
So könnte der Hinweis mit dem Werkzeug „Zoom“ zum Beispiel lauten:
Für den Einsatz mit Mandanten gibt es bei „zoom“ wie bei den meisten Anbietern das Problem, dass man leider keine Annex-Vereinbarung zu § 43e BRAO bekommt. Deswegen hier schön an § 43e Abs. 6 BRAO denken und die Mandanten konkret auf die Einhaltung der Anforderungen aus § 43e Abs. 2 und 3 BRAO verzichten lassen. Das bekommt man praktisch aber gut hin. Die meisten Mandanten werden dafür Verständnis aufbringen.

Welche Folgen ergeben sich bei Nichtbeachtung?
Die Neuregelung von § 43e BRAO ist im Zusammenhang mit der ebenfalls erfolgten Neufassung von § 203 StGB zu sehen. Nach § 203 Abs. 1 StGB a.F. machte sich bisher strafbar, wer unbefugt ein fremdes Geheimnis offenbart, das ihm als Berufsgeheimnisträger anvertraut worden oder sonst bekannt geworden ist. § 203 Abs. 3 S. 2 StGB n.F. erlaubt Rechtsanwälten nunmehr, fremde Geheimnisse gegenüber sonstigen Personen zu offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen Tätigkeit des Rechtsanwalts mitwirken. Strafbar handelt ein Rechtsanwalt nunmehr gemäß § 203 Abs. 4 S. 2 Nr. 1 StGB, wenn er nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde.
Was bedeutet dies konkret?
Hält ein Rechtsanwalt die Vorschriften von § 43e BRAO nicht ein, verstößt er gegen anwaltliches Berufsrecht; er macht sich aber nicht automatisch strafbar. Hält er sie ein, handelt er in jedem Fall erlaubt i.S.v. § 203 StGB.

Zur Durchführung des Online-Meetings verwenden wir „zoom“. Hinweise zur Datenverarbeitung finden Sie insoweit unter:
b

Datenschutzhinweis Zoom (PDF)

Erreichen Sie uns

Wir stehen Ihnen für alle Fragen zur Verfügung. Wir beraten Sie gerne.

Max-Lang-Straße 56
70771 Leinfelden-Echterdingen

+49 (0)711/45 99 89 - 0

info@ram-sued.de

Kontakt aufnehmen über unser Formular

Datenschutz