Datenschutz und IT-Sicherheit

Datenschutz und IT-Sicherheit gewinnen immer mehr an Bedeutung. Insbesondere die rechtlichen Anforderungen, die an Unternehmen gestellt werden, die DS-GVO (Anpassung des Datenschutzes an europäisches Recht und Reformierung des BDSG im BDSG-neu) und die nach Art. 32 DS-GVO einhergendene Verpflichtung "Technische und Organisatorische Maßnahmen" (TOM) zum Schutz personenbezogender Daten vorzuhalten, stellen für viele kleinere Unternehmen eine große Herausforderung dar. Hierbei unterstützen wir Sie mit unseren kompetenten Mitarbeitern, die seit vielen Jahren ein umfangreiches Spektrum des technischen Datenschutzes bei einer Vielzahl zufriedener Kunden abdecken.

Wir legen neben Qualität und einem "Datenschutz mit Augenmaß" großen Wert auf entsprechende Zertifizierung und haben daher die Prüfung zum Datenschutzbeauftragten (TÜV) und IT-Sicherheitsbeauftragten (TÜV) erfolgreich absolviert.

Gerne beraten wir Sie mit unserem IT-Sicherheits- und Datenschutz "Ersthilfepaket", stehen ihrem internen Datenschutzbeauftragten zur Seite oder nehmen bei Bedarf die Funktion eines externen Datenschutzbeauftragten ein.

Ihr Ansprechpartner:
Thomas Keis - Tel. 08221 - 356  8020 oder 0711 - 45 99 89 0
t.keis[at]ram-sued.de

Externer Datenschutzbeauftragter (TÜV) nach DSGVO


Viele Unternehmen greifen beim Thema Datenschutz auf professionelle Beratung von außen zurück.
Durch diese Zertifizierung können wir Ihnen einen externen Datenschutzbeauftragten stellen, der seine Aufgaben nach Art. 39 DSGVO  wahrnimmt.


Darüber hinaus können unternehmenspezifisch weitere Leistungen angefordert werden.
Gerade für Mittelstandskunden, die nur einen „Datenschutzbeauftragter als Funktion in Teilzeit“ benötigen, ist die Outsourcing Lösung preislich oft sehr interessant.

Durch die Auslagerung der Funktion Datenschutzbeauftragter ist das Haftungsrisiko für das Unternehmen und somit der Geschäftführung klar geregelt.

Schonen Sie die Ressourcen in Ihrem Unternehmen und lassen datenschutzrelevante Themen von einer externen Kraft über einen Dienstleistungsvertrag regeln.

Übt der interne Datenschutzbeauftragte seine Pflichten und Aufgaben in tatsächlich vollständiger Unabhängigkeit aus?

Oder haben Sie sich schon mal die Frage gestellt ob nicht evtl. ein externer Beauftragter diesem eher nachkommt? (siehe Erwägungsgrund 97).





Unsere Aufgaben als Ihr "Externer Datenschutzbeauftragter":

  • Überwachung der Einhaltung DSGVO, anderer Datenschutzvorschriften
  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für die Aufsichtsbehörde

Fragen und Antworten zum Datenschutz

Verarbeitungsverzeichnis


  • Wenn Sie in Art. 39 DS-GVO schauen, finden Sie eine Übersicht der mindestens vom Datenschutzbeaufragten wahrzunehmenden Aufgaben. Die Aufgabe „Führen des Verzeichnisses von Verarbeitungstätigkeiten“ suchen Sie dort vergebens. Aber: Nicht nur am Wörtchen „mindestens“ erkennen Sie, dass auch weitere Aufgaben  übertragen werden können. Dass der Datenschutzbeauftragte weitere Aufgaben und Pflichten übernehmen kann,  ist ausdrücklichin Art. 38 Abs. 6 Satz 1 DS-GVO erwähnt.

    Sollen weitere Aufgaben übertragen werden, muss der Verantwortliche oder der Auftragsverarbeiter sicherstellen, dass diese Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Weil es sich beim Verzeichnis von Verarbeitungstätigkeiten in erster Linie um eine Dokumentationsaufgabe handelt, dürfte ein solcher Interessenkonflikt nicht bestehen.

    Außerdem: Die Verantwortung für die Umsetzung  und die Zulieferung der zutreffend en Verzeichnisinformationenliegt weiterhin beim Verantwortlichen bzw. dem Auftragsverarbeiter. Quelle: datenschutz-aktuell


  • Grundsätzlich kann dies dazu führen, dass der zur Führung eines Verzeichnisses verpflichtete Verantwortliche oder Auftragsverarbeiter ein Bußgeld riskiert. Der Bußgeldrahmen sollte nicht unterschätzt werden. So droht eine Geldbuße von bis zu 10 Mio. € oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Siehe auch Art. 83 DSGVO

    Machen Sie auch Folgendes deutlich: Zwar dürfte auch in Zukunft die Datenschutzaufsichtsbehörde einen gewissen Spielraum bei der Frage haben, ob man ein Bußgeld wegen eines fehlenden Verzeichnisses verhängt. Allerdings soll das Bußgeld in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Das heißt: „Standardbußgelder“ dürfte es nicht geben. Je nach Einzelfall kann ein fehlendes Verzeichnis zu einem eher niedrigen oder hohen Bußgeld führen. Doch bei kleinen Unternehmen wird man auch ein niedriges Bußgeld eher nicht mehr aus der Portokasse zahlen können. Quelle: datenschutz-aktuell



  • Man kann das Verzeichnis der Verarbeitungstätigkeiten als unnötige Bürokratie ansehen. Doch eigentlich ist es mehr Hilfe und Unterstützung als Last. Schon bei der Erstellung des Verzeichnisses kann deutlich werden, wo Lücken im Datenschutz bestehen. Diese werden durch die verschiedenen Informationen sichtbar.
    Das kann vor allem auch der IT-Abteilung helfen, geeignete Gegenmaßnahmen zu ergreifen. Und angemessene und vor allem umgesetzte Schutzmaßnahmen tragen nicht nur zum Datenschutz bei. Auch der Schutz sensibler Unternehmensinformationen (z. B. Entwicklungsdaten) wird sichergestellt.

    Gespräche mit Verantwortlichen im Zuge einer Bestandandsaufnahme bzw. einer Erstbegehung erzeugen bei diesen eine hohes Maß der persönlichen Zufriedenheit sich jetzt mal selbst mit Themen der IT-Sicherheit beschäftigen zu dürfen, die bis dato keinerlei Bedeutung für ihn hatten. Er entwickelt dadurch oftmals sehr rasch eine hohes Bewusstsein für Schutzmaßnahmen und bringt sich im Rahmen seiner zeitlichen und technischen Möglichkeiten mit hohem Angagement in den Datenschutz mit ein. Prozesse werden optimiert und bisher "Alt eingefahrene" Gewohnheiten abgeschafft. Mitarbeiter werden befragt und deren Arbeit wird wieder wertgeschätzt, was wiederum zu einer höheren Mitarbeiterzufriedenheit führen kann.


  • Sollte man Ihnen die Aufgabe übertragen, das Verzeichnis der Verarbeitungstätigkeiten zu erstellen, muss das nicht heißen, dass Sie in den nächsten Wochen und Monaten kaum noch zu etwas anderem kommen. Niemand sagt nämlich, dass Sie das Verzeichnis ausschließlich in Eigenregie erstellen müssen. Fordern Sie als Datenschutzbeauftragter die erforderliche Unterstützung ein.

    Das ist heute Ihr gutes Recht und es wird auch in Zukunft Ihr gutes Recht bleiben (vgl. Art. 38 Abs. 2 DS-GVO). Geht es um die Unterstützung bei der Erstellung, können Sie folgende Optionen ins Spiel bringen:

    Option 1: Die Informationen für das Verzeichnis werden von den Fachabteilungen zugeliefert.
    Option 2: Ihnen werden Mitarbeiter zugeordnet.
    Option 3: Sie bekommen Unterstützung durch Praktikanten.
    Quelle: datenschtutz-aktuelll


  • Verpflichtet ist sowohl der  Verantwortliche, als auch der Auftragsverarbeiter: beispielsweise ein IT-Dienstleister oder ein Lohnbüro.

    Wenn Ihr Unternehmen nun solch ein Dienstleister ist, also als Aufragsverarbeiter personenbezogene Daten für andere Unternehmen (Verantwortliche) im Aufrag verarbeitet, muss das Verzeichnis der Verarbeitungstätigkeiten ebenfalls geführt werden (Der Dienstleister wird als Aufragnehmer in einer gesonderten Auftagsverarbeitungsvereinbarung bezeichnet).

    Schauen Sie sich die Regelungen zu den beiden Verzeichnissen in Art. 30 Abs. 1 DS-GVO für den Verantwortlichen bzw. in Art. 30 Abs. 2 DS-GVO für den Auftragsverarbeiter an, stellen Sie schnell fest, dass diese in vielen Punkten identisch sind. Jedoch sind die Anforderungen an das Verzeichnis des Auftragsverarbeiters geringer. Es enthält z.B. keine Verarbeitungszwecke oder Löschfristen.

Datenschutzmanagement/Datenschutzorganisation

  • Sofern man einer Aufsichtsbehörde sämtliche Dokumente zur Rechtmäßigkeit der Verarbeitung nach Art. 5 DSGVO personenbezogener Daten darlegen möchte, macht es durchaus Sinn sich mit der Einführung eines DSMS zu beschäftigten. Hierzu zählt ein sog. Datenschutzhandbuch.
    Hierzu sollte ein Team mit Personen zusammengestellt werden, die sich mit dem Datenschutz beschäftigen. Man nennt das dann "Aufbauorganisation".

  • Das Datenschutz-Handbuch ist eine Sammlung von wichtigen Dokumentationen und Nachweisen. In einer optisch anspruchsvollen Weise sammeln wir hier alles, was später auf Anfrage präsentiert werden muss.

    Ein konkreter Anlass kann sein, dass die Datenschutz-Aufsichtsbehörde Auskünfte einfordert, oder dass der Betriebsrat gewisse Nachweise sehen möchte, oder dass die Geschäftsführung über den aktuellen Stand der Dinge informiert werden möchte. In allen diesen Fällen wird der unternehmensinterne Datenschutz-Koordinator dieses Datenschutz-Handbuch aufschlagen und die Antworten finden.

  • Stand im alten BDSG: Hohe Hürden für eine Meldung
    Bereits früher (BDSG Alt)  waren unbefugten Datenzugriffe, umgangssprachlich "Datenpannen" genannt, meldepflichtig.

    Nach § 42a BDSG (Alt) mussten dafür allerdings zwei Voraussetzungen erfüllt sein:


    1. Die personenbezogenen Daten müssen als sehr sensibel gelten, was z. B. bei Bank- und Gesundheitsdaten der Fall war.
    2. Zusätzlich musste davon auszugehen sein, dass im konkreten Vorfall ein hohes Risiko für den Betroffenen gegeben ist, d. h. schwerwiegende Beeinträchtigungen drohen.

    Diese Voraussetzungen führten bis zum 25.05.2018 dazu, dass nur vereinzelt Meldungen an die zuständige Aufsichtsbehörde gemacht wurden. Die jährliche Gesamtzahl solcher Meldungen bewegte sich daher meist nur in einem zweistelligen Bereich. Eine sehr große Dunkelziffer bezüglich nicht erkannter und nicht gemeldeter (Hacking-) Vorfälle konnte durchaus vermutet werden. Sofern jedoch eine meldepflichtige Datenpanne vorlag, war auch der Betroffene zu informieren.

    Stand heute: Deutlich abgesenkte Hürden
    Die DS-GVO regelt in den Artikeln 33 und 34 den Umgang bei Datenpannen. Dabei sieht die DS-GVO eine abgestufte Meldepflicht vor:
    1. Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.

    2. Eine Benachrichtigung der betroffenen Person muss dagegen nur dann erfolgen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Auch ist eine Information des Betroffenen nicht (mehr) erforderlich, wenn geeignete technische und organisatorische Maßnahmen vorhanden sind, die den Unbefugten Zugang auf die personenbezogenen Daten praktisch nicht ermöglichen – als explizites Beispiel ist die Verschlüsselung genannt. Ebenso kann auf eine Benachrichtigung des Betroffenen verzichtet werden, wenn wirk-same Maßnahmen zur Schadensbegrenzung ergriffen wurden und diese das hohe Risiko, das zum Zeitpunkt der Datenpanne bestand, eliminiert haben. Wie dieses Szenario in der Praxis ablaufen kann, muss insbesondere von Seiten der Aufsichtsbehörden noch geklärt werden.


Internet/SocialMedia

  • Das ergibt sich allein aus den Rechtsgrundlagen und den bereitzustellenden Informationen, die weitergehend als bislang sein werden. Beispielsweise ist künftig über die zu Grunde gelegten Rechtsgrundlagen ebenso zu informieren wie über die Erforderlichkeit für einen Vertragsabschluss oder ob eine andere Verpflichtung zur Bereitstellung der Daten besteht. Viele der durch das Gesetz verlangten Informationen müssen für jede Funktion der Website gesondert bewertet werden. Daher bleibt es nicht aus, dass der Umfang der Datenschutzerklärungen weiter zunehmen wird. Die Informationen müssen gem. Art. 13 Abs. 1 DS-GVO „bei Erhebung“ der personenbezogenen Daten gegeben werden. Daher sollte die Datenschutzerklärung – wie bislang – regelmäßig mit nur einem Klick erreichbar sein (Artikel–29-Datenschutzgruppe, Working Paper 260, S. 8; zum BDSG a.?F. bereits Wintermeier, ZD 2013, 21 (23?f.); beim Impressum sind hingegen zwei Klicks ausreichend, BGH, Urt. v. 20. 3. 2006 – I ZR 228/03, MMR 2007, 40). Dem kann durch die Aufnahme des Links im Header oder Footer neben dem Impressum nachgekommen werden.

  • Beim Einsatz von Blog-Funktionen, WebShop, Portalen oder Foren muss darauf geachtet werden, dass Betreiber (künftig:Host-Provider) Informationen speichern, da diese dafür haften können. Zeitpunkt, Metadaten, wie IP-Adresse und Zeitpunkt müssen somit gespeichert werden. Rechtsgrundlagen müssen immer genannt werden. Diese wird i.d.R. oftmals in Art. 6 DSGVO zu finden sein.

    Weisen Sie darauf hin, dass kein Klarnamenszwang besteht. Aus Art. 25 DS-GVO könnte sogar hergeleitet werden, dass ein Pseudonym die betroffene Person schützen kann. Allerdings kann dies wiederum in sozialen Netzwerken wie Xing oder LinkedIn, welche Angebote zur Kontaktaufnahme untereinander vorhalten, nicht immer in Einklang mit dem Zweck der Datenverarbeitung solcher Anbieter gebracht werden.

  • Die Nutzung von Analysen zur Nutzung der eigenen Website ist heutzutage Standard. Betreiber von Websites möchten bspw. wissen, wie viele Nutzer ihre Seite besuchen, welche Information am gefragtesten sind, wie Nutzer das Angebot auffinden. So können die Angebote nutzerfreundlich ausgestaltet werden und der Umsatz der Unternehmen erhöht werden. Gebräuchlich ist der Begriff Web Analytics, regelmäßig finden sich auch Begriffe wie Web-Tracking oder Datenverkehrsanalyse. Beschrieben wird damit jede Erhebung von Zugriffsdaten auf Websites und die Auswertung des Verhaltens der Besucher. Die Analyse-Tools erfordern die Ermittlung einzelner Besucher, um das individuelle Verhalten auswerten zu können. Eine persönliche Identifizierung ist hingegen grundsätzlich nicht erforderlich, da nur statistische Daten erstellt werden sollen. Üblich ist es daher, auch aufgrund des Vorgehens der Datenschutz-Aufsichtsbehörden, dass die IP-Adresse nur verkürzt erhoben und direkt um das letzte Oktett gekürzt wird, so dass die zuvor personenbezogenen Nutzerdaten direkt anonymisiert werden und keine Zuordnung zu einem individuellen Nutzer erfolgen kann. Die Datenschutzerklärung sollte entsprechend ergänzt werden.

  • Die DSGVO verlangt eine aufgeklärte Willenserklärung des Users in die Datenerhebung und -verarbeitung. Die Einwilligung darf nicht pauschal, beispielsweise in Form einer Blanko-Einwilligung erfolgen. Diese sind möglichst genau zu bestimmen und müssen dem User eine informierte Entscheidung ermöglichen, seine Einwilligung im konkreten Fall zu erteilen oder zu versagen. Sie muss vielmehr erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden. Die DS-GVO Definition Einwilligung in Art. 4  (Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung...).
     

    Opt-Out-Verfahren ist unzulässig


    Eine bestimmte Form ist für die Einwilligung nicht vorgeschrieben. Erforderlich ist lediglich eine eindeutig bestätigende Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dem Erfordernis einer eindeutig bestätigenden Handlung entspricht etwa das Anklicken eines Kästchens beim Besuch einer Internetseite. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten keine Einwilligung darstellen (vgl. Erwägungsgrund 32 zur DSGVO).

    Für Newsletter-Marketing bedeutet dies wiederum nach der DS-GVO, dass das Opt-Out-Verfahren  unzulässig ist Es ist eine eindeutig bestätigende Handlung notwendig, bei der die betroffene Person von sich aus tätig werden muss, etwa indem sie ein nicht vorangekreuztes Kästchen anklicken muss (Opt-in-Verfahren).

  • In der DSGVO sind eine Reihe von Gründe geregelt, die die Verarbeitung personenbezogener Daten, dazu gehören auch die verwendeten E-Mail-Adressen, zulassen. Im Rahmen von Newslettern ist in der Regel die Einwilligung des Empfängers der Grund, der die Verarbeitung zulässig werden lässt. Durch das DSGVO werden die Anforderungen an eine wirksame Einwilligung verschärft.

    Daher gilt:

    • Der Verantwortliche muss nachweisen können, dass der Empfänger in die Verarbeitung seiner Daten eingewilligt hat, also auch, den Newsletter zu erhalten. Dies muss nicht schriftlich sein, eine Protokollierung elektronischer Einwilligungen ist sinnvoll.


    • Der Empfänger muss den Umfang der Daten, den Zweck, zu dem die Daten verarbeitet werden sollen, sowie die Folgen der Verweigerung einer Einwilligung kennen. Hierzu ist es erforderlich, dass das Ersuchen um die Einwilligung in leicht zugänglicher und verständlicher Form sowie in einer klaren und einfachen Sprache abgefasst ist. Der Empfänger ist schon bei der Einholung der Einwilligung auf die Möglichkeit des Widerrufs hinzuweisen. Eine nicht erforderliche Kopplung an eine Gegenleistung darf nicht erfolgen.


    • Bei in der Vergangenheit bereits wirksam gegebenen Einwilligungen ist es nicht erforderlich, dass diese wiederholt werden. Diese Einwilligungen sind jedoch trotzdem an den Wirksamkeitsvoraussetzungen der DS-GVO an eine Einwilligung zu messen. Verstößt eine früher gegebene Einwilligung allerdings gegen das Gebot der Freiwilligkeit, gilt sie nicht weiter fort und muss erneut eingeholt werden. Dies sollte tunlichst vor Inkrafttreten der DSGVO erfolgen.

  • Eine Transportverschlüsselung stellt derzeit wohl den Stand der Technik dar. Sie ist im Hinblick auf die datenschutzrechtlichen Anforderungen wohl das Mittel der Wahl für sämtliche Adressaten des Datenschutzrechts und somit auch für die Anwaltschaft.

    Anders sieht es bei der Ende-zu-Ende-Verschlüsselung aus. Bei dem derzeitigen Stand der Technik und angesichts der aktuellen Rechtslage sprechen gute Argumente gegen das Bestehen einer Pflicht zur Verwendung einer Ende-zu-Ende-Verschlüsselung für Rechtsanwälte als Berufsgeheimnisträger. Ohne die Mitwirkung des Mandanten ist eine Ende-zu-Ende-Verschlüsselung momentan nicht möglich, einen einheitlichen Standard gibt es nicht. Darüber hinaus ist der Sicherheitsgewinn bei der Anwendung von Ende-zu-Ende-Verschlüsselung gering. Denn der Client-Rechner, auf welchem die E-Mail unverschlüsselt vorliegt, ist im Fall eines Angriffs das lohnendste und damit das wahrscheinlichste Angriffsziel. Damit ist die Ende-zu-Ende-Verschlüsselung nur so sicher wie die Client-Rechner von  Anwalt  und  Mandant  –  letztere  sind  das schwächste Glied in der Kette.

    In der Nutzung oder der Angabe der E-Mail-Adresse zur Kontaktaufnahme durch den Mandanten ist eine konkludente Einwilligung in die Nutzung dieses Kommunikationswegs durch den Mandanten zu sehen, zumindest dann, wenn der Anwalt eine Transportverschlüsselung anbietet. Eine Aufklärung über die Risiken der E-Mail-Kommunikation ist angesichts der weiten Verbreitung der E-Mail nur dann erforderlich, wenn der Anwalt konkrete Anhaltspunkte dafür hat, dass der Mandant im konkreten Fall die Sicherheitsrisiken der E-Mail-Kommunikation nicht richtig einzuschätzen vermag.





Hinweis:
Dieses Angebot dient der allgemeinen Information. Es stellt keine Rechtsberatung dar und kann diese auch im Einzelfall nicht ersetzen. Die im Rahmen dieses Internetauftritts zur Verfügung gestellten Informationen werden nach Möglichkeit vollständig und aktuell gehalten. Wir übernehmen jedoch keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen.

Datenschutzbeauftragter (TÜV)

Wir bieten Ihnen folgende Dienstleistungen:

  • Grundlagen des Datenschutzes
  • Ziele, Aufbau und Grundregeln von DSGVO und BDSG-neu
  • Datengeheimnis, Straf- und Bußgeldvorschriften
  • Organisation des betrieblichen Datenschutzes
  • Informations- und Korrekturrechte
  • Beantwortung der Fragen zum Mitarbeiterdatenschutz
  • Personalaktenrecht und Auskunftsrecht
  • Mitarbeiterdatenschutz und Mitbestimmung
  • IT-Sicherheitsmaßnahmen, technische und organisatorische Maßnahmen
  • IT-Sicherheitsmechanismen, Kontrollmechanismen
  • Risikopotenziale und Lösungsmöglichkeiten
  • IT-Sicherheitskonzept und Verfahrensverzeichnis
  • Übermittlung personenbezogener Daten ins Ausland
  • Zusammenarbeit mit dem Betriebsrat
  • Umstellungshinweise zur EU-Datenschutz-Grundverordnung
  • praktische Umsetzung des Datenschutzes
  • IT-Security im Kontext des Datenschutzes
  • Datenschutz in Anwaltskanzleien in praktischer Umsetzung
  • Sensibilisierungsschulungen für Verantwortliche und Mitarbeiter

Der Datenschutzbeauftragte

  • Daten aus den besonderen Kategorien aus Art. 9/Art. 10 DSGVO - Daten über Beschuldigte, Angeklagte und Verurteilte („Daten über strafrechtliche Verurteilungen und Straftaten“) - verarbeitet werden, die Kerntätigkeit des Verantwortlichen daraus besteht und diese Datenverarbeitung umfangreich ist.

    Um eine Kerntätigkeit des Verantwortlichen handelt es sich dann, wenn die Datenverarbeitung dem Geschäftszweck unmittelbar dient. Geschäftszweck einer Anwaltskanzlei ist die Beratung und Vertretung von Mandanten. Die Verarbeitung von Daten im Rahmen dieser Beratung und Vertretung dürfte also stets Kerntätigkeit sein. Von einer Nebentätigkeit dürfte demgegenüber auszugehen sein bei Verwaltungsaufgaben oder den Geschäftsprozess begleitenden Maßnahmen, wie zum Beispiel der Auswertung von Google Analytics. Als Faustregel kann gelten: Alles was in die Mandatsakte aufgenommen wird, um Grundlage der anwaltlichen Beratung oder eventuellen Sachvortrags zu sein, ist der Kerntätigkeit zuzurechnen.

    Zuletzt tritt die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Zahl der Beschäftigten auch dann ein, wenn die Kerntätigkeit des Verantwortlichen in der Verarbeitung besonderer Kategorien von Daten besteht und diese Verarbeitung umfangreich ist.

    Eine verlässliche Definition des Begriffs „umfangreich“ wird erst in einigen Jahren vorliegen, wenn die ersten Gerichte darüber entschieden haben. In der Literatur wird zum Beispiel vertreten, umfangreich bedeute „viele Personen oder große Mengen von Daten betreffend“ (BeckOK Datenschutzrecht, Wolff/Brink, DS-GVO Artikel 37, Rn. 8). Diese Definition ist natürlich unbrauchbar.
    Eine andere Meinung vertritt, umfangreich bedeute „das übliche Maß bei Weitem übersteigend“ (Paal/Pauly, DS-GVO Art. 37, Rn. 9). Diese Ansicht, die die Norm als Ausnahmevorschrift behandelt, wird jedoch mit guten Argumenten kritisiert (vgl. Sydow, Europäische Datenschutzgrundverordnung, Art. 37, Rn. 84 ff.). Die dortige Ansicht geht davon aus, dass eine Datenverarbeitung dann umfangreich ist, wenn sie im Sinne des Schutzzwecks des Datenschutzrechts „relevant“ wird. Relevanz wird gesehen, wenn die Verarbeitung kein Einzelfall ist.

    Quelle: Fachinfo-Broschüre von Dr. Astrid Auer-Reinsdorff /Kjell Vogelsang DSGVO: Die fünf wichtigsten Sofortmaßnahmen für Anwaltskanzleien

  • Viele Kanzleien haben einen bis drei Berufsträger und bleiben auch inklusive Büropersonal und Referendaren unter der 10-Personen- Grenze. Gleichzeitig bearbeiten häufig kleine Anwaltskanzleien Mandate aus den oben genannten Bereichen und verarbeiten demgemäß auch Daten aus den besonderen Kategorien nach Art. 9 und 10 DSGVO. Die Frage des Umfangs der Datenverarbeitung und der rechtlichen Beurteilung der Kategorie „umfangreich“ ist für diese Kanzleien also relevant für die Bestellung eines Datenschutzbeauftragten. Für die meisten der kleinen Anwaltskanzleien dürfte nur ein externer Datenschutzbeauftragter in Betracht kommen, sodass aus der Bedeutung des Wortes „umfangreich“ entweder ein Kostenfaktor durch Bestellung eines externen Datenschutzbeauftragten oder ein erhebliches rechtliches Risiko durch die Nicht-Benennung erwächst.

    Es ist davon auszugehen, dass diese Frage in den nächsten Jahren gerichtlich geklärt wird. Aus jetziger Sicht ist anzuraten, sich der Ansicht anzuschließen, die eine umfangreiche Verarbeitung dann annimmt, wenn sie über den Einzelfall hinausgeht. Mit anderen Worten: Es sind all diejenigen Kanzleien betroffen, die regelmäßig Mandate aus den genannten Rechtsgebieten bearbeiten. Nicht betroffen dürften diejenigen Kanzleien sein, die zum Beispiel hauptsächlich Baurecht oder gewerblichen Rechtsschutz bearbeiten und „alle Jubeljahre“ einen Verkehrsunfall mit strafrechtlicher Relevanz für einen Studienfreund übernehmen.

    Quelle: Fachinfo-Broschüre von Dr. Astrid Auer-Reinsdorff /Kjell Vogelsang DSGVO: Die fünf wichtigsten Sofortmaßnahmen für Anwaltskanzleien

Fragen und Antworten zum (externen) Datenschutzbeauftragten


    • die Mitwirkung an der Bearbeitung der kalendermonatlich jeweils ersten [zehn] Auskunfts-, Löschungs-, Berichtigungs-, Beschränkungs-, Datenübertragungs- und Widerspruchsersuchen von betroffenen Personen, in Form der zielgerichtete Weiterleitung dieser an den Auftraggeber gerichteten Ersuchen an die zuständigen Mitarbeiter des Auftraggebers, welche der Auftraggeber auf jederzeitiges Verlangen benennen wird und einer Beratung des Auftraggebers in Bezug auf diese Ersuchen, falls im Einzelfall gewünscht
    • die Bearbeitung von oder, je nach Einzelfall, zielgerichtete Weiterleitung von datenschutzrechtlich relevanten Anfragen (Art. 38 Abs. 4 DS-GVO) an die zuständigen Mitarbeiter des Auftraggebers, welche der Auftraggeber auf jederzeitiges Verlangen dem Beauftragten benennen wird
    • die Kommunikation mit der gem. Art. 55, 56 DS-GVO zuständigen Aufsichtsbehörde, von der ausdrücklich diejenige im Zusammenhang mit Sachverhalten betreffend die Verletzungen des Schutzes personenbezogener Daten („Datenschutzverletzung“, Art. 33 DS-GVO) ausgenommen ist
    • die Bereitstellung und Pflege von Formularen und Mustern (z.B. standardisierte Antwortmuster für Anfragen betroffener Personen) sowie die Erstellung jährlicher Tätigkeitsberichte


    • die Mitwirkung an der Bearbeitung von Auskunfts-, Löschungs-, Berichtigungs-, Datenübertragungs- und Widerspruchsersuchen von betroffenen Personen ab dem [elften] Ersuchen pro Kalendermonat
    • die Schulung der mit dem Umgang mit personenbezogenen Daten befassten Mitarbeiter des Auftraggebers bezüglich der Erfordernisse des Datenschutzes (Art. 39 Abs. 1 lit. b DS-GVO)
    • die Mitwirkung bei der Durchführung der Datenschutz-Folgenabschätzung bei Verarbeitungen, die voraussichtlich hohe Risiken für Rechte und Freiheiten von betroffenen Personen haben (Art. 35 DS-GVO)
    • die Mitwirkung bei der Erstellung betrieblicher Anweisungen und Richtlinien zum datenschutzkonformen Umgang mit personenbezogenen Daten, etwa hinsichtlich des Umgangs mit E-Mail und Internet am Arbeitsplatz
    • die Wahrnehmung von Besprechungen und anderen Terminen, die nicht am Sitz des Auftraggebers stattfinden
    • die Durchführung von Vor-Ort-Prüfungen („Audits“) bei Subunternehmern, Vorlieferanten oder anderen für den Auftraggeber tätigen Dienstleistern, insbesondere auch die Durchführung von Kontrollen im Rahmen von Auftragsverarbeitungsverhältnissen i.S.v. Art. 28 DS-GVO
    • alle Tätigkeiten im Zusammenhang mit Sachverhalten betreffend Verletzungen des Schutzes personenbezogener Daten („Datenschutzverletzungen i.S.v. Art. 4 Nr. 12 DS-GVO, Art. 33 DS-GVO), einschließlich vorbeugender Maßnahmen zur Verhinderung und vorbereitender Maßnahmen im Hinblick auf adäquate Reaktionen
    • die Beantwortung konkreter Anfragen von Beschäftigten oder der Unternehmensleitung zum Datenschutz jenseits des Tagesgeschäfts (z.?B. datenschutzrechtliche Machbarkeit neuer Geschäftsmodelle)
    • die datenschutzrechtliche Beurteilung von konkreten Marketing-, Werbe- oder Vertriebsmaßnahmen (z.?B. Durchführung von Gewinnspielen); sowie der Aufbau, die Bewertung oder Fortentwicklung eines etwaig vorhandenen, umfassenden Datenschutzmanagementsystems oder Teile desselben z.?B. nach den Empfehlungen der IT-Grundschutz-Kataloge des BSI.

  • Die Annahme, dass es sich bei Teilen der Tätigkeit eines externen DSB um eine Rechtsdienstleistung handelt, ist nicht fernliegend. Denn gem. § 2 Abs. 1 RDG fällt hierunter jede Tätigkeit in konkreten fremden Angelegenheiten, die eine rechtliche Prüfung des Einzelfalls erfordert.
     
    Insoweit ist – außer für den internen DSB, der keine fremde Angelegenheit besorgt – fraglich, ob sich der externe DSB wegen der von ihm vorzunehmenden rechtlichen Prüfungen in Angelegenheiten seines Auftraggebers auf § 5 Abs. 1 S. 1 RDG berufen kann. Diese Norm erlaubt Rechtsdienstleistungen durch Nichtanwälte dann, wenn sie im Zusammenhang mit einer anderen Tätigkeit als Nebenleistungen zum Berufs- oder Tätigkeitsbild gehört. In einer die Gewerbesteuerpflichtigkeit der Tätigkeit eines externen DSB betreffenden Entscheidung hat der BFH entschieden, dass es sich bei der Tätigkeit des DSB um ein eigenständiges, neues Berufsbild handele, zu dessen Ausübung „umfangreiche juristische Kenntnisse“ erforderlich seien (BFH, Urt. v. 5. 6. 2003 – IV R 34/01, BB 2003, 2108). Ob in dieser juristischen Tätigkeit eine Nebenleistung liegt, ist gem. § 5 Abs. 1 S. 2 RDG nach ihrem Inhalt, Umfang und sachlichen Zusammenhang mit der Haupttätigkeit unter Berücksichtigung der Rechtskenntnisse zu beurteilen, die für die Haupttätigkeit erforderlich sind. Insoweit erkennt der BFH an, dass die Ausübung des Berufs des externen DSB „nicht nur vertiefte Kenntnisse der Regelungen des Bundes- und des jeweiligen Landesdatenschutzgesetzes, sondern auch Kenntnisse bzgl. der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht voraussetzt“. Damit liegt es nahe, auch bei umfänglicheren oder schwierigeren juristischen Fragestellungen von einer zulässigen Nebenleistung des externen DSB auszugehen.
    Quelle: Formularhandbuch Datenschutzrecht, 2. Auflage Koreng/Lachenmann

Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO

Jeder Verantwortliche und jeder Auftragsverarbeiter erstellen und führen ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten.

Die bisher als Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung bekannten Dokumentationspflichten (§ 4g Abs. 2 Satz 1 Bundesdatenschutzgesetz (BDSG) bzw. jeweiliges Landesdatenschutzgesetz) werden hinfällig.

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht).

Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.

Die vollständige Fassung der DS-GVO finden Sie im Internet unter: http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32016R0679.

Hinweise vom DAV zum Datenschutz lt. DSGVO