Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Datenschutz in der Rechtsanwaltskanzlei

325 Aufrufe

Veröffentlicht am

Vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hatte ich viermal die Gelegenheit für den Rechtsanwaltsverein Vorträge zum Thema Datenschutz in der Rechtsanwaltskanzlei zu halten. Sowohl in Graz, als auch in Salzburg und zweimal in Wien hatte ich so die Möglichkeit ca. 200 RechtsanwältInnen und Kanzleiangestellte zu informieren und Fragen zu beantworten.

Veröffentlicht in: Recht
  • Login to see the comments

  • Gehören Sie zu den Ersten, denen das gefällt!

Datenschutz in der Rechtsanwaltskanzlei

  1. 1. Datenschutz in der Rechtsanwaltskanzlei RA Mag. Michael Lanzinger
  2. 2. Magister Who? RA Magister Michael Lanzinger office@kanzlei-lanzinger.at www.rechtsanwalt-lanzinger.at Seit 2011 externer Lektor im Bereich Zivil- & Internetrecht Seit 2016 selbständiger Rechtsanwalt in Wels (OÖ) mit Schwerpunkt im IT-Recht und Cybercrime sowie Mitglied der Law Busters Seit 2017 Senior Berater bei O.P.P.-Beratungsgruppe (Datenschutz)
  3. 3. Zu Beginn … Es gilt (grundsätzlich): ‚Online wie Offline‘
  4. 4. Herausforderungen Datenschutz und Datensicherheit in der Kanzlei? • Zumeist parallele Verwaltungssysteme, dh eAkt und Papierakte, nur wenige ‚paperless‘ Kanzleien • Insbesondere Papierakte teilweise sehr leicht zugänglich • Akte enthalten sensible/kategorisierte personenbezogene Daten bzw strafrechtlich relevante Daten • Datenschutz bei Werbemaßnahmen in der Kanzlei • IT-Infrastruktur in der Kanzlei
  5. 5. Herausforderungen Fragen zum Datenschutz und zur Datensicherheit • Wie betrifft die DSGVO eine Kanzlei? • Wie kommt man zu einem Verfahrensverzeichnis? • Wird ein Datenschutzbeauftragter benötigt? • Wie ist mit Betroffenenrechten (zB Recht auf Beauskunftung) umzugehen? • Wie kann ein Costumer-Relations-Management-System (CRM) konform betrieben werden? • Was muss bei der Datensicherheit getan werden?
  6. 6. Datenschutzrecht (derzeit)
  7. 7. DSG 2000 Datenschutzgesetz (derzeit noch DSG 2000) Umsetzung einer Datenschutzrichtlinie Inhalte: • Schutz personenbezogener Daten • Rechtsschutzinstrumente • Dokumentation im DVR • DSG betrifft natürliche und juristische Personen
  8. 8. DSG 2000 Grundrecht auf Datenschutz • § 1 Abs 1 DSG regelt das Grundrecht auf Datenschutz inhaltlich (Verfassungsbestimmung) – Jeder hat Anspruch auf Geheimhaltung seiner Daten, insbesondere hinsichtlich Privat- & Familienleben – Es muss hierfür ein schutzwürdiges Interesse bestehen, dies ist zB nicht gegeben, wenn Daten anonym sind – Abs 2 regelt die Möglichkeit der Beschränkung des Grundrechtes durch den Gesetzgeber (zB wegen Schutz der Menschenrechte) • §§ 2 f DSG regeln Zuständigkeit & Anwendungsbereich
  9. 9. DSG 2000 (Sensible) Daten? • § 4 Z 1 DSG 2000: personenbezogene Daten = Daten durch welche eine Person bestimmt oder bestimmbar ist • § 4 Z 2 DSG 2000: Daten von natürlichen Personen über – Rassische/ethnische Herkunft – Politische Meinung – Gewerkschaftszugehörigkeit – Religiöse/philosophische Überzeugung – Gesundheit – Sexualleben
  10. 10. DSG 2000 Verwendung von Daten • §§ 6 ff DSG regeln die Verwendung von Daten – Datenverwendung nur nach dem Gesetz, zu eindeutigen Zwecken und nur im Rahmen des Notwendigen – Geheimhaltungsinteressen des Betroffenen sind zu wahren – Auftraggeber muss über die entsprechenden Befugnisse zur Verarbeitung verfügen • §§ 8 f DSG regelt überdies das Geheimhaltungsinteresse bei sensiblen & nicht-sensiblen Daten – zB nicht-sensible Daten mit Zustimmung verarbeitet – zB sensible Daten durch Betroffenen selbst veröffentlicht
  11. 11. DSG 2000 Datensicherheit • §§ 14 ff DSG regeln die Datensicherheit – Der Datenverwender bzw Dienstleister hat die Daten nach dem technisch und wissenschaftlich aktuellen Stand zu sichern und vor Zugriffen (Hacks) zu schützen – Schutz etwa durch Zugriffsberechtigungen, Programme und Protokollierung der Zugriffe • Überdies unterliegen der Datenverwender und dessen Mitarbeiter nach § 15 DSG dem Datengeheimnis
  12. 12. DSG 2000 Publizität von Datenanwendungen • §§ 16 ff DSG regeln die Publizität von Datenanwendungen – Die Datenschutzbehörde hat ein Register über die Auftraggeber der Datenanwendungen zu führen, in welches Einsicht genommen werden kann – Auch hat jeder Auftraggeber die Datenanwendung vor Beginn zu melden, insbesondere bei Verarbeitung sensibler Daten (DVR- Nummer)
  13. 13. DSG 2000 Publizität von Datenanwendungen • Ausnahme zB bei öffentlich bekannten Daten oder einer ‚Standardanwendung‘ entsprechen, welche qua Verordnung als solche vorgesehen ist • § 19 DSG regelt Inhalt einer solchen Meldung:  Name und Anschrift des Auftraggebers  Nachweis über die rechtliche Befugnis zur Verarbeitung  Zweck der Datenanwendung  Kreis der Betroffenen  Allgemeine Angabe über die getroffenen Maßnahme der Datensicherheit (TOMs)
  14. 14. DSG 2000 Rechte des Betroffenen • §§ 26 ff DSG regeln die Rechte des von Datenanwendungen Betroffenen – Jedem Betroffenen kommt ein Auskunftsrecht zu, wenn diese schriftlich verlangt wird und der Betroffene seine Identität nachweisen kann – Ausgenommen sind Auskünfte die im überwiegenden Interesse geheim gehalten werden müssen (zB Bundesheer) oder die Geheimhaltung dem Schutz des Betroffenen selbst dient – Weiters kann jeder Betroffene seine verarbeiteten Daten löschen und/oder richtigstellen bzw aktualisieren lassen
  15. 15. Datenschutzrecht (bald)
  16. 16. DatenschutzgrundVO Gemeinschaftsrecht im Datenschutz • EU-VO 2016/679 vom 27.4.2016 zum Schutz der Verarbeitung personenbezogener Daten und zum freien Datenverkehr • Gilt ab 25. Mai 2018 direkt und unmittelbar (auch) in Österreich • Durch DSGVO gewisse Gleichschaltung des Datenschutzes in Europa (spannend wird der Brexit auch hier)
  17. 17. DatenschutzgrundVO Weitere Normen parallel zur DSGVO • DSG (2018) – Deckt Bereiche ab, welche die DSGVO nicht berührt bzw offen lässt (zB DSBa) – Betrifft va strafrechtlichen Bereich – Derzeit noch §§ 1-3 aus DSG 2000, Änderung in Planung • ePrivacyVO – ZB Cookies werden neu geregelt – Noch keine finale Version – Derzeit eher stark in Richtung Datenschutz (va Zustimmung)
  18. 18. DatenschutzgrundVO Was ändert sich? • Grundsätze des Datenschutzes (zB Zweckbindung, Datenminimierung, Datensicherheit) weiterhin enthalten und weiterentwickelt • DSGVO gilt in der europäischen Union sowie für Unternehmen, die auf dem europäischen Markt tätig sind • Anwendbar auf personenbezogene Daten außer diese betreffen persönlichen/familiären Bereich (sog. ‚Haushaltsausnahme‘)
  19. 19. DatenschutzgrundVO Was ändert sich? • Teilweise neue Bezeichnungen – sensible Daten = kategorisierte Daten • DVR wird mit 25.5.2018 eingefroren und mit 31.12.2019 abgeschaltet; nunmehr Verfahrensverzeichnis durch die Unternehmen selbst • Datenschutzfolgenabschätzung (DSFA) als (komplett) neues Tool • Erweiterte/neue Rechte der Betroffenen • Nur noch natürliche Personen umfasst
  20. 20. DatenschutzgrundVO Was ändert sich? • Datenschutzbeauftragter – Bei Datenverarbeitung durch Behörden/öffentliche Stellen – Bei umfangreicher, regelmäßiger Beobachtung von Personen als Kerntätigkeit – Bei Verarbeitung von sensiblen Daten als Kerntätigkeit • Höhere Strafen – Bußgelder: 4% globaler Jahresumsatz oder bis € 20 Mio. – Betroffene kann sich an Behörde oder Gericht wenden
  21. 21. DatenschutzgrundVO Was ändert sich? • Privacy by Design/by Default = Verarbeitung möglichst weniger Daten als ‚Grundeinstellung‘ • Data Breach Notification Duty – Meldung bei Schutzverletzung an die Aufsichtsbehörde binnen 72 Stunden – Pflicht zur umfassenden Erteilung von Informationen zur Verletzung • Generell steht nunmehr Betroffener im Mittelpunkt und nicht die Interessen von Unternehmen
  22. 22. DatenschutzgrundVO Betroffenenrechte • Beauskunftung (Gefahr des ‚Art 15-Flash-Mob‘) • Löschung (‚Recht auf Vergessen‘) • Richtigstellung bzw Aktualisierung • Einschränkung der Verarbeitung • Datenportrabilität (zB Mandant wechselt RA)
  23. 23. DatenschutzgrundVO Herausforderungen für Kanzleien • Erstellung des Verfahrensverzeichnisses – Zweck der Verarbeitung – Rechtmäßigkeit – Aufbewahrungsfristen • Implementierung von Prozessen – Beauskunftung – Löschung – Data Breaches
  24. 24. DatenschutzgrundVO Herausforderungen für Kanzleien • Umgang/Sanierung mit/von Betroffenenrechten • CRM-Systeme • Vertragliche Regelung von Auftragsdatenverarbeitung • IT-Sicherheit konform mit DSGVO • Beziehung zu anderen Unternehmen/Organisationen/Kanzleien – Unlauterer Wettbewerb?
  25. 25. Datenschutzrecht (praktisch)
  26. 26. In der Kanzlei Interne Anweisungen • Clean Desk Policy – MitarbeiterInnen auf ‚analogen Datenschutz‘ schulen – Keine sensiblen Dokumente frei zugänglich am Arbeitsplatz – Computer/Smartphones/Tablets sperren • Security Policy – ‚lebendes Dokument‘ welches Kanzleipolitik zum Datenschutz & IT-Sicherheit abbildet – zB Grundsätze zur Passwortvergabe, Umgang mit Devices im Außendienst, Verwendung von privaten Devices (va WhatsApp)
  27. 27. In der Kanzlei Interne Anweisungen • Wie geht man mit Akten um? – Wer hat Zugang zu eAkten/Papierakten – Wie werden Informationen an Dritte weitergegeben (zB per Telefon, nur schriftlich) • Wie werden Data Breaches vermieden? – Datenweitergabe an Unberechtigte – Kontrollverlust über Daten, zB durch Verlust eines Devices – Umgang mit potentiellen Phishing-Mails etc.
  28. 28. In der Kanzlei Verfahrensverzeichnis • Verzeichnis nach Art 30 DSGVO – Ab 250 MitarbeiterInnen jedenfalls – Abs 5 jedoch sehr weit gefasst, dh im Zweifel ein Verzeichnis anzulegen • Verzeichnis – Inhaltlich – Wo werden Daten verarbeitet (va Software, Papierakte, Excel) – Wer sind Betroffene (Mandanten, Mitarbeiter, Kollegen, Dritte) – Zu welchem Zweck werden Daten verarbeitet – Auf Basis von Gesetz/Vertrag/Einwilligung – Weitergabe an Dritte
  29. 29. In der Kanzlei (Betroffenen-) Prozesse • Beauskunftung – Binnen 4 Wochen – Wie können Daten möglichst rasch ermittelt werden? – Formulare für Beauskunftung und Beantwortung • Löschung/Richtigstellung/Aktualisierung – Behaltefristen definieren für Daten – Sicherstellung der technischen Löschung/Anonymisierung – Löschanspruch des Betroffenen teilw. eingeschränkt, va bei Entzug der Zustimmung zur Datenverarbeitung
  30. 30. In der Kanzlei (Betroffenen-) Prozesse • Pflege des Verfahrensverzeichnisses – Neue Software muss eingetragen werden • Data Breach – Binnen 72 (Real-)Stunden zu melden – Liegt eine Datenpannen vor? – Wer ist Betroffener? – Wer ist zu informieren? – Wie kann Schaden begrenzt werden? – Wie können gleiche/gleichartige Pannen zukünftig vermieden werden
  31. 31. In der Kanzlei Datenschutzbeauftragter • Geregelt in Art 37 ff DSGVO • Nur in bestimmten Fällen zwingend vorgesehen, gerade bei Einzelanwälten an sich nicht notwendig • Kann freiwillig bestellt werden • Keine definierte Ausbildung notwendig, diverse Möglichkeit • Datenschutzbeauftragter kann intern oder extern sein – Intern Stellung in Richtung Betriebsrat – Extern ist SV-Haftung nach § 1299 ABGB relevant
  32. 32. In der Kanzlei Auf der Website • Datenschutzerklärung – Warum? – Va Cookie-Erklärung nach TKG gefordert (und zukünftig wohl auch nach der ePrivacyVO) – Weiters: Impressumspflichten nach ECG/MedienG/TKG • Datenschutzerklärung - Inhaltlich – Wer verarbeitet die Daten/erfolgt eine Weitergabe? – Welche Daten werden wie/zu welchem Zweck verarbeitet? – Welche Cookies/Plugins werden verwendet? – Wo kann ich mich über meine Daten informieren bzw diese löschen lassen?
  33. 33. In der Kanzlei Einzelfragen • CRM – Im Falle von Newsletter usw relevant – Bewerbung erfordert idR Zustimmung – Sollte gegebenenfalls noch saniert werden • Bewerberdatenbank – Datenverarbeitung nur zum Zweck der Postenbesetzung (Vorvertrag) – Evidenzhaltung nur mit ausdrücklicher Zustimmung möglich – Behaltefrist (ohne Zustimmung): 6 Monate nach Postenbesetzung
  34. 34. Q&A
  35. 35. Q&A Frage • Speicherbegrenzung nach Art 5 Abs 1 lit e DSGVO vs. RA-Archivierungspflichten?
  36. 36. Q&A Antwort • Speicherbegrenzung = Daten nur solange als notwendig aufbewahren • Grundsätzlich zu löschen, wenn Zweck der Verarbeitung erfüllt ist • Jedoch längere Aufbewahrung möglich, wenn in Gesetzen vorgesehen – 7 Jahre nach Standesrecht – 7 bis 10 Jahre nach BAO – 6 Monate für Bewerberdaten (ohne Zustimmung zur Evidenz)
  37. 37. Q&A Frage • Wann ist zu löschen?
  38. 38. Q&A Antwort • Löschung, wenn Zweck erfüllt hat • Aufbewahrung möglich wenn – Aufbewahrungsfristen lt. Gesetz (zB Vertragsrecht) – Zustimmung zur Aufbewahrung – Daten zB zur Rechtsdurchsetzung notwendig (zB Exekutionsführung)
  39. 39. Q&A Frage • Löschanspruch nach Art 17 DSGVO?
  40. 40. Q&A Antwort • Löschanspruch nach Art 17 DSGVO eigentlich sehr eingeschränkt • Löschung an sich nur wenn – Zweck erfüllt (und keine Aufbewahrungsfrist mehr) – Zustimmung entzogen – Zweck bzw Rechtmäßigkeit nicht vorhanden • Keine Löschung wenn – va Geltendmachung von Ansprüchen
  41. 41. Q&A Frage • Strafverteidiger und Datenschutzbeauftragter?
  42. 42. Q&A Antwort • Art 10 DSGVO gilt offenbar mehr für Behörden/Gerichte • Strafrechtliche Daten keine kategorisierten Daten iSv Art 9 DSGVO • RA darf diese Daten bereits aufgrund Mandant verarbeiten (= Vertragserfüllung) • ME kein Datenschutzbeauftragter notwendig ‚in Analogie‘ zu niedergelassenen Ärzten (uU jedoch bei großen Kanzleien)
  43. 43. Q&A Frage • Zusammenspiel Datenverarbeitung von Daten nach Art 9 f DSGVO mit Datenschutzbeauftragtem und DSFA?
  44. 44. Q&A Antwort • Daten nach Art 9 DSGVO idR für Vertragserfüllung notwendig (zB Schadenersatzrecht) • Entsprechende Datensicherheit notwendig, hier jedoch bei RA Verschwiegenheitspflicht von Vorteil • An sich kein DSBA bei jedem RA, da die ‚umfangreiche Verarbeitung‘ als ‚Einfluss auf die Gesellschaft gesamt‘ gesehen wird
  45. 45. Q&A Frage • Was ist beim VdV zu beachten?
  46. 46. Q&A Antwort • VdV für RA jedenfalls relevant (Art 30 Abs 5 DSGVO sehr weit gefasst) • Anlehnung an die DVR-Struktur bzw die Standardanwendungen (va SA001 und SA002) • Sinnvollerweise Erfassung der verwendeten Software und analogen Systeme (Papierakte), um zu ergründen, wo konkret welche Daten von welchen Personen benötigt/verarbeitet werden und auf Basis darauf die Verfahren (zB ‚Mandantenverwaltung‘)
  47. 47. Q&A Frage • Handakte nach DSGVO?
  48. 48. Q&A Antwort • mE ‚strukturierte Datenanwendungen‘ unter daher von DSGVO umfasst, va, wenn parallel dazu Software verwendet wird • Sind ins VdV aufzunehmen • Entsprechend sicher aufzubewahren, zB durch Versperren der Aktenschränke • Weiters Vernichtung, wenn Behaltefrist (7 Jahre) abgelaufen und keine besondere Behaltemöglichkeit (zB Haftung) argumentiert werden kann
  49. 49. Q&A Frage • Substitute nach DSGVO?
  50. 50. Q&A Antwort • mE kein Auftragsverarbeiter und daher kein AV-Vertrag notwendig • Jedoch wohl Übermittlungsempfänger (sollte uU generell in Vollmacht angeführt werden) • An sich keine besondere Bestätigung notwendig, da auch Substitut den Standespflichten (va Verschwiegenheit) unterliegt
  51. 51. Q&A Frage • Vollmacht zu ändern?
  52. 52. Q&A Antwort • Vollmacht sollte ebenfalls nach DSGVO ausgestaltet werden • Zur Erfüllung der anwaltlichen Tätigkeit keine Zustimmung nach Art 7 DSGVO notwendig, lediglich zu Werbemaßnahmen (muss optional sein) • Sinnvoll jedoch Informationen nach Art 13 DSGVO – Zweck, Datenarten, Vertragserfüllung – Übermittlungsempfänger (Gerichte, Behörden, Substituten) – Betroffenenrechte
  53. 53. Q&A Frage • Beauskunftung vs. Verschwiegenheitspflicht?
  54. 54. Q&A Antwort • Beauskunftung nach Art 15 DSGVO eig. mehrteilig – Verfahren allgemein – Konkrete Datensätze/Dokumente • Beauskunftung eingeschränkt, wenn zB Rechte Dritter betroffen bzw Geschäftsgeheimnisse • Hier sollte mE abgewogen werden, wann dies zutrifft bzw wo (zusätzlich) die Verschiegenheitspflicht greift
  55. 55. Q&A Frage • Änderungen bei der Software?
  56. 56. Q&A Antwort • Insb. Kanzleisoftware eine Datenverarbeitung und daher ins VdV aufzunehmen, zB unter/als Verfahren ‚Mandantenverwaltung‘ • zB Advokat hat entsprechende Informationen zum VdV angekündigt
  57. 57. Q&A Frage • Mögliche Verfahren?
  58. 58. Q&A Antwort • VdV bzw Verfahren sollte (wg. Vollständigkeit) auf den einzelnen Anwendungen aufgebaut werden • Ziel sollten wenige/umfangreiche Verfahren sein • Möglich zB – Finanzbuchhaltung (SA001) – Personalverwaltung (SA002) – Mandantenverwaltung – uU Marketing (SA022) – uU weitere Verfahren wie zB Vertragsmanagement
  59. 59. Q&A Frage • Privatstiftung und DSGVO?
  60. 60. Q&A Antwort • DSGVO unterscheidet nicht ob Unternehmen, sondern ob personenbezogene Daten strukturiert verarbeitet werden • Dh primär relevant, ob Organisationseinheit besteht (kann zB auch Verein sein) • RA als Stiftungsvorstand hat mE daher DSGVO zu beachten
  61. 61. Credits Vielen Dank! office@kanzlei-lanzinger.at www.rechtsanwalt-lanzinger.at

×