2018 hatte ich mehrmals das Vergnügen 'quer durch Österreich' für den Österreichischen Rechtsanwaltsverein - https://www.rechtsanwaltsverein.at - vortragen zu dürfen. Konkret ging es um die Umsetzung der Datenschutzgrundverordnung (DSGVO) in der Rechtsanwaltskanzlei. Hier finden Sie nun die aktuellen Vortragsfolien zum Thema. Für Rückfragen stehe ich gerne zur Verfügung.
2. Magister Who?
RA Magister Michael Lanzinger
office@kanzlei-lanzinger.at
www.rechtsanwalt-lanzinger.at
Seit 2011 externer Lektor im Bereich Zivil- & Onlinerecht
Seit 2016 selbständiger Rechtsanwalt in Wels (OÖ) mit
Schwerpunkt im Strafrecht, Onlinerechte & Cybercrime sowie
Mitglied der Law Busters
Seit 2017 Senior Berater bei O.P.P.-Beratungsgruppe
(Datenschutz)
Magister Who?
RA Magister Michael Lanzinger
office@kanzlei-lanzinger.at
www.rechtsanwalt-lanzinger.at
Seit 2011 externer Lektor im Bereich Zivil- & Onlinerecht
Seit 2016 selbständiger Rechtsanwalt in Wels (OÖ) mit
Schwerpunkt im Strafrecht, Onlinerechte & Cybercrime sowie
Mitglied der Law Busters
Seit 2017 Senior Berater bei O.P.P.-Beratungsgruppe
(Datenschutz)
3. Zu Beginn …
Es gilt (grundsätzlich):
‚Online wie Offline‘
4. Herausforderungen
Datenschutz und Datensicherheit in der Kanzlei?
• Zumeist parallele Verwaltungssysteme, dh eAkt und
Papierakte, nur wenige ‚paperless‘ Kanzleien
• Insbesondere Papierakte teilweise sehr leicht zugänglich
• Akte enthalten sensible/kategorisierte
personenbezogene Daten bzw strafrechtlich relevante
Daten
• Datenschutz bei Werbemaßnahmen in der Kanzlei
• IT-Infrastruktur in der Kanzlei
5. Herausforderungen
Fragen zum Datenschutz und zur Datensicherheit
• Wie betrifft die DSGVO eine Kanzlei?
• Wie kommt man zu einem Verfahrensverzeichnis?
• Wird ein Datenschutzbeauftragter benötigt?
• Wie ist mit Betroffenenrechten (zB Recht auf
Beauskunftung) umzugehen?
• Was muss bei der Datensicherheit getan werden?
7. Grundlagen
Datenverarbeitung - Grundlagen
• Datenschutzrecht verbietet Verarbeitung
• Grundsatz der Datenminimierung, nur notwendige Daten
sollen verarbeitet werden
• Jedoch Erlaubnistatbestände, wenn:
– Zweck
– Rechtfertigung
– Beachtung des Grundsatzes der Datenminimierung
– Beachtung der Datensicherheit
– Löschfristen
8. Grundlagen
Datenverarbeitung - Zweck
• Zweck zur Datenverarbeitung muss vorliegen
• Bloße Speicherung wegen ‚nice-2-have‘ reicht nicht
• An sich jeder Zweck möglich, außer er wäre illegal
• Solange Zweck vorliegt ist Datenverarbeitung möglich
9. Grundlagen
Datenverarbeitung - Rechtfertigung
• Rechtfertigung muss iSv Art 6 DSGVO vorliegen
• Mögliche Rechtfertigung zur Datenverarbeitung:
– Ergibt sich aus Gesetz
– Notwendig wegen Vertrag (bzw vorvertraglichem Verhältnis)
– Betroffener stimmt der Verarbeitung zu (Art 7 DSGVO)
– Berechtigtes Interesse des Verarbeiters liegt vor
– Lebensnotwendiges Interesse des Betroffenen liegt vor
10. Grundlagen
Datenverarbeitung - Datensicherheit
• Datensicherheit ist bei Datenverarbeitung zu beachten
• Ergibt sich ua aus Art der Daten: anonyme,
pseudonyme, personenbezogene oder kategorisierte
Daten
• Datensicherheit soll Kontrollverlust über Daten
verhindern
• ZB über Passwortvergabe, Rollenzuweisung, versperren
von Akten, Umgang mit mobilen Endgeräten
11. Grundlagen
Datenverarbeitung - Löschung
• Abkehr vom Grundsatz ‚alles aufheben‘
• Daten dürfen nur solange aufbewahrt werden, wie dies
für die Datenverarbeitung notwendig ist
• Danach grundsätzlich zu löschen, außer:
– Aufbewahrungspflichten bestehen (zB 7 Jahre nach BAO)
– Aus dem Gesetz ergeben sich Aufbewahrungsmöglichkeiten (zB
Gewährleistung)
– Betroffener stimmt Aufbewahrung zu
– Aufbewahrung wg. Rechtsstreit notwendig
13. DSG 2000
Datenschutzgesetz (derzeit noch DSG 2000)
Umsetzung einer Datenschutzrichtlinie
Inhalte:
• Schutz personenbezogener Daten
• Rechtsschutzinstrumente
• Dokumentation im DVR
• DSG betrifft natürliche und juristische Personen
14. DSG 2000
Grundrecht auf Datenschutz
• § 1 Abs 1 DSG regelt das Grundrecht auf Datenschutz
inhaltlich (Verfassungsbestimmung)
– Jeder hat Anspruch auf Geheimhaltung seiner Daten,
insbesondere hinsichtlich Privat- & Familienleben
– Es muss hierfür ein schutzwürdiges Interesse bestehen, dies ist
zB nicht gegeben, wenn Daten anonym sind
15. DSG 2000
(Sensible) Daten?
• § 4 Z 1 DSG 2000: personenbezogene Daten = Daten
durch welche eine Person bestimmt oder bestimmbar ist
• § 4 Z 2 DSG 2000: Daten von natürlichen Personen über
– Rassische/ethnische Herkunft
– Politische Meinung
– Gewerkschaftszugehörigkeit
– Religiöse/philosophische Überzeugung
– Gesundheit
– Sexualleben
16. DSG 2000
Verwendung von Daten
• §§ 6 ff DSG regeln die Verwendung von Daten
– Datenverwendung nur nach dem Gesetz, zu eindeutigen
Zwecken und nur im Rahmen des Notwendigen
– Geheimhaltungsinteressen des Betroffenen sind zu wahren
– Auftraggeber muss über die entsprechenden Befugnisse zur
Verarbeitung verfügen
• §§ 8 f DSG regelt überdies das Geheimhaltungsinteresse
bei sensiblen & nicht-sensiblen Daten
– zB nicht-sensible Daten mit Zustimmung verarbeitet
– zB sensible Daten durch Betroffenen selbst veröffentlicht
17. DSG 2000
Datensicherheit
• Überdies unterliegen der Datenverwender und dessen
Mitarbeiter nach § 15 DSG dem Datengeheimnis
– Datengeheimnis in der DSGVO nicht vermerkt
– Wird im DSG (2018) geregelt (bzw im UWG)
18. DSG 2000
Publizität von Datenanwendungen (DVR)
• §§ 16 ff DSG regeln die Publizität von
Datenanwendungen
– Die Datenschutzbehörde hat ein Register über die Auftraggeber
der Datenanwendungen zu führen, in welches Einsicht
genommen werden kann
– Auch hat jeder Auftraggeber die Datenanwendung vor Beginn zu
melden, insbesondere bei Verarbeitung sensibler Daten (DVR-
Nummer)
– DVR-Aufbau kann jedoch beim VdV helfen/als Grundlage dienen
19. DSG 2000
Rechte des Betroffenen
• §§ 26 ff DSG regeln die Rechte des von
Datenanwendungen Betroffenen
– Jedem Betroffenen kommt ein Auskunftsrecht zu, wenn diese
schriftlich verlangt wird und der Betroffene seine Identität
nachweisen kann
– Weiters kann jeder Betroffene seine verarbeiteten Daten löschen
und/oder richtigstellen bzw aktualisieren lassen
21. DatenschutzgrundVO
Gemeinschaftsrecht im Datenschutz
• EU-VO 2016/679 vom 27.4.2016 zum Schutz der
Verarbeitung personenbezogener Daten und zum freien
Datenverkehr
• Gilt seit 25. Mai 2018 direkt und unmittelbar (auch) in
Österreich
• Durch DSGVO gewisse Gleichschaltung des
Datenschutzes in Europa
22. DatenschutzgrundVO
Weitere Normen parallel zur DSGVO
• DSG (2018)
– Deckt Bereiche ab, welche die DSGVO nicht berührt bzw offen
lässt (zB strafrechtlicher Bereich)
– zB Datengeheimnis im DSG geregelt
– Prinzip der ‘Beratung statt (erster) Strafe‘
• ePrivacyVO
– ZB Cookies werden neu geregelt
– Noch keine finale Version
– Derzeit eher stark in Richtung Datenschutz (va Zustimmung)
23. DatenschutzgrundVO
Was änderte sich?
• Grundsätze des Datenschutzes (zB Zweckbindung,
Datenminimierung, Datensicherheit) weiterhin enthalten
und weiterentwickelt
• DSGVO gilt in der europäischen Union sowie für
Unternehmen, die auf dem europäischen Markt tätig sind
• Anwendbar auf personenbezogene Daten außer diese
betreffen persönlichen/familiären Bereich (sog.
‚Haushaltsausnahme‘)
24. DatenschutzgrundVO
Was änderte sich?
• Teilweise neue Bezeichnungen
– sensible Daten = kategorisierte Daten
• DVR wird mit 25.5.2018 eingefroren und mit 31.12.2019
abgeschaltet; nunmehr Verfahrensverzeichnis durch die
Unternehmen selbst
• Datenschutzfolgenabschätzung (DSFA) als (komplett)
neues Tool
• Erweiterte/neue Rechte der Betroffenen
• Nur noch natürliche Personen umfasst
25. DatenschutzgrundVO
Was änderte sich?
• Datenschutzbeauftragter
– Bei Datenverarbeitung durch Behörden/öffentliche Stellen
– Bei umfangreicher, regelmäßiger Beobachtung von Personen als
Kerntätigkeit
– Bei Verarbeitung von sensiblen Daten als Kerntätigkeit
• Höhere Strafen
– Bußgelder: 4% globaler Jahresumsatz oder bis € 20 Mio.
– Betroffene kann sich an Behörde oder Gericht wenden
26. DatenschutzgrundVO
Was änderte sich?
• Privacy by Design/by Default = Verarbeitung möglichst
weniger Daten als ‚Grundeinstellung‘
• Data Breach Notification Duty
– Meldung bei Schutzverletzung an die Aufsichtsbehörde binnen
72 Stunden
– Pflicht zur umfassenden Erteilung von Informationen zur
Verletzung
• Generell steht nunmehr Betroffener im Mittelpunkt
und nicht die Interessen von Unternehmen
31. In der Kanzlei
Interne Anweisungen
• Clean Desk Policy
– MitarbeiterInnen auf ‚analogen Datenschutz‘ schulen
– Keine sensiblen Dokumente frei zugänglich am Arbeitsplatz
– Computer/Smartphones/Tablets sperren
• Security Policy
– ‚lebendes Dokument‘ welches Kanzleipolitik zum Datenschutz &
IT-Sicherheit abbildet
– zB Grundsätze zur Passwortvergabe, Umgang mit Devices im
Außendienst, Verwendung von privaten Devices (va WhatsApp)
32. In der Kanzlei
Interne Anweisungen
• Wie geht man mit Akten um?
– Wer hat Zugang zu eAkten/Papierakten
– Wie werden Informationen an Dritte weitergegeben (zB per
Telefon, nur schriftlich)
– Dokumente in Mails verschlüsseln & Passwort separat mitteilen
• Wie werden Data Breaches vermieden?
– Keine Datenweitergabe an Unberechtigte
(Berechtigungskonzept)
– Kontrollverlust über Daten, zB durch Verlust eines Devices
– Umgang mit potentiellen Phishing-Mails etc.
33. In der Kanzlei
Verfahrensverzeichnis
• Verzeichnis nach Art 30 DSGVO
– Ab 250 MitarbeiterInnen jedenfalls
– Art 30 Abs 5 jedoch sehr weit gefasst, dh im Zweifel ein
Verzeichnis anzulegen
• Verzeichnis – Inhaltlich
– Wo werden Daten verarbeitet (va Software, Papierakte, Excel)
– Wer sind Betroffene (Mandanten, Mitarbeiter, Kollegen, Dritte)
– Zu welchem Zweck werden Daten verarbeitet
– Auf Basis von Gesetz/Vertrag/Einwilligung
– Weitergabe von Daten an Dritte (AV bzw ÜE)
34. In der Kanzlei
(Betroffenen-) Prozesse
• Beauskunftung
– Binnen 4 Wochen
– Wie können Daten möglichst rasch ermittelt werden?
– Formulare für Beauskunftung und Beantwortung
• Löschung/Richtigstellung/Aktualisierung
– Behaltefristen definieren für Daten (7 Jahre)
– Sicherstellung der technischen Löschung/Anonymisierung
– Löschanspruch des Betroffenen teilw. eingeschränkt, va bei
Entzug der Zustimmung zur Datenverarbeitung
35. In der Kanzlei
(Betroffenen-) Prozesse
• Pflege des Verfahrensverzeichnisses
– Neue Software/Verarbeitung muss eingetragen werden
• Data Breach
– Binnen 72 (Real-)Stunden zu melden
– Liegt eine Datenpannen vor?
– Wer ist Betroffener?
– Wer ist zu informieren?
– Wie kann Schaden begrenzt werden?
– Wie können gleiche/gleichartige Pannen zukünftig vermieden
werden
36. In der Kanzlei
Datenschutzbeauftragter?
• Geregelt in Art 37 ff DSGVO
• Nur in bestimmten Fällen zwingend vorgesehen, gerade
bei Einzelanwälten an sich nicht notwendig
• Kann freiwillig bestellt werden, sinnvoll ist ‚DvD‘
• Keine definierte Ausbildung notwendig, diverse
Möglichkeiten
• Datenschutzbeauftragter kann intern oder extern sein
– Intern Stellung in Richtung Betriebsrat
– Extern ist SV-Haftung nach § 1299 ABGB relevant
37. In der Kanzlei
Auf der Website
• Datenschutzerklärung – Warum?
– Va Cookie-Erklärung nach TKG gefordert (und zukünftig wohl
auch nach der ePrivacyVO)
– Weiters: Impressumspflichten nach ECG/MedienG/TKG
• Datenschutzerklärung - Inhaltlich
– Wer verarbeitet die Daten/erfolgt eine Weitergabe?
– Welche Daten werden wie/zu welchem Zweck verarbeitet?
– Welche Cookies/Plugins werden verwendet?
– Wo kann ich mich über meine Daten informieren bzw diese
löschen lassen?
38. In der Kanzlei
Einzelfragen
• CRM
– Im Falle von Newsletter usw relevant
– Bewerbung erfordert idR Zustimmung
– Sollte gegebenenfalls noch saniert werden
• Bewerberdatenbank
– Datenverarbeitung nur zum Zweck der Postenbesetzung
(Vorvertrag)
– Evidenzhaltung nur mit ausdrücklicher Zustimmung möglich
– Behaltefrist (ohne Zustimmung): 6 Monate nach
Postenbesetzung
41. Q&A
Antwort
• Speicherbegrenzung = Daten nur solange als notwendig
aufbewahren
• Grundsätzlich zu löschen, wenn Zweck der Verarbeitung
erfüllt ist
• Jedoch längere Aufbewahrung möglich, wenn in
Gesetzen vorgesehen
– 7 Jahre nach Standesrecht
– 7 bis 10 Jahre nach BAO
– 6 Monate für Bewerberdaten (ohne Zustimmung zur Evidenz)
45. Q&A
Antwort
• Löschanspruch nach Art 17 DSGVO eigentlich sehr
eingeschränkt
• Löschung an sich nur wenn
– Zweck erfüllt (und keine Aufbewahrungsfrist mehr)
– Zustimmung entzogen
– Zweck bzw Rechtmäßigkeit nicht vorhanden
• Keine Löschung wenn
– va Geltendmachung von Ansprüchen
47. Q&A
Antwort
• VdV für RA jedenfalls relevant (Art 30 Abs 5 DSGVO
sehr weit gefasst)
• Anlehnung an die DVR-Struktur bzw die
Standardanwendungen (va SA001 und SA002)
• Sinnvollerweise Erfassung der verwendeten Software
und analogen Systeme (Papierakte), um zu ergründen,
wo konkret welche Daten von welchen Personen
benötigt/verarbeitet werden und auf Basis darauf die
Verfahren (zB ‚Mandantenverwaltung‘)
49. Q&A
Antwort
• mE ‚strukturierte Datenanwendungen‘ unter daher von
DSGVO umfasst, va, wenn parallel dazu Software
verwendet wird
• Sind ins VdV aufzunehmen
• Entsprechend sicher aufzubewahren, zB durch
Versperren der Aktenschränke
• Weiters Vernichtung, wenn Behaltefrist (7 Jahre)
abgelaufen und keine besondere Behaltemöglichkeit (zB
Haftung) argumentiert werden kann
51. Q&A
Antwort
• mE kein Auftragsverarbeiter und daher kein AV-Vertrag
notwendig
• Jedoch Übermittlungsempfänger (sollte uU generell in
Vollmacht angeführt werden)
• An sich keine besondere Bestätigung notwendig, da
auch Substitut den Standespflichten (va
Verschwiegenheit) unterliegt
53. Q&A
Antwort
• Vollmacht sollte ebenfalls nach DSGVO ausgestaltet
werden: Datenverarbeitung wg. (Mandats-) Vertrag
• Zur Erfüllung der anwaltlichen Tätigkeit keine
Zustimmung nach Art 7 DSGVO notwendig, lediglich zu
Werbemaßnahmen (muss optional sein)
• Sinnvoll jedoch Informationen nach Art 13 DSGVO
– Zweck, Datenarten, Vertragserfüllung
– Übermittlungsempfänger (Gerichte, Behörden, Substituten)
– Betroffenenrechte
55. Q&A
Antwort
• Beauskunftung nach Art 15 DSGVO eig. mehrteilig
– Verfahren allgemein
– Konkrete Datensätze/Dokumente
• Beauskunftung eingeschränkt, wenn zB Rechte Dritter
betroffen bzw Geschäftsgeheimnisse
• Hier sollte mE abgewogen werden, wann dies zutrifft
bzw wo (zusätzlich) die Verschwiegenheitspflicht greift
57. Q&A
Antwort
• Insb. Kanzleisoftware eine Datenverarbeitung und daher
ins VdV aufzunehmen, zB unter/als Verfahren
‚Mandantenverwaltung‘
• zB Advokat hat entsprechende Informationen zum VdV
veröffentlicht
59. Q&A
Antwort
• VdV bzw Verfahren sollte (wg. Vollständigkeit) auf den
einzelnen Anwendungen aufgebaut werden
• Ziel sollten wenige/umfangreiche Verfahren sein
• Möglich zB
– Finanzbuchhaltung (SA001)
– Personalverwaltung (SA002)
– Mandantenverwaltung
– uU Marketing (SA022)
– uU weitere Verfahren wie zB Vertragsmanagement