Datenschutzrichtlinie
I. Ziel der Datenschutzrichtlinie
Die Lutz Dr. Hepach Reisenhofer Rechtsanwälte PartGmbB verpflichtet sich, im Rahmen ihrer gesetzlichen und gesellschaftlichen Verantwortung zur Einhaltung von Datenschutzrechten, insbesondere der ab 25.05.2018 geltenden Datenschutzgrundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG). Die Wahrung des Datenschutzes ist uns als Rechtsanwälte bzw. Anwaltskanzlei und somit Berufsgeheimnisträger (§ 43 a II BRAO, § 2 BORA, § 203 StGB, §§ 53, 53 a StPO, § 97 StPO ((Beschlagnahmeverbot)), 2.3 CCBE) über die Vorgaben des vorgenannten Datenschutzes hinaus ein Grundprinzip. Wahrung des Datenschutzes sowie Vorgaben als Berufsgeheimnisträger ist im Hinblick auf die besondere Bedeutung der Belange unserer Mandanten und deren Daten eine Basis für vertrauensvolle Mandatsbeziehungen, darüber hinaus auch gegenüber unseren Mitarbeitern bezüglich deren Daten ein Grundanliegen.
II. Geltungsbereich der Datenschutzrichtlinie
Diese Datenschutzrichtlinie gilt für alle Sozien und Mitarbeiter unserer Kanzlei.
Die aktuellste Version der Datenschutzrichtlinie kann unter den Datenschutzhinweisen auf der Internetseite der Lutz Dr. Hepach Reisenhofer Rechtsanwälte PartGmbB, www.ra-flh.de, abgerufen werden.
III. Prinzipien für die Verarbeitung personenbezogener Daten
1. Fairness und Rechtmäßigkeit
Bei der Verarbeitung personenbezogener Daten müssen die Persönlichkeitsrechte des Betroffenen gewahrt werden. Personenbezogene Daten müssen auf rechtmäßige Weise und fair erhoben und verarbeitet werden.
2. Zweckbindung
Die Verarbeitung personenbezogener Daten darf lediglich die Zwecke verfolgen, die vor der Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur eingeschränkt möglich und bedürfen einer Rechtfertigung.
3. Transparenz
Der Betroffene muss unter besonderer Berücksichtigung der für die Berufsgeheimnisträger Rechtsanwälte geltenden Sonderregelungen über den Umgang mit seinen Daten informiert werden.
4. Datenminimierung
Vor einer Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang diese notwendig sind, um den mit der Verarbeitung angestrebten Zweck zu erreichen.
5. Löschung
Personenbezogene Daten, die nach Ablauf von gesetzlichen Fristen nicht mehr erforderlich sind, müssen gelöscht werden.
6. Sachliche Richtigkeit und Datenaktualität
Personenbezogene Daten sind richtig, vollständig und – soweit erforderlich – auf dem aktuellen Stand zu speichern. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass nicht zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.
7. Vertraulichkeit und Datensicherheit
Für personenbezogene Daten gilt das Datengeheimnis. Sie müssen im persönlichen Umgang vertraulich behandelt werden und durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe sowie versehentlichen Verlust, Veränderung oder Zerstörung gesichert werden.
IV. Zulässigkeit der Datenverarbeitung
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn einer der nachfolgenden Erlaubnistatbestände vorliegt. Ein solcher Erlaubnistatbestand ist auch dann erforderlich, wenn der Zweck für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten gegenüber der ursprünglichen Zweckbestimmung geändert werden soll.
1. Mandanten- und Partnerdaten
1.1. Datenverarbeitung für eine vertragliche Beziehung
Personenbezogene Daten der betroffenen Mandanten oder Partner dürfen zur Begründung, zur Durchführung und zur Beendigung eines Vertrages verarbeitet werden. Dies umfasst auch die Betreuung des Vertragspartners, sofern dies im Zusammenhang mit dem Vertragszweck steht. Im Vorfeld eines Vertrages – also in der Vertragsanbahnungsphase – ist die Verarbeitung von personenbezogenen Daten zur Erfüllung sonstiger auf einen Vertragsabschluss gerichteter Wünsche des potentiellen Mandanten und Partner erlaubt. Potentielle Mandanten und Partner dürfen während der Vertragsanbahnung unter Verwendung der Daten kontaktiert werden, die sie mitgeteilt haben. Eventuell geäußerte Einschränkungen sind zu beachten.
1.2. Einwilligung in die Datenverarbeitung
Eine Datenverarbeitung kann aufgrund einer Einwilligung des Betroffenen stattfinden. Die Einwilligung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen. Unter Umständen, z.B. bei telefonischer Beratung, kann die Einwilligung auch mündlich erteilt werden. Ihre Erteilung muss dokumentiert werden.
1.3. Datenverarbeitung aufgrund gesetzlicher Erlaubnis
Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften.
1.4. Datenverarbeitung aufgrund berechtigten Interesses
Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses der Rechtsanwälte Lutz, Dr. Hepach erforderlich ist. Berechtigte Interessen sind in der Regel rechtliche (z.B. Durchsetzung von offenen Forderungen) oder wirtschaftliche (z.B. Vermeidung von Vertragsstörungen). Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen des Betroffenen das Interesse an der Verarbeitung überwiegen. Die schutzwürdigen Interessen sind für jede Verarbeitung zu prüfen.
1.6. Verarbeitung besonders schutzwürdiger Daten
Die Verarbeitung besonders schutzwürdiger personenbezogener Daten darf nur erfolgen, wenn dies gesetzlich erforderlich ist oder der Betroffene ausdrücklich eingewilligt hat. Die Verarbeitung dieser Daten ist auch dann zulässig, wenn sie zwingend notwendig ist, um rechtliche Ansprüche gegenüber dem Betroffenen geltend zu machen, auszuüben oder zu verteidigen.
2. Mitarbeiterdaten
2.1. Datenverarbeitung für das Arbeitsverhältnis
Für das Arbeitsverhältnis dürfen die personenbezogenen Daten verarbeitet werden, die für die Begründung, Durchführung und Beendigung des Arbeitsvertrages erforderlich sind. Bei der Anbahnung eines Arbeitsverhältnisses dürfen personenbezogene Daten von Bewerbern verarbeitet werden. Nach Ablehnung sind die Daten des Bewerbers unter Berücksichtigung beweisrechtlicher Fristen zu löschen, es sei denn, der Bewerber hat in eine weitere Speicherung für einen späteren Auswahlprozess eingewilligt.
Im bestehenden Arbeitsverhältnis muss die Datenverarbeitung immer auf den Zweck des Arbeitsvertrages bezogen sein, sofern nicht einer der nachfolgenden Erlaubnistatbestände für die Datenverarbeitung eingreift.
Ist während der Anbahnung des Arbeitsverhältnisses oder eines bestehenden Arbeitsverhältnisses die Erhebung weiterer Information über den Bewerber bei einem Dritten erforderlich, sind die jeweiligen nationalen gesetzlichen Anforderungen zu berücksichtigen. Im Zweifel ist eine Einwilligung des Betroffenen einzuholen.
Für Verarbeitung von personenbezogenen Daten, die im Kontext des Arbeitsverhältnisses stehen, jedoch nicht originär der Erfüllung eines Arbeitsvertrages dienen, muss jeweils eine rechtliche Legitimation vorliegen. Das können gesetzliche Anforderungen oder eine Einwilligung des Mitarbeiters oder die berechtigten Interessen des Arbeitgebers sein.
2.2. Datenverarbeitung aufgrund gesetzlicher Erlaubnis
Die Verarbeitung personenbezogener Mitarbeiterdaten ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften. Besteht ein gesetzlicher Handlungsspielraum, müssen die schutzwürdigen Interessen des Mitarbeiters berücksichtigt werden.
2.3. Einwilligung in die Datenverarbeitung
Eine Verarbeitung von Mitarbeiterdaten kann aufgrund einer Einwilligung des Betroffenen stattfinden. Einwilligungserklärungen müssen freiwillig abgegeben werden. Unfreiwillige Einwilligungen sind unwirksam. Die Einwilligungserklärung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen. Erlauben die Umstände dies ausnahmsweise nicht, kann die Einwilligung mündlich erteilt werden. Ihre Erteilung muss in jedem Fall ordnungsgemäß dokumentiert werden.
2.4. Datenverarbeitung aufgrund berechtigten Interesses
Die Verarbeitung personenbezogener Mitarbeiterdaten kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses der Rechtsanwälte Lutz, Dr. Hepach erforderlich ist. Berechtigte Interessen sind in der Regel rechtlich (z.B. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche) oder wirtschaftlich begründet.
2.5. Verarbeitung besonders schutzwürdiger Daten
Besonders schutzwürdige personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Besonders schutzwürdige Daten sind Daten über die rassische und ethnische Herkunft, über politische Meinungen, über religiöse oder philosophische Überzeugungen, über Gewerkschaftszugehörigkeiten oder über die Gesundheit und das Sexualleben des Betroffenen.
Die Verarbeitung muss aufgrund staatlichen Rechts ausdrücklich erlaubt oder vorgeschrieben sein. Zusätzlich kann eine Verarbeitung erlaubt sein, wenn sie notwendig ist, damit die verantwortliche Stelle ihren Rechten und Pflichten auf dem Gebiet des Arbeitsrechts nachkommen kann. Der Mitarbeiter kann freiwillig in die Verarbeitung einwilligen.
2.6. Telekommunikation und Internet
Telefonanlagen, E-Mail-Adressen, Internet werden in erster Linie im Rahmen der betrieblichen Aufgabenstellung durch den Arbeitgeber zur Verfügung gestellt. Sie sind Arbeitsmittel. Sie dürfen im Rahmen der jeweils geltenden Rechtsvorschriften genutzt werden. Im Fall der erlaubten Nutzung zu privaten Zwecken sind das Fernmeldegeheimnis und das jeweils national geltende Telekommunikationsrecht zu beachten, soweit diese Anwendung finden.
V. Auftragsdatenverarbeitung
Eine Auftragsdatenverarbeitung liegt vor, wenn ein Auftragnehmer mit der Verarbeitung personenbezogener Daten beauftragt wird, ohne dass ihm die Verantwortung für den zugehörigen Geschäftsprozess übertragen wird. In diesen Fällen ist eine Vereinbarung über eine Auftragsdatenverarbeitung abzuschließen.
VI. Rechte des Betroffenen
Der Betroffene kann Auskunft darüber verlangen, welche personenbezogenen Daten welcher Herkunft über ihn zu welchem Zweck gespeichert sind, soweit nicht Einschränkungen aufgrund der Berufsgeheimnisträgerschaft und der Datenschutzgrundverordnung sowie des Datenschutzgesetzes bestehen.
Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann der Betroffene ihre Berichtigung oder Ergänzung verlangen.
Der Betroffene ist berechtigt, die Löschung seiner Daten zu verlangen, wenn die Rechtsgrundlage für die Verarbeitung der Daten fehlt oder weggefallen ist. Gleiches gilt für den Fall, dass der Zweck der Datenverarbeitung durch Zeitablauf oder aus anderen Gründen entfallen ist. Bestehende Aufbewahrungspflichten und einer Löschung entgegenstehende schutzwürdige Interessen müssen beachtet werden.
Der Betroffene hat ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung seiner Daten, das zu berücksichtigen ist, wenn sein schutzwürdiges Interesse aufgrund einer besonderen persönlichen Situation das Interesse an der Verarbeitung überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift zur Durchführung der Verarbeitung verpflichtet.
Die besonderen Vorgaben der Berufsgeheimnisträgerschaft sind in jedem der vorgenannten Fälle vorrangig zu wahren und zu beachten.
VII. Vertraulichkeit der Verarbeitung
Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte Erhebung, Verarbeitung oder Nutzung ist den Mitarbeitern untersagt. Die Besonderheiten der Berufsgeheimnisträgerschaft sind zu wahren und zu beachten.
VIII. Sicherheit der Verarbeitung
Personenbezogene Daten sind jederzeit gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie gegen Verlust, Verfälschung oder Zerstörung zu schützen.
IX. Datenschutzkontrolle
Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze unterliegt einer regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen im Sinne eines „PDCA-Verfahrens“ (Plan-Do-Check-Act).
X. Datenschutzvorfälle
Jeder Mitarbeiter soll den verantwortlichen Sozien, Rechtsanwälte Lutz, Dr. Hepach und Reisenhofer, unverzüglich Fälle von Verstößen gegen diese Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfälle) melden.
XI. Verantwortlichkeiten
Die Sozien Rechtsanwälte Peter Lutz, Dr. Stefan Hepach und Marion Reisenhofer sind verantwortlich für die Datenverarbeitung in ihrem Verantwortungsbereich.
XII. Datenschutzbeauftragter
Datenschutzbeauftragte(r) ist
Frau Katrin Hübner (gepr. Rechtsfachwirtin)
E-Mail: Huebner@ ra-flh.de
Gerolfinger Str. 102, 85049 Ingolstadt