Datenschutz im Notariat (Symbolbild)
Login

Datenschutz als Prozess – auch im Notariat

Auch in den Notariaten schreitet die Digitalisierung voran: Beim Einsatz von Datenbanken, Kollaborationstools und schon einer einfachen Internetseite ist es unerlässlich, den Schutz der Daten im Auge zu behalten. Auch für Notare gilt die Datenschutz-Grundverordnung (DSGVO), und die sich daraus ergebenden Herausforderungen bedingen eine prozessorientierte Herangehensweise.

Die DSGVO ist nun schon einige Zeit in Kraft. War rund um den Geltungsbeginn im Mai 2018 die öffentliche Diskussion geprägt von schier unmöglichen Umsetzungsanforderungen, um als Unternehmen DSGVO-konform werden zu können, wartete man im letzten Jahr auf die ersten Verwaltungs- und Bußgeldentscheidungen der Aufsichtsbehörden und diskutierte wettbewerbsrechtliche Abmahnmöglichkeiten bei Nichtumsetzung, so ist im Jahr 2020 der Datenschutz zum guten Teil geprägt vom Corona-Virus. Insbesondere das Ob und dann das Wie einer staatlichen Corona-Warn-App, die Umsetzung von Vorgaben aus den einzelnen Länderinfektionsschutzverordnungen für Arbeitgeber oder der Gastronomie oder die Umsetzung von Homeoffice- oder mobilen Arbeitsplätzen bestimmen das Bild der öffentlichen Diskussion in diesem Bereich. Nicht zuletzt die Versuche von Justiz und Schule auf die – zu Beginn der Corona-Maßnahmen im Frühjahr noch strenger formulierte - fehlende Präsenz der Akteure durch (informations-)technische Lösungen zu reagieren, gaben einen interessanten Einblick in den Stand der Digitalisierung in beiden Bereichen: entweder rudimentär oder gar nicht vorhanden. Die technologischen Ansätze, die zum Beispiel im Bereich Schule unternommen wurden, um zügig Schülerinnen und Schüler zuhause zu erreichen, erfolgten aus datenschutzrechtlicher Hinsicht oftmals unter der Maxime: nur eigengehostete Plattformen oder Angebote sind datenschutzkonform. Das nun erst die Probleme, insbesondere im Bereich Datensicherheit anfangen, wird interessanterweise kaum diskutiert.

  • Wie findet die Benutzer- und Zugriffsverwaltung statt? Wie kann nachvollzogen werden, wer wann auf welche Daten zugegriffen oder diese verändert hat? Was wurde verändert?
  • Wer darf welche Art von Daten wo hinschicken oder teilen? Wie kann dies überwacht werden?
  • Wie wird auf Sicherheitslücken reagiert? Wer ist verantwortlich, das System sicher zu konfigurieren und auf dem aktuellen Stand zu halten?
  • Wie und wohin werden Backups gemacht?
  • Und, und, und…

Während die großen, meist von US Anbietern angebotenen, Cloud Plattformen viele dieser Bereiche durch integrierte Identitätsmanagement-, Data Leak Prevention- und Compliance Management-Systeme auch kleinen Teams nutzerfreundlich mit gängigen Best Practice Vorlagen anbieten, haben sonst oft nur große Unternehmen die Ressourcen, um solche Strukturen selbst aufzubauen und zu betreiben.

Aber kleineren Unternehmen, Büros oder auch Schulen fehlt es oft an geeigneten Mitarbeiterinnen und Mitarbeiter als auch den finanziellen Mittel für Hard- und Software, um dies in Eigenregie umzusetzen. Wenig hilfreich sind dann auch Aussagen von Datenschutz-Aufsichtsbehörden, welche Tools zum Beispiel im Bereich Videokonferenzen oder Kollaborationsplattformen nicht genommen werden sollen, ohne zunächst sinnvoll umsetzbare Alternativen aufzuzeigen.1

Persönlich habe ich in diesem Zusammenhang gut mitverfolgen können, wie aufgrund von kurz gehaltenen Warnungen der Datenschutzaufsichtsbörde2 Lehrerinnen sich von Tools wieder abwandten, allein mit der Begründung: aus Datenschutzgründen. Diese Warnungen genügten oft, um sich nicht mehr mit dem Programm zu beschäftigen. Natürlich war diese Entscheidung auch der Kürze der Zeit und den Coronaumständen geschuldet, aber hier sind wir beim Kern dieses Artikels: Sind Maßnahmen und Vorgehensweisen unter Berücksichtigung des Datenschutzes zu treffen, so sollten sie nach wohlüberlegten Kriterien erfolgen. Dazu sollte man sich Vorgehensweisen oder Prozesse überlegen, um schnell reagieren zu können. Dies gilt auch für das Notariat.

juris PartnerModul Notare jetzt 4 Wochen gratis testen Gratis testen

Entscheidungen im Bereich des Datenschutzes sind in vielen Fällen das Ergebnis eines Abwägungsprozesses:

Artikel 24 Abs. 1 DSGVO verlangt vom Verantwortlichen allgemein, eine Risikoabwägung im Bereich geeigneter organisatorische und technischer Maßnahmen vorzunehmen, wenn er personenbezogene Daten gemäß den Vorgaben der Verordnung verarbeiten will: Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen setzt der Verantwortliche geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt (vgl. Artikel 24 Abs. 1 Satz 1 DSGVO).

Artikel 32 DSGVO präzisiert in Absatz 1 und 2 die Abwägung unter der Überschrift „Sicherheit der Verarbeitung“ wie folgt:

„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

[...]“

Sollte im Notariat aufgrund der Art der Datenverarbeitung, insbesondere bei Nutzung neuer Technologien, ein entsprechendes Risiko für die Rechte und Freiheiten natürlicher Personen möglicherweise gegeben sein, so käme nach Artikel 35 eine Datenschutzfolgenabschätzung in Betracht: Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch (Artikel 35 Absatz 1 Satz 1 DSGVO).

Als weiteres Beispiel sei hier das Vorgehen bei einem Datenschutzvorfall genannt. Gemäß Artikel 33 Absatz 1 Satz 1 DSGVO meldet der Verantwortliche im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 DSGVO zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Gleiches gilt für die Information des Betroffenen der Datenschutzverletzung, der gemäß Artikel 34 Absatz 1 DSGVO eine Abwägung vorgeschaltet ist, ob die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Dabei sind auch berufsrechtliche Verschwiegenheitspflichten zu berücksichtigen und insbesondere sollte auch die Kontaktaufnahme mit der jeweils zuständigen Notarkammer überlegt werden.3

Hindernisse im Datenverkehr: „Schrems II“-Urteil des EuGH und § 35 Abs. 4 BNotO

Aufgrund des EuGH-Urteils vom 16.07.2020, Az. C-311/18 (Schrems II) ist eine Prüfung besonders aktuell: In dem Urteil wurde der Angemessenheitsbeschluss der Europäischen Kommission zum Transfer personenbezogener Daten in die USA aufgehoben. Auf das sogenannte „Privacy Shield“ war eine Vielzahl von Datentransfers in die USA gestützt, die nun allesamt einer erneuten Prüfung zu unterziehen sind, ob ggfs. ein zulässiger Datentransfer nach anderen Kriterien, neben einem Angemessenheitsbeschluss der Kommission nach Artt. 45 ff. DSGVO, vorliegt.4 Hintergrund ist, dass bei der Nutzung von US-Anbietern zu prüfen ist, ob Daten, die in den Anwendungsbereich der DSGVO fallen, auf Server dieser Firmen transferiert werden: darunter fallen auch Diagnosedaten, die Rückschlüsse auf den Absenderechner zulassen. Es bedarf also einer Überprüfung der genutzten Soft- und Hardware im Notariat und insbesondere der Notariatswebsite.

Im Bereich der elektronischen Akten- und Verzeichnisführung widerspricht § 35 Abs. 4 BNotO einer kompletten Führung der Akten und Verzeichnisse in der eigenen (US-amerikanischen) Cloud: Diese Vorschrift lässt die elektronische Führung der Akten und Verzeichnisse außerhalb der Geschäftsstelle nur im Elektronischen Urkundenarchiv oder im Elektronischen Notaraktenspeicher zu.5 Das verpflichtende Elektronische Urkundenarchiv und der freiwillige Elektronische Notaraktenspeicher werden ab 2022 von der Bundesnotarkammer gemäß § 78 h Absatz 1 und § 78k Absatz 1 BNotO technisch zentral betrieben, die dort gelagerten Sammlungen, Verzeichnisse und sonstigen Dateien hat jede Notarin, jeder Notar dezentral eigenständig zu führen, bzw. zu speichern. Die nähere Ausgestaltung in Bezug auf Betrieb durch die BNotK und das Führen durch die Notarin, den Notar sind durch Rechtsverordnungen zu bestimmen (§§ 78h Abs. 4, 78 k Abs. 5 und §§ 36, 59 BNotO).6

Anhand dieser Beispiele lässt sich erkennen, dass die Vornahme einzelner organisatorischer Maßnahmen, wie auch die Nutzung technischer Unterstützung im Notariat, als auch das Vorgehen bei Datenpannen einer sorgfältigen Abwägung bedarf. Erinnern wir uns nochmal an Artikel 24 Absatz 1 Satz 1DSGVO, der von einer Nachweispflicht bei den organisatorischen und technischen Maßnahmen spricht, so sollte eine entsprechende schriftliche oder elektronische Form genutzt werden, diese Maßnahmen zu dokumentieren, z.B. in einem Sicherheitskonzept.

72-Stunden-Frist: Festgelegter Prozess hilft

Ebenso sollte z.B. darüber nachgedacht werden, die Vorgehensweise bei Datenpannen festzuhalten, insbesondere auch, wer als Ansprechperson fungiert, wer intern zu involvieren ist und wer welche Informationspflichten nach außen übernimmt. Vielleicht erscheint dies auf den ersten Blick überdimensioniert, ist man im Notariat doch als Berufsgeheimnisträgerin oder Berufsgeheimnisträger mit solchen Vorgehensweisen zumindest theoretisch bekannt. Da jedoch bei Datenpannen nach DSGVO eine 72 Stunden-Frist gilt, sollte über die Vorgehensweise nicht lange nachgedacht werden und ein Prozess, wie vorzugehen ist, ist sehr hilfreich.

Diese Dokumente gesellen sich dann zu all den anderen Dokumenten im Bereich Datenschutz im Notariat: Vorlagen im Bereich Information der Betroffenen nach Artikel 13 und 14 DSGVO, unterteilt nach Kunden/Beteiligte und Mitarbeiter/innen – ist eigentlich ein Prozess vorhanden, wie bei Bewerbungen datenschutzkonform mit den Bewerbungen umzugehen ist? -, erforderliche Dokumente im Bereich Datensicherheit, AVV, usw.

Mithilfe der oder des Datenschutzbeauftragten sollte also geprüft werden, welche Bereiche mit Bezug zum Datenschutz(recht) einer eigens zu dokumentierenden Vorgehensweise oder eines eigenen Prozesses bedürfen. Dabei stellt die Größe eines Notariats keine Ausrede dar: jede neue Mitarbeiterin/jeder neue Mitarbeiter ist froh, wenn sie/er sich zügig anhand für das Notariat festgelegten Kriterien einarbeiten kann, unabhängig der Anzahl der bestehenden Mitarbeiterinnen und Mitarbeiter.

Und schließlich steht das verpflichtende elektronische Urkundenarchiv vor der Tür. Zwar sieht § 6 NotAktVV-E7 von der BNotK nach Art. 40 Abs. 2 DSGVO auszuarbeitende Verhaltensregeln vor, in denen technischen und organisatorischen Maßnahmen präzisiert werden, die nach Art. 32 DSGVO zu treffen sind, jedoch sollte man sich bis dahin bereits eigene Gedanken machen, wie man die Umsetzung der Vorschriften im Bereich des verpflichtenden Elektronisches Urkundenarchivs zur Führung der elektronischen Urkundensammlung, des Urkundenverzeichnisses und des Verwahrungsverzeichnisses zügig und datenschutzkonform in den Notariatsalltag einbauen kann: am besten durch einen dokumentierten Prozess.

Fußnoten

1 vgl. im Bereich Videokonferenzen nur die zusammenfassende Darstellung mit weiteren Verweisen bei https://www.reuschlaw.de/news/berliner-datenschutzaufsicht-stellungnahme-und-checkliste-zum-datenschutz-bei-videokonferenzen/ zur Situation bis April 2020. Zum 25.08.2020 erschien eine Checkliste, in der nun auch nach Ansicht der Berliner Datenschutzaufsicht zulässige Alternativen genannt sind: vgl. https://www.reuschlaw.de/news/berliner-datenschutzbehoerde-ueberprueft-anbieter-von-videokonferenztools/.

2 vgl. https://www.baden-wuerttemberg.datenschutz.de/lfdi-gute-entscheidung-fuer-threema-schulen-brauchen-mehr-orientierung/vom 29.04.2020. Nach Gesprächen mit dem Anbieter wurde die Warnung revidiert: https://www.baden-wuerttemberg.datenschutz.de/warnung-des-lfdi-wurde-gehoert-zoom-bessert-nach/vom 24.06.2020.

3 vgl. Weingärtner/Löffler, Vermeidbare Fehler im Notariat, 10. Auflage 2019, Rn. 533.

4 vgl. hierzu Johnson, in https://www.juris.de/jportal/nav/juris_2015/aktuelles/magazin/facebook-privacy-shield-eugh-c-311-18.jsp, sowie die kürzlich (24.08.2020) vom Landesbeauftragten für Datenschutz und Informationsfreiheit veröffentlichten Orientierungshilfe zum internationalen Datentransfer https://www.baden-wuerttemberg.datenschutz.de/orientierungshilfe-des-lfdi-bw-was-jetzt-in-sachen-internationaler-datentransfer/.

5 vgl. zum Elektronischen Urkundenarchiv: https://urkundenarchiv.bnotk.de/.

6 vgl. zur Führung notarieller Akten und Verzeichnisse durch die Notarinnen und Notare den Referentenentwurf vom 08.04.2020 (zu §§ 36, 59 BNotO) NotAktVV-E:

https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/DE/Fuehrung_Notarakten.html.

7 vgl. Fußnote 6.

Lesen Sie zum Thema "Datenschutz" auch:

Lesen Sie weitere interessante Beiträge im juris Magazin:


juris unterstützt Sie in allen Rechts- und Themengebieten.

Finden Sie aus unserer Auswahl das für Sie passende Modul oder Produkt:


			juris PartnerModul Notare
juris PartnerModul Notare
Deckt die gesamte Bandbreite des notariellen Arbeitsbereiches ab: Gesellschaftsrecht, Steuerrecht, Familien- und Erbrecht, Miet- und WEG-Recht.
Weitere Produktinformationen

			juris Notare Basis
juris Notare Basis
Digitaler Pflichtbezug der Verkündungsblätter inklusive Protokoll und Zertifikat, Recherche aller Stationen und Dokumente im Gesetzgebungsprozess.
Weitere Produktinformationen

			juris PartnerModul Erbrecht
juris PartnerModul Erbrecht
Alles, was in der Erbrechtspraxis wichtig ist: Von Testamentsgestaltung über lebzeitige Vorsorge bis Vermögensübertragung.
Weitere Produktinformationen

			juris PartnerModul Datenschutz
juris PartnerModul Datenschutz
Umfassende Fachliteratur zur DSGVO und zum neuen BDSG - in EINEM Modul, sukzessive aktualisiert.
Weitere Produktinformationen

			juris PartnerModul IT-Recht
juris PartnerModul IT-Recht
Beantwortet alle Fragen aus dem IT-rechtlichen Alltag (DSGVO, BDSG, TMG, TKG u.v.m.) unter Berücksichtigung von UWG und StGB.
Weitere Produktinformationen

			juris PartnerModul Compliance premium
juris PartnerModul Compliance premium
Erfahren Sie u.a. welche Maßnahmen bei der Prävention und Vermeidung von Haftung und Strafbarkeit zu ergreifen sind.
Weitere Produktinformationen

Nicht das Passende für Sie dabei?

Wir beraten Sie gerne persönlich und unverbindlich: 0800 – 587 47 33