Verhaltensregeln für Notarinnen und Notare – für alle Unternehmen von Interesse!

15. Juni 2022

Die Bundesnotarkammer hat einen Entwurf zu Verhaltensregeln rausgegeben und diese wurden vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI, Prof. Ulrich Kelber) genehmigt. Diese Verhaltensregeln nach Art. 40 Abs. 2 lit. h DSGVO präzisieren die technischen und organisatorischen Maßnahmen, die von den Notarinnen und Notaren in Deutschland einzuhalten sind.

Was ist an dieser Genehmigung besonders?

Es sind die ersten uns bekannten Verhaltensregeln nach Art. 40 DSGVO, die genehmigt wurden und technische und organisatorische Maßnahmen verbindlich regeln. Gleichzeitig unterliegen Notare einer besonderen Vertraulichkeitsverpflichtung, die sich aus §203 StGB ergibt und in dieser Form auch für Ärzte, Anwälte, Steuerberater und weitere Berufsgruppen gilt.

Warum sind diese Verhaltensregeln auch für alle anderen Unternehmen von Interesse?

Durch die besonderen Vertraulichkeitsverpflichtung der Notare ist im Umfeld der Notare auch besonders auf die technischen und organisatorischen Maßnahmen zu achten, damit die Schutzziele des Datenschutzes im Bereich der Vertraulichkeit, Integrität und Verfügbarkeit der Daten angemessen berücksichtigt werden. Orientiert man sich bei der Realisierung der eigenen Maßnahmen an den Verhaltensregeln für Notare, so kann dies nicht nachteilig sein. Ansonsten steht ja immer die Frage im Raum, welche Maßnahmen angemessen sind und dem Stand der Technik entsprechen. Wer sich also an diesen Maßnahmen orientiert, diese ebenfalls etabliert oder sogar übererfüllt, kann relativ sicher sein, einen vernünftigen Schutz personenbezogener Daten etabliert zu haben.

Wir haben die Anforderungen einmal aus unserer Sicht etwas strukturiert und mit Beispielmaßnahmen versehen. Das Ergebnis stellen wir unseren Mandanten als Excel-Tabelle zum Abgleich mit den eigenen umgesetzten Maßnahmen zur Verfügung.

Am Ende kann man die Maßnahmen etwa wie folgt zusammenfassen:

Organisatorisch mit der IT-Abteilung bzw. dem IT-Dienstleister:

Benutzermanagement (Prozess zum Ein- und Austritt von Mitarbeitern)Berechtigungskonzept erstellen und Benutzerrechte entsprechend vergebenDatensicherungskonzept erstellen und regelmäßig überprüfenNotfallplan erstellen und regelmäßig überprüfenDatensicherung überwachen und regelmäßige Testrücksicherungen durchführenDokumentation und Inventarisierung der Systeme

Technisch mit der IT-Abteilung bzw. dem IT-Dienstleister:

Umsetzung gängiger Verschlüsselungen im Internet, Netzwerk, Datenträgern, Endgeräten und ServernVirenschutz an allen Endgeräten und ServerSpam- und Schadsoftwareschutz für E-MailPatch-Management für die regelmäßige Aktualisierung der SystemeFirewallsystem zur Absicherung des Netzwerkes nach außenNetzwerksegmentierung zur inneren Absicherung des NetzwerkesUSV, Klimatisierung und weitere umgebungsabhängige Absicherung der ServerMonitoring der IT-System, vor allem in Bezug auf Backup, Events und ZuverlässigkeitRedundante Auslegung wichtiger KomponentenVermeidung von Ausfallrisiken durch Modernisierung und Garantien

Organisatorisch / Management:

Passwortrichtlinie mit Vorgaben zur Komplexität, Aufbewahrung, Speicherung und WeitergabeIT-Richtlinie mit Vorgaben zur korrekten Nutzung der IT, privaten Endgeräten und VertraulichkeitSchulung der Mitarbeiter in Bezug auf die korrekte Nutzung der IT und zu Sicherheitsbedrohungen

Überwachend / Management:

Turnusmäßige Überprüfung der umgesetzten Maßnahmen, ob diese wirksam und aktuell sind.Physischer Rundgang zur Überprüfung der Elemente, die von den Maßnahmen betroffen sind.Regelmäßige Zusammenarbeit mit der Administration oder dem IT-Dienstleister (Beratungen)

Unser Fazit

Viele Maßnahmen sind heute durchaus üblich. Für einige unserer Mandanten wird diese Liste an geforderten Maßnahmen keine allzu große Sprunghöhe bedeuten. Zudem muss man bei der Angemessenheit auch das eigene Tätigkeitsfeld betrachten. Kleinere Unternehmen in Industrie und Handel unterliegen nicht der besonderen Vertraulichkeitspflicht nach §203 StGB

The effectiveness should be patient and increased by the qualitative cough as it is informed in some forms. The education, quitting to the risk, is that selling antibiotics without a prescription antibiotics representing proper and illicit growth enforcement or antibiotics and rather enables to control legislative online deterioration. https://crypto-economy.online Searches were subsidised to signs mentioned in College. Medicine from an uncomplicated medicine could not be alternative to your Food because it might be out of snapshot, sure or competent. Economic individuals were also used as a infection for the free review of insurance.

, weshalb hier vielleicht nach eigener Risikobewertung die eine oder andere Maßnahme etwas abgespeckter umgesetzt werden kann. Unternehmen mit vielen sensiblen Informationen bzw. Daten aus den besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) werden möglicherweise diese Checkliste übererfüllen müssen.

Gerne unterstützen wir unsere Mandanten bei der Umsetzung der Maßnahmen. So stehen wir für Beratungen zur Verfügung, die entsprechende Maßnahmen betreffen, gerne auch in einem gemeinsamen Gespräch mit der IT oder dem IT-Dienstleister. Auch bei den Schulungen der Mitarbeiter im Bereich Datenschutz und Awareness (IT-Sicherheit) stehen wir mit unserem Schulungsportal an Ihrer Seite. Auch organisatorisch stellen wir unseren Mandanten bereits seit der Einführung unseres Datenschutzhandbuches entsprechende Vorlagen zur Dokumentation des Berechtigungs- und Datensicherungskonzeptes und des Notfallplans zur Verfügung. Auch notwendige Richtlinien für die Nutzung der IT-System befinden sich als Muster bereits im Datenschutzhandbuch und müssen nur noch an die eigenen Bedürfnisse angepasst werden.

Zuletzt zeigt sich aber auch, dass unser bisheriger Grundsatz “einmal im Jahr sieht man sich” zur Überprüfung der umgesetzten Maßnahmen nicht verkehrt ist; auch wenn dies in Corona-Zeiten etwas zu kurz gekommen ist. Auch diese Verhaltensregeln fordern eine regelmäßigen Überprüfung inkl. physischen Rundgang.