Schlagwort-Archive: Datenschutzmanagement für Steuerberater

#datenschutzmanagement-fuer-steuerberater

A. Einleitung

In den letzten Monaten mehren sich Rundschreiben von Beratungsunternehmen, die auf den „Ablauf der Schonfrist nach dem BDSG” und auf erhebliche Geldbußen hinweisen, die mit Verstößen gegen datenschutzrechtliche Regelungen einhergehen können.

In diesem Zusammenhang stellt sich für viele kleine und mittlere Unternehmen, darunter auch Steuerberater und Wirtschaftsprüfer die Frage, wie ein effektives und rechtskonformes Datenschutzmanagement betrieben werden kann. Dieser Beitrag stellt die gesetzlichen Anforderungen vor und beantwortet häufige Fragen aus der Praxis.

B. Rechtsrahmen, Kontrollinstanzen, Datensicherheit

Steuerberater und Wirtschaftsprüfer unterliegen eigenen berufsrechtlichen Regelungen, die auch den Schutz personenbezogener Daten bewirken. Das Bundesdatenschutzgesetz (BDSG) regelt das Verhältnis zu anderen Vorschriften, die den Schutz personenbezogener Daten und insbesondere die gesetzlichen Geheimhaltungspflichten und Berufsgeheimnisse betreffen in § 1 Abs. 3 S. 1 und 2 BDSG. Darin wird diesen Vorschriften entweder Vorrang oder gleichrangige Geltung („bleiben unberührt”) eingeräumt. Das BDSG betrachtet die berufsrechtlichen Geheimhaltungspflichten (so z.B. die Verschwiegenheitspflichten der Wirtschaftsprüfer, § 50 WPO und Steuerberater, § 62 StBerG) also als eine spezielle, zusätzliche Schutzebene.

Bestehen für bestimmte Bereiche keine berufsrechtlichen Vorgaben, so gelten allgemein die Regelungen des Bundesdatenschutzgesetzes und gegebenenfalls spezielles, sog. bereichsspezifisches Datenschutzrecht (so ist beim Betrieb eines Internetangebots beispielsweise vorrangig das Teledienstedatenschutzgesetz anzuwenden). Unabhängig davon existieren ferner strafrechtliche Regelungen (vgl. § 203 StGB) für bestimmte Berufsgruppen, darunter die Steuerberater, die ebenfalls eine datenschützende Wirkung entfalten.

Für die Einhaltung und die Durchsetzung der verschiedenen Regelungen sind unterschiedliche Aufsichts- und Verfolgungsbehörden zuständig. Während das Berufsrecht unter der Kontrolle z.B. der Steuerberaterkammern steht, sorgt die Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich (§ 38 BDSG) für die Einhaltung der datenschutzrechtlichen Regelungen. Im Bundesland Schleswig-Holstein ist diese Aufgabe dem Unabhängigen Landeszentrum für Datenschutz (ULD) übertragen. Die Verfolgung strafrechtlicher Regelungen obliegt den allgemeinen Strafverfolgungsbehörden .

Zu unterscheiden sind Fragen des Datenschutzes einerseits und der Datensicherheit andererseits. Datenschutz zielt gemäß dem Bundesdatenschutzgesetz auf die verfassungskonforme Verarbeitung personenbezogener Daten durch die verantwortliche Stelle ab und damit auf den Schutz des Grundrechts auf informationelle Selbstbestimmung der Betroffenen. Bei der Datensicherheit geht es um technisch-organisatorische Regelungen des Schutzes von nicht nur personenbezogenen Daten vor dem Zugriff durch nicht autorisierte Personen . Bei der automatisierten Verarbeitung personenbezogener Daten ist die Datensicherheit notwendige Voraussetzung für einen effektiven Datenschutz durch die verantwortliche Stelle, denn nur derjenige, der tatsächlich in der Lage ist, über den Zugriff auf Datenbestände zu entscheiden (und ihn gegebenenfalls wirksam zu beschränken), kann für die Einhaltung datenschutzrechtlicher Vorgaben sorgen.

C. Gesetzliche Vorgaben für ein betriebliches Datenschutzmanagement

I. Allgemeines

Das Bundesdatenschutzgesetz enthält verschiedene Regelungen, die den Aufbau eines Datenschutzmanagementsystems innerhalb der verantwortlichen Stelle (also z.B. eines Unternehmens, vgl. § 1 Abs. 2 Nr. 3, 3 Abs. 7 BDSG) vorsehen. Damit legt das deutsche Recht die Einhaltung des gesetzlichen Datenschutzstandards schwerpunktmäßig in die Hände der datenverarbeitenden Stellen selbst. Anders als einige europäische Nachbarn setzt der deutsche Gesetzgeber verstärkt auf effektive Selbstkontrolle der verantwortlichen Stellen und weniger auf eine umfassende staatliche Kontroll- und Aufsichtstätigkeit. Diese gesetzgeberische Intention nimmt das ULD auf, indem es den verantwortlichen Stellen im Land Schleswig-Holstein in datenschutzrechtlichen Zweifelsfragen – seien sie rechtllicher, organisatorischer oder technischer Natur – beratend zur Seite steht .

II. Grundlagen

Das Datenschutzrecht verwendet eine eigene Terminologie. Viele der verwandten Begriffe sind in den §§ 2 und 3 BDSG gesetzlich definiert. Die Kenntnis insbesondere der Begriffe „personenenbezogene Daten” (§ 3 Abs. 1 BDSG), „erheben”, „verarbeiten” und „nutzen” (§ 3 Abs. 3, 4, 5) und „verantwortliche Stelle” (§ 3 Abs. 7 BDSG) wird im Folgenden vorausgesetzt. Bei anderen Begriffen wird auf die entsprechende Definition verwiesen. Eine aktuelle Textfassung des BDSG kann unter www.gesetze-im-internet.de/bdsg_1990 abgerufen werden.

III. Betrieblicher Datenschutzbeauftragter

Im Zentrum eines Datenschutzmanagements nach dem Bundesdatenschutzgesetz steht der betriebliche Datenschutzbeauftragte (bDSB) .

1. Persönliche Vorausetzungen der Bestellung

Zum bDSB darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben notwendige Fachkunde und Zuverlässigkeit besitzt (§ 4f Abs. 2 BDSG).

Die Anforderungen, die an einen betrieblichen Datenschutzbeauftragten zu stellen sind, variieren aufgrund unterschiedlicher Aufgaben je nach Unternehmensgröße, Anzahl, Umfang und der Art der Datenverarbeitungen etc. stark. Einen einheitlichen Nachweis der Fachkunde gibt es daher nicht.

Für den Nachweis der Fachkunde können eine Reihe von Kriterien, beispielsweise die berufliche Qualifikation, besondere Datenschutz-Ausbildungen, regelmäßige Fortbildungen (Kurse, Konferenzen, Mitgliedschaften in Datenschutzorganisationen), die Nutzung internen oder externen Sachverstandes und die Kenntnis unternehmensinterner Verfahrens- und Organisationsabläufe herangezogen werden. Für neu mit der Aufgabe des bDSB betraute Personen können Kurse ein guter Einstieg in die fachliche Ausbildung sein, insbesondere, weil sich hier die Möglichkeit zur Erörterung von Fragen bietet. Eine gesetzliche Plicht zur Belegung eines solchen Kurses besteht jedoch nicht.

Die Zuverlässigkeit ergibt sich u.a. aus der persönlichen Integrität einer Person. Sie kann durch verschiedene Faktoren wie z.B. durch die nicht hinreichende Überlassung von Arbeitszeit zur Erfüllung der gesetzlichen Aufgaben durch den Arbeitgeber und das Vorliegen von Interessenkollisionen in Frage gestellt werden. Interessenkollisionen können insbesondere auftreten, wenn der bDSB Aufgaben der Geschäftsleitung wahrnimmt oder die sonstige Tätigkeit des bDSB im Unternehmen gerade von diesem kontrolliert werden soll (z.B. Leiter der EDV, IT-Systemadministrator).

2. Bestellungsverfahren

Nach § 4f Abs. 1 S. 1 BDSG muss eine verantwortliche Stelle grundsätzlich einen bDSB schriftlich bestellen.

Dies gilt unabhängig von der Anzahl der mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigten Personen für alle verantwortlichen Stellen, die automatisierte Verarbeitungen (Definition § 3 Abs. 2 BDSG) vornimmt, die einer Vorabkontrolle unterliegen (näheres siehe § 4d Abs. 5 und 6 BDSG) oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder anonymisierten Übermittlung (näheres siehe § 29 BDSG) erhoben, verarbeitet oder genutzt werden (§ 4f Abs. 1 S. 6 BDSG).

Sonstige verantwortliche Stellen müssen einen bDSB bestellen, wenn mehr als 4 Mitarbeiter mindestens vorübergehend mit der automatisierten Datenerhebung, -verarbeitung oder -nutzung (Definition § 3 Abs. 2 BDSG) oder mehr als 19 Personen mit der nicht automatisierten Datenerhebung, -verarbeitung oder -nutzung (Definition § 3 Abs. 2 BDSG) beschäftigt sind. Bei der Bestimmung der Personenanzahl sind Teilzeitkräfte und Auszubildende, soweit sie personenbezogene Daten verarbeiten, als volle Person mit einzubeziehen.

Ein Formular zur Bestellung eines bDSB kann unter http://www.datenschutzzentrum.de/material/themen/wirtscha/mustbdsb.htm heruntergeladen werden. Die Bestellung ist auf Anforderung der Aufsichtsbehörde vorzulegen. Eine generelle Meldung der Bestellung eines bDSB an die Aufsichtsbehörde ist nicht erforderlich. Darüber hinaus empfiehlt sich die Festlegung des wesentlichen Tätigkeitsfeldes und des Zeitumfangs des bDSB in dessen Arbeitsvertrag , um Rechtssicherheit für beide Seiten zu schaffen.

Die Bestellung eines externen bDSB ist grundsätzlich möglich (§ 4f Abs. 2 S. 2). Die Ausübung dieser Tätigkeit kann bei Berufsgeheimnisträgern, die strafrechtlich sanktionierten Geheimhaltungspflichten unterliegen, jedoch problematisch sein, weil eine Einsichtnahme in mandatsbezogene Daten durch Dritte in der Regel nur mit der Einwilligung der Betroffenen erfolgen darf. Liegen solche Einwilligungen nicht vor, kann ein externer bDSB seine Kontrollaufgabe (s.u.) nur eingeschränkt wahrnehmen.

3. Einbindung in die Organisation der verantwortlichen Stelle

Der betriebliche Datenschutzbeauftragte ist der Geschäftsleitung unmittelbar zu unterstellen . In der Wahrnehmung seiner Aufgaben ist er weisungsfrei (vgl. § 4f Abs.3 BDSG), andernfalls könnte er eine unabhängige Überwachung der personenbezogenen Datenverarbeitung nicht gewährleisten.

Die Geschäftsleitung unterstützt den bDSB bei seinen Aufgaben. Dies erfolgt u.a. durch die Übergabe einer Verfahrensübersicht (§ 4g Abs. 2 S. 1 BDSG, näheres s.u. IV.), die Bereitstellung der für die Aufgabenerfüllung erforderlichen Räumlichkeiten, Büroausstattung, Kommunikationsmittel und Literatur (§ 4f Abs. 5 S. 1 BDSG) und die frühzeitige und umfassende Information des bDSB über neu einzuführende Verfahren oder andere Projekte, von denen personenbezogene Daten betroffen sein können (§ 4g Abs. 1 Nr. 1 BDSG).

Für die erfolgreiche Arbeit eines bDSB ist dessen Einbindung im Unternehmen von großer Bedeutung. Mit einem evtl. vorhandenen Betriebsrat sollte der bDSB vertrauensvoll zusammenarbeiten, da sich insbesondere im Rahmen der Mitbestimmungsrechte gem. § 87 Abs. 1 Nr. 6 BetrVG Überschneidungen der Arbeitsgebiete ergeben. Eine gegenseitige Kontrolle von Betriebsrat und bDSB findet jedoch nicht statt.

4. Aufgaben

Ein Teil der Aufgaben eines bDSB ist gesetzlich vorgegeben.

Der bDSB ist gem. § 4g Abs. 1 S. 1 BDSG der Ansprechpartner für die Geschäftsleitung , die Beschäftigten und die Betroffenen (§ 4f Abs. 5 S. 2 BDSG) in allen Datenschutzfragen. Dabei ist eine vertrauliche Behandlung von Anfragen aller Seiten zu gewährleisten (§ 4f Abs. 4 BDSG).

Der bDSB führt die Verfahrensübersicht (§ 4g Abs. 2 BDSG, s.u. IV.).

Er überwacht die ordnungsgemäße Anwendung von Datenverarbeitungsprogrammen, z.B. die Einführung spezieller Software, die Nutzung der Telefonanlage, des Internetzugangs und des E-Mail-Verkehrs (§ 4g Abs. 1 Nr. 1 BDSG) und nimmt gegebenenfalls Vorabkontrollen (§ 4d Abs. 6 BDSG) vor (s.u. V.).

Der bDSB schult die Mitarbeiter in Datenschutzfragen (4g Abs. 1 Nr. 2 BDSG).

Über diese gesetzlich vorgesehenen Tätigkeitsfelder hinaus kann die Übernahme weiterer Aufgaben im Umfeld von Datenschutz und Datensicherheit sinnvoll sein und mit dem bDSB vereinbart werden. Die Verpflichtung neuer Mitarbeiter nach § 5 BDSG ist eine weitere sinnvolle Aufgabe, die der bDSB wahrnehmen kann.

IV. Verfahrensverzeichnis

Die verantwortliche Stelle stellt dem bDSB ein Verfahrensverzeichnis mit den Angaben des §4e S. 1 BDSG zur Verfügung (§ 4g Abs. 2 S. 1 BDSG). Das Verfahrensverzeichnis ist nicht als bloßer Bürokratismus zu verstehen, sondern stellt ein wichtiges Werkzeug des bDSB für eine effektive Kontrolltätigkeit und die Dokumentation seiner Prüftätigkeit dar. Nur mit seiner Hilfe lässt sich der Überblick über eine Vielzahl unterschiedlicher Verfahren und Ihre Funktionsweise gewinnen und erhalten. Das Verfahrensverzeichnis ist der Ausgangspunkt der Kontrolltätigkeit sowohl des bDSB als auch der Datenschutzaufsichtsbehörde (vgl. § 38 BDSG). Es wird vom bDSB geführt.

Welchen Inhalt ein Verfahrensverzeichnis grundsätzlich aufzuweisen hat, gibt § 4e S. 1 BDSG vor. Eine allgemeingültige Aussage über den notwendigen Umfang einzelner Verfahrensbeschreibungen oder des gesamten Verfahrensregisters lässt sich nur schwer treffen. Dem Zweck des Registers entsprechend sollten die in der Verfahrensbeschreibung enthaltenen Informationen ein grundsätzliches Verständnis des Verfahrens und eine erste überschlägige datenschutzrechtliche Prüfung ermöglichen . Verschiedene Muster für Verfahrensverzeichnisse können über eine Suche im virtuellen Datenschutzbüro unter http:// www.datenschutz.de gefunden und abgerufen werden. Bei der Verwendung solcher Muster sollte am Ende jedoch immer die eigene Prüfung stehen, ob einerseits alle notwendigen Fakten für eine kursorische Rechtsprüfung vorhanden sind und das Verfahrensverzeichnis andererseits nicht zu detailüberfrachtet ist. Zu berücksichtigen ist dabei, dass Teile des Verfahrensverzeichnisses auf Anfrage an Dritte bekannt zu geben sind (§ 4f Abs.2 S. 2 und 3 BDSG).

Mittlerweile sind auch verschiedene elektronische Lösungen für die Erstellung und Führung eines Verfahrensverzeichnisses verfügbar. Ob man zu einer solchen greift oder die Nutzung eines einfachen Ordners für das Verfahrensverzeichnis auf Papier vorzieht, bleibt eine Frage des persönlichen Geschmacks. Zur Information der Mitarbeiter kann es sinnvoll sein, das Verfahrensregister auch im Intranet eines Unternehmens zur Verfügung zu stellen.

Soweit Dritte als Auftragsdatenverarbeiter gem. § 11 BDSG (als solcher dürfte z.B. die DATEV hinsichtlich einiger ihrer Dienstleistungen einzustufen sein) für die verantwortliche Stelle tätig werden, ist das Verfahren im Verfahrensverzeichnis der verantwortlichen Stelle aufzunehmen. Häufig lassen sich entsprechende Verfahrensbeschreibungen von den Auftragsdatenverarbeitern anfordern, so dass diese dem Verfahrensverzeichnis nur noch angepasst und beigefügt werden müssen. Weitere Hinweise zur Auftragsdatenverarbeitung und zum Sonderfall der Datenträger- und Aktenvernichtung finden sich unter http://www.datenschutzzentrum.de/material/themen/wirtscha/vertrgad.htm bzw. http://www.datenschutzzentrum.de/material/themen/wirtscha/vertrgav.htm

V. Mitarbeiterschulung und Verpflichtung gem. § 5 BDSG

Eine weitere Aufgabe des bDSB ist die Mitarbeiterschulung (§ 4g Abs. 1 Nr. 2 BDSG). Nach dem BDSG sind die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz und mit den jeweiligen Erfordernissen des Datenschutzes vertraut zu machen. Die dabei zu schulenden Inhalte richten sich nach den konkreten Aufgaben der Mitarbeiter im Hinblick auf die Verarbeitung personenbezogener Daten.

Grundsätzlich sollte ein solche Schulung bei Beginn der Tätigkeit und danach in regelmäßigen Abständen zur Auffrischung erfolgen. Bei Wiederholungsschulungen können auch die datenschutzrechtlichen Zusammenhänge neuer Verfahren mit erläutert werden, soweit deren Umfang nicht ohnehin eine eigene (nicht nur datenschutzrechtliche) Schulung erfordert, die auch auf die datenschutzrechtlichen Fragen eingehen sollte.

Gem. § 5 BDSG sind die Mitarbeiter nichtöffentlicher Stellen auf das Datengeheimnis zu verpflichten . Nähere Informationen dazu und ein Vordruck finden sich unter http://www.datenschutzzentrum.de/material/themen/wirtscha/verpflds.htm

Nicht gesetzlich vorgesehen, aber dennoch sinnvoll ist die Vornahme der Verpflichtung durch den bDSB. Einerseits kann er evtl. Fragen des neu eintretenden Mitarbeiters beantworten und einen Termin für eine erste Schulung vereinbaren, andererseits ermöglicht ihm dies, seinen Bekanntheitsgrad zu steigern und sein Netzwerk auszubauen.

VI. Kontrollen

Die regelmäßige Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, gehört zu den Kernaufgaben der Tätigkeit als bDSB. Gerade bei bDSB, die diese Aufgabe nur in Teilzeit ausüben, bleibt für Stichproben und andere tatsächliche Kontrollen oft nur wenig Zeit. Daher sollte sich der bDSB regelmäßige Termine für die Erledigung dieser Aufgabe setzen und diese Tätigkeit auch schriftlich dokumentieren. Besonderes Augenmerk sollte er dabei auch auf die Einhaltung technisch-organisatorischer Maßnahmen (§ 9 BDSG und Anlage) zum Datenschutz richten.

Neben der regelmäßigen Überwachung im laufenden Betrieb fällt dem bDSB die Kontrolle von automatisierten Verarbeitungen vor deren Inbetriebnahme (Vorabkontrolle ) zu, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen (§ 4d Abs. 5 und 6 BDSG). Dazu gehören Verfahren, bei denen besondere Arten personenbezogener Daten (Definition § 3 Abs. 9 BDSG) verarbeitet werden. Hierunter fallen besonders sensitive Daten wie z.B. Gesundheitsdaten (z. B. Belege von privaten Krankenversicherungen) oder solche über politische (z. B. Quittung über Mitgliedsbeitrag einer Partei) oder religiöse Zugehörigkeiten (z. B. Kirchensteuermerkmal). Außerdem unterliegen Verarbeitungen der Vorabkontrolle, die zur Bewertung der Persönlichkeit des Betroffenen (z.B. seines Verhaltens, seiner Leistung und seinen Fähigkeiten) bestimmt sind.

Ergänzend zur Selbstkontrolle der verantwortlichen Stelle durch ihren bDSB nimmt die Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich anlassbezogene oder anlassfreie datenschutzrechtliche Prüfungen von verantwortlichen Stellen vor (§ 38 Abs. 1 BDSG). Diese können im schriftlichen Verfahren oder vor Ort erfolgen. Der Aufsichtsbehörde gegenüber besteht eine weitgehende Auskunftspflicht der verantwortlichen Stellen (§ 38 Abs. 3 und 4 BDSG). Die Aufsichtsbehörde kann Beanstandungen vornehmen, Bußgelder verhängen und anordnen, dass Maßnahmen zur Beseitigung technisch-organisatorische Mängel getroffen werden (§ 38 Abs. 5 BDSG). Quelle: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein,https://www.datenschutzzentrum.de/wirtschaft/dsm_steuerberater.htm

Datenschutz | Wie kann ich meine persönlichen Daten vor Schnüfflern schützen?

Die NSA-Affäre macht deutlich, wie leicht personenbezogene Daten in den Zugriffsbereich ausländischer Behörden und Geheimdienste fallen. Da die heutige Datenverarbeitung nicht mehr an einem bestimmten Ort, sondern global erfolgt, verarbeiten und speichern Internet-firmen und Diensteanbieter personenbezogene Daten regelmäßig nicht nur dort, wo die Daten erhoben wurden, sondern weltweit, sei es im Land der Niederlassung des Unternehmens, auf Servern in Drittländern oder fragmentiert in der Cloud. Aufgrund seiner territorialen Begren-zung und eines massiv ausgeprägten rechtspolitischen Vollzugsdefizit findet auf viele Sach-verhalte deutsches Datenschutzrecht in der Praxis häufig keine Anwendung. Aus diesem Grund werden – jenseits der Verantwortlichkeit von Politik und Wirtschaft, den Bürger vor unrecht-mäßiger Überwachung zu schützen – immer mehr Stimmen nach einem effektiven Selbstdaten-schutz laut, der das Individuum über Landesgrenzen hinweg in die Lage versetzen soll, sich selbst zu schützen, so die Erklärung zum „WARUM SELBSTDATENSCHUTZ?“ in dem White Paper, was unter der Mitwirkung u.a. von der Universität Kassel, Institut für Wirtschaftsrecht und dem Fraunhofer-Institut für Sichere Informationstechnologie SIT entstanden ist. Weiter zum White Paper

Cloud Computing | Kanzleien ist Vorsicht geboten

Cloud Lösungen, ein ungebremster Megatrend. Allerdings ist durchaus Vorsicht geboten, wenn es um die Berufsgruppen der Rechtsanwälte, Notare, Wirtschaftsprüfer und Steuerberater geht.

Großer Beliebtheit erfreuen sich derzeit Intranet und ECM Lösungen, welche zunehmend als Cloud Computing Produkte dem Markt angeboten werden. Was für Unternehmen praktisch und gleichwohl ökonomisch erscheinen mag – Beiträge, Dokumente und Dateien innerhalb des Unternehmensnetzwerkes – zu teilen, bleibt den Kanzleien vorenthalten. Denn nicht nur Rechtsanwälte und Notare, sondern auch Steuerberater und Wirtschaftsprüfer ist es nach § 203 Abs. 1 Nr. 3 StGB bei Androhung einer Freiheitsstrafe von bis zu einem Jahr oder von Geldstrafe untersagt, ihnen in ihrer beruflichen Eigenschaft anvertraute Geheimnisse unbefugt zu offenbaren.

Inhalte von elektronischen Dokumenten und Dateien werden einem Dritten zudem nicht erst dann offenbart, wenn dieser den Inhalt dieser Daten zur Kenntnis nimmt. Vielmehr ist es insoweit ausreichend, dass der Dritte die Möglichkeit hat, diese Daten zur Kenntnis zu nehmen. Dass der Dritte die Mitteilung des Geheimnisses auch intellektuell versteht bzw. verstehen könnte, ist dabei nicht erforderlich. Vielmehr reicht es aus, dass der Dritte die Mitteilung wahrnehmen kann. Bei digital gespeicherten Geheimnissen reicht deshalb grundsätzlich die Einräumung der Verfügungsgewalt über die Daten aus, z.B. durch Weitergabe des Datenträgers oder der Datei. Dies trifft im Falle von Cloud Computing Angeboten wohl vollumfänglich zu, wenn eine Kanzlei die Daten auf einen Fremdserver speichert und diese durch andere Dritte gewartet werden.

Kanzlei Wissensmanagement  Tabu für Cloud Computing in Kanzleien