Datenschutzinformationen für Mandant*innen

Betroffene

Diese Erklärung richtet sich an alle Personen, die anwaltliche Mandant*innen, wozu auch potenzielle und ehemalige Mandant*innen gehören. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.

Verantwortliche

Verantwortliche für die hier beschriebene Verarbeitung ist die Rechtsanwaltskanzlei Dr. Dirk Schultze-Petzold mit Sitz in der Helene-Weigel-Platz 10, 12681 Berlin, T: +49 30 20 96 56 71 0, E: [email protected]. Die Verantwortliche unterhält folgende Zweigstelle: Friedrich-Ebert-Straße 35, 14469 Potsdam, T: +49 331 23 18 46 10. Die Verantwortliche wird durch den Inhaber Dr. Dirk Schultze-Petzold vertreten, der unter den vorgenannten Kontaktdaten erreichbar ist.

Rechte der Betroffenen und sonstige Hinweise

(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.

(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche).

(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.

(4) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.

(5) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

(6) Sofern nachfolgend eine Datenverarbeitung beschrieben wird, heißt das nicht, dass die Betroffenen einen irgendwie gearteten Anspruch auf die damit verbundenen Handlungen haben (z.B. Medienaufnahmen, Bewertungen). Die Ansprüche des Betroffenen ergeben sich aus den Absätzen 1 bis 3 dieses Abschnitts. Die nachfolgend dargestellten Datenverarbeitungen beschreiben nur mögliche Handlungsweisen, die aber nicht auf alle Betroffenen zutreffen.

Erwartbare Standarddatenverarbeitung

Erstkontakt auf Initiative der Betroffenen oder der Verantwortlichen

(1) Die Anbahnung des Vertrages verläuft wie folgt: Entweder nehmen die Betroffenen mit der Verantwortlichen Erstkontakt auf oder umgekehrt. Hierbei verarbeitet die Verantwortliche alle Daten, die die Betroffenen freiwillig übermitteln. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie E-Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Zweck ist die Anbahnung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(2) Der Verantwortliche prüft, ob ein Interessenkonflikt oder ein anderer, zwingender Mandatsablehnungsgrund gegeben ist und entscheidet auf dieser Grundlage und verarbeitet dabei alle Daten, die bereits beim Erstkontakt erhoben wurden. Zweck ist die Erfüllung einer rechtlichen Verpflichtung (§ 43a Absatz 4 BRAO, § 45 BRAO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

(3) Ggf. unterbreitet die Verantwortliche ein Angebot, wobei die Antwort/Nichtantwort der Betroffenen dokumentiert wird. Zweck ist die Anbahnung bzw. der Abschluss eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Durchführung des Vertrages

(1) Nach Zustandekommen des Vertrages erhebt die Verantwortliche die weiteren Kommunikations- und Abrechnungsdaten (Leistungserbringung, Beantwortung Nachfragen), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

(2) Die Verantwortliche führt eine Handakte, in die sie wesentlichen Dokumente des Mandates aufnimmt. Zweck ist die Erfüllung einer rechtlichen Verpflichtung (§ 50 BRAO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Geltendmachung von Rechten

Sofern die Betroffene ihre Rechte nach der DSGVO oder anderen rechtlichen Vorschriften geltend machen, verarbeitet die Verantwortliche die Daten, um diese Ansprüche zu prüfen und ggf. zu erfüllen. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz lit. c DSGVO i.V.m. der Norm, aus der sich die rechtliche Verpflichtung ergibt.

Konflikte im Vertragsverhältnis

Im Fall eines rechtlichen Konflikts zwischen den Betroffenen und der Verantwortlichen werden die Daten verarbeitet, um entsprechende Erklärungen abzugeben und ggf., um einen externen Rechtsrat einzuholen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, sämtliche Vorgänge, die im Zusammenhang mit dem rechtlichen Konflikt stehen. Die Verarbeitung dient Wahrnehmung externer, rechtlicher Beratung/Betreuung sowie Ausübung eigener Rechte der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den vorgenannten Zwecken folgt. Soweit Daten extern verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

Aufbewahrung

(1) Nach Ende des Vertragsverhältnisses werden alle vorgenannten Daten, die noch gespeichert werden, aufbewahrt. Hinsichtlich der Aufbewahrung ergeben sich Zweck und Rechtsgrundlage aus der untenstehenden Auflistung der Aufbewahrungszeiträume (Absatz 2)

(2) Es gelten folgende Aufbewahrungszeiten:

a. Aufbewahrungszeitraum 1: Interne Aufzeichnungen (z.B. Jahresabschlüsse, Buchungsbelege) sind 10 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.

b. Aufbewahrungszeitraum 2: Daten der geschäftlichen Kommunikation (z.B. Kundenbriefe) und sonstige steuerrelevante Unterlagen sind 6 Jahre aufzubewahren, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.

c. Aufbewahrungszeitraum 3: Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem die Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB) und ergänzend aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).

d. Aufbewahrungszeitraum 4: Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber der Verantwortlichen geltend machen, werden für drei Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB).

e. Aufbewahrungszeitraum 5: Daten, die auf einer Einwilligung beruhen, sind bis zum Widerruf der Einwilligung bzw. bis zum Wegfall des mit der Verarbeitung verbundenen Zwecks aufzubewahren, je nachdem, was früher eintritt. Die Aufbewahrung dient dem mit der Einwilligung verbundenen Zweck und beruht auf Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

f. Aufbewahrungszeitraum 6: Daten, die die Erteilung der Einwilligung beweisen, sind 3 Jahre aufzubewahren, beginnend mit dem Zeitpunkt des Widerrufs der Einwilligung oder des Wegfalls des Zwecks, je nachdem, was früher eintritt. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO).

g. Aufbewahrungsgrund 7: Daten aus der Handakte, sind 6 Jahre aufzubewahren. Die Frist beginnt mit Ablauf des Kalenderjahres, in dem der Auftrag beendet wurde. Zweck ist die Erfüllung einer rechtlichen Verpflichtung (§ 50 Absatz 1 BRAO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Löschung der Daten

Nach Ablauf der Aufbewahrungszeiträume werden die Daten gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO

Außergewöhnliche Datenverarbeitung

Videokonferenzen

(1) Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz.

(2) Falls die Betroffenen sich für die Videokonferenz entscheiden, holt sie die dafür erforderliche Einwilligung ein. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(3) Die Verantwortliche führt Gespräche per Videokonferenz durch. Hierbei verarbeitet sie die hierbei anfallenden Bild- und Tondaten sowie etwaige Mitschriften. Zweck ist die vertragsbezogene Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.

Sicherheitsüberprüfung von E-Mails ohne KI

Alle E-Mails, die die Betroffenen an die Verantwortliche senden, werden dahingehend überprüft, ob sie für die IT-Infrastruktur des Verantwortlichen riskant sind, etwa, ob damit ein Cyberangriff verbunden ist. Die Überprüfung beruht auf statischen Regeln und Playbooks, die festlegen, ob eine E-Mail maliziös ist. Hierbei werden nur die Daten der jeweils zu überprüfenden, eingehenden E-Mail geprüft; dies u.a. anhand von Sperrlisten. Hierbei verarbeitet sie die folgenden Daten: E-Mail-Adressen, Inhalt der eingehenden E-Mails, Status maliziös/nicht maliziös. Zweck ist erstens die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 32 DSGVO (Zweck 1) und zweitens der Schutz der eigenen IT-Infrastruktur (Zweck 2). Mit Blick auf Zweck 1 ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage. Mit Blick auf Zweck 2 ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage, wobei das berechtigte Interesse aus Zweck 2 folgt.

Übermittlung von Daten an Steuerberatungskanzlei

Die Verantwortliche übermittelt die steuerrechtlich relevanten Daten (Rechnungen, Zahlungseingänge usw.) an eine externe Steuerberatungskanzlei. Hiervon sind folgende Daten umfasst: Name, Kontaktdaten, sämtliche für die Besteuerung relevanten Daten, die die Betroffenen freiwillig mitteilen. Zweck der vorgenannten Verarbeitungsvorgänge ist die Wahrnehmung externer, steuerrechtlicher Unterstützung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Soweit Daten in der externen Steuerberatungskanzlei verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.

Bewertungen/Testimonials

(1) Die Verantwortliche holt Testimonials der Betroffenen ein.

(2) Zunächst erfragt sie die Einwilligung dafür und dokumentiert die Antwort. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(3) Falls die Einwilligung erteilt wird, geschieht folgendes: Die Verantwortliche erhebt die Testimonials und veröffentlicht sie, soweit die erteilte Einwilligung dies erlaubt. Hierbei werden folgende Daten verarbeitet: Name, Status zur Einwilligung, Datum der Entscheidung. Die Verarbeitung bezweckt die Präsentation der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

werbliche Ansprache per Post (berechtigtes Interesse)

Die Verantwortliche nutzt die Anschriften der Betroffenen, um diese werblich per Post , etwa Weihnachtskarten, anzusprechen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem Vertragsstatus und ErwG 47 DSGVO folgt.

Kommunikation mit Dritten in Erfüllung der Pflichten aus dem Mandatsverhältnis

(1) Die Verantwortliche kommuniziert, soweit es für die Mandatserfüllung erforderlich ist, mit Dritten (z.B. Gerichte, Gegenparteien, Rechtsschutzversicherer, sonstige Versicherer usw.).

(2) Zunächst erfragt sie die Einwilligung dafür und dokumentiert die Antwort. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

(3) Falls die Einwilligung erteilt wird, kommuniziert sie mit den jeweiligen Dritten. Hierbei werden folgende Daten verarbeitet: Name und Kommunikationsdaten. Die Verarbeitung bezweckt die Präsentation der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Outsourcing: Empfängerinnen, Auftragsverarbeiterinnen

Folgende Empfänger*innen und sonstige externe Stellen erhalten in diesem Zusammenhang Daten der Betroffenen:

Microsoft (Suite)

Es werden diverse Applikationen von der Microsoft Corporation (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:
Microsoft-365 (Cloud, Software)
Microsoft-Teams (Videokonferenz)

Hetzner

Es wird der Clouddienst „Hetzer“ der Hetzner Online GmbH (Deutschland - EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

RA-Micro

Es wird die Software „RA Micro“ der RA-MICRO Software AG (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.