Verhaltensregeln der BNotK nach Art. 40 DSGVO: Was muss ich (noch) tun?

DATUM

18. Oktober 2022

KATEGORIE

Praxistipps für die Umsetzung

Zunächst einmal – herzlichen Glückwunsch! Sie als Notarin bzw. Notar haben als erste Berufsgruppe seit Geltung der Datenschutzgrundverordnung (DSGVO) Verhaltensregeln (auch: Code of Conduct) erhalten, die laut Art. 40 DSGVO u.a. von Berufsverbänden erlassen werden können, um die Umsetzungsvorgaben der DSGVO zu erleichtern. In diesem Fall wurden von der BNotK aufgrund des § 6 der Verordnung über die Führung notarieller Akten und Verzeichnisse (NotAktVV) Verhaltensregeln im Bereich der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO verfasst, die gemäß Art. 40 Absatz 5 DSGVO von der zuständigen Aufsichtsbehörde, hier dem Bundesdatenschutzbeauftragten, genehmigt wurden 1). Diese „Verhaltensregeln der Bundesnotarkammer zu technischen und organisatorischen Maßnahmen der Notarinnen und Notare im Hinblick auf deren elektronische Aufzeichnungen und die zur Führung notarieller Akten und Verzeichnisse verwendeten elektronischen Hilfsmittel“ vom 5. Mai 2022 wurden Ihnen allen per E-Mail durch Ihre Notarkammer zugesandt. Aber was bedeuten nun diese Verhaltensregeln für Sie als Notarin oder Notar und für Ihr Büro? Können die Verhaltensregeln einfach in der Generalakte abgelegt werden? Oder sind noch weitere Maßnahmen erforderlich, auch vor dem Hintergrund der regelmäßigen Amtsprüfungen gem. §§ 92 ff. BNotO?

Aufbau der Verhaltensregeln

Um festzustellen, ob und ggfs. was (noch) alles zu tun ist, schauen wir uns zunächst die Struktur des Dokuments an. Die von der BNotK ihren Mitgliedern überlassenen Verhaltensregeln vom 5. Mai 2022 sind in drei Bereiche gegliedert 2):

  • A. Zulässigkeit der Verhaltensregeln
  • B. Datenschutzrechtliche Verhaltensregeln
  • C. Begründung der datenschutzrechtlichen Verhaltensregeln

Teil A befasst sich mit dem rechtlichen Hintergrund für den Erlass der Verhaltensregeln und gibt Auskunft darüber, warum diese Regeln verbindlich für Sie erlassen werden konnten und wurden.

Wichtig für die Praxis sind nunmehr Teil B und C: Teil B listet für Sie verbindliche Regelungen („muss“), verbindliche Regelungen mit Abweichungsmöglichkeiten („soll“), sowie unverbindliche Empfehlungen auf. Teil C enthält Erläuterungen zu den einzelnen Verhaltensregeln sowie den wichtigen Hinweis, dass aufgrund des § 93 Absatz 2 Satz 1und 2 BNotO einer Amtsprüfung auch die Prüfung einer ordnungsgemäßen automatisierten Verarbeitung personenbezogener Daten unterliegt und somit auch die Einhaltung der hier genannten Verhaltensregeln (vgl. Punkt C.V.) Die Verhaltensregeln bilden das Grundgerüst, welches für die Notarinnen und Notare vorgegeben ist, um die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO abzubilden. Ein Abgleich der hier genannten Verhaltensregeln mit den bisherigen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO ist somit geboten. Des Weiteren ist zu schauen, ob sich weitere Umsetzungsmaßnahmen aus dem Dokument der BNotK ergeben.

Überprüfung bisheriger Maßnahmen

Die datenschutzrechtlichen Regeln in Teil B (die Verhaltensregeln an sich) orientieren sich an den Vorgaben des Art. 32 DSGVO, wie sich aus der Rechtsgrundlage zum Erlass der Verhaltensregeln ergibt: Nach § 6 NotAktVV präzisiert die BNotK durch Verhaltensregeln nach Art. 40 Absatz 2 Buchstabe h der DSGVO die technischen und organisatorischen Maßnahmen, die nach Art. 32 DSGVO zu treffen sind, um die Sicherheit der personenbezogenen Daten zu gewährleisten, die in den elektronischen Aufzeichnungen und den zu ihrer Führung verwendeten elektronischen Hilfsmitteln verarbeitet werden.

Diese Verhaltensregeln gelten also für die elektronischen Aufzeichnungen, d.h. nach § 4 NotAktVV für die elektronischen Akten und Verzeichnisse, sowie die zu deren Führung verwendeten elektronischen Hilfsmittel (also z.B. die Fachsoftware). Daneben gelten die Verhaltensregeln auch für die elektronischen Hilfsmittel, die zur Führung papiergebundener Akten und Verzeichnisse dient. Dies bedeutet, unabhängig davon, wie die Akten und Verzeichnisse geführt werden: bei Nutzung einer Fachsoftware, die als Hilfsmittel zur Führung der vorgeschriebenen Akten und Verzeichnisse dient, gelten die Verhaltensregeln.

Kommen wir nun zu den Verhaltensregeln als solche: Teil B umfasst dabei folgende Bereiche:

  • I. Pseudonymisierung und Verschlüsselung (Art. 32 Absatz 1 Buchstabe a DSGVO)
  • II. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste (Art. 32 Absatz 1 Buchstabe b DSGVO)
  • III. Rasche Wiederherstellung der Verfügbarkeit der Daten und des Zugangs zu ihnen bei einem Zwischenfall (Art. 32 Absatz 1 Buchstabe c DSGVO)
  • IV. Kontrolle der vorgenannten Maßnahmen (Art. 32 Absatz 1 Buchstabe d DSGVO).
  • V. Voraussetzungen für Abweichungen von den Verhaltensregeln.

Zu den oben genannten Punkten, insbesondere zu den Punkten I. bis III. werden Anforderungen formuliert, die neben allgemein technischen Vorgaben ebenso organisatorische Maßnahmen enthalten.

Anhand dieser Liste sollten die eigens im Büro vorgehaltenen Maßnahmen („TOM“) kontrolliert werden. Diese Liste kann aufgrund des Musters der BNotK geführt werden, anhand der dort hinterlegten Formulierungsvorschläge. Da diese jedoch vorrangig organisatorische Maßnahmen formuliert, bietet es sich an, gängige Listen im Bereich der TOM zu führen, die in der Regel neben technischen Maßnahmen auch die organisatorischen Maßnahmen aufzählen.

Orientieren sollten Sie sich dabei an folgenden Punkten:

  1. Vertraulichkeit
    • a. Zutrittskontrolle
    • b. Zugangskontrolle
    • c. Zugriffskontrolle
    • d. Trennungskontrolle
    • e. Pseudonymisierung, bzw. Verschlüsselung
  2. Integrität
    • a. Weitergabekontrolle
    • b. Eingabekontrolle
  3. Verfügbarkeit und Belastbarkeit
    • a. Verfügbarkeitskontrolle
  4. Maßnahmen zur zeitnahen Wiederherstellung
  5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Als Orientierungshilfe bietet sich das folgende Dokument des bayerischen Landesamts für Datenschutzaufsicht an: Checkliste Technische und organisatorische Maßnahmen (bayern.de). In jedem Fall sind die technischen und organisatorischen Maßnahmen unter Berücksichtigung der „Handreichung IT-Sicherheit für Notarinnen und Notare sowie deren Beschäftigte“ der BNotK zu erstellen, welche Sie im internen Bereich auf der Website der BNotK unter www.bnotk.de finden.

Führen Sie bereits in Zusammenarbeit mit Ihrer Datenschutzbeauftragten/Ihrem Datenschutzbeauftragten ein Sicherheitskonzept, bzw. halten eine tabellarische Übersicht der technischen und organisatorischen Maßnahmen vor, sollte der Abgleich zügig durchzuführen sein. Angesichts der nach Punkt B. V. vorgesehenen regelmäßigen Kontrolle der Umsetzung der Verhaltensregeln bietet es sich an, auf ein tabellarisches Muster nach gängigem Vorbild umzusteigen.

Zusätzliche Maßnahmen

Im Rahmen einer raschen Wiederherstellung der Verfügbarkeit der Daten und des Zugangs zu ihnen bei einem Zwischenfall müssen

  • ein Notfall-Konzept
  • sowie ein Back-up-Konzept vorgehalten werden (Verhaltensregeln Teil B.III.).

Insbesondere die Zuständigkeiten sind darin zu regeln und die Kontaktdaten der Ansprechpartner zu hinterlegen, sowie die Vorgehensweisen zu kommunizieren, damit im Notfall schnell reagiert werden kann.

Daneben sollte im Rahmen der Kontrolle der Maßnahmen ein Netzwerkplan und eine Dokumentation der IT-Infrastruktur vorgehalten werden (Verhaltensregeln Teil B V.). Eine Muss-Vorschrift ist dies nicht (vgl. auch Verhaltensregeln Teil C. IV.4.), sollte jedoch auch bei eher übersichtlichen IT-Infrastrukturen vorgenommen werden. In der Regel sind dann diese Übersichtslisten mithilfe der IT-Dienstleister schnell erstellt.

Fazit

Da auch die Einhaltung der Verhaltensregeln der BNotK gem. Art. 92 Absatz 2 Satz 1und 2 BNotO einer Amtsprüfung unterliegt, sollte ihre Umsetzung im notariellen Büro überprüft werden. Die Verhaltensregeln der BNotK gem. Art. 40 DSGVO erfordern dabei zunächst eine Überprüfung der bisher im notariellen Büro geltenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Sind diese bereits ordentlich und ausführlich geführt, sowie dokumentiert, erfolgt der Abgleich zügig. Zusätzlich müssen folgende Dokumente

  • Notfall-Konzept
  • Back-up-Konzept

und sollten folgende Dokumente

  • Netzwerkplan
  • Dokumentation der IT-Infrastruktur

vorgehalten werden.

Ein Beitrag von Heike Kraus, Rechtsanwältin und Mitgründerin der Krisp Services GmbH & Co. KG, einem Unternehmen für Datenschutz und IT (https://krisp.services)

1) vgl. BfDI – Pressemitteilungen – BfDI genehmigt Verhaltensregeln für Notare (bund.de)

2) Hintergrund dafür ist die Leitlinie 1/2019 des EDSA (Europäischer Datenschutzausschuss): diese bietet Unterstützungsleistungen für das Genehmigungsverfahren für die Verhaltensregeln, welche gem. Art. 40 Absatz 5 DSGVO von der zuständigen Aufsichtsbehörde zu genehmigen sind.

mehr themen