--- name: avv-grenzpruefung-datenschutz description: "Kanzlei nutzt KI-Dienstleister und prüft ob AVV nach Art. 28 DSGVO die berufsrechtliche Prüfung ersetzt. Berufsrecht laeuft parallel und ist strenger als Datenschutzrecht. Normen Art. 28 DSGVO §§ 43e BRAO 62a StBerG. Prüfraster AVV-Prüfpunkte Berufsrecht-Parallelitaet Abgrenzungspunkte Stolperfal..." --- # AVV-Grenzprüfung Datenschutz ## Fachkern: AVV-Grenzprüfung Datenschutz - **KI-/Berufsrechtsproblem (AVV-Grenzprüfung Datenschutz):** Kanzlei nutzt KI-Dienstleister und prüft ob AVV nach Art. 28 DSGVO die berufsrechtliche Prüfung ersetzt. Berufsrecht laeuft parallel und ist strenger als Datenschutzrecht. Normen Art. 28 DSGVO §§ 43e BRAO 62a StBerG. Prüfraster AVV-Prüfpunkte Berufsrecht-Parallelitaet Abgrenzungspunkte Stolperfallen. Output Parallelprüfungs-Vermerk Lückenliste. Abgrenzung zu verschwiegenheitsklausel-prüfen (Verschwiegenheit-Hauptprüfung) und gutachten-erstellen (Gesamtgutachten). - **Normenanker:** BRAO, BORA, § 203 StGB, § 204 StGB, DSGVO/BDSG, Auftragsverarbeitung, Dienstleisterregelungen der freien Berufe und prozessuale Akten-/Mandatsgeheimnisse fallbezogen prüfen. - **Entscheidende Weiche:** Anbieterbehauptung, Vertragswortlaut, technische Realität, Berufsgeheimnis, Datenschutzrolle und Strafbarkeitsrisiko auseinanderziehen. - **Arbeitsprodukt:** Anbieter-Fragenliste, Risikomatrix, Vertragsredline und Entscheidung, ob Pilot, Stop oder Nachverhandlung. - **Hinweis:** Ergebnis bleibt Vorprüfung für Kanzlei- oder Spezialberatung; keine Scheinsicherheit gegenüber Berufsrecht oder Strafrecht. ## Triage zu Beginn — kläre vor der Prüfung 1. Liegt überhaupt eine AVV nach Art. 28 DSGVO vor? (Vertragsdokument, Datum, Unterzeichnung) 2. Verarbeitet der Anbieter personenbezogene Daten — oder nur nicht-personenbezogene Geheimnisse (Strategiedokumente, anonymisierte Vertragsanalyse)? 3. Welcher Berufsträger ist betroffen (Rechtsanwalt, Steuerberater, Notar)? Norm-Adapter festlegen. 4. Handelt es sich um Kanzleiinfrastruktur oder ein Einzelmandats-Tool (§ 26a Abs. 4 BNotO: Sonderfall)? 5. Sind die parallelen Prüfbereiche (Verschwiegenheit, Belehrung §§ 203/204 StGB, Subunternehmer) bereits separat abgearbeitet? - **Was will der Mandant wirklich erreichen?** (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist für den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.) ## Zweck dieser Skill Diese Skill ist bewusst eine **Grenzprüfung**, keine vertiefte Datenschutzprüfung. Das Plugin behandelt das Berufsrecht und das Strafrecht. Die datenschutzrechtliche Prüfung ist eine eigene, parallele Aufgabe — sie wird häufig mit der berufsrechtlichen Prüfung verwechselt oder vermischt. Das Plugin `datenschutzrecht` im selben Repository deckt diese Prüfung ab. ## Was die AVV regelt — und was nicht Die Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten. Sie regelt: - Gegenstand, Dauer, Art und Zweck der Verarbeitung - Kategorien betroffener Personen und Datenarten - Pflichten und Rechte des Verantwortlichen - Weisungsbindung des Auftragsverarbeiters - TOM (Art. 32 DSGVO) - Unterauftragnehmer (Art. 28 Abs. 4 DSGVO) - Mitwirkungspflichten - Löschung am Vertragsende Die AVV regelt **nicht** das Berufsgeheimnis. Sie schützt nicht die Verschwiegenheit als solche, sondern den personenbezogenen Datenschutz. Beide Schutzregimes laufen parallel. ## Zentrale Normen - **Art. 28 DSGVO** — Auftragsverarbeitung: Pflicht zur AVV, Mindestinhalt, Unterauftragnehmer-Klausel - **Art. 32 DSGVO** — Technische und organisatorische Maßnahmen - **Art. 83 Abs. 4 DSGVO** — Bußgeld bis 10 Mio. EUR oder 2 % Jahresumsatz bei Verstoß gegen Art. 28 - **§§ 43e BRAO, 62a StBerG, 50a WPO, 39c PAO, 26a BNotO** — Berufsrecht läuft parallel - **§§ 203, 204 StGB** — Strafrecht: Verschwiegenheitspflicht als Straftatbestand ## Aktuelle Rechtsprechung - Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. ## Was das Berufsrecht zusätzlich verlangt Die berufsrechtliche Dienstleisterregelung (§§ 43e BRAO, 62a StBerG, 50a WPO, 39c PAO, 26a BNotO) verlangt darüber hinaus: - Verschwiegenheitspflicht in Textform — auch wenn keine personenbezogenen Daten verarbeitet werden (z.B. anonymisierte Vertragsanalyse) - Strafrechtliche Belehrung (§§ 203, 204 StGB) - Festlegung Subunternehmer mit berufsrechtlicher (nicht datenschutzrechtlicher) Weiterverpflichtung - Beachtung des § 203 Abs. 4 Satz 2 Nr. 1 StGB (Sekundärpflicht) ## Entscheidungsbaum ``` AVV vorhanden? Nein → DSGVO-Verstoß bei personenbezogenen Daten; separate Meldung nötig Ja → Inhalt nach Art. 28 Abs. 3 DSGVO vollständig? Nein → Lücken dokumentieren; Rückfragebrief Ja → Berufsrechtliche Verschwiegenheitsverpflichtung separat? Nein → Muss separat/zusätzlich vereinbart werden Ja → Strafrechtliche Belehrung §§ 203/204 StGB enthalten? Nein → Ergänzungsklausel erforderlich Ja → GRÜN: AVV-Prüfung abgeschlossen; Berufsrecht separat OK ``` ## Prüfschema **Vorab:** Der untenstehende ist die typische Standardlinie. Wenn die Mandantenlage abweicht (siehe "Strategische Optionen" oben), sind die Schritte entsprechend zu verkuerzen, umzustellen oder durch ein anderes Skill zu ersetzen — der ist Leitfaden, nicht Pflichtprogramm. | Punkt | Status | Bemerkung | |---|---|---| | AVV nach Art. 28 DSGVO liegt vor | | | | Aktueller Stand (Datum, Version) | | | | Datenkategorien sind beschrieben | | | | TOM nach Art. 32 DSGVO (Anlage) | | | | Subunternehmer nach Art. 28 Abs. 4 DSGVO (Anlage) | | | | Drittlandsübermittlung geregelt (SCC, Adequacy) | | | | Verweis auf Berufsrecht im Vertrag | | | | Verschwiegenheitsverpflichtung separat | | | | Strafrechtliche Belehrung §§ 203/204 StGB | | | ## Typische Stolperfallen - Anbieter argumentiert, die AVV decke alles ab — sie deckt das Berufsrecht nicht ab - AVV verweist auf US-Datenschutzstandards — DSGVO-konform fraglich - Pseudonymisierung wird angepriesen als "berufsrechtlich notwendig" — sie ist es nach DAV S. 11 nicht - Trennung von Verschwiegenheit und Datenschutz fehlt - Berufsrechtliche Verpflichtung in der AVV "versteckt" — sollte eigenständig erfolgen ## Strategische Optionen (vor dem Template entscheiden) Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist **eine** moegliche Form — nicht die einzige. | Konstellation | Empfohlener Weg | |---|---| | Standard — AVV-Grenzfall pruefen ob AV oder gemeinsame Verantwortlichkeit | Pruefschema unten; Template für Ergebnis-Memo | | Variante A — AVV eindeutig erforderlich | Direkt zu AVV-Erstellung (skill avv-pruefung) wechseln | | Variante B — gemeinsame Verantwortlichkeit wahrscheinlich | Art. 26 DSGVO Vereinbarung statt AVV; Template anpassen | | Variante C — kein Auftragsverhaeltnis sondern eigenstaendige Verarbeitung | Keine AVV; separate Datenschutzvereinbarung pruefen | Wenn die Mandantenkonstellation **nicht** ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen. ## Output-Template — Parallelpruefungs-Vermerk **Adressat:** Kanzlei intern — Tonfall: sachlich-juristisch ``` Interner Compliance-Vermerk — Schnittstelle AVV/Berufsrecht Datum: [DATUM] Anbieter: [NAME ANBIETER] Produkt: [PRODUKTNAME] Berufsgruppe: [BERUF] A) AVV-Befund (Art. 28 DSGVO) AVV vorhanden: ja / nein Inhalt vollstaendig: ja / teilweise / nein Luecken: [BESCHREIBUNG] B) Berufsrechtlicher Befund (§§ 43e BRAO / 62a StBerG / ...) Verschwiegenheitsklausel in Textform: ja / nein Strafrechtliche Belehrung §§ 203/204 StGB: ja / nein Subunternehmer-Weiterverpflichtung: ja / nein C) Ergebnis AVV-Status: GRUEN / GELB / ROT Berufsrecht-Status: GRUEN / GELB / ROT Empfehlung: [Vertragsnutzung freigegeben / Nachverhandlung / Ablehnung] Unterschrift: [SACHBEARBEITER] ``` --- vor Versand klaeren --- 1. Welches Verhandlungsziel hat der Mandant? [Bestand / Abfindung / Reputation / Schnelle Loesung] 2. Welche Kompromisslinien sind absolut? [Mindestabfindung / Freistellung / Zeugnisformulierung] 3. Sind Anschlusswege erwuenscht? [Mediation / Direktgespraech / Settlement vor Klageerhebung]