This data processing agreement is automatically concluded with the booking of the automate package. An individual order processing contract can only be agreed in the unlimited package.
LAWLIFT processes personal data on behalf of Licensees within the meaning of Art. 4 No. 8 and Art. 28 of Regulation (EU) 2016/679 -General Data Protection Regulation (GDPR). This contract regulates the rights and obligations of the parties in connection with the processing of personal data.
Insofar as the term "data processing" or"processing" (of data) is used in this contract, the definition of "processing"within the meaning of Art. 4 No. 2 DSGVO shall apply.
The order placed by Licensee with LAWLIFT includes the following work and/or services:
LAWLIFT shall provide cloud-hosted software to create, edit and use intelligent templates for legal documents. This includes the provision and activation of user accounts for the use of the software as well as the associated processing of personal data of the account/user accountholders.
Personal data of the clients/customers (all user entries when generating documents) are already encrypted on the user's PC before transmission to LAWLIFT's servers. Only then are the entries sent to the LAWLIFT server and/or database via an additionally secured connection usingTLS/SSL. The key used for this is not available on LAWLIFT's server. This ensures that neither LAWLIFT nor third parties gain access to case- or mandate-related data as well as personal data contained therein.
When creating the document in a published template(publication), the data entered by the user (if not logged into LAWLIFT) is not transmitted to our servers. We do not collect or store this data. The data is only stored locally in the browser on the user's computer. According to internal security guidelines, this data is deleted automatically or manually.
Only encrypted data is transmitted to our servers prior to transmission:
- if the user has a LAWLIFT account from the accountholder and he is actually
logged in or
- if only the template questionnaire is published, and the user presses "Submit".
The LAWLIFT account owner can set how he wants to publish the templates and thus also determine whether data should be transferred or not.
Client-related or company-related data is not entered, changed, or deleted by LAWLIFT. This is controlled by the client alone.
Training and support are ancillary services and therefore do not constitute commissioned processing.
Nevertheless, we would like to inform you in the following:
Support staff can dial into the user account and even in this case do not have access to client-related data. The support accesses do not have an encryption key that could decrypt client-related data. In case the customer or a user exceptionally grants LAWLIFT employees’ access to case- or client-related information for support purposes (by granting remote access, by screen sharing or by temporarily providing an access-authorised user account with a key), LAWLIFT commits itself and its employees dealing with the support case to secrecy, knowing the penal consequences of a breach of duty. The obligation of the employees shall be made in text form.
Furthermore, LAWLIFT and its employees involved in the support case shall only obtain access to the information necessary for the processing of the support case.
LAWLIFT exclusively uses servers located in Germany for German customers, which are certified according to ISO 27001.
The purpose of the processing is to make available software with which intelligent templates for legal documents can be created, edited and used for document creation by users.
Furthermore, LAWLIFT also collects, stores and uses data from users (user account) in order to enable access control, rights management and, if requested, evaluation.
The following types of personal data are processed:
Name, email address, (encrypted) password ofLicensee's employee.
In addition, Licensee may have all personal data entered that it designates in the templates for the generation of documents.This can be, for example: personal master data, communication data (e-mail, address, telephone), contract data (if personal), factual data (if personal).These data are encrypted on the client side and cannot be decrypted by LAWLIFT without the licensee's decryption key. Access in plain text is only exceptionally possible for support purposes in accordance with 2.7 to 2.9above.
The following categories of persons are affected:
User entries may contain personal data of any persons or companies; as a rule, these are clients/customers of Licensee, their contractual partners, or opponents as well as representatives or contact persons of the aforementioned and employees of Licensee. User accounts exist for employees of Licensee.
Licensee is responsible within the meaning of Art. 4No. 7 DSGVO for the processing of data on behalf of LAWLIFT.
Licensee shall have the right to issue supplementary instructions to LAWLIFT at any time regarding the type, scope, and procedure of the data processing. Instructions may be given in text form (e.g., e-mail). This shall also apply to the use of subcontracted processors.
Licensee may appoint persons authorised to issue instructions. If persons authorised to issue instructions are to be appointed, they shall be named in Annex 1. In the event that the persons authorised to give instructions to Licensee change, Licensee shall inform LAWLIFT thereof in writing.
Licensee shall inform LAWLIFT without undue delay if Licensee becomes aware of any errors or irregularities in connection with the processing of Personal Data by LAWLIFT.
In the event that there is an obligation to inform third parties pursuant to Art. 33, 34 DSGVO or any other statutory notification obligation applicable to Licensee, Licensee shall be responsible for compliance therewith.
LAWLIFT shall process personal data exclusively within the framework of the agreements made and/or in compliance with any supplementary instructions issued by Licensee. Exceptions to this are legal regulations which may require LAWLIFT to process data in a different manner. In such a case, LAWLIFT shall notify Licensee of such legal requirements prior to the processing, unless the relevant law prohibits such notification due to an important public interest. The purpose, nature and scope of the data processing shall otherwise be governed exclusively by this Agreement and/or the instructions of Licensee. LAWLIFT is not permitted to process data in any other way unless Licensee has agreed to such processing in writing.
LAWLIFT undertakes to perform data processing on behalf of Licensee only in member states of the European Union (EU) or theEuropean Economic Area (EEA).
LAWLIFT assures the contractual execution of all agreed measures in the area of the processing of personal data in accordance with the order.
LAWLIFT is obliged to organise its company and its operating procedures in such a way that the data which it processes on behalf of Licensee are secured to the extent necessary and protected against unauthorised access by third parties. LAWLIFT shall coordinate with Licensee in advance any changes in the organisation of the data processing on behalf ofLicensee which are significant for the security of the data.
LAWLIFT shall inform Licensee without undue delay if, in its opinion, any instruction given by Licensee violates any legal provisions. LAWLIFT shall have the right to suspend the execution of the relevant instruction until it is confirmed or amended by Licensee. If LAWLIFT can demonstrate that processing in accordance with Licensee's instructions may lead to liability of LAWLIFT under Article 82 of the GDPR, LAWLIFT shall be entitled to suspend further processing in this respect until the liability between the parties has been clarified, unless Licensee releases LAWLIFT from any liability upon first request.
Processing of Data on behalf of Licensee outside of LAWLIFT's premises or subcontractors shall only be permitted with Licensee's knowledge in text form. LAWLIFT shall inform which subcontractors are necessary for the provision of the contractual services. Furthermore, LAWLIFT shall not be entitled to process data on behalf of Licensee outside of LAWLIFT's premises or those of subcontractors without Licensee's consent, which may be given in writing or in text form. Processing of Data on behalf of Licensee in private residences shall only be permitted with Licensee's consent on a case-by-case basis.
LAWLIFT shall process the data it processes on behalf of Licensees separately from other data. Physical separation is not mandatory.
LAWLIFT may designate to Licensee the person(s)authorised to receive instructions from Licensee. If persons authorised to receive instructions are to be named, they will be named in Appendix 1. In the event that the persons authorised to receive instructions from LAWLIFT change, LAWLIFT shall notify Licensee thereof in text form.
LAWLIFT warrants that the persons authorised to process the personal data have committed themselves to confidentiality or are subject to an appropriate legal duty of confidentiality.
LAWLIFT points out that it is not yet obliged to appoint a data protection officer. Should this become the case, LAWLIFT will inform Licensees of the contact details of the data protection officer in text form.
LAWLIFT shall ensure that the data protection officer has the required qualification and expertise.
LAWLIFT shall notify Licensee without undue delay of any violation of data protection regulations or of the contractual agreements made and/or the instructions given by Licensee which has occurred in the course of the processing of data by Licensee or other persons engaged in the processing. The same shall apply to any breach of the protection of personal data processed by LAWLIFT on behalf of Licensee.
Furthermore, LAWLIFT shall inform Licensee without undue delay if a supervisory authority takes action against LAWLIFT pursuant to Article 58 of the GDPR and this may also concern a control of the processing that LAWLIFT performs on behalf of Licensee.
LAWLIFT is aware that Licensees may be subject to a notification obligation pursuant to Art. 33, 34 DSGVO, which provides for a notification to the supervisory authority within 72 hours after becoming aware of the same. LAWLIFT will support licensees in implementing the reporting obligations. In particular, LAWLIFT shall notify Licensee of any unauthorised access to personal data processed on behalf of Licensee without undue delay, but no later than 48 hours after becoming aware of such access. LAWLIFT's notification to Licensee shall in particular include the following information:
- a description of the nature of the Personal DataBreach, including, to the extent possible, the categories and approximate number of individuals affected, the categories affected, and the approximate number of Personal Data Records affected.
- A description of the measures taken or proposed tobe taken by LAWLIFT to address the personal data breach and, where appropriate, measures to mitigate its possible adverse effects.
LAWLIFT shall assist Licensees in its obligation to respond to requests for the exercise of data subject rights pursuant to Art.12-23 GDPR. The provisions of clause 12. of this Agreement shall apply.
LAWLIFT shall cooperate in the preparation of directories of processing activities by Licensees. LAWLIFT shall provideLicensee with the required information in an appropriate manner.
LAWLIFT shall support Licensees in complying with the obligations set forth in Art. 32-36 of the GDPR, taking into account the typeof processing and the information available to it.
Licensee shall have the right to monitor at any time, to the extent necessary, Licensee's compliance with the statutory provisions on data protection and/or compliance with the contractual arrangements made between the parties and/or compliance with Licensee's instructions.
LAWLIFT shall be obliged to provide Licensee with information to the extent necessary to carry out the control as defined in paragraph 1.
Licensee may request to inspect the data processed by LAWLIFT for Licensee as well as the data processing systems and programs used.
Licensee may, after prior notification with reasonable notice, carry out the inspection within the meaning of paragraph 1 at LAWLIFT's premises during normal business hours. Licensee shall ensure that the inspections are carried out only to the extent necessary in order not to disproportionately disturb LAWLIFT's operations.
LAWLIFT is obliged to provide the necessary information to Licensee in the event of measures taken by the supervisory authority against Licensee within the meaning of Art. 58 of the GDPR, in particular with regard to information and control obligations, and to enable the respective competent supervisory authority to carry out an on-site inspection. Licensee shall be informed about corresponding planned measures of LAWLIFT.
The commissioning of subcontractors by LAWLIFT is permissible. 5.6. remains unaffected. LAWLIFT shall always inform Licensees of any intended change in relation to the use or substitution of other Processors.
LAWLIFT shall carefully select the sub-processor and verify that the sub-processor is able to comply with the agreements made between Licensee and LAWLIFT before engaging it. LAWLIFT shall in particular check in advance and regularly during the term of the contract that the subcontractor has taken the technical and organisational measures for the protection of personal data required under Art. 32 of the GDPR. The result of the control shall be documented by LAWLIFT and provided to Licensee upon request.
LAWLIFT is obliged to obtain confirmation from the subcontractor that it has appointed a company data protection officer in accordance with Art. 37 DSGVO. In the event that no data protection officer has been appointed by the Subcontractor, LAWLIFT shall inform Licensee thereof and provide information showing that the Subcontractor is not legally obliged to appoint a data protection officer.
LAWLIFT shall ensure that the provisions agreed in this Agreement and, if applicable, any supplementary instructions of Licensee shall also apply vis-à-vis the Subcontractor.
LAWLIFT shall conclude a contract processing agreement with the subcontractor which complies with the requirements of Art. 28 DSGVO.In addition, LAWLIFT shall impose the same personal data protection obligations on the subcontractor as are laid down between Licensee and LAWLIFT. Licensee shall be provided with a copy of the commissioned data processing agreement upon request.
LAWLIFT is in particular obliged to ensure by contractual provisions that the control powers (clause 9. of this Agreement) ofLicensee and of supervisory authorities also apply vis-à-vis the Subcontractor and that corresponding control rights of Licensee and supervisory authorities are agreed. It must also be contractually agreed that the subcontractor must tolerate these control measures and any on-site inspections.
Services which LAWLIFT uses from third parties as a purely ancillary service in order to carry out its business activities shall not be regarded as subcontracting relationships within the meaning of paragraphs 1 to 6. This includes, for example, cleaning services, pure telecommunication services without any specific reference to services provided by LAWLIFT to Licensees, postal and courier services, transport services, guarding services. LAWLIFT shall nevertheless be obliged, also in the case of ancillary services provided by third parties, to ensure that appropriate precautions and technical and organisational measures have been taken to guarantee the protection of personal data. The maintenance and servicing of IT systems or applications constitutes a subcontracting relationship requiring consent and commissioned processing within the meaning of Art. 28 DSGVO if the maintenance and testing concerns such IT systems that are also used in connection with the provision of services to licensees and personal data processed on behalf of licensees can be accessed during the maintenance.
Within the scope of this order, data is also processed which is subject to professional secrecy (§§ 43a para. 2 BRAO, 203 StGB). LAWLIFT undertakes to keep professional secrets as well as all other confidential information obtained strictly secret and to protect them from access by third parties.
LAWLIFT shall oblige its employees to maintain confidentiality in accordance with 11.1.
LAWLIFT may obtain knowledge of ConfidentialInformation only to the extent necessary for the obligations set forth in the Main Agreement.
If LAWLIFT uses further natural persons or legal entities for the performance of the contract, they shall be bound according to this clause 11 or § 43e BRAO. Text form is sufficient.
Licensee hereby informs LAWLIFT that the breach of confidentiality or the exploitation of third party secrets by LAWLIFT is punishable by law (§§ 203 para. 1, para. 4 p. 1 StGB, § 204 StGB) and may be punished with imprisonment of up to one year, in case of § 204 StGB with imprisonment of up to two years, or with a fine. The penalty shall be increased to imprisonment for up to two years or a fine if LAWLIFT acts with the intention of enrichment, even if it should exist for the benefit of third parties or has the intention to harm another person by the act. The aforementioned threat of punishment shall apply to persons acting on behalf of LAWLIFT.
Licensee hereby informs LAWLIFT as a precautionary measure that in the event that further persons are involved in breach of 11.5, such persons shall be liable to a penalty of imprisonment of up to one year ora fine if such further person breaches the confidentiality obligation pursuant to 11.1 and the person involved has at the same time not ensured that the former has been bound to secrecy (§§ 203 para. 1, para. 4
sentence 2 no. 2 StGB). The penalty is increased to imprisonment for up to two years or a fine if the perpetrator acts with the intention of enrichment, even if it is for the benefit of a third party or has the intention to harm another person through the act.
Part of this instruction is also the wording of the laws, the current version of which is attached as an appendix.
LAWLIFT shall maintain appropriate organisational and technical measures to protect the confidentiality of the ConfidentialInformation and undertakes to protect Confidential Information appropriately in accordance with accepted state-of-the-art security standards. The level of security in this respect shall not be lower than that applied to own confidential information.
The confidentiality obligation under this Agreement shall apply for an unlimited period of time.
The above obligation shall not apply to information which one of the parties has demonstrably received from third parties without being obliged to maintain confidentiality or which is publicly known.
Licensee shall be solely responsible for safe guarding the rights of data subjects. LAWLIFT is obliged to support Licensee in its duty to process requests from data subjects pursuant to Art. 12-23 GDPR. In particular, LAWLIFT shall ensure that the information required in this respect is provided to Licensee without undue delay so that Licensee can in particular fulfil its obligations under Article 12 (3) of the GDPR.
To the extent that LAWLIFT's cooperation is required for the protection of data subjects' rights - in particular to information, correction, blocking or deletion - by Licensee, LAWLIFT shall take the respective measures required according to Licensee's instructions. LAWLIFT shall, to the extent possible, support Licensee with appropriate technical and organisational measures in fulfilling its obligation to respond to requests for the exercise of data subject rights.
LAWLIFT's remuneration shall be agreed separately.
LAWLIFT undertakes to Licensee to comply with the technical and organisational measures required to comply with the applicable data protection regulations. This includes in particular the requirements ofArt. 32 DSGVO.
The status of the technical and organisational measures existing at the time of the conclusion of the contract is attached as an annex to this contract. The parties agree that changes to the technical and organisational measures may become necessary in order to adapt to technical and legal circumstances. LAWLIFT shall agree in advance with Licensee on any significant changes that may affect the integrity, confidentiality, or availability of the personal data. Measures that only involve minor technical or organisational changes and do not negatively affect the integrity, confidentiality and availability of the Personal Data may be implemented by LAWLIFTwithout consultation with Licensee. Licensee may at any time request a current version of the technical and organisational measures taken by LAWLIFT.
LAWLIFT shall check the effectiveness of the technical and organisational measures taken by it on a regular basis and also on an adhoc basis. In the event that there is a need for optimisation and/or change, LAWLIFT will inform Licensee.
The duration of the contract shall be determined by the main contract on which this contract is based. This contract shall automatically terminate upon expiry of the terminated main contract.
Upon termination of the Agreement, LAWLIFT shall return to Licensee or delete, at Licensee's option, all documents, data and processing or usage results produced in its possession which are related to the contractual relationship. The deletion shall be documented in an appropriate manner. Any statutory retention obligations or other obligations to store the data shall remain unaffected. In the event of deletion requested by Licensee, data carriers shall be destroyed in compliance with at least security level 3of DIN 66399; Licensee shall provide proof of destruction with reference to the security level in accordance with DIN 66399.
Licensee shall have the right to check the complete and contractual return and deletion of the data at LAWLIFT. This may also be done by an on-site inspection of the data processing equipment at LAWLIFT's premises. The on-site inspection shall be announced by Licensee with reasonable notice.
If the property of LAWLIFT is endangered by measures of third parties (e.g., seizure or attachment), insolvency proceedings or other events, LAWLIFT shall inform Licensee without delay. LAWLIFT shall immediately inform the creditors about the fact that data processed on behalf is involved.
Any ancillary agreements must be in writing.
Should individual parts of this contract be invalid, this shall not affect the validity of the remaining provisions of the contract.
The place of jurisdiction of the main contract shall apply.
For the interpretation and application of this GCU, the German language version shall prevail.
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany; purpose: rental of server infrastructure (hardware)
Data processing at LAWLIFT
LAWLIFT is a software where the user of a template automated in LAWLIFT can generate a (Word) document by answering questions.Depending on the user's answers, the software inserts text blocks, words, letters, numbers, calculations, clauses, etc. based on the logic previously defined in the template. The question catalogue can also adapt based on previously given answers. The user can also enter personal data.
The templates used for this form of document generation consist of text modules, questions and answers that are intended to help generate the closest possible "final first" draft when using the template. These templates intend not contain any personal data of third parties.
Loss of personal reference due to client-side encryption and zero-knowledge-principle
Personal data of clients/customers (all user entries when generating documents) a real ready encrypted on the user's PC before transmission to LAWLIFT's servers. Only then are the entries sent to the LAWLIFT server and/or database via an additionally secured connection using TLS/SSL. The key used for this is not available on LAWLIFT's server. This ensures that neither LAWLIFT nor third parties gain access to case- or mandate-related data.
This means that all input during the generation of documents loses its personal reference. This is end-to-end encryption on a zero-knowledge basis.
If there is only one user in the LAWLIFT account and this user loses his or her access data, entries already made when generating documents can no longer be decrypted. We therefore strongly recommend keeping the access data safe.
If the publication function is used to generate documents, our zero-knowledge-principle applies as follows: When generating the document, data entered by the user (not logged in), will not be transmitted to our servers. We do not collect or store this data. Data will only be saved on the computer of the user locally in the browser. According to the internal security guidelines this data will be auto deleted or manually deleted. In addition, the entries (answers) are saved in the locally generated Word file and, if desired, in a separately generated .json or .csv file. If the Word file is changed, the answers are deleted from the file by the Microsoft Word system.Data is only transmitted to our servers if the following conditions are met
1. if the user has a LAWLIFT account of the accountholder (which is usually not given) and is logged in (at the same time he is answering the questions) or
2. if only the template's questionnaire is published, and the user presses "Submit".
The LAWLIFT account holder can set how he wants to publish the templates and thus also determine whether data should be transferred (with client side encryption) or not at all.
For more information, see the Whitepaper on ENCRYPTION& PASSWORDS.
Access to user input
Access to client-related/client-related data has only,
- who is registered as a user of the LAWLIFT customer,
- has been assigned an encryption key by the LAWLIFT customer's administrator, which is not stored on the server - and has been released by the LAWLIFT customer’s administrator
- and who has been granted the corresponding reading rights by the LAWLIFT customer.
Users are exclusively the employees designated by the customer. Employees of LAWLIFT shall not be users in the account of the customer. The customer of LAWLIFT alone decides which persons he grants access to and which he does not.
Protection of the encryption system through two-factor authentication
The encryption system/access to LAWLIFT is additionally protected by a "two-factor authentication". Logging in on unknown devices requires the entry of an additional authentication code which is sent to the user's stored e-mail address. If a user has not logged in from another device and still receives an activation code, we strongly recommend contacting the respective system administrator. In this case, it cannot be ruled out that third parties have gained unauthorised access to a computer in the customer's network.
Ensuring confidentiality, integrity, availability, resilience of the systems
In principle, we also refer here to the explanations on encryption and access.
For the cloud solution, we use servers in Germany that are certified according to ISO27001. Our server provider provides us with the hardware/infrastructure of the servers. The software, operating system, etc. is managed by LAWLIFT. Further information can be found in the Technical and Organisational Measures of the Server Provider for the Cloud Solution of Hetzner Online GmbH.
LAWLIFT itself is also certified according toISO27001.
Alternatively, we also offer installation on other servers of the customer's choice (private deployment).
Personal data of the clients/customers are not recorded, collected; adjusted, changed; transmitted, disclosed; restricted, blocked; deleted, destroyed; organised, arranged; stored; read out, queried; used; matched or linked by LAWLIFT. This is under the sole control of the Customer.
The application and database are set up with multiple redundancies.
Support& Trainings
Training and support are ancillary services and therefore do not constitute commissioned processing.
Nevertheless, we would like to inform you in the following:
The support staff can dial into the client's user account and in this case also have no access to the personal data of the clients/customers. The support accesses do not have an encryption key that could decrypt the personal data of the clients/customers.
In the rare case that the client provides its own access or access with an encryption key, the following applies:
In the event that the Customer or a user exceptionally grants LAWLIFT employees’ access to personal data of the clients/customers for support purposes (by granting remote access, by screen sharing or by temporarily providing an access-authorised user account with a key), LAWLIFT shall commit itself and its employees dealing with the support case to secrecy in the knowledge of the penal consequences of a breach of duty. The obligation of the employees shall be made in text form.
Furthermore, LAWLIFT commits itself and its employees dealing with the support case to only gain access to that information which is necessary for the processing.
Access for support purposes shall only take place with the express consent of the client and only in the presence of the client and only with the web meeting software provided by the client. The client is responsible for security and data protection through the use of the web meeting software.
Alternatively, we offer the services of Zoom Inc. as web meeting software. Please refer to the technical and organisational measures of Zoom Inc. attached as Annex TOM LL 3. All Zoom meetings are end-to-end encrypted. A TLS 1.2 encryption standard is used which is protected by a256-bit algorithm (AES).
Procedures for restoring the availability of personal data after a physical or technical incident
The client-related data that cannot be decrypted byLAWLIFT or third parties is stored in a database from which backups are regularly made at close intervals at other server locations for up to 30 days. Based on these backups, the encrypted data can be restored. The data cannot be decrypted by LAWLIFT or third parties even during the recovery process, as no decryption key is stored on the server.
Process of regular review, assessment, and evaluation of the effectiveness of technical and organisational measures
Every year, our application is checked by a third-party provider as part of a penetration test. The third party attempts to decrypt the encrypted data of clients and/or to gain access to third-party data, in particular personal data, by other means and to make it readable. The respective report can be made available upon request.
In addition, an external review (audit) of our information security management system takes place annually as part of theISO27001 certification. An integral part is our data protection and security concept, which also prescribes regular internal audits.
In addition, we refer to the technical and organisational measures of the server provider and its corresponding certificates (ISO27001:2013, SSAE 16 SOC 2 Type 2, EU-US Privacy Shield), which are renewed at regular intervals.
Federal Lawyers' Act
§43e Use of services
(1) The lawyer may give service providers access to facts to which the obligation to maintain confidentiality pursuant to § 43a (2),first sentence, relates, insofar as this is necessary for the use of the service. A service provider is another person or body who is commissioned by the lawyer to provide services within the framework of his professional practice.
(2) The lawyer shall be obliged to choose the service provider carefully. He shall terminate the cooperation immediately if compliance with the specifications to be made to the service provider pursuant to paragraph 3 is not guaranteed.
(3) The contract with the service provider must be in text form. It shall specify
1. the service provider shall be obliged to maintain confidentiality and be informed of the penal consequences of a breach of duty,
2. oblige the service provider to obtain knowledge of third party secrets only to the extent necessary for the performance of the contract, and
3. determine whether the service provider is authorised to involve other persons in the performance of the contract; in this case, the service provider shall be required to impose a confidentiality obligation on these persons in text form.
(4) When using services provided abroad, the lawyer may only give the service provider access to third party secrets, notwithstanding the other requirements of this provision, if the protection of the secrets there is comparable to the protection in Germany, unless the protection of the secrets does not require this.
(5) When using services which directly serve an individual mandate, the lawyer may only give the service provider access to another person's secrets if the client has consented to this.
(6) Paragraphs 2 and 3 shall also apply in the case of the use of services to which the client has consented unless the client has expressly waived compliance with the requirements set out in paragraphs 2 and3.
(7) Paragraphs 1 to 6 shall not apply insofar as services are used on the basis of special statutory provisions. Paragraph 3sentence 2 shall not apply insofar as the service provider is legally obliged to maintain confidentiality with regard to the service to be provided.
(8) The provisions on the protection of personal data shall remain unaffected.
Criminal Code
§Section 203 Violation of private secrets
(1) Any person who unauthorisedly discloses a secret belonging to another person, namely a secret belonging to the personal sphere of life or a trade or business secret, which is known to him or her as a
1. a doctor, dentist, veterinary surgeon, pharmacist, or member of another medical profession which requires state-regulated training for the exercise of the profession or the use of the professional title,
2. professional psychologists with a state-recognised scientific final examination,
3. attorney-at-law, chamber counsel, patent attorney, notary public, defence counsel in legal proceedings, certified public accountant, sworn auditor, tax adviser, tax agent or organ or member of an organ of a firm of attorneys-at-law, patent attorneys-at-law, certified public accountants, auditors, or tax advisers,
4. marriage, family, educational or youth counsellor as well as counsellor for addiction issues in a counselling centre recognised by a public authority or corporation, institution, or foundation under public law,
5. member or authorised representative of a recognised counselling centre in accordance with sections 3 and 8 of the PregnancyConflict Act,
6. a state-recognised social worker or state-recognised social education worker, or
7. a member of a private health, accident, or life insurance company or of a private medical, tax consultancy or lawyer's clearing office or has otherwise become known, shall be punished with imprisonment for not more than one year or with a fine.
(2) It shall also be a punishable offence for any person who, without authorisation, discloses a secret belonging to another person, namely a secret belonging to the personal sphere of life or a trade or business secret, which he or she, as a
1. public official,
2. a person with a special public service obligation,
3. a person performing duties or exercising powers under staff representation law,
4. member of a committee of enquiry, other committee or council acting for a federal or Land legislative body who is not himself a member of the legislative body, or as an assistant to such a committee or council,
5. publicly appointed expert who has been formally bound by law to the conscientious discharge of his or her duties, or
6. a person who has been formally bound by law to conscientiously fulfil his or her obligations of secrecy in the conduct of scientific research,
or has otherwise become known. Individual information on the personal or factual circumstances of another person which has been collected for the purposes of public administration shall be deemed equivalent to a secret within the meaning of sentence 1; sentence 1 shall not apply, however, if such individual information is disclosed to other authorities or other bodies for the purposes of public administration and the law does not prohibit this.
(2a)(omitted)
(3) No disclosure within the meaning of this provision shall be deemed to have occurred if the persons referred to in paragraphs 1 and2 make secrets accessible to assistants working for them on a professional basis or to persons working for them in preparation for their profession. The persons referred to in paragraphs 1 and 2 may disclose third party secrets to other persons involved in their professional or official activities to the extent that this is necessary for the use of the activities of the other persons involved; the same shall apply to other persons involved if they make use of other persons involved in the professional or official activities of the persons referred to in paragraphs 1 and 2.
(4) A custodial sentence not exceeding one year, or a monetary penalty shall be imposed on anyone who unauthorisedly discloses a third party secret which has become known to him or her in the course of or on the occasion of his or her work as a cooperating person or as a data protection officer working for the persons referred to in paragraphs 1 and 2. Any person shall also be punished who
1. as a person referred to in subsections 1 and 2, has failed to ensure that another contributory person who unauthorisedly discloses a third party secret which has come to his knowledge in the course of or on the occasion of his work has been obliged to maintain confidentiality; this shall not apply to other contributory persons who are themselves a person referred to in subsections 1 or 2,
2. as a contributory person referred to in paragraph3, has made use of another contributory person who unauthorisedly discloses a third party secret which has become known to him or her in the course of or on the occasion of his or her work, and has not ensured that this person has been obliged to maintain secrecy; this shall not apply to other contributory persons who are themselves a person referred to in paragraphs 1 or 2, or
3. after the death of the person obliged under sentence 1 or under paragraphs 1 or 2, unauthorisedly discloses a third party secret which he/she learned from the deceased or obtained from his/her estate.
(5) Paragraphs 1 to 4 shall also apply if the perpetrator discloses the third party secret without authorisation after the death of the person concerned.
(6) If the offender acts in return for payment or with the intention of enriching himself or another or of harming another, the penalty is a custodial sentence not exceeding two years or a monetary penalty.
§ Section 204 Exploitation of another's secrets
Any person who without authorisation exploits another's secret, namely a trade or business secret which he is obliged to keep secret under section 203, shall be liable to a custodial sentence not exceeding two years or to a monetary penalty. (2) Section 203(5) shall apply mutatis mutandis.
Dieser Auftragsverarbeitungsvertrag wird mit der Buchung des Automate Pakets automatisch geschlossen. Ein individueller Auftragsverarbeitungsvertrag kann nur im Unlimited Paket vereinbart werden.
LAWLIFT verarbeitet personenbezogene Daten im Auftrag von Lizenznehmer i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
Der Auftrag von Lizenznehmer an LAWLIFT umfasst folgende Arbeiten und/oder Leistungen:
LAWLIFT stellt eine in der Cloud gehostete Software zur Verfügung, mit der intelligente Vorlagen für Rechtsdokumente erstellt, bearbeitet und für die Dokumenterstellung genutzt werden können. Dies schließt die Bereitstellung und Freischaltung von Benutzerkonten zur Nutzung der Software sowie die damit verbundene Verarbeitung personenbezogener Daten der Konto-/Nutzeraccountinhaber ein.
Personenbezogen Daten der Mandanten/Kunden (alle Nutzereingaben bei der Generierung von Dokumenten) werden schon vor der Übermittlung an die Server von LAWLIFT auf dem PC des Nutzers verschlüsselt. Erst dann werden die Eingaben über eine zusätzlich mittels TLS/SSL gesicherte Verbindung an den Server und/oder die Datenbank von LAWLIFT gesendet. Der hierfür verwendete Schlüssel ist auf dem Server von LAWLIFT nicht verfügbar. So ist sichergestellt, dass weder LAWLIFT noch Dritte Zugang zu fall- oder mandatsbezogenen Daten sowie darin enthaltenen personenbezogenen Daten erhalten.
Bei der Erstellung des Dokuments bei einer publizierten Vorlage (Publikation) werden die vom Benutzer eingegebenen Daten (wenn er nicht in LAWLIFT eingeloggt ist) nicht an unsere Server übertragen. Wir sammeln oder speichern diese Daten nicht. Die Daten werden lediglich auf dem Rechner des Benutzers lokal im Browser gespeichert. Gemäss den internen Sicherheitsrichtlinien werden diese Daten automatisch oder manuell gelöscht.
Es werden nur vor der Übertragung verschlüsselte Daten an unsere Server übermittelt
- wenn der Benutzer über ein LAWLIFT-Konto von dem Kontoinhaber verfügt und er auch tatsächlich
eingeloggt ist oder
- wenn nur der Fragebogen der Vorlage veröffentlicht ist und der Benutzer "Submit" drückt.
Der LAWLIFT-Kontobesitzer kann einstellen, wie er die Vorlagen veröffentlichen will und damit auch bestimmen, ob Daten übertragen werden sollen oder nicht.
Mandantenbezogene bzw. unternehmensbezogene Daten werden nicht von LAWLIFT eingegeben, geändert oder gelöscht. Dies steuert der Kunde allein.
Schulungen und Support sind Nebenleistungen und stellen damit keine Auftragsverarbeitung dar.
Dennoch möchten wir Sie im Folgenden informieren:
Die Supportmitarbeiter können sich in den Nutzeraccount einwählen und haben selbst in diesem Fall keinen Zugriff auf mandantenbezogene Daten. Die Support-Zugänge verfügen nicht über einen Verschlüsselungsschlüssel der mandantenbezogenen Daten entschlüsseln könnte. Für den Fall, dass der Abnehmer oder ein Nutzer Mitarbeitern von LAWLIFT ausnahmsweise zu Support-Zwecken Zugang zu fall- oder mandatsbezogenen Informationen gewährt (durch Gewähren von Fernzugriff, durch Screensharing oder durch temporäres Bereitstellen eines zugriffsberechtigten Nutzeraccounts mit Schlüssel), verpflichtet LAWLIFT sich und seine mit dem Support-Fall beschäftigten Mitarbeiter in Kenntnis der strafrechtlichen Folgen einer Pflichtverletzung zur Verschwiegenheit. Die Verpflichtung der Mitarbeiter erfolgt in Textform.
Ferner verpflichtet LAWLIFT sich und ihre mit dem Support-Fall beschäftigten Mitarbeiter dazu, sich lediglich Zugang zu jenen Informationen zu verschaffen, die für die Bearbeitung notwendig sind.
LAWLIFT nutzt für deutsche Abnehmer ausschließlich Server mit Standort in Deutschland, die nach ISO 27001 zertifiziert sind.
Zweck der Verarbeitung ist die Zurverfügungstellung einer Software, mit der intelligente Vorlagen für Rechtsdokumente erstellt, bearbeitet und für die Dokumenterstellung durch Nutzer genutzt werden können.
Ferner erhebt, speichert und nutzt LAWLIFT auch Daten von Nutzern (Benutzerkonto), um eine Zugriffskontrolle, Rechteverwaltung und auf Wunsch auch eine Auswertung zu ermöglichen.
Folgende Arten von personenbezogenen Daten werden verarbeitet:
Namen, E-Mail-Adresse, (verschlüsseltes) Passwort des Mitarbeiters von Lizenznehmer.
Darüber hinaus kann Lizenznehmer alle personenbezogenen Daten eingeben lassen, die sie in den Vorlagen für die Generierung von Dokumenten bestimmt. Dies können z.B. sein: Personenstammdaten, Kommunikationsdaten (E-Mail, Anschrift, Telefon), Vertragsdaten (soweit personenbezogen), Sachverhaltsdaten (soweit personenbezogen). Diese Daten werden clientseitig verschlüsselt und sind für LAWLIFT nicht ohne den Entschlüsselungsschlüsse von Lizenznehmer entschlüsselbar. Ein Zugriff im Klartext ist nur ausnahmsweise nach Maßgabe des 2.7 bis 2.9 oben für Supportzwecke möglich.
Folgende Kategorien von Personen sind betroffenen:
Nutzereingaben können personenbezogene Daten beliebiger Personen oder Gesellschaften enthalten; in der Regel handelt es sich um Mandanten/Kunden von Lizenznehmer, deren Vertragspartner bzw. Gegner sowie Vertreter oder Kontaktpersonen der vorgenannten und Mitarbeiter von Lizenznehmer. Benutzerkonten bestehen für Mitarbeiter von Lizenznehmer.
Lizenznehmer ist verantwortlich i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch LAWLIFT.
Lizenznehmer hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber LAWLIFT zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen. Das gilt auch für den Einsatz von Unterauftragsverarbeitern .
Lizenznehmer kann weisungsberechtigte Personen benennen. Sofern weisungsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsberechtigten Personen von Lizenznehmer ändern, wird Lizenznehmer dies LAWLIFT in Textform mitteilen.
Lizenznehmer informiert LAWLIFT unverzüglich, wenn Lizenznehmer Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch LAWLIFT feststellt.
Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für Lizenznehmer geltenden gesetzlichen Meldepflicht besteht, ist Lizenznehmer für deren Einhaltung verantwortlich.
LAWLIFT verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. von Lizenznehmer erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die LAWLIFT ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt LAWLIFT Lizenznehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen von Lizenznehmer . Eine hiervon abweichende Verarbeitung von Daten ist LAWLIFT untersagt, es sei denn, dass Lizenznehmer dieser schriftlich zugestimmt hat.
LAWLIFT verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen.
LAWLIFT sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu.
LAWLIFT ist verpflichtet, ihr Unternehmen und ihre Betriebsabläufe so zu gestalten, dass die Daten, die sie im Auftrag von Lizenznehmer verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. LAWLIFT wird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit Lizenznehmer abstimmen.
LAWLIFT wird Lizenznehmer unverzüglich darüber informieren, wenn eine von Lizenznehmer erteilte Weisung nach ihrer Auffassung gegen gesetzliche Regelungen verstößt. LAWLIFT ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch Lizenznehmer bestätigt oder geändert wird. Sofern LAWLIFT darlegen kann, dass eine Verarbeitung nach Weisung von Lizenznehmer zu einer Haftung von LAWLIFT nach Art. 82 DSGVO führen kann, steht LAWLIFT das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen, es sei denn, Lizenznehmer stellt LAWLIFT von jeglicher Haftung auf erste Anforderung frei.
Die Verarbeitung von Daten im Auftrag von Lizenznehmer außerhalb von Betriebsstätten von LAWLIFT oder Subunternehmern ist nur mit Kenntnis von Lizenznehmer in Textform zulässig. LAWLIFT informiert, welche Subunternehmen für die Erbringung der vertragsgegenständlichen Leistungen notwendig sind. Darüber hinaus ist LAWLIFT nicht berechtigt, ohne Zustimmung von Lizenznehmer, die schriftlich oder in Textform erteilt werden kann, Daten im Auftrag von Lizenznehmer außerhalb von Betriebsstätten von LAWLIFT oder von Subunternehmern zu verarbeiten. Eine Verarbeitung von Daten für Lizenznehmer in Privatwohnungen ist nur mit Zustimmung von Lizenznehmer im Einzelfall zulässig.
LAWLIFT wird die Daten, die sie im Auftrag für Lizenznehmer verarbeitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich.
LAWLIFT kann Lizenznehmer die Person(en) benennen, die zum Empfang von Weisungen von Lizenznehmer berechtigt sind. Sofern weisungsempfangsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsempfangsberechtigten Personen bei LAWLIFT ändern, wird LAWLIFT dies Lizenznehmer in Textform mitteilen.
LAWLIFT gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen .
LAWLIFT weist darauf hin, dass sie noch nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Sollte dies der Fall werden, teilt LAWLIFT Lizenznehmer die Kontaktdaten des Datenschutzbeauftragten in Textform mit.
LAWLIFT trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt.
LAWLIFT ist verpflichtet, Lizenznehmer jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen von Lizenznehmer, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die LAWLIFT im Auftrag von Lizenznehmer verarbeitet.
Ferner wird LAWLIFT Lizenznehmer unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber LAWLIFT tätig wird und dies auch eine Kontrolle der Verarbeitung, die LAWLIFT im Auftrag von Lizenznehmer erbringt, betreffen kann.
LAWLIFT ist bekannt, dass für Lizenznehmer eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. LAWLIFT wird Lizenznehmer bei der Umsetzung der Meldepflichten unterstützen. LAWLIFT wird Lizenznehmer insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag von Lizenznehmer verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung von LAWLIFT an Lizenznehmer muss insbesondere folgende Informationen beinhalten:
– eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
– eine Beschreibung der von LAWLIFT ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
LAWLIFT unterstützt Lizenznehmer bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSGVO. Es gelten die Regelungen von Ziffer 12. dieses Vertrages.
LAWLIFT wirkt an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten durch Lizenznehmer mit. Sie hat Lizenznehmer die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
LAWLIFT unterstützt Lizenznehmer unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten.
Lizenznehmer hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen von Lizenznehmer durch LAWLIFT jederzeit im erforderlichen Umfang zu kontrollieren.
LAWLIFT ist Lizenznehmer gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
Lizenznehmer kann eine Einsichtnahme in die von LAWLIFT für Lizenznehmer verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
Lizenznehmer kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte von LAWLIFT zu den jeweils üblichen Geschäftszeiten vornehmen. Lizenznehmer wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe von LAWLIFT durch die Kontrollen nicht unverhältnismäßig zu stören.
LAWLIFT ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber Lizenznehmer i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an Lizenznehmer zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Lizenznehmer ist über entsprechende geplante Maßnahmen von LAWLIFT zu informieren.
Die Beauftragung von Subunternehmern durch LAWLIFT ist zulässig. 5.6. bleibt unberührt. LAWLIFT informiert Lizenznehmer immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter.
LAWLIFT hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Lizenznehmer und LAWLIFT getroffenen Vereinbarungen einhalten kann. LAWLIFT hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist von LAWLIFT zu dokumentieren und auf Anfrage Lizenznehmer zu übermitteln.
LAWLIFT ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten gemäß Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat LAWLIFT Lizenznehmer hierauf hinzuweisen und Informationen dazu beizubringen, aus denen sich ergibt, dass der Unterauftragnehmer gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragte zu benennen.
LAWLIFT hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen von Lizenznehmer auch gegenüber dem Unterauftragnehmer gelten.
LAWLIFT hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Darüber hinaus hat LAWLIFT dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Lizenznehmer und LAWLIFT festgelegt sind. Lizenznehmer ist der Auftragsdatenverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln.
LAWLIFT ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziffer 9. dieses Vertrages) von Lizenznehmer und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Lizenznehmer und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.
Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die LAWLIFT bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die LAWLIFT für Lizenznehmer erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. LAWLIFT ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Wartung und Pflege von IT-Systemen oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für Lizenznehmer genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag von Lizenznehmer verarbeitet werden.
Im Rahmen dieses Auftrages werden auch Daten verarbeitet, die unter ein Berufsgeheimnis (§§ 43a Abs. 2 BRAO, 203 StGB) fallen. LAWLIFT verpflichtet sich, Berufsgeheimnisse sowie alle sonstigen erlangten vertraulichen Informationen strikt geheim zu halten und vor dem Zugriff Dritter zu schützen.
LAWLIFT wird ihre Mitarbeiter zur Verschwiegenheit nach Maßgabe des 11.1 verpflichten.
LAWLIFT darf sich nur insoweit Kenntnis von vertraulichen Informationen verschaffen, als dies für die im Hauptvertrag festgehaltenen Verpflichtungen erforderlich ist.
Wenn LAWLIFT weitere natürliche oder juristische Personen zur Erfüllung des Vertrages heranzieht, sind diese entsprechend dieser Ziffer 11 bzw. § 43e BRAO zu verpflichten. Textform ist ausreichend.
Lizenznehmer belehrt LAWLIFT hiermit, dass der Bruch der Verschwiegenheit oder die Verwertung fremder Geheimnisse durch LAWLIFT für diese strafbar ist (§§ 203 Abs. 1, Abs. 4 S. 1 StGB, § 204 StGB) und mit Freiheitsstrafe bis zu einem Jahr, im Fall von § 204 StGB mit Freiheitsstrafe bis zu zwei Jahren, oder mit Geldstrafe bestraft werden kann. Die Strafdrohung erhöht sich auf Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe, sofern LAWLIFT in Bereicherungsabsicht, auch wenn sie zu Gunsten Dritter bestehen sollte, handelt, oder die Absicht hat, durch die Tat einen anderen zu schädigen. Die vorstehende Strafdrohung trifft die für LAWLIFT mitwirkenden Personen.
Lizenznehmer belehrt LAWLIFT vorsorglich, dass sich mitwirkende Personen im Falle einer gegen 11.5 vorgenommenen Einschaltung weiterer Personen bei Strafdrohung von Freiheitsstrafe bis zu einem Jahr oder Geldstrafe strafbar machen, wenn diese weitere Person die Verschwiegenheit gem. 11.1 bricht, und die mitwirkende Person zugleich nicht dafür Sorge getragen hat, dass erstere zur Verschwiegenheit verpflichtet wurde (§§ 203 Abs. 1, Abs. 4
S. 2 Nr. 2 StGB). Die Strafdrohung erhöht sich auf Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe, sofern der Täter in Bereicherungsabsicht, auch wenn sie zu Gunsten Dritter bestehen sollte, handelt, oder die Absicht hat, durch die Tat einen anderen zu schädigen.
Bestandteil dieser Belehrung ist auch der Wortlaut der Gesetze, die in aktueller Fassung als Anlage beigefügt sind.
LAWLIFT wird angemessene organisatorische und technische Maßnahmen zum Schutz der Vertraulichkeit der vertraulichen Informationen aufrechterhalten und verpflichtet sich, vertrauliche Informationen angemessen gemäß akzeptierter Sicherheitsstandards nach dem aktuellen Stand der Technik zu schützen. Das Sicherheitsniveau darf hierbei nicht geringer als bei eigenen vertraulichen Informationen angelegt werden.
Die Verschwiegenheitsverpflichtung nach dieser Vereinbarung gilt zeitlich unbeschränkt.
Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
Lizenznehmer ist für die Wahrung der Betroffenenrechte allein verantwortlich. LAWLIFT ist verpflichtet, Lizenznehmer bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. LAWLIFT hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an Lizenznehmer erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.
Soweit eine Mitwirkung von LAWLIFT für die Wahrung von Betroffenenrechten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch Lizenznehmer erforderlich ist, wird LAWLIFT die jeweils erforderlichen Maßnahmen nach Weisung von Lizenznehmer treffen. LAWLIFT wird Lizenznehmer nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.
Die Vergütung von LAWLIFT wird gesondert vereinbart.
LAWLIFT verpflichtet sich gegenüber Lizenznehmer zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage zu diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird LAWLIFT im Voraus mit Lizenznehmer abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können von LAWLIFT ohne Abstimmung mit Lizenznehmer umgesetzt werden. Lizenznehmer kann jederzeit eine aktuelle Fassung der von LAWLIFT getroffenen technischen und organisatorischen Maßnahmen anfordern.
LAWLIFT wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird LAWLIFT Lizenznehmer informieren.
Die Vertragslaufzeit richtet sich nach dem diesem Vertrag zugrunde liegenden Hauptvertrag. Dieser Vertrag endet automatisch mit Ablauf des gekündigten Hauptvertrages.
Nach Beendigung des Vertrages hat LAWLIFT sämtliche in ihren Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl von Lizenznehmer an diese zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt. Für Datenträger gilt, dass diese im Falle einer von Lizenznehmer gewünschten Löschung zu vernichten sind, wobei mindestens die Sicherheitsstufe 3 der DIN 66399 einzuhalten ist; die Vernichtung ist Lizenznehmer unter Hinweis auf die Sicherheitsstufe gemäß DIN 66399 nachzuweisen.
Lizenznehmer hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten bei LAWLIFT zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte von LAWLIFT erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch Lizenznehmer angekündigt werden.
Sollte das Eigentum von Lizenznehmer bei LAWLIFT durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat LAWLIFT Lizenznehmer unverzüglich zu informieren. LAWLIFT wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.
Es gilt der Gerichtsstand des Sitzes der LAWLIFT GmbH.
Für die Auslegung und Anwendung dieses AVV ist die deutschprachige Fassung maßgeblich.
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland; Zweck: Miete der Serverinfrastruktur (Hardware)
Datenverarbeitung bei LAWLIFT
LAWLIFT ist eine Software, bei der der Nutzer einer in LAWLIFT automatisiertenVorlage ein (Word-)Dokument durch die Beantwortung von Fragen erzeugen kann.Abhängig von den Antworten des Nutzers fügt die Software auf Basis der vorher in der Vorlage definierten Logik Textbausteine, Wörter, Buchstaben, Ziffern,Berechnungen, Klauseln etc. ein. Auch der Fragenkatalog kann sich aufgrund zuvor gegebener Antworten anpassen. Der Nutzer kann auch personenbezogene Daten eingeben.
Die für diese Form der Dokumentengenerierung genutzten Vorlagen bestehen ausTextbausteinen, Fragen und Antworten, die helfen sollen, bei der Verwendung derVorlage eine möglichst naheliegenden „finalen ersten“ Entwurf zu erzeugen. DieseVorlagen enthalten keine personenbezogenen Daten Dritter.
Verlust des Personenbezugs durch clientseitige Verschlüsselung
Personenbezogen Daten der Mandanten/Kunden (alle Nutzereingaben bei derGenerierung von Dokumenten) werden schon vor der Übermittlung an die Server von LAWLIFT auf dem PC des Nutzers verschlüsselt. Erst dann werden die Eingaben über eine zusätzlich mittels TLS/SSL gesicherte Verbindung an den Server und/oder die Datenbank von LAWLIFT gesendet. Der hierfür verwendete Schlüssel ist auf dem Server von LAWLIFT nicht verfügbar. So ist sichergestellt, dass weder LAWLIFTnoch Dritte Zugang zu fall- oder mandatsbezogenen Daten erhalten.
Damit verlieren alle Eingaben bei der Generierung von Dokumenten ihrenPersonenbezug. Es handelt sich um eine End-to-End Verschlüsselung auf Zero-Knowledge-Basis.
Gibt es nur einen Nutzer in dem LAWLIFT Account und verliert dieser seineZugangsdaten, können bereits getätigte Eingabe bei der Generierung vonDokumenten nicht mehr entschlüsselt werden. Wir empfehlen daher dringend, dieZugangsdaten sicher zu verwahren.
Wird die Publikationsfunktion zur Generierung von Dokumenten genutzt, gilt unserZero-Knowledge-Prinzip wie folgt: Bei der Erstellung des Dokuments werden die vom Nutzer (nicht eingeloggt) eingegebenen Daten nicht an unsere Server übermittelt. Diese Daten werden von uns nicht erhoben oder gespeichert. Die Datenwerden lediglich auf dem Rechner des Nutzers lokal im Browser gespeichert. Gemäß den internen Sicherheitsrichtlinien werden diese Daten automatisch oder manuell gelöscht. Zusätzlich werden die Eingaben (Antworten) in der lokal generiertenWorddatei und auf Wunsch in einer separat generierten .json oder .csv-Datei gespeichert. Wenn die Worddatei geändert wird, werden die Antworten systemseitig von Microsoft Word aus der Datei gelöscht. Eine Übermittlung vonDaten an unsere Server erfolgt nur dann
1. wenn der Nutzer ein LAWLIFT-Konto des Kontoinhabers hat (was in derRegel nicht gegeben ist) und eingeloggt ist (gleichzeitig mit derBeantwortung der Fragen) oder
2. wenn nur der Fragebogen der Vorlage veröffentlicht wird und der Benutzer auf "Absenden" drückt.
Der LAWLIFT-Kontoinhaber kann einstellen, wie er die Vorlagen veröffentlichen möchte und damit auch bestimmen, ob Daten (mit clientseitiger Verschlüsselung)oder gar nicht übertragen werden sollen.
Weitere Informationen finden Sie in dem Whitepaper ENCRYPTION &PASSWORDS.
Zugang zu Nutzereingaben
Zugang zu mandantenbezogenen/kundenbezogenen Daten hat nur,
- wer als Nutzer des Kunden von LAWLIFT angemeldet ist,
- vom Administrator des Kunden von LAWLIFT einen Verschlüsselungs-
Schlüssel zugewiesen bekommen hat, der nicht auf dem Server gespeichert wird – und vom Administrator des Kunden von LAWLIFT freigegeben wurde- und der vom Kunden von LAWLIFT die entsprechenden Leserechte eingeräumt bekommen hat.
Nutzer sind ausschließlich die von dem Kunden bestimmten Mitarbeiter. Mitarbeiter von LAWLIFT sollen keine Nutzer in dem Account des Kunden sein. Der Kunde von LAWLIFT entscheidet allein über die Personen, welchen er Zugang gewährt und welchen nicht.
Schutz des Verschlüsselungssystems durch Zwei-Faktor-Authentifizierung
Das Verschlüsselungssystem/der Zugang zu LAWLIFT ist zusätzlich durch eine„Zwei-Faktor-Authentifizierung“ geschützt. Die Anmeldung auf unbekanntenGeräten erfordert die Eingabe eines zusätzlichen Authentifizierungscodes der an die hinterlegte E-Mail-Adresse des Nutzers gesandt wird. Sollte ein Nutzer sich nicht von einem anderen Gerät eingeloggt haben und er dennoch einen Freischaltcode zugesandt bekommen, empfehlen wir dringend die Kontaktaufnahme mit dem jeweiligen Systemadministrator. Es ist in diesem Fall nicht auszuschließen, dass sich Dritte unberechtigt Zugang zu einem Computer in dem Netzwerk des Kundenverschafft haben.
Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit,Belastbarkeit der Systeme
Grundsätzlich verweisen wir auch hier auf die Ausführungen zur Verschlüsselungund zum Zugang.
Für die Cloud-Lösung nutzen wir Servern in Deutschland, die nach ISO 27001zertifiziert sind. Unser Serveranbieter stellt uns die Hardware/Infrastruktur derServer zu Verfügung. Die Software auch das Betriebssystem etc. wird von LAWLIFT gemanagt. Weitere Informationen finden Sie in den Technische- undOrganisatorische Maßnahmen des Serveranbieters für die Cloudlösung der Hetzner Online GmbH.
LAWLIFT selbst verfügt ebenfalls über eine ISO27001 Zertifizierung.
Alternativ bieten wir auch die Installation auf anderen Servern nach Wahl des Kunden an (Private Deployment - nur Unlimited Package).
Personenbezogen Daten der Mandanten/Kunden werden nicht von LAWLIFT erfasst, erhoben; angepasst, verändert; übermittelt, offengelegt; eingeschränkt, gesperrt; gelöscht, vernichtet; organisiert, geordnet; gespeichert; ausgelesen, abgefragt; verwendet; abgeglichen oder verknüpft. Dies steuert der Kunde allein.
Applikation und Datenbank sind mehrfach redundant aufgesetzt.
Support & Schulungen
Schulungen und Support sind Nebenleistungen und stellen damit keineAuftragsverarbeitung dar.
Dennoch möchten wir Sie im Folgenden informieren:
Die Supportmitarbeiter können sich in den Nutzeraccount des Kunden einwählen und haben auch in diesem Fall keinen Zugriff auf die personenbezogen Daten derMandanten/Kunden. Die Support-Zugänge verfügen nicht über einenVerschlüsselungsschlüssel der personenbezogene Daten der Mandanten/Kundenentschlüsseln könnte.
Für den seltenen Fall, dass der Kunde seinen eigenen Zugang oder einen Zugang mit einem Verschlüsselungsschlüssel bereitstellt, gelten die folgendenAusführungen:
Für den Fall, dass der Abnehmer oder ein Nutzer Mitarbeitern von LAWLIFT ausnahmsweise zu Support-Zwecken Zugang zu personenbezogen Daten derMandanten/Kunden gewährt (durch Gewähren von Fernzugriff, durch Screensharing oder durch temporäres Bereitstellen eines zugriffsberechtigten Nutzeraccounts mit Schlüssel), verpflichtet LAWLIFT sich und seine mit demSupport-Fall beschäftigten Mitarbeiter in Kenntnis der strafrechtlichen Folgen einerPflichtverletzung zur Verschwiegenheit. Die Verpflichtung der Mitarbeiter erfolgt inTextform.
Ferner verpflichtet LAWLIFT sich und seine mit dem Support-Fall beschäftigtenMitarbeiter dazu, sich lediglich Zugang zu jenen Informationen zu verschaffen, die für die Bearbeitung notwendig sind.
Der Zugang zu Supportzwecken erfolgt nur mit ausdrücklicher Einwilligung desKunden und nur in Anwesenheit des Kunden und nur mit der vom Kundenbereitgestellten Webmeetingsoftware. Für die Sicherheit und Datenschutz durchEinsatz der Webmeetingsoftware ist der Kunde verantwortlich.
Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogenerDaten nach einem physischen oder technischen Zwischenfall
Die nicht von LAWLIFT oder Dritten entschlüsselbaren mandantenbezogenen Datenwerden in einer Datenbank gespeichert von der in engen zeitlichen Abständen regelmäßig Sicherungen an anderen Serverstandorten für bis zu 30 Tage gemacht werden. Auf Basis dieser Sicherungen können die verschlüsselten Datenwiederhergestellt werden. Die Daten können auch bei der Wiederherstellung nicht von LAWLIFT oder Dritten entschlüsselt werden, da kein Schlüssel für dieEntschlüsselung auf dem Server gespeichert wird.
Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung derWirksamkeit der technischen und organisatorischen Maßnahmen
Jährlich wird unsere Applikation im Rahmen eines Penetrationstestes durch einenDrittanbieter geprüft. Er versucht, die verschlüsselten Daten der Kunden bzw. Mandanten zu entschlüsseln und/oder sich auf anderem Weg Zugang zu fremden insbesondere personenbezogenen Daten zu verschaffen und diese lesbar zumachen. Der jeweilige Bericht kann auf Nachfrage zur Verfügung gestellt werden.
Zudem finden jährlich eine externe Überprüfung (Auditierung) unseres Informationssicherheitsmanagemensystems im Rahmen der ISO27001Zertifizierung statt. Integraler Bestandteil ist unser Datenschutz undSicherheitskonzept, welches auch regelmäßige interne Audits vorschreibt.
Ergänzend verweisen wir auf die technischen- und organisatorischen Maßnahmendes Serveranbieters sowie dessen entsprechenden Zertifikate (ISO27001:2013,SSAE 16 SOC 2 Type 2, EU-US Privacy Shield), die in regelmäßigen zeitlichenAbständen erneuert werden.
Bundesrechtsanwaltsordnung
§ 43e Inanspruchnahme von Dienstleistungen
(1) Der Rechtsanwalt darf Dienstleistern den Zugang zu Tatsachen eröffnen, auf die sich die Verpflichtung zur Verschwiegenheit gemäß § 43a Absatz 2 Satz 1 bezieht, soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist. Dienstleister ist eine andere Person oder Stelle, die vom Rechtsanwalt im Rahmen seiner Berufsausübung mit Dienstleistungen beauftragt wird.
(2) Der Rechtsanwalt ist verpflichtet, den Dienstleister sorgfältig auszuwählen. Er hat die Zusammenarbeit unverzüglich zu beenden, wenn die Einhaltung der dem Dienstleister gemäß Absatz 3 zu machenden Vorgaben nicht gewährleistet ist.
(3) Der Vertrag mit dem Dienstleister bedarf der Textform. In ihm ist
1. der Dienstleister unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung zur Verschwiegenheit zu verpflichten,
2. der Dienstleister zu verpflichten, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist, und
3. festzulegen, ob der Dienstleister befugt ist, weitere Personen zur Erfüllung des Vertrags heranzuziehen; für diesen Fall ist dem Dienstleister aufzuerlegen, diese Personen in Textform zur Verschwiegenheit zu verpflichten.
(4) Bei der Inanspruchnahme von Dienstleistungen, die im Ausland erbracht werden, darf der Rechtsanwalt dem Dienstleister den Zugang zu fremden Geheimnissen unbeschadet der übrigen Voraussetzungen dieser Vorschrift nur dann eröffnen, wenn der dort bestehende Schutz der Geheimnisse dem Schutz im Inland vergleichbar ist, es sei denn, dass der Schutz der Geheimnisse dies nicht gebietet.
(5) Bei der Inanspruchnahme von Dienstleistungen, die unmittelbar einem einzelnen Mandat dienen, darf der Rechtsanwalt dem Dienstleister den Zugang zu fremden Geheimnissen nur dann eröffnen, wenn der Mandant darin eingewilligt hat.
(6) Die Absätze 2 und 3 gelten auch im Fall der Inanspruchnahme von Dienstleistungen, in die der Mandant eingewilligt hat, sofern der Mandant nicht ausdrücklich auf die Einhaltung der in den Absätzen 2 und 3 genannten Anforderungen verzichtet hat.
(7) Die Absätze 1 bis 6 gelten nicht, soweit Dienstleistungen auf Grund besonderer gesetzlicher Vorschriften in Anspruch genommen werden. Absatz 3 Satz 2 gilt nicht, soweit der Dienstleister hinsichtlich der zu erbringenden Dienstleistung gesetzlich zur Verschwiegenheit verpflichtet ist.
(8) Die Vorschriften zum Schutz personenbezogener Daten bleiben unberührt.
Strafgesetzbuch
§ 203 Verletzung von Privatgeheimnissen
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,
3. Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist,
5. Mitglied oder Beauftragten einer anerka nnten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,
6. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder
7. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
1. Amtsträger,
2. für den öffentlichen Dienst besonders Verpflichteten,
3. Person, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht wahrnimmt,
4. Mitglied eines für ein Gesetzgebungsorgan des Bundes oder eines Landes tätigen Untersuchungsausschusses, sonstigen Ausschusses oder Rates, das nicht selbst Mitglied des Gesetzgebungsorgans ist, oder als Hilfskraft eines solchen Ausschusses oder Rates,
5. öffentlich bestelltem Sachverständigen, der auf die gewissenhafte Erfüllung seiner Obliegenheiten auf Grund eines Gesetzes förmlich verpflichtet worden ist, oder
6. Person, die auf die gewissenhafte Erfüllung ihrer Geheimhaltungspflicht bei der Durchführung wissenschaftlicher Forschungsvorhaben auf Grund eines Gesetzes förmlich verpflichtet worden ist,
anvertraut worden oder sonst bekanntgeworden ist. Einem Geheimnis im Sinne des Satzes 1 stehen Einzelangaben über persönliche oder sachliche Verhältnisse eines anderen gleich, die für Aufgaben der öffentlichen Verwaltung erfaßt worden sind; Satz 1 ist jedoch nicht anzuwenden, soweit solche Einzelangaben anderen Behörden oder sonstigen Stellen für Aufgaben der öffentlichen Verwaltung bekanntgegeben werden und das Gesetz dies nicht untersagt.
(2a) (weggefallen)
(3) Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken.
(4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit seiner Tätigkeit als mitwirkende Person oder als bei den in den Absätzen 1 und 2 genannten Personen tätiger Datenschutzbeauftragter bekannt geworden ist. Ebenso wird bestraft, wer
1. als in den Absätzen 1 und 2 genannte Person nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind,
2. als im Absatz 3 genannte mitwirkende Person sich einer weiteren mitwirkenden Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, bedient und nicht dafür Sorge getragen hat, dass diese zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind, oder
3. nach dem Tod der nach Satz 1 oder nach den Absätzen 1 oder 2 verpflichteten Person ein fremdes Geheimnis unbefugt offenbart, das er von dem Verstorbenen erfahren oder aus dessen Nachlass erlangt hat.
(5) Die Absätze 1 bis 4 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach dem Tod des Betroffenen unbefugt offenbart.
(6) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.
§ 204 Verwertung fremder Geheimnisse
Wer unbefugt ein fremdes Geheimnis, namentlich ein Betriebs- oder Geschäftsgeheimnis, zu dessen Geheimhaltung er nach § 203 verpflichtet ist, verwertet, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.(2) § 203 Absatz 5 gilt entsprechend.