Begrenzte Einsichtsrechte für Sachbearbeiter möglich


Startseite Foren Bedienung: Akten und Adressen Begrenzte Einsichtsrechte für Sachbearbeiter möglich

7 Beiträge anzeigen - 1 bis 7 (von insgesamt 7)
  • Autor
    Beiträge
  • #2819
    DaKi
    Teilnehmer

    Für eine neue Mitarbeiterin möchte ich gerade einen Nutzeraccount anlegen.
    Hierbei wollte ich die Einsichtsrechte begrenzen… es sollen für die Mitarbeiterin nur die Akten einsehbar sein, für die sie als Sachbearbeiterin angegeben ist. Ich dachte bisher, genau das sei Sinn und Zweck der Funktion. Entsprechnd habe ich den neuen Account für einige Akten als Sachbearbeiter angegeben und in der Nutzerverwaltung die Rechte begrenzt. Wenn ich mich mit dem neuen Account anmelde, kann ich aber alle Akten vollständig einsehen. Sogar, wenn ich dem Account sämtliche Rechte entzziehe und lediglich die Möglichkeit zum Einloggen gewähre. Habe ich den Sachbearbeiter-Status falsch verstanden?

    #2820
    j-lawyer.org
    Administrator

    Hallo DaKi,

    momentan lassen sich über die Rechte nur Funktionen einschränken, nicht aber konkrete Datenobjekte. Das heisst dass man bspw. das Ändern von Akten oder Adressen ausschliessen kann, nicht aber das Ändern BESTIMMTER Akten.

    Die Sachbearbeiter-Angabe wird – wie auch die Angabe des/der Verantwortlichen einer WV/Frist – primär zur Filterung in Ansichten verwendet, als auch auf dem Desktop („nur meine anzeigen“).

    Beste Grüße
    Jens
    (j-lawyer.org)

    #2821
    DaKi
    Teilnehmer

    Hallo Jens,

    danke für die schnelle Antwort. Ist geplant, das zu ändern? Anderenfalls ist nach meinem Verständnis keine DSGVO-konforme Nutzung in Mehr-Benutzer-Konstellationen möglich (privacy by design, Grundsatz Datenminimierung).

    Beste Grüße
    Daniel

    #2822
    j-lawyer.org
    Administrator

    Ja, es gibt ein Ticket dafür: https://github.com/jlawyerorg/j-lawyer-org/issues/59

    Ich habe es jetzt der Version 2.0 zugewiesen.

    Ob das tatsächlich DSGVO-unkonform ist, kann ich nicht einschätzen. Die Daten sind separat abgesichert. Ich kenne aus dem allgemeinen Datenschutz die Regel „jeder sollte nur auf das Zugriff haben, was er für seinen Job tatsächlich braucht“, aber ich weiss nicht ob das so in der DSGVO verankert ist, und ob es „unüblich“ ist, dass ein(e) SachbearbeiterIn in einer Kanzlei nicht erwartungsgemäß Einsicht in Akten hat.

    #2823
    DaKi
    Teilnehmer

    Danke für die Info, Jens. Genau um diese Regel geht es. Verankert ist das etwa in Art. 25 DSGVO und im Grundsatz der Datenminimierung (Art. 5 Abs. 1c DSGVO) Unüblich ist es sicher nicht, dass in Kanzleien jeder (fast) alles einsehen kann. Datenschutzkonform in den meisten Fällen aber auch nicht.
    Da ich auch als Datenschutzbeauftragter arbeite, ist es mir ein Anliegen, an der Stelle „sauber“ zu sein. Deshalb hatte ich nachgefragt. Und auch abgesehen vom Datenschutzrecht gibt es ja hier und dort Konstellationen, wo man Einsichtsmöglichkeiten gern beschränkt (Ich führe zum Bsp. für jeden Mandanten eine Unternehmensakte, in der Honorarvereinbarungen, Rechnungen, persönliche Korrespondenz etc. abgelegt werden).
    Falls ich dich/euch zu Fragen des Datenschutzes irgendwie unterstützen kann… sprich mich jederzeit gern an!

    Beste Grüße
    Daniel

    #2824
    j-lawyer.org
    Administrator

    Danke, ich werde die Umsetzung entsprechend einplanen. Dann mach ich das gleich in KOmbination mit https://github.com/jlawyerorg/j-lawyer-org/issues/221- da geht es um eine Exportmöglichkeit im Rahmen von Auskunftsersuchen. Wenn Du dort Ideen / Infos hast, was in einem solchen Export zwingend enthalten sein muss, dann wäre das eine große Hilfe.

    Danke
    Jens
    (j-lawyer.org)

    #2825
    DaKi
    Teilnehmer

    Zum Teil ein verzwicktes Thema im „Spannungsfeld“ der beruflichen Vertraulichkeitspflichten. Zumindest wenn ein Gegner oder Dritter Auskunft verlangt. Grundsätzlich ist dem Anfragenden „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ , zur Verfügung zu stellen (Art. 15 Abs. 4 DSGVO). Das gilt allerdings dann nicht, wenn man damit Geheimhaltungsinteressen des eigenen Mandanten oder Dritter verletzen würde, vgl. § 29 BDSG. Wann das der Fall ist, kann man nur am Einzelfall entscheiden.

    Im Normalfall sollte jedenfalls der Export/die Übermittlung der bei jLawyer als „Grunddaten“ bezeichneten Daten erforderlich sein. Alles, was Rückschlüsse auf eigene Mandanten und die Tatsache, dass man diese vertritt, zulässt, ist hingegen kritisch (insbesondere, wenn eine Anzeige der anwaltlichen Vertretung bislang noch nicht erfolgt ist). Dies gilt bspw. auch für Bankdaten des Anfragenden. Dadurch kann er Einblick erhalten, welche Bankverbindungen für evtl. Pfändungsmaßnahmen etc. bekannt sind, was wiederum die Rechte des eigenen Mandanten beeinträchtigen kann.

    … wie du siehst, läuft es auf die typische Juristenantwort hinaus: Kommt drauf an!

    Gruß, Daniel

7 Beiträge anzeigen - 1 bis 7 (von insgesamt 7)
  • Du musst angemeldet sein, um zu diesem Thema eine Antwort verfassen zu können.