DSGVO – Was Kanzleien beachten müssen

Zurück

Knapp ein Jahr ist es jetzt her, dass sowohl die EU-Datenschutz-Grundverordnung (DSGVO) als auch das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft getreten sind. Am 25.05. letzten Jahres war der Stichtag.

Sinn und Zweck der Schaffung der neuen datenschutzrechtlichen Regelungen und Verordnung ist es, eine EU-weite Vereinheitlichung der Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen zu schaffen. Zum einen soll der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden, zum anderen soll der freie Datenverkehr innerhalb der Europäischen Union, insbesondere des Europäischen Binnenmarktes, gewährleistet und gefördert werden.

Die Regelungen ersetzen die aus dem Jahr 1995 stammende – und damit deutlich veraltete – Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie das BDSG-alt. Diese Regelungen geben zeitgemäße Antworten auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft.

Selbstverständlich sind von den aktuellen Regelungen auch Rechtsanwaltskanzleien betroffen, da diese meist mit persönlichen Daten von Mandanten bzw. entsprechenden Gegnern arbeiten.

Die wichtigsten Punkte, die beachtet werden müssen, haben wir im Folgenden für Sie zusammengefasst:

Der sachliche Anwendungsbereich der Verordnung ist in Art. 3 Nr. 1 DSGVO geregelt. Darunter lassen sich Rechtsanwaltskanzleien subsumieren.

Jede Rechtsanwaltskanzlei muss einen sogenannten ‚Verantwortlichen‘ im Sinne des Art. 4 Nr. 7 DSGVO benennen. Die Legaldefinition ist in Art. 4 Nr. 7 DSGVO festgelegt und lautet: […] „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; […].

Dieser Verantwortliche ist in der Regel der Kanzleiinhaber oder einer der Partner.

Es müssen zwangsläufig acht Grundsätze/Voraussetzungen beachtet werden, die in Art. 5 Abs. 1 DSGVO festgelegt worden sind:

1. Rechtmäßigkeit
2. Verarbeitung nach Treu und Glauben
3. Transparenz
4. Zweckbindung
5. Datenminimierung
6. Richtigkeit
7. Speicherbegrenzung
8. Integrität und Vertraulichkeit

Die Einhaltung der Grundsätze basiert nicht auf freiwilliger Basis, sondern muss nachgewiesen werden können (s. Art. 5 Abs. 2 DSGVO (Dokumentationspflicht)).

Ein Verantwortlicher ist einem sogenannten Datenschutzbeauftragten nicht gleichzustellen. Ein Datenschutzbeauftragter (Art. 38 Abs.1 S. 1 BDSG-neu) muss vom Verantwortlichen benannt werden. Er ist jedoch nur dann erforderlich, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (Art. 37 DSGVO). Genauer gesagt, wenn mindestens zehn Personen rechtmäßigen Zugang zur EDV der Kanzlei haben.

Dieser Datenschutzbeauftragte kann sowohl ein Angestellter der Kanzlei sein oder aber auch ein Externer. Er darf jedoch nicht der Kanzleiinhaber oder einer der Partner sein. Diese Regelung soll eine Selbstüberwachung verhindern.

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO geregelt.

Verantwortliche sind angehalten, ein Verzeichnis über die Verarbeitungstätigkeiten zu führen. Diese finden Sie in Art. 30 Abs. 1 DSGVO.

Zu üblichen Verarbeitungstätigkeiten gehören unter anderem die Verarbeitung von Mandantendaten, die Vertretung und Rechnungsstellung aber auch die Verarbeitungstätigkeiten hinsichtlich der eigenen Mitarbeiter*innen der Kanzlei. Ein Muster eines Verarbeitungsverzeichnisses finden Sie hier.

Mitarbeiter oder Beschäftigte einer Rechtsanwaltskanzlei, die mit personenbezogenen Daten umgehen, müssen Sie unmittelbar bei Aufnahme der Tätigkeit darüber informieren und dazu verpflichten, dass die Verarbeitung der personenbezogenen Daten durch sie gemäß den Grundsätzen der DSGVO zu erfolgen hat. Die entsprechende Rechtsgrundlage findet sich in § 26 BDSG-neu.

Des Weiteren haben die Betroffenen ein Auskunftsrecht. Das bedeutet, dass jede betroffene Person, sei es Mitarbeiter oder Mandant, einen Anspruch auf Auskunft darüber hat, inwieweit die eigenen personenbezogenen Daten verarbeitet werden. Der/die Verantwortliche muss darauf hinweisen, wo der/die Betroffene die entsprechenden Informationen findet.

Ein weiterer wichtiger Aspekt in diesem Zusammenhang ist, dass der Berufsträger, in diesem Fall der Kanzleiverantwortliche, die Datenschutzerklärung der eigenen Homepage auf Richtigkeit überprüfen muss (Art. 13 und Art. 14 DSGVO).

Für den Fall, dass jegliche Gesetzesgrundlage für die Speicherung personenbezogener Daten entfällt, müssen die Daten gelöscht werden (z.B. die berufsrechtliche Aufbewahrungspflicht).

Ein weiterer, ebenfalls wichtiger Aspekt, ist die Gewährung der Sicherheit der personenbezogenen Daten. Liegen die personenbezogenen Daten im Hoheitsbereich des/der Verantwortlichen, müssen verschiedene Standardmaßnahmen zur Sicherung gewährleistet sein. Dazu gehören bspw. Passwortschutz und Firewall (s. Art. 32 DSGVO).

Beauftragt der/die Verantwortliche einer Rechtsanwaltskanzlei einen Dienstleister mit der Verarbeitung der eigenen personenbezogenen Daten, ist eine Auftragsverarbeitung gem. Art. 28 DSGVO notwendig.

Kommt es bei der Verarbeitung von personenbezogenen Daten zu Sicherheitsvorfällen wie z.B. dem Verlust bzw. Diebstahl des Smartphones oder Laptops, so müssen gesetzliche Meldepflichten folgen (Art. 33 DSGVO). Zuständige Aufsichtsbehörde bei Rechtsanwälten*innen ist die zuständige Rechtsanwaltskammer des jeweiligen Bezirks, in dem der Rechtsanwalt bzw. die Rechtsanwältin ansässig ist.

Bei Verstößen gegen die DSGVO können Geldbußen von bis zu 20 Millionen Euro verhängt werden (Art. 83 DSGVO).

Abschließend lässt sich sagen, dass Rechtsanwälte*innen keine Prognosen – sogenannte Datenschutz-Folgenabschätzungen – anstellen müssen (Art. 35 DSGVO). Denn wie immer gibt es auch hier Einzelfälle. Diese sind jedoch die Ausnahme.

In erster Linie soll die Einführung der neuen Verordnung und des neuen Gesetzes die Menschen im Hinblick auf den Umgang mit personenbezogenen Daten schützen. Weiterhin soll für den Umgang mit sogenannten ‚Datenkraken‘ wie Google sensibilisiert werden. In jedem Fall darf man den Aufwand jedoch nicht unterschätzen, den diese Neuerungen mit sich bringen. Wer sich aber erst einmal richtig damit auseinandersetzt und die Sache angeht, ist auf dem besten Weg, DSGVO-konform durchstarten zu können.