Datenschutz Verstehen – Datenschutz in der Kanzlei
Die unmittelbare Wirkung der Datenschutz-Grundverordnung (DSGVO) gilt seit dem Inkrafttreten am 25. Mai 2018 auch für Rechtsanwaltskanzleien. Somit müssen Kanzleien, die personenbezogene Daten verarbeiten, die DSGVO hinsichtlich aller Vorgaben umsetzen und dürfen nicht gegen geltendes Recht verstoßen. Im Gegensatz zu anderen Unternehmen müssen Kanzleien jedoch weitere, besondere Pflichten berücksichtigen. Denn neben der verpflichtenden Einhaltung der DSGVO müssen Kanzleien aufgrund der Eigenschaft von Anwälten als Berufsgeheimnisträger noch das Anwaltsgeheimnis bewahren. Um das Vertrauensverhältnis zum Mandanten zu wahren sind Rechtsanwälte zur Verschwiegenheit gem. § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) verpflichtet. Dieser Pflicht müssen Anwälte ebenso nachkommen wie den Vorgaben aus der DSGVO.
Benötigt eine Kanzlei einen Datenschutzbeauftragten?
Grundsätzlich muss immer dann ein Datenschutzbeauftragter bestellt werden, sobald gem. Art. 38 Abs. 1 BDSG zwanzig Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Darüber hinaus besteht ebenfalls eine Pflicht zur Bestellung gem. Art. 37 Abs. 1 DSGVO, falls die Kerntätigkeit die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO oder von personenbezogenen Daten über Straftaten gem. Art. 10 DSGVO ist. In Kanzleien werden grundsätzlich Daten von Mandanten und daher häufig von natürlichen Personen verarbeitet, diese können auch besondere Kategorien oder Daten über Straftaten beinhalten und somit eine Pflicht zur Bestellung eines Datenschutzbeauftragten begründen. Des Weiteren muss ein Datenschutzbeauftragter bestellt werden, wenn die Verarbeitung durch eine öffentliche Stelle durchgeführt wird: Bei Notaren handelt es sich um solche öffentliche Stellen der Länder. Notare müssen daher einen Datenschutzbeauftragten benennen gem. Art. 37 Abs. 1 DSGVO.
Welche Datenschutzanforderungen muss eine Kanzlei erfüllen?
Neben der Pflicht der Bestellung eines Datenschutzbeauftragten muss eine Kanzlei weitere Anforderungen der DSGVO erfüllen. Als Orientierung können hier die Grundsätze für die Verarbeitung von personenbezogenen Daten herangezogen werden. So müssen Kanzleien beispielsweise gem. Art. 5 Abs. 2 DSGVO aufgrund der Rechenschaftspflicht einer ausführlichen Dokumentation nachkommen. Hierzu zählen u.a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, Dokumentation von Datenschutz-Folgenabschätzungen (DSFA) und Datenpannen sowie die Führung eines Löschkonzeptes und Berechtigungskonzeptes. Kanzleien müssen ferner der Transparenzpflicht gem. Art. 5 Abs. 1 lit. a) DSGVO gerecht werden und ihre Informationspflichten wahrnehmen. So müssen Maßnahmen ergriffen werden, die eine präzise, transparente und leicht zugängliche Information über die Verarbeitung ermöglicht. Informiert werden muss beispielsweise über Namen und Kontaktdaten des Kanzleiinhabers, die Zwecke und Rechtsgrundlagen der Verarbeitungen, Empfänger der Daten, Dauer der Speicherung der Daten und über die Betroffenenrechte gem. Art. 12 ff. DSGVO. Die Informationspflicht kann jedoch eingeschränkt werden, wenn es sich um einen Berufsgeheimnisträger, wie einen Rechtsanwalt handelt und die Informationen aufgrund des Berufsgeheimnisses schützenswerter sind als die Wahrung des Informationsinteresses. So müssen diese schützenswerten Informationen beispielsweise nicht an eine Aufsichtsbehörde übermittelt werden, falls die Interessen der betroffenen Person an der Informationserteilung überwiegt vgl. § 29 Bundesdatenschutzgesetz (BDSG).
Der Grundsatz der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f) DSGVO fordert zudem eine ausreichende Sicherheit der Verarbeitungen. Hierzu muss die Kanzlei technische und organisatorische Maßnahmen gem. Art. 25 und 32 DSGVO ergreifen, um das Risiko eines unbefugten Zugriffs oder Verlusts der Daten zu verringern. Insbesondere Maßnahmen wie regelmäßige Updates von Software- und Virenprogrammen, Nutzung von Sicherheitssoftware und ausreichende Verschlüsselung von Mandantendaten sollten hierzu ergriffen werden. Eine besondere Rolle spielt in diesem Zusammenhang der Austausch und die Kommunikation mit Mandanten: Es müssen sichere Verschlüsselungsmechanismen für die Kommunikation verwendet werden, wie z.B. die Korrespondenz mittels verschlüsselten E-Mails.
Datenschutz bei freier Mitarbeit von Rechtsanwälten in der Kanzlei
Damit die Umsetzung der DSGVO von der gesamten Kanzlei sichergestellt wird, müssen auch die Mitarbeitenden geschult, sensibilisiert und zur Einhaltung verpflichtet werden. Es stellt sich jedoch die Frage, wie das Verhältnis zu freien Mitarbeitern zu beurteilen ist. Insbesondere Rechtsanwälte bevorzugen die Form der freien Mitarbeit. Rechtsanwälte sind freie Mitarbeiter, wenn sie eine umfangreiche Handlungsbefugnis besitzen und die Möglichkeit haben, Mandate selbstständig zu suchen und auch abzulehnen. Außerdem muss ein Rechtsanwalt als freier Mitarbeiter der Kanzlei nicht seine gesamte Arbeitskraft zur Verfügung stellen und kann seine Bürozeiten selbstständig einteilen. Freie Mitarbeiter gehören zu den arbeitnehmerähnlichen Personen und sind gem. § 26 Abs. 8 Nr. 6 BDSG ebenfalls auf das Datengeheimnis zu verpflichten. Trotz der freien Handlungskompetenz müssen sich auch Rechtsanwälte, die als freie Mitarbeiter in der Kanzlei arbeiten, für die Umsetzung der DSGVO verpflichtet. Art. 29 DSGVO gilt hierfür als zentrale “Freelancer”- Norm und besagt, dass alle der Verantwortlichen unterstellten Person, die Zugang zu personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen. Die freien Mitarbeiter werden hierdurch also in ihrer umfangreichen Handlungsbefugnis eingeschränkt und müssen sich an die Vorgaben der Kanzlei im Hinblick auf die Datenverarbeitungen halten.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Datenschutzkonforme Softwarelösungen in der Kanzlei
Eine weitere datenschutzrechtliche Frage ergibt sich aus der Nutzung von Softwarelösungen in Kanzleien. Auch hier muss auf die Einhaltung der DSGVO geachtet werden, was nicht immer ganz einfach ist. Bereits die Auswahl, welche Software genutzt werden soll, hat Auswirkungen auf die Einhaltung des Datenschutzes in der Kanzlei. Befinden sich die Server der Cloud-Software beispielsweise in einem Drittstaat, also außerhalb der Europäischen Union, müssen wesentlich mehr Regelungen eingehalten werden als eine Software, dessen Daten nicht in Drittstaaten übermittelt werden. Darüber hinaus ist in gewissen Konstellationen eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO durchzuführen, wenn Softwarelösungen genutzt werden, um personenbezogene Daten zu verarbeiten. Dies ergibt sich daraus, dass die Verwendung einer neuen Technologie, ein großer Umfang von personenbezogenen Daten und die Zwecke der Verarbeitung zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Zunächst müsste festgestellt werden, ob überhaupt eine DSFA relevant ist. Diese Relevanz wird in einer sog. Relevanzprüfung festgestellt. Grundsätzlich besteht die Pflicht eine DSFA durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Freiheiten und Rechte der natürlichen Person hat. Ein hohes Risiko ist beispielsweise immer gegeben, wenn personenbezogene Daten in ein Drittland, ohne Angemessenheitsbeschluss, übermittelt werden. Drittländer gelten nur als sichere Drittstaaten, wenn ein Angemessenheitsbeschluss vorliegt und weitere Vorgabe der DSGVO berücksichtigt worden sind. Sodann muss für die Nutzung von Softwarelösungen aus nicht sicheren Drittstaaten geeignete Garantien gem. Art. 46 DSGVO vorliegend sein. Es empfiehlt sich daher eine Software zu wählen, die nicht von Drittanbietern stammt und ihre Server in der Europäischen Union betreibt. Insbesondere die Lösungen von RA-MICRO, wie z.B. vOffice oder die WebAkte, gehören in diesem Zusammenhang zu den datenschutzfreundlichen Alternativen.
Datenschutz-Checkliste für Kanzleien
- Um die Anforderungen der DSGVO strukturiert und vollumfänglich nachkommen zu können, sollte ein Datenschutzmanagementsystem (DSMS) aufgebaut werden. Das DSMS der Keyed GmbH eignet sich perfekt für Konzerne, Unternehmensgruppen aber auch für mittelständische Unternehmen, sowie für Kanzleien. Auch die DSFA kann durch das DSMS automatisiert und strukturiert dokumentiert werden, was Sicherheit bietet und wertvolle Zeit sparen kann.
- Die Bestellung des Datenschutzbeauftragten sollte ebenfalls zügig geschehen. Auch hier müssen die Vorgaben der DSGVO eingehalten werden. Eine wirksame Bestellung bedarf daher einer von der Geschäftsleitung unterzeichneten Bestellungsurkunde. Diese Urkunde muss genaue Informationen darüber enthalten, welche Person die Tätigkeit des Datenschutzbeauftragten übernimmt. Ein Datenschutzbeauftragter kann intern und extern bestellt werden. Lesen Sie hier, welche Vorteile die Bestellung eines externen Datenschutzbeauftragten mit sich bringt.
- Die umfangreiche Betreuung der Mandanten wird häufig nicht nur durch die Kanzlei selbst vorgenommen. Stattdessen werden verschiedene Dienstleister mit der Verarbeitung personenbezogener Daten der Kanzlei weisungsgebunden beauftragt. Bei den Beauftragten handelt es sich in der Regel um Auftragsverarbeiter. Zwischen dem Auftragsverarbeiter und dem Verantwortlichen muss dann gem. Art. 28 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden
- Zuletzt sollten Systeme erarbeitet werden, die eine regelkonforme Umsetzung der Informationspflicht ermöglichen. Bereits bei der Erhebung personenbezogener Daten bedarf es einer ausführlichen Informationspflicht nach den Vorgaben der Art. 12 ff. DSGVO. Diese Informationspflicht wird jedoch für Berufsgeheimnisträger gem. § 29 BDSG eingeschränkt.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
