Datenschutz in der Kanzlei

Wer nicht darauf achtet bewegt sich auf dünnem Eis…

Die elektronische Akte ist die Zukunft, die bei fortschrittlichen Kanzleien bereits begonnen hat, bietet sie doch sehr viele Vorteile, über die wir hier regelmäßig berichten. Letztlich ist es nur eine Frage der Zeit, bis sie für jede Kanzlei insofern verpflichtend wird, als dann von Behörden und Gerichten eine ausschließlich elektronische Kommunikation gefordert wird. In diesem Zusammenhang kommt den Themen Datenschutz und Datensicherheit eine ganz neue Bedeutung zu. Achten Sie darauf, denn Sie haften dafür.

Es ist nicht trivial, auf die Sicherheit der Daten einer Kanzlei zu achten, wenn man selbst nicht der Techniker ist. Deshalb wird es umso wichtiger, jemanden zu haben, auf den man sich als Kanzleiinhaber diesbezüglich verlassen kann. Ein Datenschutzbeauftrager sollte heute in jeder Kanzlei bestimmt werden, um sicherzustellen, dass gezielt darauf geachtet wird, welche Daten wie verarbeitet und wo sie sicher abgelegt werden. Zwar muss ein Datenschutzbeauftragter erst bestellt werden, wenn mehr als 9 Personen (§ 4f Abs. 1 Satz 1 und 4 BDSG) mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben – aber es ist auch in kleineren Kanzleien hilfreich, diese Aufgaben klar zu regeln. Schließlich sieht das Gesetz bei Datenschutzverstößen und Nichtbeachtung des Datenschutzgesetzes Ihre persönliche Haftung vor – mit Geldbußen bis 300.000 €!

Welche Gesetze sind einschlägig?

Zunächst einige wenige Definitionen, wie sie auch der TÜV Hessen verwendet:

• Datenschutz ist definiert als alle Maßnahmen, deren Ziel es ist, das Individuum (Betroffener) vor der missbräuchlichen (z. B. rechtswidrigen, zweckfremden) Verwendung der über seine Person gespeicherten Informationen (Daten) zu schützen.
• Datensicherheit ist definiert als der Zustand, in dem Integrität, Verfügbarkeit und Vertraulichkeit von Daten, Programmen, Verfahren und Anlagen gewährleistet wird. Stichwort: Informationssicherheit
• Informationen sind Werte, die – unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung – immer angemessen geschützt werden sollten. Quelle:         ISO/IEC 27002:2005
• Datenschutzanforderungen gem. § 9 BDSG
  Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
• Anlage zu § 9 BDSG > Datenschutzanforderungen:
  Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsgebot

Wir vermuten, dass nun die Verwirrung erst einmal komplett ist… Entscheidend ist es, zunächst ein Problembewusstsein zu schaffen – beim Kanzleiinhaber und bei den Mitarbeitern, denn besonders in einer Rechtsanwaltskanzlei werden in aller Regel sehr sensible Daten verarbeitet und gespeichert. Daher müssen diese auch regelmäßig gesichert werden:

• Nach Rechtsprechung muss mindestens einmal wöchentlich gesichert werden
• Diese Aufgabe kann von externen Dienstleistern übernommen werden, dann handelt es sich um eine Auftragsdatenverarbeitung gemäß § 11 BDSG
• Es besteht eine Pflicht zur Aufbewahrung von elektronischen Akten (§ 50 BRAO sowie Regelungen der AO)
• Bei Speicherung der Daten auf Systemen eines externen Dienstleisters ist eine Verschlüsselung der Daten erforderlich
• Für die Datensicherheit ist evtl. ein Backup außerhalb der Kanzleiräume sinnvoll

Man nehme…

Die Themen Datenschutz und Datensicherheit sind sehr umfangreich, selbst wenn man nur die oben angerissenen Stichpunkte berücksichtigt. Ohne spezielle Beratung lassen sie sich kaum in dem hier zur Verfügung stehenden Raum zusammenfassen. Wir möchten damit nur die Gelegenheit nutzen, Sie erneut auf die Bedeutung hinzuweisen.

Im Sinne eines Rezepts raten wir Ihnen daher folgendes:

• Setzen Sie nur Kanzleisoftware-Produkte ein, bei denen die Themen Datensicherung, Datenschutz und Datensicherheit mit ausgefeilten Konzepten, Musteranwendungen und Beratungsleistungen kombiniert angeboten werden.
• Fragen Sie Ihren Systembetreuer nach den eingesetzten Sicherheitslösungen technischer Natur.
• Lassen Sie sich das Zugangskonzept zu Anwendungen und Informationen dokumentieren und erstellen Sie ein rollenabhängiges Berechtigungskonzept.
• Bestimmen Sie auch in einer Kanzlei mit weniger als neun Mitarbeitern einen Datenschutzbeauftragten – das dürfen Sie als Kanzleiinhaber nicht selbst tun. Es ist jedoch auch möglich einen externen Datenschutzbeauftragten zu bestellen. Der Verlag vermittelt Ihnen auf Wunsch entsprechende Kontakte.
• Berücksichtigen Sie den Versand von Informationen an Mandanten über gesicherten und verschlüsselten e-Mail-Verkehr sowie die Nutzung des Internets und von Social Media Seiten durch Ihre Mitarbeiter.
• Denken Sie ebenfalls an die Informationen und Daten von Interessenten, die über Ihre Homepage oder per e-Mail zu Ihnen Kontakt aufnehmen.
• Nutzen Sie Informationsangebote und Online-Schulungen Ihrer Softwarelieferanten zum Thema Sicherheit, um die Zusammenhänge verstehen zu lernen und ggf. notwendige Schritte einzuleiten.
• Lassen Sie sich von Fachkräften beraten, die die Zusammenhänge und besonderen Herausforderungen Ihrer Branche verstehen.