Kanzleiorganisation

DSGVO und BDSG – Das strengere Datenschutzrecht betrifft insbesondere Rechtsanwaltskanzleien

Q: Was fordert die DSGVO sonst noch?

Datensparsamkeit - Die Verarbeitung personenbezogener Daten muss sich auf das notwendige Maß für eben diese Verarbeitung beschränken. Zweckbindung – Personenbezogene Daten dürfen überhaupt nur für eindeutige, rechtmäßige Zwecke erfasst werden. Datensicherheit – Die Kanzlei muss geeignete technische (Stand der Technik!) und organisatorische Maßnahmen umsetzen, um die Datensicherheit zu gewährleisten. Betroffenenrechte – Kanzleien müssen eine anfragende Person ggf. darüber informieren, ob und welche Daten von ihr verarbeitet wurden. Diese müssen auf Antrag ggf. auch gelöscht werden.Hier gelten jedoch für Anwälte besondere Regeln bezüglich der Speicherung von Personendaten, die im Zusammenhang mit Mandaten stehen . Risikoeinschätzung – Die Kanzlei muss die Eintrittswahrscheinlichkeit und die Höhe des Risikos für eine Beschädigung der persönlichen Rechte berücksichtigen und bewerten. Datenschutz-Folgenabschätzung – wenn, was bei Anwälten in der Regel nicht der Fall sein wird, für die persönlichen Daten ein hohes Risiko bezüglich Verletzung von Rechten und Freiheiten besteht, muss der Kanzleiinhaber vorsorglich die Datenschutzfolgen bewerten. Datenschutzbeauftragter – ein Datenschutzbeauftragter ist zu benennen, wenn eine Kanzlei ab zehn Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt. Ein externer Datenschutzbeauftragter ist dabei zulässig.

KanzleiLife

13. April 2018

Ein Interview mit Daniela Schreck, MAXTARGET Business Consulting

(shg) – Das Anwaltsmagazin kanzleiLIFE sieht als eine entscheidende Säule seiner redaktionellen Themenschwerpunkte den reibungslosen, also sicheren, schnellen und digitalen Kanzleialltag. Nun treten am 25. Mai 2018 sowohl die europäische Datenschutz-Grundverordnung (DSGVO) als auch das neue Bundesdatenschutzgesetz (BDSG neu) in Kraft. Was bedeutet dies für Kanzleien? Wie kritisch sind die Anforderungen? Wie kann man als Kanzleiinhaber diese Datenschutzanforderungen erfüllen?

Wir haben Daniela Schreck, Geschäftsführerin der Business Consulting GmbH interviewt.

Frau Schreck, die DSGVO treibt derzeit auch die Anwälte um. Kann sie überhaupt für Rechtsanwälte angewendet werden? Gerade für diese Berufsgruppe gelten doch besondere Verschwiegenheitsanforderungen?

Ja, auch wenn für Anwälte andere Geheimhaltungspflichten – insbesondere in Mandatsverhältnissen – gelten, ist die DSGVO in Verbindung mit dem neuen BDSG auch für Anwälte anwendbar.

Wer die Verpflichtungen dieser Verordnung nicht einhält, muss mit weitaus härteren Sanktionen als in der Vergangenheit rechnen.

So sind bei Verstößen Bußgelder bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes zulässig.

Ich möchte Ihren Lesern keine Angst machen. Die Informationen sollen lediglich verdeutlichen, dass es keine Rechtfertigung mehr gibt, das Thema Datenschutz auf die leichte Schulter zu nehmen. Jeder Kanzleiinhaber sollte seine Kanzlei daher rechtzeitig fit machen für die kommenden Anforderungen.

Worum geht es im Wesentlichen bei DSGVO und BDSG neu?

Die DSGVO verfolgt das ganzheitliche Ziel, die Rechte betroffener Personen zu stärken. Nun, wer ist ein Betroffener? Dies wurde bereits im bisherigen BDSG definiert: Betroffener ist „eine bestimmte oder bestimmbare natürliche Person, zu der personenbezogene Einzelangaben über persönliche oder sachliche Verhältnisse gespeichert werden“.

Ein einfaches Beispiel macht es klarer: E-Mail ist heute ein Quasi-Kommunikationsstandard. Und das bedeutet nicht mehr und nicht weniger, als dass dabei Daten verarbeitet und gespeichert werden, die direkten Bezug zu Kunden haben. Also findet eine relevante Datenverarbeitung statt.

Wir sprechen hier vom Datenschutz. Gibt es einen Unterschied zum ebenfalls gebräuchlichen Begriff Datensicherheit?

Gut, dass Sie fragen, denn leider werden die Begriffe, auch wenn sie Schnittmengen haben, oft synonym verwendet, was jedoch falsch ist. Datenschutz definiert alle Maßnahmen, um den Betroffenen vor der missbräuchlichen Verwendung der über ihn gespeicherten Informationen (Daten) zu schützen.

Datensicherheit ist dagegen eher technisch zu verstehen. Sie definiert einen Zustand, der Integrität, Verfügbarkeit und Vertraulichkeit von Daten, Programmen, Verfahren und Anlagen gewährleistet. Stichwort: Informationssicherheit.

Beides berührt sich aber im Kanzleibetrieb, denn Datenschutz setzt natürlich auch Datensicherheit auf den Systemen voraus, die diese Daten verarbeiten und speichern.

Und wo kommt nun beim Datenschutz der Anwaltsstand ins Spiel? Hier gelten doch Besonderheiten.

Wie gesagt gelten DSGVO und BDSG (neu) auch für den Anwaltsstand. Aber hier gibt es einige wichtige Ausnahmen für Rechtsanwälte. Grundsätzlich lässt die DSGVO nur in wenigen Öffnungsklauseln echte Ausnahmen vom Datenschutz zu. Deutschland hat diese umgesetzt, um das Anwaltsgeheimnis zu schützen.

Für Rechtsanwaltskanzleien gelten daher neben den verschiedenen strafbewehrten berufsrechtlichen Geheimhaltungspflichten – insbesondere aus § 43a Abs. 2 BRAO, § 50 BRAO sowie § 2 der BORA und auf europäischer Ebene ebenfalls Berufsregeln der Rechtsanwälte der Europäischen Union (sogenannte CCBE-Regeln), die unter Ziff. 2.3 ebenfalls Geheimhaltungspflichten des Rechtsanwaltes normieren – auch die Datenschutzbestimmungen aus der EU DSGVO und dem BDSG (neu).

Vom neuen Datenschutzrecht gibt es für Kanzleien Ausnahmen im Bereich der Löschung, da diese einer Aufbewahrungsfrist des Rechtsanwaltes entgegenstehen kann. Hier tritt an deren Stelle eine Sperrung. Zudem gibt es im Bereich der Betroffenenrechte weitere Besonderheiten zum Schutz des Anwaltsgeheimnisses, so können Prozessgegner und andere Außenstehende keine Informations- und Auskunftsrechte geltend machen, wenn es um Daten geht, die dem Anwaltsgeheimnis unterliegen.

Nun stellen wir uns und Ihnen die Frage, wie sich eine Kanzlei denn nun verhalten soll, um den Anforderungen gerecht zu werden.

Um ehrlich zu sein, ist es für den IT-Laien nicht einfach, die gesammelten Forderungen bestmöglich umzusetzen. Wir von MAXTARGET haben uns bereits seit Jahren auf die Beratung von Anwaltsbetrieben spezialisiert und sind mit der Einführung und Definition von Prozessen und Managementsystemen vertraut. Nach meiner Auffassung wird zur Erfüllung der Pflichten aus dem neuen Datenschutzrecht kaum ein Weg daran vorbeiführen, ein sog. Datenschutz-Managementsystem einzuführen.

Wie muss man sich das vorstellen?

Wir beraten unsere Kunden ganzheitlich und nehmen zunächst einen Ist-Status bezüglich des Datenschutzes auf. Dieser wird anhand sehr vieler Kriterien im nächsten Schritt bewertet und mit einem anzustrebenden Soll-Zustand verglichen. Nach diesem Abgleich gibt MAXTARGET konkrete Handlungsempfehlungen und begleitet seine Kunden bei der Umsetzung der nötigen Maßnahmen. Ziel ist es, ein Datenschutz-Managementsystem einzuführen, das vergleichbar einem QM-System alle internen Prozesse erfasst, bewertet und in einem Handbuch dokumentiert. Das gibt dem Kanzleiinhaber die nötige Sicherheit, sollte der Datenschutz einmal von einem Betroffenen moniert werden.

Ab zehn Mitarbeitern braucht man doch auch einen Datenschutzbeauftragten. Was empfehlen Sie Ihren Kunden?

Hier stellt sich für Kanzleiinhaber sicher die Frage, ob ein Datenschutzbeauftragter intern durch Weiterbildung rekrutiert werden soll oder ob es besser ist, eine externe Kraft zu beauftragen. Für den internen Datenschutzbeauftragten spricht seine Kenntnis der Kanzlei. Das ist jedoch möglicherweise auch genau der Nachteil, denn er könnte eher betriebsblind sein und steht immer im Risiko, sich bei der Geschäftsführung unbeliebt zu machen, wenn er datenschutzrelevante Handlungen moniert. Daneben muss er aufwändig weitergebildet werden, was Zeit und Geld bindet. Dieser Nachteil wird verstärkt dadurch, dass er von seinen regulären Tätigkeiten zu einem gewissen Grad freigestellt werden muss. Der externe Datenschutzbeauftragte ist da möglicherweise wirtschaftlich günstiger und effektiver. Seine Kosten sind kalkulierbar, er ist streng neutral, nicht betriebsblind und unabhängig tätig. Wir bieten die Bereitstellung eines externen Datenschutzbeauftragten ebenfalls an. Jedoch nur dann, wenn wir vorher in der Kanzlei auch das Datenschutz-Managementsystem eingeführt haben oder zumindest auditiert haben.

Frau Schreck, wir bedanken uns für das aufschlussreiche Gespräch.

Hier finden Sie weitere Informationen von

Was fordert die DSGVO sonst noch?

Datensparsamkeit - Die Verarbeitung personenbezogener Daten muss sich auf das notwendige Maß für eben diese Verarbeitung beschränken.
Zweckbindung – Personenbezogene Daten dürfen überhaupt nur für eindeutige, rechtmäßige Zwecke erfasst werden.
Datensicherheit – Die Kanzlei muss geeignete technische (Stand der Technik!) und organisatorische Maßnahmen umsetzen, um die Datensicherheit zu gewährleisten.
Betroffenenrechte – Kanzleien müssen eine anfragende Person ggf. darüber informieren, ob und welche Daten von ihr verarbeitet wurden. Diese müssen auf Antrag ggf. auch gelöscht werden.
Hier gelten jedoch für Anwälte besondere Regeln bezüglich der Speicherung von Personendaten, die im Zusammenhang mit Mandaten stehen.
Risikoeinschätzung – Die Kanzlei muss die Eintrittswahrscheinlichkeit und die Höhe des Risikos für eine Beschädigung der persönlichen Rechte berücksichtigen und bewerten.
Datenschutz-Folgenabschätzung – wenn, was bei Anwälten in der Regel nicht der Fall sein wird, für die persönlichen Daten ein hohes Risiko bezüglich Verletzung von Rechten und Freiheiten besteht, muss der Kanzleiinhaber vorsorglich die Datenschutzfolgen bewerten.
Datenschutzbeauftragter – ein Datenschutzbeauftragter ist zu benennen, wenn eine Kanzlei ab zehn Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt. Ein externer Datenschutzbeauftragter ist dabei zulässig.

Generell kann man knapp zusammenfassen, dass das neue Datenschutzrecht umfangreiche und detaillierte Pflichten für Unternehmen und Kanzleien umfasst, die häufig zu veränderten internen Prozessen führen werden. Daher ist es unerlässlich, Mitarbeiter diesbezüglich zu schulen.