Datenschutz in der Anwaltskanzlei
Bestellung eines Datenschutzbeauftragten
Auch für Anwaltskanzleien gilt: Sobald mindestens 20 Personen ständig mit der elektronischen Datenverarbeitung befasst sind, ist ein Datenschutzbeauftragter zu bestellen. Dieser Datenschutzbeauftragte ist außerdem bei zuständigen Aufsichtsbehörde zu melden. Dies können Sie in Hessen mit einem Online-Formular erledigen, in manch anderen Bundesländern ist ein Textdokument per eMail zu übermitteln.
Ob ein Partner der Kanzlei ider auch der IT-Leiter zum Datenschutzbeauftragten benannt werden kann, ist umstritten. Optimal ist die Bestellung eines angestellten Anwalts oder eines sonstigen Mitarbeiters mit einer gewissen IT-Affinität und Einblick in die Kanzleiorganisation. Die Bestellung eines externen Datenschutzbeauftragen ist selbstverständlich möglich. So kann man sich die Arbeitszeit und Fortbildungskosten sparen.
Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
Dieses Verzeichnis wird auch gern kurz "Verfahrensverzeichnis" genannt und ist für alle Verarbeitungstätigkeiten, bei denen personenbezogenen Daten verarbeitet werden, zu erstellen.
Ein Verfahren kann sein:
» Kanzleisoftware
» Anwaltsakte
» Buchhaltungssoftware
» Bewerbungen
» IT-Infrastruktur
» Personalakten
» Online-Banking
» Reiseplanung
Für das Verzeichnis von Verarbeitungstätigkeiten ist keine bestimmte Form vorgeschrieben. Die zu tätigenden Angaben sind jedoch in Art. 30 DS-GVO explizit aufgelistet.
Auch wenn die Erstellung eines solchen Verzeichnisses eine mühsame Angelegenheit ist, so gibt es doch einen guten Überblick über die laufenden Verfahren und Prozesse. Die Effizienz, die Nachvollziehbarkeit und die Sinnhaftigkeit der eigenen Datenverwaltung kann hinterfragt und optimiert werden. Sehen Sie es also nicht als lästige Pflicht, sondern als Möglichkeit, Ihre Datenverarbeitung auf einen aktuellen und wirtschaftlich effektiven Stand zu bringen.
GAP-Analyse
Bei der Erstellung Ihrer Verzeichnisse können Sie Ihre Verfahren auf die Datenschutzkonformität prüfen. In Art. 5 DS-GVO finden Sie die Grundsätze für die Verarbeitung personenbezogener Daten.
Stellen Sie sich also Fragen wie ...
» Muss ich diese Daten tatsächlich weiterhin aufbewahren?
» Sind meine Daten aus dem neuesten Stand? Wie gewährleiste ich dies?
» Lösche ich Daten, die nicht mehr benötigt werden zeitnah?
» Sind meine Daten ausreichend gegen den Zugriff Dritter geschützt?
» Haben nur die Mitarbeiter Zugriff auf die Daten, die sie auch wirklich benötigen?
» Auf welcher Rechtsgrundlage basiert meine Datenerhebung? Benötige ich Einwilligungserklärungen?
Sollten Sie bei der Prüfung Schwachstellen oder Lücken erkannt haben, gilt es, einen Maßnahmenplan mit dem Ziel der umfassenden Datenschutzkonformität zu erstellen. Lassen Sie sich fachkundig beraten!
Datensicherheit
Die DS-GVO verpflichtet Sie außerdem zur Ergreifung notwendiger Maßnahmen um die Datensicherheit zu gewährleisten. Diese "technischen und organisatorischen Maßnahmen" (TOM) sind entsprechend zu dokumentieren.
Dabei sind immer zu berücksichtigen:
» Implementierungskosten im Verhältnis zur Wirtschaftkraft
» Art, Umfang, Umstände und Zwecke der Verarbeitung
» Eintrittswahrscheinlich und Schwere eines möglichen Risikos
» Risiko für die betroffene Person bei fehlerhafter Datenverarbeitung
Informationspflichten
Die Informationspflichten sind nach neuem Datenschutzrecht deutlich umfangreicher. Passen Sie hier also bitte die Datenschutzerklärung Ihrer Kanzleiwebseite an.
Die Informationspflicht trifft Sie jedoch für jegliche Art der Datenverarbeitung. Sie müssen also auch Ihre Mitarbeiter, Ihre Bewerber und Ihre Mandanten über Ihre Datenverarbeitung umfassend informieren. Zu effizienten und papiersparenden Lösungen beraten wir Sie gern!
Sonstiges
» Beachten Sie die Betroffenenrechte und geben Sie Handlungsanweisungen für die schnelle Bearbeitung
» Erstellen Sie eine Datenschutzrichtlinie um kanzleiintern klare Regeln zum Umgang mit personenbezogenen Daten festzulegen
» Melden Sie Datenschutzverstöße bei der zuständigen Aufsichtsbehörde! Aber Achtung: Nicht jede Datenpanne ist meldepflichtig - lassen Sie sich beraten.
Nützliche Links
DAV Merkblatt: Umsetzung der Datenschutz-Grundverordnung in Anwaltskanzleien
Bundesrechtsanwaltskammer: Fragen und Antworten zur DS-GVO und BDSG-neu Stand Mai 2018
Bundesrechtsanwaltskammer: Checkliste für Rechtsanwälte zur EU-Datenschutz-Grundverordnung