Für die Datenverarbeitungsverfahren ist ein Verfahrensverzeichnis vorgeschrieben, sofern es sich um ein Verfahren handelt, das personenbezogene Daten umfasst.

Wie ist ein Verfahrensverzeichnis für eine Kanzlei zu erstellen?

Art. 30 DSGVO schreibt für jedes Datenverarbeitungsverfahren ein Verfahrensverzeichnis vor, sofern es sich um ein Verfahren handelt, das personenbezogene Daten betrifft. Als solche Verfahren sind mit Blick auf die Rechtsanwaltskanzlei insbesondere anzusehen:

  • die elektronische Anwaltsakte (Dokumentenmanagement-Systeme)
  • die Kanzleisoftware
  • elektronische Diktier- und Spracherkennungsprogramme
  • die Buchhaltungssoftware
  • die Software zur Versendung und Verwaltung von E-Mails
  • die Software zur Adressdatenbanken- und Terminverwaltung
  • die elektronischen Personalakten

Für die Führung der Verfahrensverzeichnisse ist keine bestimmte Form vorgeschrieben. Entsprechende Verzeichnisse können somit bspw. als Word- oder Excel-Dateien oder auch handschriftlich geführt werden; die Verzeichnisse müssen die Angaben enthalten, die Art. 30 DSGVO vorschreibt, so insbesondere:

  • den Namen und die Kontaktdaten der Kanzlei
  • den Namen und die Kontaktdaten des betrieblichen Datenschutzbeauftragten
  • die Zwecke der Datenverarbeitung
  • die Art der Personen, deren Daten verarbeitet werden (z.B. Mandanten, Beschäftigte)
  • die Art der verarbeiteten Daten
  • die möglichen Empfänger der Daten, denen die Daten offengelegt worden sind oder noch offengelegt werden
  • die Übermittlung von Daten in die USA oder in ein anderes Land außerhalb der EU (z.B. bei der Nutzung von Cloud-Diensten)
  • Löschfristen
  • Maßnahmen der Datensicherheit, die nach Art. 32 DSGVO vorgeschrieben sind