Berufsgeheimnisträger: DSGVO-Pflichten

Die DSGVO verpflichtet besonders Berufsgeheimnisträger zu angemessenen technischen und organisatorischen Maßnahmen, die gewährleisten, dass gespeicherte persönliche Daten in den Geschäftsräumen sicher sind und nicht in falsche Hände geraten. Auch in diesem Punkt sollte jeder Freiberufler seine Kanzlei oder Praxis wasserdicht managen.  

Auch in diesem Punkt sollte jeder Freiberufler seine Kanzlei oder Praxis sorgfältig vorbereiten.

Welche Pflichten Berufsgeheimnisträger nach der DSGVO haben?

Die Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, folgt aus Art. 32 DSGVO.

  • Hiernach hat jede Kanzlei unter Berücksichtigung des Standes der Technik durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau der gespeicherten Daten zu gewährleisten.
  • Höhe und Art des geforderten Schutzniveaus richten sich nach der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen.

Da es sich bei Mandantendaten in der Regel um besonders sensible Daten handelt, sollten die Anforderungen gerade auch von kleineren Kanzleien in diesem Punkt nicht unterschätzt werden.

Wer wird als Berufsgeheimnisträger qualifiziert? Eine Definition durch Beispiele

Das Strafrecht hat in § 203 StGB einige Beispiele. Folgend Absatz 1: 

(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als

  1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
  2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,
  3. Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
  4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist,
  5. Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,
  6. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder
  7. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle.

DSGVO-Pflichten eines Berufgeheimnisträgers

Dieser hat berufsgeheimnisrelevante Daten sind besonders zu schützen.

Der Erwägungsgrund 75 zur DSGVO weist auf die besonderen Risiken für die Rechte und Freiheiten von Personen hin, deren personenbezogene Daten verarbeitet werden. Insbesondere wenn die Verarbeitung zu einem

  • physischen, materiellen und immateriellen Schaden führen kann,
  • die Verarbeitung zu Diskriminierung, Identitätsdiebstahl oder einen finanziellen Verlust,
  • zu Rufschädigung,
  • zum Verlust der Vertraulichkeit von Berufsgeheimnissen führen,

sind besondere Anforderungen an die Datensicherheit zu stellen. Dies gilt also gerade auch für Mandantendaten in Anwaltskanzleien, denn hier werden häufig Daten gespeichert, deren Missbrauch zu gesellschaftlichen Nachteilen, z.B. auch im arbeitsrechtlichen Bereich führen kann.

IT-Sicherheitsvorgaben der DSGVO

Art. 32 DSGVO sowie Erwägungsgrund 28 umschreiben konkrete Maßnahmen, die zum Schutz gespeicherter personenbezogener Daten zu treffen sind. Hierzu gehören insbesondere Maßnahmen

  • zur Sicherstellung der Vertraulichkeit, Integrität und Belastbarkeit der elektronischen Speichersysteme,
  • systemtechnische Maßnahmen (data protection by design),
  • datenschutzfreundliche Voreinstellungen (data protection by default),
  • Minimierung der Verarbeitung personenbezogener Daten,
  • Pseudonymisierung und Verschlüsselung so schnell als möglich,
  • Transparenz der Verarbeitung,
  • Überwachung der Verarbeitung,
  • ständige Verbesserung der Sicherheitsfunktionen,
  • ständige Anpassung der Speichersysteme an den neuesten Stand der Technik.
  • eine regelmäßige Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
  • Art. 32 nennt die Einhaltung genehmigter Verfahrensregeln nach Art. 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DSGVO als empfehlenswerte Maßnahmen. 

Dokumentation der Sicherungsmaßnahmen ist sinnvoll

Sowohl der Verantwortliche als auch der Auftragsverarbeiter haben darüber hinaus sicherzustellen, dass ihnen unterstellte natürliche Personen personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten. Dies sowie die Implementierung geeigneter Maßnahmen sind im Zweifelsfall nachzuweisen durch entsprechende Dokumentationen (Erwägungsgrund 78).

Checkliste des DAV

Der Deutsche Anwaltverein bietet verschiedene Downloads zur Vorbereitung der Kanzlei auf die DSGVO an. Darunter auch eine Checkliste zur Überprüfung der technischen und organisatorischen Maßnahmen. Hier wird nach räumlichen, personellen und technischen Sicherungsmaßnahmen differenziert.

Zu den raumbezogenen Maßnahmen zählen:

  • Alarmanlage,
  • moderne Schließsysteme,
  • abschließbare Serverschränke,
  • Sicherheitsschlösser,
  • Feuer- und Rauchmelder

Personelle Maßnahmen:

  • sorgfältige Auswahl des Personals einschließlich der Reinigungskräfte,
  • eine sorgfältige Unterrichtung und Einweisung der Mitarbeiter in die Anforderungen des Datenschutzes,
  • eine klare Benutzerkontrolle durch Festlegung zugangsberechtigter Mitarbeiter,
  • eine regelmäßige Kontrolle der Berechtigungen z.B. durch Passwortsysteme,
  • Zuverlässigkeitskontrollen. 

Technische Maßnahmen:

  • eine hinreichende Datenträgerkontrolle durch sichere Aufbewahrung von Datenträgern,
  • Verschlüsselungen und ordnungsgemäße Vernichtungstechniken,
  • eine angemessene Speicherkontrolle, die verhindert, dass Unbefugte von gespeicherten Daten Kenntnis nehmen oder diese verändern können,
  • sichere Übertragungswege,
  • Sicherung der Wiederherstellung bei Verlust von Daten (Backup-Systeme),
  • Alarmeinrichtungen bei unrechtmäßigem Zugriff.

Bei Verstoß drohen Sanktionen

Auch hinsichtlich der technischen, organisatorischen und personellen Erfordernisse an die Sicherung der gespeicherten Daten gegen unberechtigte Zugriffe sollte der Umfang der Maßnahmen, die erforderlich sind, um die Anforderungen der DSGVO zu erfüllen, nicht unterschätzt werden. Wer nicht Schritt hält, muss im Ernstfall mit entsprechenden Sanktionen rechnen. 


Weitere News zum Thema:

DSGVO auf einen Blick

DSGVO - ersten Konsequenzen, neue EU-Datenschutzausschuss, Abmahngefahr? 

Download zu IT-Verschlüsselungsverfahren

Im vom Wirtschaftsministerium in Auftrag gegebenen "Kompass IT-Verschlüsselung", der hat deshalb einen Leitfaden zum Thema Verschlüsselungsverfahren veröffentlicht der von der Goldmedia GmbH, dem Institut für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und dem Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie (IRNIK) erstellt wurde, findet sich ein umfassender Überblick zu den verschiedensten Verschlüsselungstechniken. Behandelt werden etwa Themen wie:

  • E-Mail-Verschlüsselung mit unterschiedlichen Verfahren wie S/MIME oder PGP sowie manuellen Verfahren
  • Gateway-Lösungen für verschlüsselte E-Mails
  • De-Mail für die rechtsverbindliche Zustellung von E-Mails
  • Einsatz von E-Mail-Verschlüsselung auf Smartphones
  • Verschlüsselung bei der Internet-Telefonie (VoIP)
  • Verschlüsselung bei der Nutzung von Messenger-Lösungen
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von Daten in der Cloud
  • Verschlüsselung bei der Internetnutzung (HTTPS, VPN)

Das Thema ist nicht zuletzt im Hinblick auf den 25. Mai und die DSGVO brisant. Der Kompass IT-Verschlüsselung steht auf der Website des Bundeswirtschaftsministeriums zum Download zur Verfügung.