Rz. 252
Für die Daten von Mandanten, Lieferanten und Mitarbeitern gilt jedoch der Grundsatz, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist, es sei denn
| ▪ | es ist durch eine Rechtsvorschrift ausdrücklich erlaubt oder angeordnet oder |
| ▪ | der Betroffene hat seine Einwilligung erklärt. Die Einwilligung muss dabei insbesondere freiwillig und in Schriftform erfolgen. |
Rz. 253
Die Einwilligung des Mandanten zur Verarbeitung seiner Daten reicht jedoch nicht aus, um alle Anforderungen der DSGVO zu erfüllen, da diese grundliegende organisatorische Sicherungsmaßnahmen vorsieht.
Die Umsetzung erfolgt dabei in fünf Schritten:
1. Betrieblicher Datenschutzbeauftragter
Rz. 254
Sind in einer Kanzlei mehr als zehn Personen mit der Datenverarbeitung beschäftigt, so ist zwingend ein betrieblicher Datenschutzbeauftragter nach Art. 37 Abs. 4 DSGVO i.V.m. § 38 BDSG-neu zu bestellen. Hierbei ist zu beachten, dass es auf die Kopfzahl der Personen ankommt und sowohl die Kanzleiinhaber als auch die Angestellten und freien Mitarbeiter "als eine Person" zählen, egal ob diese in Voll- oder Teilzeit arbeiten.
Der Datenschutzbeauftragte ist unmittelbar der Geschäftsführung unterstellt und in der Ausübung seiner Datenschutz-Aufgaben weisungsfrei. Er sollte zumal die nötige Fachkunde und Zuverlässigkeit besitzen und ggf. an entsprechenden Fortbildungen teilnehmen.
Hinweis:
Der Datenschutzbeauftragte genießt zudem besonderen Kündigungsschutz. Während der Bestellung und ein Jahr danach darf ihm nur aus wichtigem Grund (z.B. Arbeitsverweigerung, Diebstahl aus der Handkasse) gekündigt werden.
Die DSGVO regelt zwar nicht ausdrücklich diesen Kündigungsschutz. Art. 38 Abs. 3 S. 2 DSGVO enthält jedoch die Regelung, dass "der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf". Der Kündigungsschutz wurde jedoch – wie oben dargestellt – in § 6 Abs. 4 BDSG-neu konkretisiert.
Dieser Kündigungsschutz gilt natürlich nur für Arbeitsverhältnisse. Für externe Datenschutzbeauftragte, die auch zulässiger Weise bestellt werden können, gibt es einen solchen Schutz nicht.
Die Geschäftsführung einer Kanzlei ist übrigens nicht an das Votum des Datenschutzbeauftragten gebunden, die Letztverantwortung bleibt dabei beim Kanzleiinhaber.
2. Erstellung eines Datenverarbeitungsverzeichnisses
Rz. 255
Gem. Art. 30 DSGVO muss ein Verzeichnis über alle Datenverarbeitungen der Kanzlei erstellt werden, hierzu gehören insbesondere
| ▪ | die elektronische Akte, |
| ▪ | die Kanzleisoftware inkl. Buchhaltung, |
| ▪ | die Lohnbuchhaltungssoftware und elektronische Personalakten, |
| ▪ | die Kanzleisoftware und |
| ▪ | Social Media-Profile der Kanzlei (Facebook & Co.). |
Das Verzeichnis muss schriftlich oder elektronisch geführt werden und einem entsprechenden Aufbau entsprechen.
Es sind folgende Angaben zwingend vorgeschrieben:
| ▪ | Kanzleiname und Kantaktdaten, |
| ▪ | Name und Kontaktdaten des Datenschutzbeauftragten (soweit erforderlich), |
| ▪ | Zweck der Datenverarbeitung, |
| ▪ | Art der Personen, deren Daten verarbeitet werden (z.B. Mandanten, Mitarbeiter) |
| ▪ | Art der verarbeiteten Daten, |
| ▪ | mögliche Empfänger der Daten, |
| ▪ | Übermittlung der Daten in die USA oder in ein sonstiges Land außerhalb der EU (z.B. bei nicht europäischen Cloud-Lösungen), |
| ▪ | Löschfristen und |
| ▪ | Maßnahmen zur Datensicherheit. |
Die Erstellung dieses Verzeichnisses ist zeitintensiv, kann jedoch auch kanzleiintern dafür genutzt werden, bestimmte "eingefahrene" Prozesse zu überdenken und zu optimieren.
3. Gap Analysis
Rz. 256
Die DSGVO sieht sodann vor, dass mögliche "Lücken" anhand des Verzeichnisses erkannt und geschlossen werden.
Wird z.B. immer sichergestellt, dass ein aktueller Virenscanner auf allen Rechner installiert ist?
Am Ende der Gap Analysis steht immer ein Maßnahmenplan, der die Lückenschließung zum Ziel haben soll.
4. Datensicherheit
Rz. 257
Die Datensicherheit hat ein besonderes Gewicht in der DSGVO. Daher sollte man sich hier spezieller IT-Firmen bedienen.
Folgende Maßnahmen sind vorgeschrieben:
| ▪ | Die Daten sollten – soweit möglich – verschlüsselt werden. |
| ▪ | Das Datenverarbeitungssystem muss stabil funktionieren. |
| ▪ | Die Daten müssen gegen Datenverlust durch eine fachgerechte Datensicherung geschützt sein. |
| ▪ | Es sind regelmäßige Prüfungen erforderlich. |
5. Information und Verträge – "Paperwork"
Rz. 258
Mit allen externen Dienstleistern (IT-Firma, Lohnbüro) müssen entsprechende Verträge zur Einhaltung der Datensicherheit abgeschlossen werden.
Mandanten und Besucher der Website müssen über den Datenschutz informiert werden. Entsprechende Hinweise zu den Datenschutzbestimmungen müssen auf der Kanzlei-Website überarbeitet werden und die Mandanten sollten bei Mandatsbeginn ein entsprechendes Formular "Hinweise zur Datenverarbeitung" unterzeichnen. Aber auch die Mitarbeiter sind über die Datenverarbeitung noch einmal gesondert zu informieren.
Praxistipp:
Der Deutsche Anwaltsverein hat einige Muster auf seiner Website www.anwaltsverein.de/de/praxis/datenschutz gestellt, die die Umsetzung des DSGVO erheblich erleichtern.
Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen