ZAP 10/2018, Datenschutzgrundverordnung: Sind Sie vorbereitet?

In etwa zwei Wochen (Stichtag: 25.5.2018) wird die Europäische Datenschutzgrundverordnung (DSGVO) wirksam; gleichzeitig tritt eine Neufassung des Bundesdatenschutzgesetztes (BDSG-NEU) in Kraft. Beide Vorhaben haben auch Auswirkungen auf Rechtsanwälte.

Informationspflicht gegenüber dem Mandanten: Nach Art. 13 DSGVO hat der Verantwortliche die betroffene Person bei Erhebung personenbezogener Daten umfassend, u.a. über die mit der Erhebung verfolgten Zwecke, die Rechtsgrundlage(n), auf die sich die Verarbeitung stützt, und die nach der DSGVO bestehenden Betroffenenrechte zu informieren. Diese Informationspflicht trifft auch den Rechtsanwalt gegenüber seinen Mandanten und Mitarbeitern: Die Information ist elektronisch oder in Textform abzufassen und der betroffenen Person (aktiv) zu übermitteln. Es reicht also nicht aus, Informationen lediglich zum Download bereitzuhalten. Das Procedere der Mandatsannahme ist entsprechend anzupassen und die Aushändigung der Erstinformation an den Mandanten ist sicherzustellen; ebenso sollten Arbeitsverträge mit neuen Mitarbeitern um entsprechende Informationen ergänzt bzw. erweitert werden (zu den Auswirkungen der DSGVO im Arbeitsrecht s. Holthausen ZAP F. 17, S. 1303 – in diesem Heft). Anders als gegenüber Dritten, denen der Rechtsanwalt im Rahmen der Erfüllung seiner Verpflichtungen aus dem Mandatsvertrag begegnet, sind Ausnahmen von der Informationspflicht gegenüber Mandanten und Mitarbeitern grundsätzlich nicht vorgesehen. Wer hier nicht handelt, riskiert nicht nur erhebliche Ordnungsgelder (Art. 83 DSGVO), sondern auch wettbewerbsrechtliche Unterlassungsansprüche und zivilrechtliche Inanspruchnahmen auf Schadenersatz (zu Musterinformationen s. Kazemi, Die EU-Datenschutzgrundverordnung und das DSAnpUG-EU/BDSG-NEU in der eigenen Kanzlei – erscheint im Mai 2018 bei Soldan).

Datenschutzbeauftragter – Ja oder Nein: Ebenfalls sollte geklärt werden, ob eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) besteht, denn auch hier gilt für den Rechtsanwalt keine Erleichterung. So sind Kanzleien, die regelmäßig mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befassen, zur Bestellung eines betrieblichen DSB verpflichtet. Bei der Zählung außen vor bleiben dabei Mitarbeiter, die nicht mit Datenverarbeitungen betraut sind, wie beispielsweise Reinigungskräfte. Dazu zählen, wenn auch nach umstrittener Meinung, jedoch auch die Inhaber/Partner der Kanzlei. Wer die 10-Personen-Grenze nicht erreicht, kann u.U. nach Art. 37 DSGVO gleichwohl zur Bestellung verpflichtet sein, wenn sein Tätigkeitsschwerpunkt in der umfangreichen Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) oder von Strafdaten (Art. 10 DSGVO) besteht. Wann eine solche "umfangreiche" Tätigkeit angenommen werden muss, ist im Einzelnen umstritten, sie kann jedoch bei Kanzleien mit weniger als zehn Mitarbeitern durchaus vorliegen. Ebenso zur Bestellung eines DSB verpflichtet können Kolleginnen und Kollegen sein, die sich mit der "umfangreichen Überwachung" natürlicher Personen beschäftigen, beispielsweise auf die Forderungseinziehung spezialisierte Kanzleien oder solche, die mit ausgefeilten Automatisierungstechniken arbeiten. Im Zweifelsfall sollte die für die Kanzlei zuständige Aufsichtsbehörde um Rat ersucht werden, denn auch die Nichtbestellung eines DSB kann bei bestehender Verpflichtung erhebliche Ordnungsgelder nach sich ziehen.

Datenschutzfolgenabschätzung: Kommt man zu dem Ergebnis, dass eine Verpflichtung zur Bestellung eines DSB nach Art. 37 DSGVO besteht, liegt auch die Wahrscheinlichkeit nahe, dass der Rechtsanwalt zugleich zur Anfertigung einer sog. Datenschutzfolgenabschätzung verpflichtet ist. Die Anforderungen an eine solche sind in Art. 35 DSGVO niedergelegt. Gibt es eine Umsetzungspflicht, besteht Handlungsbedarf, denn die Anfertigung erfordert Zeit und ist recht aufwendig. Jeder maßgebliche Prozess in der Kanzlei, in dem personenbezogene Daten verarbeitet werden (z.B. Mandatsannahme, Klageerhebung, Recherchen usw.), ist zu beschreiben, die Rechtsgrundlagen der jeweiligen Verarbeitung sind niederzulegen, Zwecke zu bestimmen sowie Risiken der Verarbeitung zu eruieren.

Verzeichnis über Verarbeitungstätigkeiten: Schließlich muss (!) jede Rechtsanwaltskanzlei ein sog. Verzeichnis über Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Dieses ähnelt dem bereits aus dem BDSG 2009 (§ 4d) bekannten sog. Verfahrensverzeichnis, ist jedoch mit diesem nicht gänzlich identisch. Insbesondere die in Deutschland bislang vorzufindende Unterscheidung zwischen dem sog. Jedermanns-Verzeichnis und dem nicht-öffentlichen Verfahrensverzeichnis existiert in der DSGVO nicht. Das Verarbeitungsverzeichnis ist insoweit dem Betroffenen gegenüber nicht offenzulegen, sondern dient allein der Informationsverschaffung durch die zuständige Aufsichtsbehörde. Nach Art. 30 Abs. 3 DSGVO ist das Verzeichnis über Verarbeitungstätigkeiten "schriftlich zu führen", wa...