ZAP 11/2018, Datenverarbeitung und Datenschutz der Anwal ... / II. Datenschutzorganisation

Das Aktualisieren oder erstmalige Etablieren einer Datenschutzorganisation fällt in den Verantwortungsbereich der verarbeitenden Stelle. Verantwortlicher im Sinne des Datenschutzes ist die Inhaber-/Leitungsebene der Kanzlei, also je nach Organisationsform die Berufsträger, die Partner, die Geschäftsführer, der/die BürovorsteherIn, die Datenschutzkoordinierenden oder der/die Datenschutzbeauftragte/n, an die diese Aufgaben bislang delegiert sind. Die Aufgabe kann weder der Arbeitsebene noch einem IT-Systembetreuer oder IT-Administrator überlassen werden, noch unstrukturiert punktuell zur Anwendung kommen. Datenschutz und IT-Sicherheit sind Daueraufgaben, die routinemäßig hinsichtlich neuer rechtlicher sowie technischer Anforderungen oder Risiken zu überprüfen und anzupassen sind. Die Verpflichtung aller mit der Datenverarbeitung befassten Mitarbeiter und deren Schulung ist eine wesentliche Bedingung, auf deren Grundlage sich ein Datenschutz- und Regelungsverständnis ausbilden kann. Die Datenschutzorganisationsaufgaben können einem freiwillig oder verpflichtend zu bestellenden Datenschutzbeauftragten (DSB) koordinierend übertragen werden. Die freiwillige Bestellung eines DSB kann durchaus sinnvoll sein, da in vielen Kanzleien die Fragen des organisatorischen und technischen Datenschutzes nicht Tagesgeschäft sein werden und die fachliche Qualifikation nur bedingt vorhanden sein wird.

Mindestqualifikation des DSB:

Der Vorschlag des Europäischen Parlamentes aus der Entwurfsphase in Erwägungsgrund 75a zu den Mindestqualifikationen des DSB kann als Orientierung dienen:

„ ... umfassende Kenntnisse des Datenschutzrechtes und seiner Anwendung, einschließlich technischer und organisatorischer Maßnahmen und Verfahren; Beherrschung der fachlichen Anforderungen an den Datenschutz durch Technik, die datenschutzfreundlichen Voreinstellungen und die Datensicherheit; sektorspezifisches Wissen entsprechend der Größe des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters und der Sensibilität der zu verarbeitenden Daten; die Fähigkeit, Überprüfungen, Konsultationen, Dokumentationen und Protokolldateianalysen durchzuführen; sowie die Fähigkeit, mit Arbeitnehmervertretungen zu arbeiten.“

Die Bestellung eines DSB ist Pflicht, wenn i.S.d. § 38 Abs. 1 BDSG n.F. entweder nach Satz 1 die Kanzleien „ ... mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen“, nach Satz 2, wenn die Datenverarbeitung einer Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO unterliegt oder wenn i.S.d. Art. 37 Abs. 1 c) DSGVO die Kerntätigkeit der Kanzlei in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 und 10 DSGVO besteht.

Fragenkatalog zur Feststellung der Verpflichtung zur Bestellung eines DSB:

□

Sind in der Kanzlei regelmäßig – Auslegung angelehnt an § 23 Abs. 1 S. 1 und 2 KSchG – mindestens zehn Personen (unabhängig von der Art des Tätigkeits-, Beschäftigungs-, Ausbildungs-, Dienstleistungsverhältnisses und unabhängig von der regelmäßigen wöchentlichen Arbeitszeit) tätig (hinsichtlich der Kanzleiinhaber und Partner ist str., ob diese als tätige Personen mitzuzählen sind; so: DAV-Merkblatt für die Umsetzung der Datenschutz-Grundverordnung in Anwaltskanzleien; Härting, a.a.O.)?

□	ja: weiter mit dem nächsten Punkt.

□

Sind von den Tätigen mindestens zehn Personen ständig – also nicht nur gelegentlich, im Verhältnis zum Aufgabenbereich untergeordnet und mit geringem Risiko für die verarbeiteten Daten – mit der automatisierten Datenverarbeitung beschäftigt (diese Wortwahl spricht dafür, dass Inhaber, Partner und Gesellschafter nicht umfasst sind; sondern nur „Mitarbeiter“, Kühling/Sackmann, § 38 Rn 9. Die DSK hat im Kurzpapier 12 ferner klargestellt, dass es sich um eine Aufrechterhaltung des Status quo unter § 4f BDSG a.F. handelt, der ausschließlich Personen in irgendeiner arbeitsrechtlichen Verpflichtung umfasste)?

□	ja: DSB bestellen.
□	nein: weiter mit dem nächsten Punkt.

□

Unterliegt die Datenverarbeitung der Kanzlei einer DSFA nach Art. 35 Abs. 4 DSGVO (sog. DSFA Blacklist nach Veröffentlichungen bei der zuständigen Aufsichtsbehörde abrufbar), nach Art. 35 Abs. 3 a) DSGVO bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen (z.B. Profiling, ggf. Sozialauswahl) als Entscheidungsgrundlage, nach Art. 35 Abs. 3 b) DSGVO bei umfangreicher Verarbeitung von Daten nach Art. 9 oder 10 DSGVO, nach Art. 35 Abs. 3 c) DSGVO bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche (z.B. kanzleieigene Videobewachung der Ein-/Ausgänge im öffentlichen Bereich) oder außerhalb dieser Regelbeispiele nach Art. 35 Abs. 1 DSGVO, da ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen aus der Form der Verarbeitung, insbesondere beim Einsatz neuer Technologien (hier z.B. Legal Tech-Anwendungen der Kanzlei betrachten), aufgrund der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung entsteht?