ZAP 11/2018, Datenverarbeitung und Datenschutz der Anwaltskanzlei

I. Einleitung

Datenschutz ist für alle Anwaltskanzleien unabhängig von der Anzahl der Berufsträger, dem Umfang der elektronischen Datenverarbeitung und der Art der Ausrichtung auf die Anforderungen und Kommunikationswünsche der Mandaten einer digitalisierten Gesellschaft ein wichtiges Organisationsthema. Konnten die Eröffnung des Anwendungsbereichs bzw. die Verpflichtung und die Ausprägung der datenschutzrechtlichen Anforderungen an Anwaltskanzleien unter der Geltung des Bundesdatenschutzgesetzes a.F. noch Gegenstand der juristischen Diskussion sein, so gelten mit Wirksamwerden der Datenschutzgrundverordnung (DSGVO) mit dem 25.5.2018 nach Ablauf der zweijährigen Umsetzungsphase mit wenigen Ausnahmen die allgemeinen datenschutzrechtlichen Regelungen. Die Datenschutzorganisation ist, sofern noch nicht geschehen, zügig an die aktuellen Anforderungen anzupassen. Soweit die Kanzlei bislang der Auslegung folgte, für Mandatsdaten seien die Anforderungen des BDSG a.F. nicht anwendbar gewesen, so ist schnellstmöglich ein solches Umsetzungsprojekt anzustoßen (vgl. dazu Kazemi, Datenschutzgrundverordnung: Sind Sie vorbereitet?, ZAP Kolumne 10/2018, S. 471 f.; Halbritter, Die neue DSGVO und ihre Auswirkungen auf Rechtsanwälte und Strafverteidiger, BAB 2018, 93; Lück, Datenschutz in der Rechtsanwaltskanzlei – Was gilt ab dem 25.5.2018?, BAB 2018, 105 ff.; Härting, Das Projekt Datenschutz, AnwBl 2018, 262 ff.).

Neben der unmittelbar geltenden Europäischen Datenschutzgrundverordnung gelten die weiteren Regelungen des Bundesdatenschutzgesetzes n.F., das – soweit die DSGVO den nationalen Gesetzgebern Interpretationsraum bietet – für Deutschland einige Regelungen enthält, welche die bisherige Ausprägung der Datenschutzanforderungen aufrechterhalten. Das BDSG n.F. ist anzuwenden, mögen die Regelungen auch im Detail hinsichtlich ihrer Europarechtskonformität zweifelhaft sein und später beim EuGH überprüft werden. Das Regelungswerk wird ergänzt durch – auch zukünftig in Kraft tretende – delegierte Rechtsakte der Europäischen Kommission sowie die DSK-Kurzpapiere ( https://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpapiere/dsgvo_kurzpapiere-155196.html) und andere Hilfestellungen ( https://www.lda.bayern.de/de/datenschutz_eu.html; https://www.lda.bayern.de/de/infoblaetter.html ).

Neben den Anforderungen für den Schutz (besonderer) personenbezogener Daten aus den Datenschutzbestimmungen ergeben sich weitere Anforderungen zum Schutz des Mandatsgeheimnisses insbesondere aus § 203 StGB, §§ 43a, d, e BRAO und § 2 BORA.

Ergänzend zum Schutz personenbezogener Daten sei auf den Schutz des Know-hows der Kanzlei und die Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung ((EU) 2016/943 vom 8.6.2016, in Kraft seit 5.7.2016) hingewiesen (Hoeren/Münker WRP 2018, 150 ff.).

II. Datenschutzorganisation

Das Aktualisieren oder erstmalige Etablieren einer Datenschutzorganisation fällt in den Verantwortungsbereich der verarbeitenden Stelle. Verantwortlicher im Sinne des Datenschutzes ist die Inhaber-/Leitungsebene der Kanzlei, also je nach Organisationsform die Berufsträger, die Partner, die Geschäftsführer, der/die BürovorsteherIn, die Datenschutzkoordinierenden oder der/die Datenschutzbeauftragte/n, an die diese Aufgaben bislang delegiert sind. Die Aufgabe kann weder der Arbeitsebene noch einem IT-Systembetreuer oder IT-Administrator überlassen werden, noch unstrukturiert punktuell zur Anwendung kommen. Datenschutz und IT-Sicherheit sind Daueraufgaben, die routinemäßig hinsichtlich neuer rechtlicher sowie technischer Anforderungen oder Risiken zu überprüfen und anzupassen sind. Die Verpflichtung aller mit der Datenverarbeitung befassten Mitarbeiter und deren Schulung ist eine wesentliche Bedingung, auf deren Grundlage sich ein Datenschutz- und Regelungsverständnis ausbilden kann. Die Datenschutzorganisationsaufgaben können einem freiwillig oder verpflichtend zu bestellenden Datenschutzbeauftragten (DSB) koordinierend übertragen werden. Die freiwillige Bestellung eines DSB kann durchaus sinnvoll sein, da in vielen Kanzleien die Fragen des organisatorischen und technischen Datenschutzes nicht Tagesgeschäft sein werden und die fachliche Qualifikation nur bedingt vorhanden sein wird.

Mindestqualifikation des DSB:

Der Vorschlag des Europäischen Parlamentes aus der Entwurfsphase in Erwägungsgrund 75a zu den Mindestqualifikationen des DSB kann als Orientierung dienen:

„ ... umfassende Kenntnisse des Datenschutzrechtes und seiner Anwendung, einschließlich technischer und organisatorischer Maßnahmen und Verfahren; Beherrschung der fachlichen Anforderungen an den Datenschutz durch Technik, die datenschutzfreundlichen Voreinstellungen und die Datensicherheit; sektorspezifisches Wissen entsprechend der Größe des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters und der Sensibilität der zu verarbeitenden Daten; die Fähigkeit, Überprüfungen, Kon...