Mit Inkrafttreten der DSGVO hat jede Rechtsanwaltskanzlei gegenüber dem Mandanten einen Datenschutzverantwortlichen zu benennen, der die Maßnahmen zur Einhaltung der Datenschutzvorschriften koordiniert und kontrolliert. Ein Datenschutzbeauftragter ist dagegen nicht zwingend vorgeschrieben. Was sind die Aufgaben der beiden, worin unterscheiden sie sich?

Um die ab dem 25.5. 2018 geltenden Datenschutzpflichten in der Anwaltskanzlei richtig einzuschätzen ist begriffliche klarzustellen,

  • dass die Benennung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO
  • nicht von der Pflicht zur Benennung eines Datenschutzverantwortlichen entbindet.

Unterschied zwischen Datenschutzbeauftragtem und Datenschutzverantwortlichem

  • Dem Datenschutzbeauftragten fallen gemäß Art. 39 DSGVO übergeordnete Koordinierungs- und Überwachungsfunktionen zu.
  • Der mit dem Inkrafttreten der Datenschutzgrundverordnung obligatorische  Datenschutzverantwortliche ist demgegenüber die eigentliche Gewährsperson für die Einhaltung der datenschutzrechtlichen Vorschriften.

DSGVO und die Rolle des Datenschutzverantwortlichen

Dem Datenschutzverantwortlichen kommt gemäß Art. 24 DSGVO die Aufgabe zu, die technischen und organisatorischen Maßnahmen zu definieren, die erforderlich sind, um eine ordnungsgemäße Verarbeitung der im täglichen Kanzleibetrieb erhobenen personenbezogenen Daten entsprechend den Datenschutzvorschriften sicherzustellen.

Der Datenschutzverantwortliche ist i. d. R.

  • der innerhalb der Kanzlei mit der Fallbearbeitung betraute Anwalt oder
  •  der sonstige, mit der Datenerhebung und Datenverarbeitung beauftragte Mitarbeiter, der über die Zwecke und Mittel der Datenverarbeitung entscheidet, Art. 4 Ziff. 7 DSGVO.

Der Datenschutzverantwortliche sollte zumindest Rechts- und Fachkenntnisse im Bereich des Datenschutzes als auch in der Technik der  verschiedenen Verfahren der elektronischen Datenverarbeitung besitzen.

Aufgabenkatalog des Datenschutzverantwortlichen

Die Aufgaben des Datenschutzverantwortlichen sind dagegen im wesentlichen

  • die Sicherstellung der Einhaltung der datenschutzrechtlichen Vorschriften bei der Erhebung und Verarbeitung personenbezogener Daten in der Kanzlei
  • sowie zu gewährleisten, dass jederzeit der Nachweis für eine ordnungsgemäße Verarbeitung der Daten erbracht werden kann.
  • Er hat die Risiken für die Rechte und Freiheiten der von der Datenspeicherung betroffenen Personen einzuschätzen, die im Rahmen des Kanzleibetriebes durch die Art der gespeicherten Daten  sowie deren Umfang entstehen können
  • und geeignete organisatorische und technische Vorkehrungen gegen den Missbrauch dieser Daten zu treffen. 

Darüber hinaus fällt dem Datenschutzverantwortlichen die Aufgabe zu, betroffene Personen über die Speicherung ihrer Daten zu informieren.

Diese Informationspflicht soll gemäß Art. 13 DSGVO aus dem Blickwinkel des Betroffenen für eine faire und transparente Verarbeitung der Daten sorgen.
  • Die Unterrichtung der betroffenen Personen über die verarbeiteten und gespeicherten Daten ist hierfür eine unabdingbare Voraussetzung (Erwägungsgrund 60 zur DSGVO).
  • Die von der Datenspeicherung betroffene Person soll nach Möglichkeit bereits zum Zeitpunkt der Erhebung der Daten über die Verarbeitung informiert werden,
  • spätestens jedoch innerhalb einer angemessenen Frist nach Erhebung der Daten, soweit diese nicht von der Person selbst kommen, sondern aus einer anderen Quelle stammen

Mindestinhalt der Unterrichtung des Mandanten über Datenspeicherung und -verarbeitung

Gemäß Art. 13 DSGVO ist der Mandant über folgende Punkte obligatorisch in Kenntnis zu setzen:

  • Zunächst sind dem Mandanten der Name und die Kontaktdaten des Verantwortlichen für den Datenschutz der Kanzlei und gegebenenfalls eines Vertreters mitzuteilen;
  • der Mandant ist ausführlich über den Zweck zu unterrichten, für den die personenbezogene Daten verarbeitet werden sollen;
  • gegebenenfalls ist er über Drittempfänger zu unterrichten, falls die Daten an solche weitergegeben werden,
  • daneben über die voraussichtliche Dauer der Speicherung.

Der Datenschutz-Verantwortliche muss Mandanten über seine Rechte belehren

Der Mandant ist – zweckmäßigerweise in einem Info-Blatt - darüber zu belehren, dass er

  • ein Recht auf Auskunft über die Speicherung seiner personenbezogenen Daten hat,
  • ein Recht auf Berichtigung unrichtiger Daten, Art. 16 DSGVO;
  • ggfs. auf Löschung, Art. 17 DSGVO;
  • auf Einschränkung der Verarbeitung (z.B. in den Fällen des Bestreitens der Richtigkeit der gespeicherten Daten, einer unrechtmäßigen Verarbeitung, wenn die Daten zur Verarbeitung nicht länger benötigt werden sowie im Falle der Einlegung eines Widerspruchs gem. Art. 21 DSGVO solange über die Berechtigung des Widerspruchs nicht entschieden ist, Art. 18 DSGVO);
  • über sein Recht auf jederzeitigen Widerruf seiner Einwilligung in die Datenspeicherung
  • sowie das Recht zur Beschwerde bei einer Aufsichtsbehörde.

Hinweis: Diese Pflichten gelten in leicht modifizierter Form gemäß Art. 14 DSGVO auch dann, wenn die Daten nicht unmittelbar bei der betroffenen Person erhoben wurden.

Führung eines Verarbeitungsverzeichnisses

Zu den Aufgaben des für den Datenschutzverantwortlichen gehört auch die Führung des Verarbeitungsverzeichnisses, das u.a. Name und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist (gegebenenfalls auch Vertreter), die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden, sowie nach Möglichkeit eine Erläuterung der technischen und organisatorischen Maßnahmen zur Datensicherheit zu enthalten hat, Art. 30 DSGVO.

Die Benennung eines Datenschutzbeauftragten

Die zusätzliche Benennung eines Datenschutzbeauftragten ist gemäß Art.37 DSGVO nur unter bestimmten Voraussetzungen vorgeschrieben und dürfte für die meisten Kanzleien nicht zwingend sein. Wird ein Datenschutzbeauftragter benannt, ist dieser gemäß Art. 38 DSGVO in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen einzubinden.

  • Er berät sowohl den Datenschutzverantwortlichen als auch den jeweiligen Auftragsverarbeiter über die jeweiligen Pflichten bei der Einhaltung des Datenschutzes.
  • Außerdem arbeitet er mit der Aufsichtsbehörde zusammen, Art. 38 DSGVO.
  • Darüber hinaus trifft ihn die grundsätzliche Pflicht, die Mitarbeiter hinsichtlich der Einhaltung der datenschutzrechtlichen Vorschriften zu sensibilisieren, ggflls. zu schulen und ein Datenschutzbewusstsein zu schaffen.

Ein geschärftes Datenschutzbewusstsein ist ab dem 25.5.2018 allerdings für alle Kanzleien eine nicht zu unterschätzende Verpflichtung, deren Verletzung zu äußerst unangenehmen Sanktionen führen kann.

Weitere News zu dem Thema:

Pflicht zur Meldung des Datenschutzbeauftragtenan die Behörden

Vorbereitung der DSGVO in der Anwaltskanzlei

Datenschutzanforderungen bei der Mandatsannahme

DSGVO: Vorbereitungen der Anwaltskanzlei für das Verarbeitungsverzeichnis

Hintergrund:

Wann ist ab 25.5. ein Datenschutzbeauftragter notwendig?

Welche Unternehmen, Organisationen und Freiberufler müssen einen Datenschutzbeauftragten bestellen?

In Art. 37 Abs. 1 DSGVO werden die Kriterien für solche Unternehmen, die einen Datenschutzbeauftragten benennen müssen, konkretisiert. Eine Verpflichtung besteht, wenn

  • in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
  • oder sich die Verarbeitung auf Daten erstreckt, für die nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung vorzunehmen ist,
  • oder die Erhebung, Speicherung, Nutzung und Verarbeitung personenbezogenen Daten geschäftsmäßig zu Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- bzw. Meinungsforschung erfolgt. 

Während der ersten Punkt also eine klare Vorgabe zur Mindestanzahl der ständig mit der Datenverarbeitung befassten Personen macht und der dritte Punkt sich ähnlich eindeutig auf Unternehmen in Bereichen wie beispielsweise Adresshandel oder Markt- und Meinungsforschung bezieht, sorgt der zweite Punkt oftmals für Unsicherheiten.

Downloads zur Vorbereitung

Der Deutsche Anwaltverein bietet verschiedene Downloads zur Vorbereitung der Kanzlei auf die DSGVO an.

Video-Seminar zum neuen Datenschutzrecht

Ab dem 25.5.2018 gilt die DSGVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert die Auswirkungen des neuen Datenschutzrechts. Die Seminarinhalte sind:

  •     Überblick über die die DSGVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management

Videogebühr: 98 EUR zzgl. USt.

Hier können Sie das Video herunterladen.