Ab dem 25.5.2018 muss jede Anwaltskanzlei ein Verzeichnis ihrer Daten-Verarbeitungstätigkeiten führen. Der für den Datenschutz Verantwortliche hat der Aufsichtsbehörde auf Anfrage zur Kontrolle der Verarbeitungsvorgänge das Verzeichnis vorzulegen. Was ist dafür zu beachten bzw. vorzubereiten? Gibt es bei den notwendigen Datenschutz-Offenbarungen möglicherweise Probleme mit der anwaltlichen Schweigepflicht?

Die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten folgt aus Art. 30 DSGVO. Danach hat der für den Datenschutz Verantwortliche bzw. sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten der Kanzlei zu führen, die seiner Zuständigkeit unterliegen. Art 30 DSGVO wurde in Umsetzung des Erwägungsgrundes 82 zur EU-DSGVO erlassen. Zwar sind Unterneh­men mit weniger als 250 Mitarbeitern u. U. von der Verpflichtung zur Führung eines Verarbeitungsverzeichnisses ausgenommen. Von dieser Befreiung werden Anwaltskanzleien aber regelmäßig nicht erfasst (s.u.)

Das Verarbeitungsverzeichnis wird Gegenstand penibler Kontrollen sein

Das Verarbeitungsverzeichnis steht im Zentrum der Rechtmäßigkeitskontrolle der Datenverarbeitung. Ihm kommt eine entscheidende Rolle bei der Kontrolle der Einhaltung der datenschutzrechtlichen Bestimmungen zu.

  • Bisher sah § 4g BDSG die Führung eines sogenannten Verfahrensverzeichnisses für bestimmte Betriebe vor, das nach Einführung der DSGVO durch das Verarbeitungsverzeichnis ersetzt wird.
  • Für Kanzleien, die bisher schon ein solches Verfahrensverzeichnis geführt haben, dürfte die Umstellung nicht besonders schwierig sein. Für alle anderen Kanzleien erfordert die Erfüllung dieser Verpflichtung äußerst gründliche Vorarbeiten.

Diese sollten nicht unterschätzt werden. Gerade an diesem Punkt ist davon auszugehen, dass die Aufsichtsbehörde die Einhaltung dieser Verpflichtung überprüfen wird. Der für den Datenschutz Verantwortliche sowie der konkrete Auftragsverarbeiter sind verpflichtet, auf entsprechende Anfrage der Aufsichtsbehörde mit dieser zusammenzuarbeiten.

Die Verzeichnispflicht gilt praktisch für sämtliche elektronischen Systeme

Die Verzeichnispflicht muss unbedingt ernst genommen werden. Sie gilt uneingeschränkt für:

  • die elektronische Anwaltsakte, soweit eine solche geführt wird;
  • die allgemeine Kanzleisoftware;
  • für Adressdatenbanken;
  • für die elektronische Verwaltung von Terminen;
  • für elektronische Personalakten;
  • für die Software zur Versendung von E-Mails;
  • für Buchhaltungsprogramme
  • sowie auch für elektronische Diktier- und Spracherkennungsprogramme.

Anforderungen an das Verarbeitungsverzeichnis des Datenschutzverantwortlichen

Das Verzeichnis muss sämtliche Verarbeitungstätigkeiten unter Benennung folgender Mindestangaben enthalten:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Datenverarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt worden sind oder noch offen gelegt werden, einschließlich möglicher Empfänger in Drittländern oder bei internationalen Organisationen;
  • falls geschehen, die Dokumentation der Übermittlung von personenbezogenen Daten an ein Drittland oder an internationale Organisationen, einschließlich der Angaben des betreffenden Drittlandes oder der betreffenden internationalen Organisationen;
  • falls möglich, die Fristen für die Löschung der verschiedenen Datenkategorien;
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherheit (Verschlüsselungsverfahren) gemäß Art 32 DSGVO. 

Verzeichnispflicht auch für Auftragsverarbeiter

Nicht nur der für den Datenschutz Verantwortliche, sondern auch jeder Auftragsverarbeiter der Kanzlei und gegebenenfalls sein Vertreter sind verpflichtet, ein Verarbeitungsverzeichnis zu führen. Dieses im Verhältnis zum Datenschutzverantwortlichen etwas abgespeckte Verzeichnis hat folgende Mindestangaben zu enthalten:

  • Name und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist (gegebenenfalls auch Vertreter);
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationale Organisation;
  • nach Möglichkeit eine Benennung der technischen und organisatorischen Maßnahmen zur Datensicherheit 

Formerfordernisse für das Verarbeitungsverzeichnis

Die Verzeichnisse sind schriftlich zu führen, wobei sowohl die elektronische Form als auch die einfache Schriftform möglich sind. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls deren Vertreter sind verpflichtet, der Aufsichtsbehörde auf Anfrage das Verzeichnis zur Verfügung zu stellen.

Überschneidungen mit anwaltlicher Schweigepflicht?

Die Vorlagepflicht wird von Anwälten scharf kritisiert, da Konflikte zur anwaltlichen Schweigepflicht hier vorprogrammiert sind. Wer in das Verarbeitungsverzeichnis Einblick nimmt, erhält auch Einblick in die Mandantschaft und ihre Daten. Winken da Früchte vom verbotenen Baum? Auch dies Frage wird sich im Rahmen der Praxisbewährung der Reform sicher bald stellen.

Durchführungshinweise zum Verarbeitungsverzeichnis in der Anwaltskanzlei

Für die meisten Kanzleien dürfte die Erstellung eines Datenschutzkonzeptes und eines Löschkonzeptes sinnvoll sein, auf das die Aufsichtsbehörde im Zweifel verwiesen werden kann.

Die Amtssprache ist Deutsch.

Internationale Kanzleien, die Verzeichnisse in englischer Sprache führen, müssen diese übersetzen, sobald die Aufsichtsbehörde das verlangt.

Kaum eine Kanzlei kann sich entziehen

Gemäß Art. 30 Abs. 5 entfällt die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses bei Unternehmen mit weniger als 250 Mitarbeitern. Dies gilt allerdings nur dann, wenn die Verarbeitung der Daten

  • keine Risiken für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitungen nur gelegentlich erfolgen oder
  • keine besonderen Datenkategorien (Gesundheitsdaten, Straftaten, Verurteilungen) gespeichert werden.

Für Anwaltskanzleien dürfte die Aufnahme praktisch nie in Betracht kommen, da die Erfüllung einer der Kriterien ausreicht, um die Befreiung zu kippen. Da keine Anwaltskanzlei Daten nur gelegentlich speichert, kommt dieser Ausnahmetatbestand in der Praxis für Anwaltskanzleien nicht vor.

Bei Verstoß drohen harte Strafen

Sollte das Verzeichnis lückenhaft oder nicht vorhanden sein, droht gemäß Art. 83 Absatz 4a DSGVO  ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des Jahresumsatzes. Dies sollte keine Kanzlei riskieren und sich besser dem mühsamen Unterfangen unterziehen, sich auf die Erstellung des Verarbeitungsverzeichnisses vorzubereiten. Klar ist aber auch: Ohne Detailkenntnisse in der Datenverarbeitung und in den einzelnen Verfahren ist die Erstellung eines Verarbeitungsverzeichnisses kaum möglich. Auch hier sollte der Anwalt gegebenenfalls in Erwägung ziehen, auf einen externen Berater zurückzugreifen.

DSGVO-Schulung und -Musterformulare

Das Inkrafttreten der DSGVO stellt für kleinere wie größere Kanzleien eine erhebliche Herausforderung dar. Die Materie ist komplex. Deshalb empfiehlt der DAV zurecht jeder Kanzlei, eine Datenschutzschulung durch einen externen Berater vornehmen zu lassen. 

Weitere News zum Thema:

Datenschutzanforderungen bei der Mandatsannahme

Vorbereitung der DSGVO in der Anwaltskanzlei

Welche Pflichten bringt die DSGVO für Website-Inhaber?

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Video-Seminar zum neuen Datenschutzrecht

Ab dem 25.5.2018 gilt die DSGVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert die Auswirkungen des neuen Datenschutzrechts. Die Seminarinhalte sind:

  •     Überblick über die die DSGVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management

Videogebühr: 98 EUR zzgl. USt.

Hier können Sie das Video herunterladen.

Downloads zur Vorbereitung

Der Deutsche Anwaltverein bietet verschiedene Downloads zur Vorbereitung der Kanzlei auf die DSGVO an.

Download des Wirtschaftsministers zu IT-Verschlüsselungsverfahren

Im vom Wirtschaftsministerium in Auftrag gegebenen "Kompass IT-Verschlüsselung", der hat deshalb einen Leitfaden zum Thema Verschlüsselungsverfahren veröffentlicht der von der Goldmedia GmbH, dem Institut für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und dem Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie (IRNIK) erstellt wurde, findet sich ein umfassender Überblick zu den verschiedensten Verschlüsselungstechniken. Behandelt werden etwa Themen wie:

  • E-Mail-Verschlüsselung mit unterschiedlichen Verfahren wie S/MIME oder PGP sowie manuellen Verfahren
  • Gateway-Lösungen für verschlüsselte E-Mails
  • De-Mail für die rechtsverbindliche Zustellung von E-Mails
  • Einsatz von E-Mail-Verschlüsselung auf Smartphones
  • Verschlüsselung bei der Internet-Telefonie (VoIP)
  • Verschlüsselung bei der Nutzung von Messenger-Lösungen
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von Daten in der Cloud
  • Verschlüsselung bei der Internetnutzung (HTTPS, VPN)

Das Thema ist nicht zuletzt im Hinblick auf den 25. Mai und die DSGVO brisant. Der Kompass IT-Verschlüsselung steht auf der Website des Bundeswirtschaftsministeriums zum Download zur Verfügung.