Warum die DSGVO Rechtsanwälte zu einer Neuorganisation ihrer Kanzlei zwingt

Am 25.5.2018 endete die Übergangsfrist für das Inkrafttreten der DSGVO. Neben Unternehmen und Behörden, die zu diesem Zeitpunkt die rechtlichen Anforderungen nicht erfüllen, müssen dann auch Anwälte mit einschneidenden Sanktionen bei Verstößen rechnen.

Das Recht der Mandanten auf Schutz ihrer personenbezogenen Daten

Die EU unterzieht mit Art. 1 DSGVO personenbezogene Daten einem umfassenden Schutz und stärkt damit das allgemeine Persönlichkeitsrecht ihrer Bürger. Gemäß Art. 5 DSGVO sind bei der Verarbeitung personenbezogener Daten ethische Grundsätze zu beachten wie

• Transparenz,
• Zweckbindung,
• Datenminimierung,
• Richtigkeit der erhobene Daten,
• Integrität und Vertraulichkeit
• Rechenschaftspflicht.

Doch auch gegen die Datenschutzbehörde werden die Daten geschützt.

Die Untersuchungsbefugnisse der Aufsichtsbehörden gelten gem. § 29 Abs. 3 #BDSG nicht, soweit sie zu einem Verstoß gegen die #Geheimhaltungspflichten der #Berufsgeheimnisträger führen würden.

Click to tweet

DSGVO: Anwaltskanzlei muss gesamte Organisation umstellen

Gemäß Art. 2 DSGVO gilt die Verordnung für jegliche ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dies erfordert von der Anwaltskanzlei umfängliche organisatorische Maßnahmen zum Schutz von Mandantendaten.

Hinweis: Nach der DSGVO sind bereits handschriftliche Aufzeichnungen zur Vorbereitung der Datenerfassung, sei es für die spätere elektronische Speicherung oder nur für die Ablage in einem Aktenordner, von der Verordnung erfasst.

Datenschutz beginnt für Rechtsanwaltskanzlei vor dem ersten Mandantengespräch

Der Anspruch des Mandanten auf Datenschutz beginnt schon beim Anlegen des Aufnahmebogens, die in vielen Kanzleien dem ersten Kontakt zwischen Anwalt und Mandant vorausgeht.

• Der Schutz betrifft die Aufzeichnungen des Anwalts zum ersten Mandantengespräch – seien sie handschriftlich, gesprochen auf Tonträger oder elektronisch –
• und erstreckt sich schließlich auf die gesamte Abwicklung des Mandats bis hin zur Abschlussrechnung.
• Dabei ist nicht nur der Anwalt in persona an die Einhaltung der datenschutzrechtlichen Bestimmungen gebunden,
• vielmehr hat er sein gesamtes Personal und
• im Fall der Outsourcings bestimmter Aufgaben, auch sämtliche beauftragten dritte Personen - beispielsweise Sachverständige, freiberufliche Schreibkräfte – auf die Einhaltung der datenschutzrechtlichen Bestimmungen einzuschwören.

Ohne gründliche Vorbereitung ist der nötige Datenschutz durch die Kanzlei nicht erreichbar

Die neuen umfassenden Datenschutzpflichten können nur eingehalten werden, wenn die Anwaltskanzlei umfangreiche Vorbereitungen personeller, technischer und fachlicher Art ergreift. Wichtig sind insbesondere:

• eine ausführliche Einweisung der Mitarbeiter;
• die Durchführung qualifizierter Schulungen;
• die Einweisung außenstehender Dienstleister;
• die Ausarbeitung passender Formulare wie Aufnahmebögen für die Mandatsannahme bzw. die weitere Dokumentation des Mandats;
• die Erstellung von Mustererklärungen zur Einwilligung des Mandanten in die zur Bearbeitung erforderliche Weitergabe bestimmter Daten;
• die Erstellung von Formularen, auf denen Mitarbeiter bzw. freie Mitarbeiter und sonstige Dienstleister schriftlich eine ausführliche Unterrichtung zu den Datenschutzrichtlinien bestätigen;
• die Ausrichtung der Kanzlei-Software auf die Erfordernisse des Datenschutzes;
• die Organisation der Kanzleiabläufe nachdem datenschutzrechtlichen Vorgaben;
• die Gestaltung der Website der Kanzlei entsprechend der DSGVO (zum Beispiel durch Abdruck entsprechender datenschutzrechtlicher Belehrungen);
• die Einstellung der elektronischen Datenverarbeitung auf Löschung personenbezogener Daten nach einer bestimmten Zeit.

Auskunftsrechte der Mandanten beachten

Gemäß Art. 15 DSGVO hat jeder das Recht, von dem Verantwortlichen für Datenschutz der jeweiligen Kanzlei eine Bestätigung über die Verarbeitung seiner personenbezogenen Daten zu verlangen.

Auch darüber sind die Mandanten - gegebenenfalls in einem entsprechenden Formularvordruck – zu unterrichten.

Die Kanzleisoftware muss das Recht auf Datenlöschung berücksichtigen

Art. 17 DSGVO gewährt ein Recht auf Löschung gespeicherter Daten u. a. bei

• Zweckerreichung der Speicherung,
• Widerruf einer zuvor erteilten Einwilligung,
• Einlegung eines Widerspruchs gemäß Art. 21 DSGVO, ohne dass vorrangige berechtigte Gründe für die Verarbeitung bestehen,
• bei unrechtmäßiger Verarbeitung der Daten.
• Art. 18 DSGVO gewährt unter ähnlichen Voraussetzungen ein Recht auf Beschränkung der Verarbeitung.

Auch auf die damit verbundenen Erfordernisse muss die Kanzlei ihre gesamte elektronische Datenverarbeitung vorbereiten und einstellen.

DSGVO: Kanzlei muss strengere Informationspflicht auf ihrer Website erfüllen

Je nach Ausgestaltung bzw. Umfang der auf der Website angebotenen Inhalte und Funktionen, sind verschiedene Aspekte zu beachten.

So müssen die Besucher über datenschutzrelevante Aktivitäten informiert werden, die über die einfache Erfassung der IP-Adresse hinausgehen.

Dazu gehören insbesondere:

• Kontaktformulare
• E-Mail-Newsletter
• Cookies
• Analyse-Tools
• Verwendung von Social-Media-Plug-Ins

Was bei Kontaktformularen künftig zu beachten ist

Bereits bei einfachen Kontaktformularen ist darauf zu achten, dass die Eingabe und Übermittlung der Daten stets mit aktuellen Verschlüsselungsverfahren erfolgt, denn nur so ist sichergestellt, dass die von der DSGVO geforderte „angemessene Sicherheit“ der personenbezogenen Daten gewährleistet ist.

• Dies gilt umso mehr, wenn besonders sensible und schützenswerte Daten wie Kontoinformationen übertragen werden.
• Zudem gilt bei allen erfassten Formulardaten der Grundsatz der Datenminimierung bzw. Datensparsamkeit. Es dürfen nur solche Daten erhoben werden, die für den jeweiligen Zweck auch benötigt werden.

Für einen Newsletter etwa wird nur die E-Mail-Adresse benötigt, nicht aber weitere persönliche Daten. Felder zur Erfassung dieser Pflichtangaben sind eindeutig zu kennzeichnen. Dass weitere Angaben stets freiwillig sind, muss in den Formularen auch ersichtlich sein.

Rechtsanwalt als Berufs-Geheimnisträger und die DSGVO

Wenn mit der Datenschutzgrundverordnung die Zugangs- und Kontrollrechte der Datenschutzbehörden und die Dokumentationspflichten der Kanzlei zunehmen, werden die Berufsgeheimnisse der Mandanten trotzdem gewahrt. Das ergibt sich aus § 29 Abs. 3 BDSG, der der beruflichen Schweigepflicht verschiedener Berufsgruppen Rechnung trägt.

"Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buchstabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Erlangt eine Aufsichtsbehörde im Rahmen einer Untersuchung Kenntnis von Daten, die einer Geheimhaltungspflicht im Sinne des Satzes 1 unterliegen, gilt die Geheimhaltungspflicht auch für die Aufsichtsbehörde."

Ende der Vorbereitungszeit für die DSGVO

• Gem. Art. 99 DSGVO ist seit 25.5.2018 die Umsetzungsfrist für die Datenschutzgrundverordnung abgelaufen.
• Verstöße können gem. Art. 83 DSGVO mit hohen Geldbußen geahndet werden.

Gem. Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz. Die Umsetzung der DSGVO sollte also nicht auf die leichte Schulter genommen werden.

Ist eine DSGVO-Abmahnwelle zu erwarten?

Schon bei früheren Veränderungen von Verpflichtungen, speziell solchen von leicht auf Verstöße hin zu beobachtenden Gewerbetreibenden im Internet, gab es nach dem In Kraft treten gesetzlichen Neuregelungen, etwa zum Impressum oder zum Benennen von OS-Schlichtungsstellen häufig ein ausgeprägtes Abmahnverhalten, etwa von Konkurrenten oder auch als anwaltliches Geschäftsmodell.

• Dies ist auf die Schnelle noch nicht in hoher Zahl wahrscheinlich,
• da auch für Abmahnwillige erst klar werden muss, wie genau die Behörden reagieren
• und welche Versäumnisse von den Gerichten sanktioniert werden.
• Schließlich geht auch der Abmahnende das Risiko ein, auf den Kosten, den eigenen und denen des sich wehrenden Abgemahnten, sitzen zu bleiben.

Hier ist vor Massenabmahnungen zumindest mit einer Orientierungsphase zu rechnen, zumal nicht klar ist, wie Verstöße gegen die DSGVO aus UWG-Sicht zu betrachten sind.

Schon ist von Nachbesserung des Gesetzes die Rede

Da gerade Kleinstunternehmer, Handwerker und Vereine sich überfordert fühlen und auf die Barrikaden gehen, erklärte sich Bundeskanzlerin Merkel auf einer Kreisvorsitzendenkonferenz bereit, mit Innenminister Seehofer über ein Nachbesserungsgesetz zu sprechen, das verhindern soll, "dass der Umgang mit Daten nicht mehr praktikabel" ist.

Fraglich ist, ob sie das in der GroKo und im Parlament durchsetzen kann, denn Bundesjustizministerin Barley lobt die DSGVO als "Meilenstein für den Schutz der persönlichen Daten".

Kommen doch Ausnahme für Privatleute, Handwerker und Freiberufler?

Ansatzpunkt für eine „Entschärfung“ liefert das von dem Nachbar-EU-Land Österreich für die Umsetzung der Datenschutzgrundverordnung gewählte Einschränkung.

• Dort gilt eine  Ausnahmen für Privatleute, Handwerker und Freiberufler.
• Sie müssen erst bei systematischen Verstößen mit den gefürchteten hohen Strafen rechnen.

Allerdings bestreitet die stellvertretende SPD-Digitalpolitiksprecherin Esken, die DSGVO böte, anders als in der österreichischen Umsetzung umgesetzt, keine Öffnungsklauseln für kleine Handwerker oder Vereine. Besser als gesetzlich nachzubessern sei es, Vertrauen in das Augenmaß der Datenschutz-Aufsichtsbehörden vermitteln.