Zum 25.5.2018 tritt die DSGVO in Kraft. Sie gilt auch für Freiberufler wie Rechtsanwälte. Bereits für den Zeitpunkt der Mandatierung enthält die Datenschutzgrundverordnung zwingend konkrete neue Erfordernisse zur Wahrung des Datenschutzes, deren Verletzung zu empfindlichen Sanktionen führen kann. Schon der Erstkontakt beinhaltet neue Informationspflichten und auch Handschriftliches unterliegt dem Datenschutz.

Der Schutzschirm der Datenschutzgrundverordnung entfaltet sich bereits über dem Erstkontakt mit Mandanten.

Informationspflichten aus der DSGV am Anfang des Mandats

Am Beginn der Zusammenarbeit stehen

  • die Pflicht zur Information des Mandanten über den Umfang der erhobenen Daten
  • sowie die Belehrung über seine Rechte im Hinblick auf die Einhaltung der datenschutzrechtlichen Vorschriften.

Aufnahme und Verarbeitung sensibler Daten bei Mandatsannahme

Die Aufnahme der persönlichen Daten des Mandanten erfordert bereits bei Annahme des Mandats sorgfältige Vorkehrungen. Bereits in diesem Anfangsstadium ist der Mandant gemäß Art. 13 DSGVO über Art und Umfang der erhobenen Daten zu informieren.

Wichtig: Die DSGVO erfasst bereits handschriftliche Aufzeichnungen beim Anlegen des Aufnahmebogens und/oder im Rahmen des ersten Mandantengesprächs, denn sachlicher Anwendungsbereich ist gem. Art. 2 Abs. 1 DSGVO

  • die ganze oder teilweise automatisierte Verarbeitung personenbezogener Daten,
  • die in einem Dateisystem gespeichert sind
  • oder gespeichert werden sollen.

Die Norm ist weit gefasst und erlaubt daher nur wenige Ausnahmen.

Sinnvoll ist ein Infoblatt zum Datenschutz

Zweckmäßig ist es, jedem Mandanten bereits vor Annahme des Mandats ein Merkblatt auszuhändigen, das Informationen zum Datenschutz enthält. Das Informationsblatt hat insbesondere insbesondere Angaben über Art und Umfang der zu speichernden Daten, über deren mögliche Weitergabe an Dritte  und über die Datenschutzrechte des Mandanten zu enthalten. 

Checkliste für die Datenschutz-Mandantenbelehrung:

Folgenden Mindestanforderungen sollte das Infoblatt genügen:

  • Angaben zu Art und Umfang der Daten, die gespeichert werden (Name, Anschrift, E-Mail-Adresse, Telefonnummer usw.).
  • Angaben zu den Zwecken, für die die personenbezogenen Daten verarbeitet werden.
  • Der Name und die Kontaktdaten eines Verantwortlichen innerhalb der Kanzlei für die Datenerhebung, ggflls. des Datenschutzbeauftragten, falls vorhanden,
  • Wenn die Verarbeitung auf Art. 6 Absatz 1f DSGVO (Verfolgung berechtigter Interessen) beruht, die Benennung der berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden.
  • Angaben zu den möglichen Empfängern oder den Kategorien von Empfängern der personenbezogenen Daten (Sachverständige, außerbetriebliche Schreibkräfte).
  • Angaben zur Dauer, für die die personenbezogenen Daten gespeichert werden, (i.d.R. bis zum Ablauf der gesetzlichen Aufbewahrungsfrist, also sechs Jahre nach Ablauf des Kalenderjahres, in dem das Mandat beendet wurde).
  • Empfehlenswert ist auch der Hinweis darauf, dass eine längerfristige Speicherung möglich ist, wenn aufgrund von steuer- oder handelsrechtlichen Aufbewahrungs- und Dokumentationspflichten eine Verpflichtung hierzu besteht (gegebenenfalls unter Angabe der Kriterien für die Festlegung dieser Dauer).
  • Die Belehrung des Mandanten über sein Recht auf Auskunft über die gespeicherten Daten, Art 15 DSGVO,
  • die Belehrung über das Recht des Mandanten, gemäß Art. 20 DSGVO seine personenbezogenen Daten, die er der Kanzlei zur Verfügung gestellt hat, in einem strukturierten, gängigen maschinenlesbaren Format ausgehändigt zu erhalten oder die Übermittlung an einen von ihm genannten Verantwortlichen zu verlangen,
  • die Belehrung über sein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Weiterverarbeitung gemäß Art 16, 17 DSGVO,
  • über das Recht, seine Einwilligung zur Speicherung jederzeit widerrufen
  • sowie über sein Recht, sich gegenüber einer Aufsichtsbehörde über die Verletzung von Datenschutzbestimmungen zu beschweren.

Hinweis: Im Rahmen der Information über den Zweck der Datenerhebung ist ein Hinweis sinnvoll, dass eine angemessene anwaltliche Beratung und Vertretung nur unter der Voraussetzung der Erhebung bestimmter Daten gewährleistet werden kann. Wichtig ist aber auch der Hinweis auf eine mögliche eigene Interessenverfolgung der Kanzlei, was die Korrespondenz, die Rechnungsstellung und eine mögliche Abwicklung von Haftungsansprüchen einschließt.

Wichtig: Den Erhalt des Infoblattes sollte sich der Anwalt vom Mandanten schriftlich bestätigen lassen.

Effektive Verschlüsselung bei elektronischer Datenübermittlung

Die Nutzung von Verschlüsselungsverfahren ist ein wichtiger Faktor um Datensicherheit und auch Datenschutz zu erhöhen. Entsprechende Lösungen gibt es für alle wichtigen Einsatzbereiche, doch nach wie vor wird in Deutschland noch häufig - auch in Kanzleien - auf den Einsatz derartiger Verfahren verzichtet.

Soweit die Übermittlung von Daten zwischen Kanzlei und Mandant elektronisch erfolgt, ist auf die Implementierung eines aktuellen Verschlüsselungsverfahrens zu achten, denn nur so ist die von der DSGVO geforderte angemessene Sicherheit bei der Übertragung personenbezogener Daten gewährleistet. Dies gilt besonders bei Übermittlung besonders sensibler Daten, wie Kontoinformationen und ähnlichem.

Vertrauen in die Verschwiegenheit stärken

Schließlich ist es zur Vermeidung von Missverständnissen sinnvoll, den Mandanten in dem Infoblatt auch auf die grundsätzliche Pflicht des Rechtsanwalts zur Verschwiegenheit gemäß § 43 a BRAO hinzuweisen, die von den Datenschutzbestimmungen grundsätzlich nicht berührt wird und die den Anwalt zur Verschwiegenheit bezüglich allem und jedem, was ihm in Ausübung seines Berufs bekannt geworden ist, verpflichtet.

DSGVO-Schulung und -Musterformulare

Das Inkrafttreten der DSGVO stellt für kleinere wie größere Kanzleien eine erhebliche Herausforderung dar. Die Materie ist komplex. Deshalb empfiehlt der DAV zurecht jeder Kanzlei, eine Datenschutzschulung durch einen externen Berater vornehmen zu lassen. 

Weitere News zum Thema:

Vorbereitung der DSGVO in der Anwaltskanzlei

Welche Pflichten bringt die DSGVO für Website-Inhaber?

Auswirkungen der Datenschutzgrundverordnung auf Datenschutzerklärungen

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Video-Seminar zum neuen Datenschutzrecht

Ab dem 25.5.2018 gilt die DSGVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert die Auswirkungen des neuen Datenschutzrechts. Die Seminarinhalte sind:

  •     Überblick über die die DSGVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management

Videogebühr: 98 EUR zzgl. USt.

Hier können Sie das Video herunterladen.

Downloads zur Vorbereitung

Der Deutsche Anwaltverein bietet verschiedene Downloads zur Vorbereitung der Kanzlei auf die DSGVO an.

Download des Wirtschaftsministers zu IT-Verschlüsselungsverfahren

Im vom Wirtschaftsministerium in Auftrag gegebenen "Kompass IT-Verschlüsselung", der hat deshalb einen Leitfaden zum Thema Verschlüsselungsverfahren veröffentlicht der von der Goldmedia GmbH, dem Institut für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und dem Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie (IRNIK) erstellt wurde, findet sich ein umfassender Überblick zu den verschiedensten Verschlüsselungstechniken. Behandelt werden etwa Themen wie:

  • E-Mail-Verschlüsselung mit unterschiedlichen Verfahren wie S/MIME oder PGP sowie manuellen Verfahren
  • Gateway-Lösungen für verschlüsselte E-Mails
  • De-Mail für die rechtsverbindliche Zustellung von E-Mails
  • Einsatz von E-Mail-Verschlüsselung auf Smartphones
  • Verschlüsselung bei der Internet-Telefonie (VoIP)
  • Verschlüsselung bei der Nutzung von Messenger-Lösungen
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von Daten in der Cloud
  • Verschlüsselung bei der Internetnutzung (HTTPS, VPN)

Das Thema ist nicht zuletzt im Hinblick auf den 25. Mai und die DSGVO brisant. Der Kompass IT-Verschlüsselung steht auf der Website des Bundeswirtschaftsministeriums zum Download zur Verfügung.