© Jeanette DietlNun ist sie auch in der Anwaltschaft umfassend angekommen, die Verordnung (EU) 2016/679, nachfolgend kurz DSGVO genannt. Erstaunlich ist, dass die fast vergangenen zwei Jahre Übergangszeit von vielen Anwälten, wie auch übrigen Unternehmen, weder zur Kenntnis, noch dazu genutzt wurden, die notwendigen Vorbereitungen zu treffen, damit nach Ablauf der Übergangszeit am 25. Mai 2018 die geforderten Voraussetzungen der Verordnung erfüllt werden.
Wer sich einmal die sozialen Medien anschaut, wie zum Beispiel Facebook oder Google+, wird feststellen, dass gerade in der Anwaltschaft sehr große Verwirrung herrscht.
Der Ruf nach Seminaren schallt ebenfalls durch die Postings, wie die nach diversen Vorlagen. Die Anwaltsvereine quer durch die Republik mühen sich, ihre Mitglieder auf das “Teufelswerk” DSGVO vorzubereiten.
Aber ist es wirklich so schlimm?
Die Zeit drängt und es macht Sinn, einmal die dringendsten Notwendigkeiten kurz anzusprechen.
Benennung eines Datenschutzbeauftragten
Wohl mit der wichtigste Punkt, der von den Aufsichtsbehörden kurzfristig angesprochen wird, ist die Benennung eines Datenschutzbeauftragten entsprechend Art. 37 DSGVO in Verbindung mit § 38 Abs.1 BDSG_neu..
Hierbei ist erst einmal zu prüfen, ob die Benennung für Ihre Kanzlei verpflichtend ist.
Würde nur die DSGVO gelten, wären die Anwaltskanzleien wohl schön aus dem Schneider.
Allerdings hat der deutsche Gesetzgeber die Öffnungsklausel genutzt und in § 38 Abs. 1 BDSG _neu eine für Deutschland geltende Regelung getroffen, die dazu führt,
dass der Verantwortliche (also Kanzleiinhaber) und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen müssen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Nun, was ist darunter zu verstehen, wer zählt zu diesen zehn Personen?
Automatisierte Verarbeitung
Hierzu schreibt Art. 2 Abs. 1 DSGV0 vor:
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Die Begriffsbestimmung für automatisierte Verarbeitung finden wir in Art. 4 Ziffer 2 DSGVO
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Wie immer, wenn man sich mit der DSGVO befasst, sollte man auch die Erwägungsgründe heranziehen.
In diesem Fall gibt Erwägungsgrund 15 eine umfassende Erklärung zur Technologieneutralität
Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
Soviel zur rechtlichen Seite. Aber was sagt das jetzt für die Anwaltskanzlei?
Sicher ist, dass die Personen zu zählen sind, die ständig mit der Verarbeitung personenbezogener Daten natürlicher Personen beschäftigt sind.
Was allerdings zur Vorsicht mahnt ist der Hinweis, ” wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen „.
Wenn also der Senior Partner ihrer Kanzlei sich standhaft und beharrlich weigert, einen Computer oder ein Handy auch nur anzufassen den Fotokopierer oder das Faxgerät negiert, Daten des Mandanten auf einem Zettel erfasst und diesen zu Erfassung in ein Dateisystem, wie z. B. Ihre Anwaltssoftware, an eine Mitarbeiterin weitergibt, verarbeitet er im Sinne von Art. 4 Ziffer 2 DSGVO Daten.
Sie sollten ihn mitzählen.
Das gilt selbstverständlich auch für die Personen, die E-Mails bearbeiten.
Da der Gesetzgeber weder von Vollzeitstellen spricht, Teil-und Leiharbeiter sowie Auszubildende und Praktikanten nicht ausschließt, sind diese bei der Zählung ebenfalls heranzuziehen.
Fazit: sie sollten bei der Zählung der infrage kommenden Personen lieber großzügig sein, als den einen oder anderen außen vor lassen.
Obwohl die DSGVO und das BDSG _neu nicht mehr – wie früher – von einer Bestellung eines Datenschutzbeauftragten sprechen, sondern nur von einer Benennung, sollten Sie mit dem internen Datenschutzbeauftragten eine entsprechende schriftliche Vereinbarung treffen.
Bezüglich eines externen Datenschutzbeauftragten käme ja die eines Dienstvertrages in Frage.
Vor der Benennung eines internen Datenschutzbeauftragten sollten Sie sich allerdings Art. 38 Abs. 3 DSGVO ansehen.
Eventuell empfiehlt sich auch die Bestellung eines externen Datenschutzbeauftragten.
Mit der Benennung des Datenschutzbeauftragten, soweit dieses für ihre Kanzlei zutrifft, hätten sie schon einmal die erste Hürde genommen und ihren guten Willen gezeigt, der Verordnung Folge zu leisten.
Auftragsverarbeitung
Was weiterhin einfach wäre, um der Sache Fortgang zu geben, ist die Feststellung, welche Aufträge sie Dritten erteilt haben und ob diese unter Art. 28 DSGVO fallen. Einige Beispiele hierzu wären
- E-Mail Provider
- Cloud Anbieter
- Serviceunternehmen (Wartungsverträge etc.)
- Papierentsorger /Aktenvernichter
- Schreibbüros
- Übersetzer
- WebSite Provider
- Google Analytics
- Marketingsunternehmen
Ich bin der festen Überzeugung, dass ihnen weitere Vertragspartner einfallen.
Wenn bisher alles in ihrer Kanzlei einwandfrei gelaufen ist, führen Sie solch ein Verzeichnis schon und haben auch die seinerzeit in § 11 BDSG geforderten Verträge zur Auftragsdatenverarbeitung geschlossen. Hierauf können Sie natürlich zurückgreifen.
Muster für die neue Vereinbarung gibt es ausreichend.
Ich persönlich finde die Muster der GDD gut, diese finden Sie unter diesem Link
Verzeichnung der Verarbeitungstätigkeiten
Als nächstes wäre primär das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO zu nennen
Wie sie dieses effektiv und effizient erstellen können werde ich in meinem nächsten Beitrag darlegen.
Glauben Sie mir, es ist einfacher, als Sie denken.
Es gibt also keinen Grund zur Panik.
Sollten Sie Fragen zu dieser Thematik haben, können Sie mich gerne ansprechen. Sie können hierzu das Kontaktformular nutzen
Der Beitrag DSGVO in der Anwaltskanzlei (erste Massnahmen) erschien zuerst auf Organisationsberatung Treysse.