Neue EU-Datenschutzgrundverordnung: Das bedeutet sie für Anwälte
- Anwaltsnews
Datenschutz ist kein neues Thema und erst recht nicht für Anwälte, die sich sicher auch schon mit der EU- Datenschutzgrundverordnung zum Schutz von Informationen, die am 25.5.2018 in Kraft tritt, beschäftigt haben. Das Anwaltsgeheimnis ist immerhin einer der wichtigsten Grundsätze ihrer Tätigkeit.
Kürzer spricht man statt von der „EU-Datenschutzgrundverordnung“ auch von der DSGVO – kürzer, aber nicht viel handlicher. Ähnlich sieht es mit den Inhalten der Verordnung aus: Sie lassen sich auf einige Stichpunkte zusammenfassen, aber der entstehende Aufwand kann sehr groß sein. Das gilt umso mehr für größere Kanzleien, die sich bis jetzt eher beiläufig um Datenschutz gekümmert und intern noch nicht vorgesorgt haben. Viele der bis dato freiwilligen Regeln werden aber demnächst zur Pflicht.
Die DSGVO im Überblick
In gewisser Weise lassen sich die Pflichten, die aus der DSGVO abgeleitet werden können, in drei Kategorien teilen:
- Prüfen der intern verarbeiteten Daten hinsichtlich ihrer datenschutzrechtlichen Relevanz. Welche Daten speichern Sie über Kunden, Gegner und auch Ihre eigenen Mitarbeiter?
Wie werden diese Daten verarbeitet? Gibt es Schwachstellen bei der Übergabe, Bearbeitung oder Speicherung? - Datenschutzkonforme Vertragsgestaltung ist ab sofort schon bei der Einstellung von Mitarbeitern (aber auch für bestehende Verträge) wichtig, besonders zu beachten aber auch, wenn Sie gewisse Datenverarbeitungsprozesse auslagern und beispielsweise Ihre Post extern verarbeiten lassen.
- Neue Pflichten bei der Verarbeitung durch Auskunfts-, Löschungs- und Unterrichtungspflichten.
Diese allgemeinen Regeln sollten vor allem größere Betriebe von Rechtsexperten prüfen lassen.
Die DSGVO für Anwälte
Die Konsequenzen der DSGVO für Anwälte hat die Rechtsanwaltskammer München sehr ausführlich zusammengefasst und sich auch mit den Risiken durch die neuen Gesetze befasst. Denn aus anwaltlicher Sicht steht das Einsichtsrecht von Datenschutzbehörden dem eigenen Interesse, das Anwaltsgeheimnis zu bewahren, entgegen.
Sie fasst aber auch einige Punkte und Schritte zusammen, die wir hier in noch weiter gekürzter Fassung auflisten:
Wenn in Ihrer Kanzlei mehr als 9 Personen die personenbezogenen Daten verarbeiten, benötigen Sie einen Datenschutzbeauftragten. Zu diesen 9 Personen gehört jede Person, die an den Computern der Kanzlei arbeitet: Von der Anwältin, der die Kanzlei gehört, über die Praktikanten bis hin zur Sekretärin oder einer Aushilfe, die nur wöchentlich die Buchhaltung prüft. Nach bisherigen Faustregeln sollte der Datenschutzbeauftragte nicht Geschäftsführer sein und auch nicht aus der IT-Abteilung stammen – gleichzeitig aber IT-affin sein. Oft lohnt sich für größere Kanzleien die Bestellung eines externen Experten.
Das Erstellen von Verfahrensverzeichnissen zur Beschreibung von Vorgängen in Ihrer Kanzlei, bei denen Daten verarbeitet werden, ist ein nicht unerheblicher Teil der Arbeit, die auf Sie zukommt. Hier müssen Sie alle „üblichen Vorgänge“ prüfen und unter die Lupe nehmen – eventuell lohnt sich auch hier die Bestellung eines externen Experten, der die Koordination der Ablaufbeschreibungen übernimmt.
Auch bei der Suche nach etwaigen Schwachstellen Ihrer Organisation, der sogenannten Gap-Analysis, kann ein externes Auge hilfreich sein. Außenstehende suchen bereitwilliger und kritischer nach Fehlern in Ihrem Vorgehen.
Für Datensicherheit ist ratsam, einen IT-Sicherheitsexperten (beispielsweise einen beratenden Ingenieur) zu beauftragen, der sich mit den Vorgaben auskennt und Sie bezüglich der korrekten technischen Maßnahmen zur Datensicherheit beraten kann.
Auch die Datenschutzvereinbarungen, die Sie online oder offline verwenden, sollten Sie einer ausführlichen Kontrolle unterziehen.
Je größer, desto umfangreicher
Je größer Ihre Kanzlei ist, desto umfangreicher werden die Maßnahmen, die auf Sie zukommen. Aber auch wenn Sie (noch) eine kleine Kanzlei haben und beispielsweise noch nicht an der Grenze von neun Mitarbeitern kratzen, sollten Sie Ihre Vorgänge so früh wie möglich überprüfen. Was optimiert aufgebaut wird, ist auch in Zukunft mit wenig Aufwand anzupassen. Außerdem sollten Sie im Kontakt mit Anbietern wie beispielsweise auch uns darauf achten, dass beiderseitig passende Datenschutzerklärungen unterschrieben werden.