Die neue Europäische Datenschutzverordnung

Am 25. Mai 2018 trat die neue europäische Datenschutzgrundverordnung in Kraft. Am gleichen Tage begann zudem die Geltung einer neuen Fassung des Bundesdatenschutzgesetzes. Der Entwurf eines Datenschutzgesetzes RLP befindet sich zurzeit im parlamentarischen Verfahren und wird ebenfalls in Bälde in Kraft treten. Damit soll ein einheitlicher Datenschutzstandard in Europa geschaffen werden.
Dass das Datenschutzrecht nicht nur ein Beratungsthema für Mandanten ist, sondern die Kanzleien auch in eigener Sache trifft, ist nicht neu. Schon nach bisherigem Recht musste eine Kanzlei ab einer bestimmten Personenzahl, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen.
Neu ist, dass nunmehr europaweit ein mehr oder weniger einheitliches Datenschutzrecht gilt, welches Vorgaben für die Verarbeitung von Daten enthält.
Der bei der BRAK eingerichtete Ausschuss „Datenschutzrecht“ hat eine Checkliste zur DS-GVO erarbeitet. Unter den nachfolgenden Stichworten sind die wesentlichen datenschutzrechtlichen Anforderungen exemplarisch und ohne Anspruch auf Vollständigkeit dargestellt

Jede Rechtsanwältin und jeder Rechtsanwalt sowie jede Rechtsanwaltsgesellschaft (§ 59 c BRAO), die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ist ein sog. Verantwortlicher(Art. 4 Nr. 7 DS-GVO). Dieser ist ggf. gemeinsam mit anderen insbesondere dafür verantwortlich, dass er die Anforderungen der DS-GVO einhält. Die Voraussetzungen der Rechtmäßigkeit der Verarbeitung sind in Art. 6 DS-GVO festgelegt. Bei der Bearbeitung insbesondere der Mandantendaten liegt die Rechtsgrundlage regelmäßig im zugrundeliegenden Mandatsvertrag (Art. 6 Abs.1b DS-GVO), bei Mitarbeiterdaten im Arbeitsvertrag. Auch nach Beendigung des Mandats bzw. der Beschäftigung können nachvertragliche Pflichten die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten bilden. Wenn möglich sollte man es vermeiden, mit Einwilligungen zu arbeiten, da diese frei widerruflich sind und den Anforderungen von Art. 7 und/oder Art. 8 DS-GVO entsprechen müssen. Die DS-GVO enthält an verschiedenen Stellen spezielle Dokumentationspflichten, beispielsweise in Art. 30 (Verarbeitungsverzeichnis), Art. 33 Abs. 5 (Dokumentation von Datenschutzvorfällen) oder Art. 28 Abs. 3 a (Dokumentation von Weisungen im Rahmen von Auftragsverarbeitungsverhältnissen).

– Gibt es ein Bewusstsein in Ihrer Kanzlei dafür, dass Datenschutz „Chefsache“ ist, beispielsweise durch Regelung der Verantwortlichkeiten, Bewusstsein über Datenschutzrisiken, Transparenz über Zielkonflikte (z.B. zwischen den Betroffenenrechten und dem anwaltlichen Geheimnisschutz)?

– Gibt es für jede Verarbeitungstätigkeit im Zusammenhang der Berufsausübung eine Dokumentation, mit der Sie die Rechtmäßigkeit Ihrer Verarbeitung (Art. 6 DS.GVO) nachweisen können (Art.5 Abs.2 DS-GVO)?

– Haben Sie geprüft, ob die Einwilligungen, auf die Sie ggf. eine Verarbeitung stützen, noch den Voraussetzungen der Art. 7 und/oder Art. 8 DS-GVO entsprechen? Können Sie das Vorliegen der Einwilligung nachweisen?

– Haben Sie ggf. ein Datenschutzmanagementsystem installiert, um sicherzustellen und den Nachweis erbringen zu können, dass Ihre Verarbeitung gemäß der DS-GVO erfolgt (Art. 24 Abs. 1 DS-GVO)?

– Haben Sie bei gemeinsamer Verantwortung eine Vereinbarung nach Art. 26 DS-GVO getroffen?

In der Regel ist nur dann ein Datenschutzbeauftragter vom Verantwortlichen zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (Art. 37 DS-GVO, erweitert durch § 38 Abs. 1 BDSG-neu). Das bedeutet, dass ein Datenschutzbeauftragter bestellt werden muss, wenn mindestens zehn Personen Zugang zur Kanzlei-EDV haben (dabei ist der Zugang zu E-Mails ausreichend), unabhängig vom Tätigkeitsumfang (auch Teilzeitkräfte). Es kann ein Angestellter der Kanzlei oder Externer bestellt werden. Für angestellte Datenschutzbeauftragte gelten besondere Kündigungsschutzregelungen. Inhaber, Partnerund (bei Gesellschaften) gesetzliche Vertretungsorgane (z.B. Geschäftsführer) dürfen nicht zum Datenschutzbeauftragten bestellt werden (keine Selbstüberwachung)

– Muss ein Datenschutzbeauftragter in Ihrer Kanzlei
benannt werden?

– Wenn ja, sind dessen Kontaktdaten gem. Art. 37 Abs. 8 DS-GVO der zuständigen Aufsichtsbehörde mitgeteilt worden?

– Welche sonstigen Aufgaben hat der Datenschutzbeauftragte neben dieser Funktion in der Kanzlei? Ist er u.U. von seiner sonstigen Tätigkeit zumindest zum Teil freizustellen?

Jeder Verantwortliche muss ein Verzeichnis seiner Verarbeitungstätigkeiten führen (Art. 30 Abs. 1 DS-GVO).Wesentliche Verarbeitungstätigkeiten sind z.B.: Verarbeitung von Mandantendaten zur Beratung, Vertretung und Rechnungsstellung, Verarbeitung von Daten des Anspruchsgegners des Mandanten zur Beratung, Vertretung und Rechnungsstellung, Betrieb der Webseite über Dienstleister, Gehaltsabrechnung der Mitarbeiter. An dieser Stelle wird u.a. auf ein in der DSK abgestimmtes Muster eines Verarbeitungsverzeichnisses verwiesen.

– Haben Sie ein aussagekräftiges Verarbeitungsverzeichnis aller Verarbeitungstätigkeiten erstellt, das die Angaben z.B. bezüglich Zwecken, Kategorien personenbezogener Daten, Empfängern und/oder Löschfristen enthält?

Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DS-GVO erfolgt (Art. 29, 32 Abs. 4 DS GVO).

– Haben Sie alle Mitarbeiter, die mit personenbezogenen Daten umgehen, verpflichtet? Es bietet sich an, dies mit der Verpflichtung auf das Anwaltsgeheimnis zu verknüpfen.

– Ist die Verwendung beruflicher Kommunikationsmittel für private Zwecke erlaubt /verboten/geregelt (Telefon/Handy, Smartphone, PC/Laptop, Internet, E-Mail)? Gibt es Festlegungen zur privaten Nutzung beruflicher Kommunikationsmittel?

– Ist die Verwendung privater Kommunikationsmittel für berufliche Zwecke geregelt (z. B. Smartphone, Laptop)?

Jeder Verantwortliche hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Zumindest muss er darauf hinweisen, wo die Informationen leicht zugänglich sind (z.B. Anlage zum Anwaltsvertrag, Homepage). Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten. Art. 13 Abs. 4, 14 Abs. 5 DS-GVO sowie § 29 BDSG-neu – im Hinblick auf die berufsrechtliche Geheimhaltungspflicht des Rechtsanwalts nach § 43a Abs. 2 BRAO –enthalten differenzierte Ausnahmen, die im Einzelfall zu prüfen sind.

– Haben Sie bestehende Informationspflichten, insbesondere bei Beginn des Mandats, sowie auf der Webseite in der Datenschutzerklärung geprüft?

– Haben Sie Ihre Texte zur datenschutzrechtlichen Information der betroffenen Personen bei der Datenerhebung an die Anforderungen nach Art. 13 bzw. 14 DS-GVO angepasst?

– Haben Sie geprüft, inwieweit in die Texte insbesondere folgende Informationen neu aufgenommen werden müssen?

•Kontaktdaten des Datenschutzbeauftragten;

•Rechtsgrundlage(n) für die Verarbeitung personenbezogener Daten (z.B. Erfüllung des Mandatsvertrags, Art. 6 Abs. 1b DS-GVO);

•Darüber hinaus, falls Sie die Verarbeitung mit Ihren berechtigten Interessen oder berechtigten Interessen eines Dritten (Art. 6 Abs. 1 f DS-GVO) begründen: die berechtigten Interessen;

•Dauer der Speicherung; mindestens die Kriterien für die Festlegung dieser Dauer:

•Bestehen der Rechte betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, auf Widerspruch aufgrund besonderer Situation einer betroffenen Person sowie auf Datenportabilität;

•Sofern Verarbeitung auf Einwilligung beruht: das Recht zum jederzeitigen Widerruf der Einwilligung, Recht auf Beschwerde bei der Aufsichtsbehörde;

•Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist;

•Sofern Sie die Daten nicht bei der betroffenen Person erhoben haben: aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen.

– Haben Sie ein Verfahren eingerichtet, um Anträge von betroffenen Personen auf Auskunft zu den eigenen Daten nach Art. 15 DS-GVO zeitnah und vollständig erfüllen zu können (Art. 12 Abs. 1 DS-GVO)?

– Haben Sie Verfahren eingerichtet, um Anträge auf Datenübertragbarkeit betroffener Personen erfüllen zu können (Art. 20 DS-GVO)?

Sobald keine gesetzliche Grundlage (z.B. berufsrechtliche Aufbewahrungspflicht, § 50 Abs. 1 BRAO) mehr für die Speicherung von personenbezogenen Daten besteht, sind diese zu löschen. Dies ergibt sich aus dem Grundsatz nach Art. 5 Abs. 1 e) DS-GVO („Speicherbegrenzung“)und Art.17 DS-GVO. Allerdings ist in diesem Zusammenhang Art. 17 Abs. 3 b) DS-GVO zu beachten, der vorsieht, dass die Löschung nicht vorgenommen werden muss, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erfolgt, die die Verarbeitung erfordert. Dies kann z.B. im Hinblick auf § 43a Abs. 4 BRAO gegeben sein, der eine Interessenkollisionsprüfung bei Übernahme eines Mandats vorsieht oder im
Hinblick auf steuerrechtliche Aufbewahrungspflichten.

– Wie haben Sie sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Mandats in Ihrer Kanzlei in Hinblick auf die Löschung von Daten Berücksichtigung finden (datenschutzfreundliche Voreinstellungen, Art. 25 DS-GVO)?

– Haben Sie ein Verfahren eingerichtet, um begründete Anträge von betroffenen Personen auf Löschung (Art. 17 DS-GVO) und Einschränkung der Verarbeitung (Art. 18 DS -GVO) erfüllen zu können?

Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind viele Standardmaßnahmen hilfreich. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, Firewall, regelmäßige Backups, Virenscanner und Benutzerrechte. Bei der Kommunikation mit Mandanten ist darauf zu achten, dass eine ausreichende Verschlüsselung eingesetzt wird.

– Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die neuen Anforderungen des Art. 32 DS-GVO angepasst?

– Haben Sie insbesondere bestehende Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen durch eine risikoorientierte Betrachtungsweise auf Basis der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten ersetzt?

– Wurde ein geeignetes Managementsystem zur regelmäßigen Überprüfung, Bewertung und Verbesserung der Security

-Maßnahmen umgesetzt?

– Wurden Schutzmaßnahmen wie Pseudonymisierung und der Einsatz von kryptographischen Verfahren zum Schutz vor unbefugten oder unrechtmäßigen Verarbeitungen sowohl bezüglich externer als auch interner „Angreifer“ umgesetzt?

– Haben Sie die Daten z.B. bei der Verwendung mobiler Datenträger (z.B. Laptop) außerhalb der Kanzlei, z.B. durch Verschlüsselung besonders gesichert?

– Werden Altgeräte bzw. Altdatenträger (z.B. Kopierer mit Festplatte) vor der Abgabe an Dritte sicher gelöscht?

– Werden Altakten datenschutz- und berufsrechtsgerecht entsorgt?

Sobald Verantwortliche Dienstleistungen (z.B. IT-Wartung oder Webhosting) in Anspruch nehmen, um personenbezogene Daten in Ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein Vertrag zur Auftragsverarbeitung erforderlich (Art. 28 DS-GVO). Muster der DSK finden sie hier. Eine Datenverarbeitung durch das besondere elektronische Anwaltspostfach (beA)beruht auf gesetzlicher Grundlage und stellt keine Auftragsdatenverarbeitung im Sinne des Art. 28 DS-GVO dar.

– Haben Sie eine Übersicht über die Auftragsverarbeiter?

– Haben Sie mit allen Ihren Auftragsverarbeitern (z. B. mit. dem IT-Dienstleister für Webseite und Wartung der Kanzlei-IT) die erforderlichen Vereinbarungen mit dem Mindestinhalt nach Art. 28 Abs. 3 DS-GVO abgeschlossen?

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Mandantendaten), so bestehen gesetzliche Meldepflichten, u.U. kann die Aufsichtsbehörde unter Wahrung der Verschwiegenheit in Kenntnis zu setzen sein.

– Haben Sie gem. Art. 33 DS

-GVO sichergestellt, dass eine Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden möglich ist?

– Haben Sie insbesondere sichergestellt, dass Datenschutzverletzungen in Ihrer Kanzlei erkannt werden können?

– Haben Sie dazu eine geeignete Methode zur Ermittlung eines Risikos bzw. eines hohen Risikos in Ihrer Kanzlei eingeführt?

– Haben Sie einen Prozess aufgesetzt, wie mit potentiellen Verletzungen kanzleiintern umzugehen ist?

– Haben Sie festgelegt, wer, wann und wie mit der für Sie zuständigen Datenschutzaufsichtsbehörde kommuniziert?

– Haben Sie Verfahren eingerichtet, um Ihre
Benachrichtigungspflicht gegenüber betroffenen Personen erfüllen zu können
z. B. beim Verlust von Mitarbeiterdaten (Art. 34 DS-GVO, § 29 BDSG-neu)?

Im Regelfallmüssen Rechtsanwälte keine Datenschutzfolgenabschätzung durchführen. Nur bei Zweifelsfällen muss ausnahmsweise eine Datenschutz -Folgenabschätzung gem. Art. 35 DS-GVO durch Rechtsanwälte durchgeführt werden. Erwägungsgrund 91, S.4 und 5 zur DS-GVO sieht eine Ausnahme für Einzelanwälte vor.

Wenn eine Datenverarbeitung vorliegt, die eine Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO erfordert, muss gem. § 38 Abs. 1 Satz 2 BDSG-neu ein Datenschutzbeauftragter benannt werden, unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen. Dies ist jedoch, wie erwähnt, der Ausnahmefall.

Bei Rechtsanwälten mit umfangreicher Tätigkeit insbesondere in den Bereichen der Art. 9 und 10 DS-GVO (z.B. Daten zur Religion, zur Gesundheit, zu Straftaten) sollte die Verpflichtung zur Datenschutz-Folgenabschätzung (auch bei Unterschreitung der „10er-Grenze“) im Einzelfall geprüft werden.

– Haben Sie als Rechtsanwalt ausnahmsweise eine Datenschutz-Folgenabschätzung durchzuführen?

– Verarbeiten Sie besondere Kategorien von personenbezogenen Daten i. S. v. Art. 9 und 10 DS-GVO, z. B. Gesundheitsdaten in umfangreicher Weise?

– Haben Sie sich für einen Prozess der Datenschutz-Folgenabschätzung entschieden; haben Sie diesen schon einmal getestet?