DSGVO: Pflichten des Rechtsanwalts!

Morgen (Stichtag: 25.5.2018) wird die Europäische Datenschutzgrundverordnung (DSGVO) wirksam; gleichzeitig tritt eine Neufassung des Bundesdatenschutzgesetztes (BDSG-NEU) in Kraft. Beide Vorhaben haben auch Auswirkungen auf Rechtsanwälte.

Informationspflicht gegenüber dem Mandanten

Nach Art. 13 DSGVO hat der Verantwortliche die betroffene Person bei Erhebung personenbezogener Daten umfassend, u.a. über die mit der Erhebung verfolgten Zwecke, die Rechtsgrundlage(n), auf die sich die Verarbeitung stützt, und die nach der DSGVO bestehenden Betroffenenrechte zu informieren. Diese Informationspflicht trifft auch den Rechtsanwalt gegenüber seinen Mandanten und Mitarbeitern: Die Information ist elektronisch oder in Textform abzufassen und der betroffenen Person (aktiv) zu übermitteln. Es reicht also nicht aus, Informationen lediglich zum Download bereitzuhalten.

Anpassung des Procederes der Mandatsannahme

Das Procedere der Mandatsannahme ist entsprechend anzupassen und die Aushändigung der Erstinformation an den Mandanten ist sicherzustellen; ebenso sollten Arbeitsverträge mit neuen Mitarbeitern um entsprechende Informationen ergänzt bzw. erweitert werden (zu den Auswirkungen der DSGVO im Arbeitsrecht s. Holthausen ZAP F. 17, S. 1303).

Keine Ausnahmen von der Informationspflicht

Anders als gegenüber Dritten, denen der Rechtsanwalt im Rahmen der Erfüllung seiner Verpflichtungen aus dem Mandatsvertrag begegnet, sind Ausnahmen von der Informationspflicht gegenüber Mandanten und Mitarbeitern grundsätzlich nicht vorgesehen. Wer hier nicht handelt, riskiert nicht nur erhebliche Ordnungsgelder (Art. 83 DSGVO), sondern auch wettbewerbsrechtliche Unterlassungsansprüche und zivilrechtliche Inanspruchnahmen auf Schadenersatz (zu Musterinformationen s. Kazemi, Die EU-Datenschutzgrundverordnung und das DSAnpUG-EU/BDSG-NEU in der eigenen Kanzlei – erscheint im Mai 2018 bei Soldan).

Datenschutzbeauftragter – Ja oder Nein?

Ebenfalls sollte geklärt werden, ob eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) besteht, denn auch hier gilt für den Rechtsanwalt keine Erleichterung. So sind Kanzleien, die regelmäßig mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befassen, zur Bestellung eines betrieblichen DSB verpflichtet. Bei der Zählung außen vor bleiben dabei Mitarbeiter, die nicht mit Datenverarbeitungen betraut sind, wie beispielsweise Reinigungskräfte. Dazu zählen, wenn auch nach umstrittener Meinung, jedoch auch die Inhaber/Partner der Kanzlei.

Wer die 10-Personen-Grenze nicht erreicht, kann u.U. nach Art. 37 DSGVO gleichwohl zur Bestellung verpflichtet sein, wenn sein Tätigkeitsschwerpunkt in der umfangreichen Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) oder von Strafdaten (Art. 10 DSGVO) besteht. Wann eine solche „umfangreiche“ Tätigkeit angenommen werden muss, ist im Einzelnen umstritten, sie kann jedoch bei Kanzleien mit weniger als zehn Mitarbeitern durchaus vorliegen. Ebenso zur Bestellung eines DSB verpflichtet können Kolleginnen und Kollegen sein, die sich mit der „umfangreichen Überwachung“ natürlicher Personen beschäftigen, beispielsweise auf die Forderungseinziehung spezialisierte Kanzleien oder solche, die mit ausgefeilten Automatisierungstechniken arbeiten. Im Zweifelsfall sollte die für die Kanzlei zuständige Aufsichtsbehörde um Rat ersucht werden, denn auch die Nichtbestellung eines DSB kann bei bestehender Verpflichtung erhebliche Ordnungsgelder nach sich ziehen.

Datenschutzfolgenabschätzung gem. Art. 35 DSGVO

Kommt man zu dem Ergebnis, dass eine Verpflichtung zur Bestellung eines DSB nach Art. 37 DSGVO besteht, liegt auch die Wahrscheinlichkeit nahe, dass der Rechtsanwalt zugleich zur Anfertigung einer sog. Datenschutzfolgenabschätzung verpflichtet ist. Die Anforderungen an eine solche sind in Art. 35 DSGVO niedergelegt. Gibt es eine Umsetzungspflicht, besteht Handlungsbedarf, denn die Anfertigung erfordert Zeit und ist recht aufwendig. Jeder maßgebliche Prozess in der Kanzlei, in dem personenbezogene Daten verarbeitet werden (z.B. Mandatsannahme, Klageerhebung, Recherchen usw.), ist zu beschreiben, die Rechtsgrundlagen der jeweiligen Verarbeitung sind niederzulegen, Zwecke zu bestimmen sowie Risiken der Verarbeitung zu eruieren.

Unerlässlich: Verzeichnis über Verarbeitungstätigkeiten

Schließlich muss (!) jede Rechtsanwaltskanzlei ein sog. Verzeichnis über Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Dieses ähnelt dem bereits aus dem BDSG 2009 (§ 4d) bekannten sog. Verfahrensverzeichnis, ist jedoch mit diesem nicht gänzlich identisch. Insbesondere die in Deutschland bislang vorzufindende Unterscheidung zwischen dem sog. Jedermanns-Verzeichnis und dem nicht-öffentlichen Verfahrensverzeichnis existiert in der DSGVO nicht. Das Verarbeitungsverzeichnis ist insoweit dem Betroffenen gegenüber nicht offenzulegen, sondern dient allein der Informationsverschaffung durch die zuständige Aufsichtsbehörde. Nach Art. 30 Abs. 3 DSGVO ist das Verzeichnis über Verarbeitungstätigkeiten „schriftlich zu führen“, was auch in einem elektronischen Format, also auch in der im deutschen Recht bekannten Textform, erfolgen kann.

Unverzichtbar: Sicherheit und Verfügbarkeit der Datenverarbeitung

Nach Art. 24 Abs. 1 DSGVO ist der Verantwortliche – und damit auch der Rechtsanwalt – verpflichtet, sicherzustellen und nachzuweisen, dass die von ihm vollzogenen Verarbeitungen unter Einhaltung der DSGVO erfolgen. Hierzu hat er unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen und – dort wo dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht – „geeignete Datenschutzvorkehrungen“ (Art. 24 Abs. 2 DSGVO) zu etablieren. Hierzu zählt z.B. die Verpflichtung, die Vertraulichkeit eingesetzter Systeme (Hardware) und Dienste (Software) sicherzustellen, was zwingend die Etablierung eines entsprechenden Zugriffskonzepts bedingt.

Weithin ist Verfügbarkeit sicherzustellen: Damit ist die jederzeitige Betriebsbereitschaft von Systemen und Diensten, im Sinne der Sicherstellung einer „jederzeitigen Nutzbarkeit“, angesprochen. Diese kann durch verschiedene äußere wie innere Einflüsse gefährdet sein. So kann Hardware defekt sein, ein plötzlicher Stromausfall kann Schäden an Datenbanken auslösen, ein Blitzschlag kann Unternehmensnetzwerke ebenso vollständig zerstören wie Feuer oder Wasser; auch Sabotage kann die Integrität von Systemen schädigen. Entsprechend vielfältig und umfangreich können daher auch die Maßnahmen zur Sicherstellung von Integrität ausfallen. Dies beginnt bei der richtigen Verkabelung, der richtigen Standortwahl und der effektiven Absicherung der Systeme gegen unberechtigten Zugriff durch Dritte. Ebenso können Wartungs- und Austauschpläne erforderlich sein. Unter Umständen sind Systeme redundant vorzuhalten, mit einer unabhängigen Stromversorgung (USV) und einem professionellen Blitzschutz zu versehen, RAID-Systeme einzusetzen und/oder eine hinreichende Klimatisierung der IT-Anlagen sowie Brandmeldeeinrichtungen und Löschanlagen im Bereich der zentralen IT oder eine redundante elektrische Versorgung zu installieren. Lassen Sie sich hier durch technisch versierte Berater unterstützen.

Fazit

Die Verpflichtungen, die die DSGVO für den Rechtsanwalt – insbesondere bzgl. seiner Kanzleiorganisation – mit sich bringt, sind keine grundlegend anderen als diejenigen, die ihn in weiten Teilen schon vor dem 25.5.2018 trafen. Vor dem Hintergrund des Wirksamwerdens der DSGVO sollte man sich jedoch die Zeit nehmen, um seine Prozesse zu überprüfen, und ggf. handeln!

Rechtsanwalt Dr. Robert Kazemi, Bonn

Der Beitrag wurde von der Redaktion der Zeitschrift für die Anwaltspraxis zur Verfügung gestellt.

 

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.