5 weitere Tipps für mehr Datenschutz in Ihrer Kanzlei – Teil 2

 
6. Anfangen ist immer besser als (ab)warten

Wie schon in anderen Lebensbereichen gilt auch hier, dass der Weg nicht nur das Ziel ist, sondern sein muss. Mit dem Datenschutz anzufangen heißt, zu beginnen sich damit auseinanderzusetzen. Datenschutz ist ein immerwährender Prozess und kein statischer Zustand, der einfach aus der Box heraus gekauft und errichtet werden kann. Deshalb ist nicht das Abwarten, sondern nur das Anfangen die einzige Option. Natürlich wird es wohl nie 100% Datenschutz geben, wohl aber einen lohnenden Weg dorthin, um einen möglichst hohen Umsetzungsgrad zu erreichen.

Überrascht sind unsere Kunden schon zu Beginn unserer Tätigkeiten, denn bereits einfache technische und/oder organisatorische Maßnahmen können die ersten wichtigen Meter auf diesem Wege ausmachen. Nicht selten sind es historisch oder alltagsbedingt eingeschliffene Verfahren oder Verhaltensweisen, die, wenn sie wieder neu justiert werden, bereits erste, kurzfristige Erfolge hervorbringen können. Das fängt mit nicht beaufsichtigten, nicht abgeschlossenen Schränken und Räumen mit sensiblen Daten an, geht weiter über einen fehlenden Überblick über die Zugangsberechtigungen auf IT-Systemen oder aber dem richtigen Umgang bei der Vernichtung von Dokumenten, weiterhin offen stehenden Fenstern im Erdgeschoss bei unbesetzten Räumen der Personalabteilung, vertragliche Vereinbarungen mit Dienstleistern und so weiter. Die Liste dieser Situationen ist lang. Sich dem Thema Datenschutz zuzuwenden, stellt einen ersten, aber sehr wichtiger Schritt dar. Bitte starten Sie durch und warten Sie nicht mehr ab.

7. Die Terrassentür

Schließen Sie die Eingangstür Ihres Hauses oder Ihrer Wohnung ab? Sehr wahrscheinlich werden Sie das tun. Neuere Eingangstüren werden nicht selten sehr stabil und einbruchshemmend ausgeführt, denn niemand möchte ja, dass ein Unbefugter sich so einfach Zutritt durch den Haupteingang zu Ihren privaten Räumen verschafft. Was ist aber mit einer Terrassen- oder Balkontür? Ist diese auch so stabil ausgeführt? Oft nicht, weswegen Einbrüche eher über Terrassen oder Balkone ausgeführt werden. Und was hat das mit Datenschutz zu tun?

Auch in Ihrer Kanzlei gibt es verschiedene Zugänge zu den Geschäftsräumen. Je nachdem, ob sich diese Zugänge zum Beispiel auf einem eigenen Gelände, an einer öffentlichen Straße im Erdgeschoss oder in einem Gemeinschaftshaus befinden, sind unterschiedlich viele und unterschiedliche Typen von Zugängen vorhanden. Das schwächste Glied in einer Kette entscheidet dann letztendlich über den Gesamtschutz im Zutrittsbereich.

Es geht also auch beim Datenschutz darum, die Zutrittsmöglichkeiten genauer anzusehen und zu bewerten. Dazu zählen auch Fenster und Kellerschächte, die zwar nicht als normale Zutrittsmöglichkeit zu sehen sind, aber durchaus für unbefugte Dritte von Interesse sein können.

8. Einfach mal einfach machen

Die DSGVO ist eine europäische Verordnung und gliedert sich in dutzende Artikel. Darin sind u.a. sogenannte Verantwortliche definiert, wozu auch Kanzleien gehören, die personenbezogene Daten verarbeiten. Diese Verordnung verpflichtet die Verantwortlichen den Datenschutz umzusetzen, doch in der Praxis ist das gar nicht so einfach, scheint es. Denn aus den Gesetzestexten, den juristischen Formulierungen, notwendige, sinnvolle und unternehmenstaugliche Maßnahmen abzuleiten, stellt viele Verantwortlichen praktisch vor ein Problem.

Wie ist die DSGVO zu verstehen, auszulegen bzw. zu interpretieren, was ist zu tun, wie, durch wen oder was, wann und womit?

Das führt nicht selten dazu, dass die Verantwortlichen, trotz der Verpflichtung zur Einhaltung der DSGVO, mit der Umsetzung mitunter überfordert sind und das Thema erst einmal auf Wiedervorlage legen. Unseren Kunden begegnen wir derart, dass wir weniger die juristischen Formulierungen in den Vordergrund stellen, sondern vielmehr die damit sinnvollen praktischen Maßnahmen näherbringen, natürlich jeweils im Kontext des Verantwortlichen bzw. des Unternehmens. Durch die Veranschaulichung mittels dieser praxisorientierten Möglichkeiten fällt es den Verantwortlichen einerseits deutlich leichter diese Verordnung inhaltlich zu verstehen und andererseits dementsprechende Entscheidungen zur Umsetzung einfacher zu treffen.

9. Mehr Praxis als Theorie

Eine Umsetzung von Theorie in die Praxis ist für viele nicht nur im Zusammenhang mit dem Datenschutz eine Herausforderung. Praktische Erfahrungen, entsprechende praktische Kenntnisse und Fertigkeiten sind häufig eine wesentliche Voraussetzung für eine effiziente und erfolgreiche Umsetzung. Selten haben KMUs Personal an Bord, um IT-technische und damit verbundene prozesstechnische Themen zu bearbeiten. Bereits bei der IT-Technik wird selbstverständlich häufig auf externe Dienstleister zurückgegriffen, um kein eigenes Personal dafür vorhalten zu müssen. Unternehmen und auch Kanzleien nutzen ihre eigenen IT-Systeme quasi als reiner Anwender und geben dazu erforderliche Vorgaben dem IT-Dienstleister vor. Selten sind dadurch bei den Beschäftigten noch grundlegende Kenntnisse über IT-Technik und der IT-Administration erforderlich, denn es wird sich mehr auf funktionaler Ebene mit dem IT-Dienstleister abgestimmt.

Doch dadurch wird es nun für den Kanzleiinhaber schwieriger, sich mit dem Datenschutz auseinanderzusetzen, weil die damit verbundenen Themen IT-Kenntnisse des eigenen Systems und auch gewisse IT-Grundkenntnisse voraussetzen. Wie zum Beispiel bei der Frage der vorhandenen Zugangsberechtigungen zu den eigenen IT-Systemen und Datenbereichen der Kanzlei. Diese werden häufig über Nutzernamen und Passwörter gesteuert, welche die Zugriffe auf Datenbereiche gestatten oder sperren. Verantwortliche müssen dafür Sorge tragen, dass nur diejenigen Personen Zugriff auf die personenbezogenen Daten erhalten, die sie für ihre Tätigkeit benötigen. Beispielsweise sollten deshalb auch die Datenbereiche der Personalabteilung nicht für jeden Beschäftigten im Zugriff sein. Das regeln die Zugangsberechtigungen.

Die Kontrolle darüber obliegt nach der DSGVO dem Verantwortlichen. Doch dieser kennt den tatsächlichen Zustand, welcher in den IT-Systemen eingestellt ist, oft nur vom Hören und Sagen des IT-Dienstleisters bzw. beurteilt er die Korrektheit möglicherweise auf das Funktionieren aller benötigten Zugriffe, also dass das Personal arbeiten kann. Übersehen wird dabei regelmäßig, dass auch durch versetztes und ausgeschiedenes Personal entsprechend vorherige Zugriffberechtigungen wieder angepasst oder gar entzogen werden müssen. Es braucht also auf Seiten des Verantwortlichen zur Beurteilung der korrekten, praktischen Umsetzung des Datenschutzes mehr Praxiswissen als Theorie, um Sachverhalte verstehen und nachvollziehen zu können und damit in die Lage versetzt zu sein, ihrer Verantwortung als Verantwortliche gegenüber dem Datenschutz nachkommen zu können.

10. Datenschutzbeauftragte(r) ja oder nein

Ein vieldiskutiertes Thema ist die Frage, ob Sie einen Datenschutzbeauftragten benennen müssen oder nicht. Es würde an dieser Stelle zu weit führen alle Kriterien aufzuführen, die eine Kanzlei dazu verpflichten, eine(n) Datenschutzbeauftragte(n) zu benennen. Nehmen wir an, Sie hätten nach der DSGVO und auf Grund der Ausprägung keinen Datenschutzbeauftragten zu benennen. Unabhängig davon, ob es ein interner oder externer Datenschutzbeauftragter gewesen wäre, Sie sparen sich die dafür erforderlichen Personal- und ggfs. Ausbildungskosten.

Doch entbindet dies die Kanzlei die DSGVO einzuhalten? Nein. Das bedeutet dann jedoch, dass alle erforderlichen technischen und organisatorischen Maßnahmen zur Einhaltung der DSGVO, wie sie unter anderem auch in obigen genannten Punkten kurz mit angerissen wurden, selbst identifiziert, bewertet, durchgeführt und auf Wirksamkeit überprüft werden müssen. Gibt es bei Ihnen Personen, die diese Kenntnisse und Fähigkeiten ohne Weiteres haben?

Unternehmen oder Kanzleien dieser Art könnten sich dazu hinreißen lassen, sich dem Thema DSGVO nicht zuzuwenden und riskieren, mit der DSGVO irgendwann in Konflikt zu geraten. Was würde sich jedoch an dieser Stelle anbieten, was können Sie tun? Sie können einen externen Datenschutzbeauftragten zur Unterstützung einbinden, um dann gemeinsam den initialen Datenschutz herzustellen. Zudem können interne Mitarbeiter eingewiesen werden, wie auch zukünftig der Datenschutz zu behandeln ist und selbstverständlich ist auch immer die Leitung mit einzubeziehen.

Am Ende stellt sich ihnen vielleicht die Frage, ob es dann nicht grundsätzlich sinnvoll ist, einen Datenschutzbeauftragten zu benennen, der sowohl über die erforderlichen Kenntnisse und zeitlichen Kapazitäten verfügt, um als Kanzlei den Anforderungen der DSGVO gerecht werden zu können. Wir würden dazu raten, doch die Antwort auf diese Frage liegt natürlich bei Ihnen.

Balzer/Buchberge
Datenschutz in Steuerberater-, Wirtschaftsprüfer- und Rechtsanwaltskanzleien
Praxisleitfaden
2020, 217 Seiten
Softcover € 49,80
ESV ISBN 978-3-503-18865-9

Autoren:
Thomas Balzer & Erhard Buchberger

Thomas Balzer, Dipl.-Ing. Nachrichtentechnik und Elektroinstallateur, ist seit fast 30 Jahren in der IT und dem Ingenieurbereich tätig, davon 20 Jahre in einem pharmazeutischen Großkonzern als IT-Administrator, IT-Berater und Betreuer (im Ingenieur-/Architektur- bzw. im CAD/CAE-Bereich) und als IT-Projektleiter für konzernübergreifende Projekte. Freiberuflich ist er heute u.a. mit der Erstellung von Datenschutzaudits betraut und als externer Datenschutzbeauftragter tätig. Seit 3 Jahren ist er gemeinsam mit Erhard Buchberger Geschäftsführer der B² Berlin Beratungsgesellschaft.

Erhard Buchberger, Dipl. Ing Luft- und Raumfahrt, blickt auf fast 40 Jahre Erfahrung mit Nutzer-orientierter Spezifikation, der Auswahl, Einführung und Anwendung komplexer IT-Systeme inkl. Migration von Altsystemen für Unternehmen unterschiedlichster Größen. Als Berater ist er heute u.a. für die Erstellung von Datenschutzaudits und als externer Datenschutzbeauftragter verantwortlich. Seit 3 Jahren ist er gemeinsam mit Thomas Balzer Geschäftsführer der B² Berlin Beratungsgesellschaft.

1 Antwort

Trackbacks & Pingbacks

Kommentare sind deaktiviert.