Beiträge

Sichere Kanzleisoftware: Worauf man beim Kauf achten sollte

Kanzleien verarbeiten sensible Daten. Deshalb muss Datenschutz bei der Entscheidung für eine Kanzleisoftware von Anfang an einen besonderen Stellenwert einnehmen. Und das schon bei der Softwareentwicklung. Nur so können die Sicherheit sensibler Mandanten-Daten gewährleistet und die Anforderungen der DSGVO erfüllt werden. Für den rechtssicheren und datenschutzkonformen Umgang mit diesen Daten ist die Kanzlei immer selbst verantwortlich.

Datenschutz von Anfang an

Seit Inkrafttreten der DSGVO hat sich das Thema Datenschutz stärker im Bewusstsein der Wirtschaft und beratender Anwälte verankert. Auch wenn es ihn schon vor dem 25.05.2018 gab, hat niemand darüber gesprochen. Heute ist das Thema in aller Munde. Mit dem Wirksamwerden der DSGVO veränderten sich die auch die Anforderungen an Kanzleien stark. Der Betroffene, die Person, die ihre Daten zur Verarbeitung überlässt, steht im Zentrum. Hauptthema: die digitale Verarbeitung der Daten – Data Protection by Design und Data Protection by Default. Die DSGVO widmet diesen zentralen Prinzipien des Datenschutzes sogar einen eigenen Artikel: Artikel 25. Das unterstreicht die Wichtigkeit der Betroffenenrechte als zentralen Ausgangpunkt aller Regelungen rund um den Datenschutz.

Die Verordnung lässt im Einzelnen offen, was genau zu tun ist. Allerdings erklärt sie, was das für den Einsatz von Datenverarbeitungsverfahren bedeutet: Sie sollen dem „Stand der Technik“ entsprechen und den Verantwortlichen dazu in die Lage versetzen, seinen Datenschutzverpflichtungen nachzukommen (Art 25/32 DSGVO und Erwägungsgrund 78).

Worauf beim Kauf von Kanzleisoftware zu achten ist

Nicht neu ist, dass technische Standards beim Einsatz von Software die Datensicherheit gewährleisten sollen. Neu ist aber, dass sich diese Anforderungen von der Erhebung bis zur Löschung an den Rechten der betroffenen Personen orientieren sollen. Das bedeutet, dass bereits in der Planungsphase folgende Fragen berücksichtigt werden müssen:

  • Wie kann ich die Rechtevergabe in meiner Software steuern?
  • Kann ich Datensätze einschränken und kann ich sie nachweisbar löschen?
  • Wie verwalte ich die verarbeiteten Daten von der Erfassung bis zum Abschluss so, dass der Zugriff immer den beabsichtigten Zwecken entspricht?
  • Ist meine Software auch auf die Arbeit im Homeoffice ausgelegt?

Das ist nur ein kleiner Ausschnitt aus einem großen Portfolio relevanter Fragestellungen im Sinne der DSGVO. Denn bei Beschwerden von Betroffenen oder Prüfhandlungen der Aufsichtsbehörden wird die Frage, ob die gewählte Lösung alles kann, was sie können muss, zur bußgeldbewährten Quizfrage.

Konsequenzen für Kanzleien ohne sichere Software

Manchmal spielt es nicht nur eine Rolle, ob eine Anforderung irgendwie über drei Umwege nachgewiesen werden kann. Es geht auch darum, ob sie es „benutzerfreundlich“ kann. Betroffenen soll es jederzeit leicht gemacht werden, Auskünfte zu bekommen, Benutzer sollen ohne komplizierte Operationen Schutzmaßnahmen durch Einstellungen vornehmen oder einen Lösch- bzw. Einschränkungsvorgang auf den Weg bringen können. Hinter dem Prinzip „Data Protection by Default“ verbirgt sich die Erwartung, dass solche Einstellungen nach Möglichkeit antizipieren, was an Datenschutzmaßnahmen erforderlich ist.

Diese dem Erwerber der Software mit Art. 25 auferlegte Pflicht ist umso leichter zu erfüllen, je mehr die ausgewählte Lösung bereits brauchbare Strategien anbietet, um in der jeweiligen Situation richtig zu reagieren.

Dass das manchmal gar nicht so leicht ist, zeigt sich am Beispiel des höchsten Bußgeldes seit Inkrafttreten der DSGVO. Es wurde in Höhe von 14,5 Millionen Euro gegen eine Wohnungsgesellschaft verhängt. Diese hatte versäumt dafür zu sorgen, dass das von ihr angewendete Archivsystem auch die Löschung von Daten vorsieht. Klingt fast zu einfach, ist aber wahr. Wahr ist auch, dass ein hoher Prozentsatz an Rechtsanwaltskanzleien diese Themen immer weit nach hinten schiebt. Fragen danach, wie und wann Daten einzuschränken sind, wann welche Daten zu löschen sind und wie ich diese Informationen für den Betroffenen bereithalten kann, bleiben häufig unbeantwortet. Dass und wie die geeignete Softwareanwendung unterstützen kann, wird dadurch umso wichtiger. Wenn die Anwendung in der Lage ist, meine Anforderungen bereits so abzubilden, dass die DSGVO-Konformität gewahrt ist, muss der Verantwortliche sich nicht mit Themen auseinandersetzen, für die er ungerne Zeit erübrigt.

Fazit

Seien Sie kritisch beim Softwarekauf. Scheinbar unscheinbare Probleme können zu mächtigen Konsequenzen führen, wenn eine Entscheidung zum Einsatz eines Datenverarbeitungsverfahrens nicht wohl überdacht ist. Es empfiehlt sich, beim Hersteller aktiv nachzufragen, Datenschutzfeatures zu hinterfragen. Beim Kauf und bei der Planung zum Einsatz einer Software sollten Kanzleien sich überlegen: Auf was muss ich vorbereitet sein und wie leicht macht es mir die vorgestellte Software?

Der Autor

Diplom-Kaufmann Fritz Spaeder ist Head of Consultants bei der STP AG. Er berät Rechtsanwaltskanzleien in Organisationsfragen und unterstützt Zertifizierungsvorhaben in Kanzleien. Er ist Systemischer Coach und zertifizierter Datenschutzbeauftragter (IHK). Als externer Datenschutzbeauftragter ist er derzeit in mehr als 20 Kanzleien aktiv.

Diese Beiträge könnten Sie auch interessieren:

5 weitere Tipps für mehr Datenschutz in Ihrer Kanzlei – Teil 2

 
6. Anfangen ist immer besser als (ab)warten

Wie schon in anderen Lebensbereichen gilt auch hier, dass der Weg nicht nur das Ziel ist, sondern sein muss. Mit dem Datenschutz anzufangen heißt, zu beginnen sich damit auseinanderzusetzen. Datenschutz ist ein immerwährender Prozess und kein statischer Zustand, der einfach aus der Box heraus gekauft und errichtet werden kann. Deshalb ist nicht das Abwarten, sondern nur das Anfangen die einzige Option. Natürlich wird es wohl nie 100% Datenschutz geben, wohl aber einen lohnenden Weg dorthin, um einen möglichst hohen Umsetzungsgrad zu erreichen. Weiterlesen

10 Tipps für mehr Datenschutz in Ihrer Kanzlei – Teil 1 mit den ersten 5 Tipps

1. Datenschutz ist Chefsache

Eine Kanzlei steht beim Thema Datenschutz immer als Ganzes im Fokus. Das bedeutet, ein wenig Datenschutz, also nur in der einen oder anderen Abteilung oder bei einem Teil der Belegschaft, reicht nicht aus. Es müssen alle Beschäftigten an dem sogenannten, gemeinsamen Strang ziehen. Daher ist es von Beginn an wichtig, dass die Bedeutung des Datenschutzes auch der gesamten Belegschaft richtig vermittelt und diese dafür sensibilisiert wird. Weiterlesen

Datenschutz im Insolvenzverfahren – Welche Änderungen hat die DS-GVO gebracht?

Spätestens seit Inkrafttreten der DS-GVO im vergangenen Jahr wird ein rechtssicherer Datenschutz immer wichtiger. Dies gilt auch für Sanierungskanzleien und Insolvenzverwalter. Unsere heutigen Gesprächspartner Nico Reisener und Christian Weiß, Autoren des Buches „Datenschutz in der Insolvenzkanzlei“, sind sich sicher, dass Daten und dem Datenschutz in der Insolvenzkanzlei auch zukünftig ein besonderer Stellenwert zukommen wird. Weiterlesen

Die neue Datenschutzgrundverordnung….

…kommt und mit ihr viele wichtige Änderungen.

Hier finden Sie ein Video, in dem Dr. Marcus Helfrich die neuen Regelungen vorstellt.

Gute Unterhaltung wünscht Ihnen

RA Katharina Nitsch und das Kanzleiforum Team

IT-Sicherheit und Datenschutz in der Kanzlei, Beitrag von Dr. Sebastian Kraska

Das Thema IT-Sicherheit rückt gerade durch die EU-Datenschutzgrundverordnung in den Fokus der Unternehmen. Dies schließt in gleicher Weise Rechtsanwaltskanzleien ein, die zur Gewährleistung der Vertraulichkeit von Mandanteninformationen ein besonderes Augenmerk auf sichere IT-Systeme legen müssen.

Rechtsanwaltskanzleien sind daher verpflichtet, grundlegende IT-Standards zu beachten. Das Bundesdatenschutzgesetz („BDSG“) verpflichtet datenverarbeitende Betriebe in § 9 BDSG bzw. in der konkretisierenden Anlage dazu, die „innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird“. Dabei werden insb. Maßnahmen zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Datentrennung und Verschlüsselung erwähnt. Auch die EU-Datenschutzgrundverordnung kennt mit Artikel 32 eine vergleichbare Verpflichtung zum Einsatz von dem Stand der Technik entsprechenden IT-Systemen. Weiterlesen