Die datenschutzkonforme Organisation der Datenverarbeitung ist auch in Anwaltskanzleien Leitungsaufgabe. Viele Anwälte haben inzwischen Grundmaßnahmen zum Schutz der personenbezogenen Daten ihrer Mandanten ergriffen und sind sich durchaus bewusst, dass die Daten, die in familienrechtlichen, arbeitsrechtlichen, arzthaftungsrechtlichen, unfallrechtlichen sowie strafrechtlichen Mandaten erhoben und verarbeitet werden, besonders sensibel sind.
Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO), zu der am 12. Mai 2017 das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) verabschiedet wurde, in allen EU-Mitgliedsstaaten unmittelbar wirksam. Nun entsteht Handlungsbedarf, bis zum 24. Mai 2018 die organisatorischen und technischen Maßnahmen zum Datenschutz zu überprüfen, neu aufzustellen und die Mitarbeiter sowie die an der Mandatsarbeit mitwirkenden sonstigen Personen zu informieren und zu verpflichten.
Dies betrifft alle Anwälte, wobei für in Europa grenzüberschreitend tätige Kanzleien aufgrund der Harmonisierung durch die DSGVO eine Erleichterung eintritt. Ein(e) Datenschutzbeauftragte(r) ist nunmehr zu benennen, wenn die Kanzlei mindestens zehn Personen ständig mit der Datenverarbeitung beschäftigt, andernfalls ist die Aufgabe durch die Kanzleileitung als verantwortliche Stelle selbst wahrzunehmen.
Die Kanzlei sollte die datenverarbeitenden Systeme in Form eines Verfahrensverzeichnisses niedergelegt haben und muss dieses jetzt als Verzeichnis von Verarbeitungstätigkeiten führen. Dieses umfasst eine Risikobewertung für die Verarbeitung der personenbezogenen Daten und eine Bewertung des Erfordernisses der Erhebung und der Verarbeitung an sich sowie den Zeitpunkt der möglichen Löschung, die sog. Datenschutzfolgenabwägung (Privacy Impact Assessment – PIA).
Ferner ist zu analysieren, welche dritten Dienstleister mit in die Verarbeitung von personenbezogenen Daten einbezogen sind. Mit diesen ist aus datenschutzrechtlicher Sicht eine neue Auftragsverarbeitungsvereinbarung (AVV) – vormals Auftragsdatenverarbeitungsvereinbarung (ADV) – abzuschließen. Bestandteil der AVV ist wiederum die Darstellung der zur Wahrung der IT- und Datensicherheit getroffenen technischen und organisatorischen Maßnahmen, wobei aber über die standardisierte Anlage TOM (technische und organisatorische Maßnahmen nach Anlage zu § 9 BDSG) hinaus ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung aufzunehmen ist.
Neu ist, dass die datenverarbeitende Stelle dem Betroffenen zur Rechenschaft über die ergriffenen Maßnahmen verpflichtet ist, d.h. es muss im Zweifel der Nachweis geführt werden, dass die Maßnahmen geeignet waren und tatsächlich umgesetzt wurden, wenn ein Betroffener sich mit dem Vorwurf eines vermeintlichen Datenschutzverstoßes an die Anwaltskanzlei wendet. Auftragsverarbeiter haben einen Datenschutzbeauftragten zu benennen und sind ihrerseits mit In-krafttreten der DSGVO für den Schutz der Daten verantwortlich – neben der „Herrin der Daten“, in diesem Fall die Anwaltskanzlei. Die Vereinbarung mit dem Auftragsverarbeiter kann nach der Gesetzesänderung zukünftig in Textform erfolgen und hat neben der Verpflichtung auf den Datenschutz auch die Verpflichtung auf die Vertraulichkeit aus berufs- und strafrechtlicher Sicht zu umfassen.
Die DSGVO bringt umfangreiche Verpflichtungen mit sich, den Betroffenen zu informieren, wenn personenbezogene Daten nicht bei ihm selbst erhoben werden. Zudem besteht eine Auskunftspflicht über die erhobenen, verarbeiteten bzw. gespeicherten Daten sowie deren etwaige Löschung. Hier stellt § 33 Abs. 1 Ziffer 2 a) DSAnpUG-EU klar, dass eine Informationspflicht über die Erhebung bei Dritten im Falle der Datenerhebung zur Durchsetzung von zivilrechtlichen Ansprüchen nur im Ausnahmefall besteht, wenn die Interessen des Betroffenen überwiegen. Art. 14 Abs. 5 d) DSGVO stellt klar, dass die Informationspflicht immer dann nicht besteht, wenn die betreffenden Daten dem Berufsgeheimnis nach dem EU-Recht oder dem Recht des Mitgliedstaates unterliegen. Sofern keine Informationspflicht besteht, besteht auch kein Auskunftsrecht nach Art. 15 DSGVO, wie § 34 Abs. 1 Ziffer 1 DSAnpUG-EU festlegt.
§ 29 Abs. 3 DSAnpUG-EU gibt vor, dass die Untersuchungsbefugnis der Datenschutzaufsichtsbehörden dort endet, wo dies zu einem Verstoß gegen die Geheimhaltungspflichten der untersuchten Kanzlei – auch bei deren Auftragsverarbeiter – führen würde. Mandatsdaten, die der Aufsichtsbehörde im Rahmen einer solchen Untersuchung zur Kenntnis gelangen würden, unterlägen auch der Geheimhaltungspflicht der Aufsichtsbehörde.