Die DSGVO umtreibt seit einigen Monaten fast die gesamte Unternehmerschaft Deutschlands. Mit Dr. Christoph Kurzböck von der international tätigen Kanzlei Rödl & Partner haben wir darüber gesprochen, wo er die Tücken bei der Umsetzung sieht und wie er diese Herausforderungen gemeistert hat.
Die DSGVO gilt natürlich auch für Kanzleien. Was ist diesen zu raten?
Bisher war unter Juristen umstritten, ob und in welchem Umfang das Datenschutzrecht in einer Anwaltskanzlei gilt. Unter Geltung der DSGVO ist diese Frage geklärt: Auch Kanzleien haben die umfangreichen Vorgaben der DSGVO zu beachten. Dies bedeutet zunächst, dass die Datenverarbeitungsverfahren in einem Verzeichnis zu erfassen sind. Wichtig ist auch die Sicherstellung der Informationspflichten. Konkret bedeutet dies, dass dem Mandanten der Umgang mit den personenbezogenen Daten zu erläutern ist. Auch die Arbeitsverträge mit den Mitarbeitern sind anzupassen. Es kann außerdem sein, dass ein Datenschutzbeauftragter zu bestellen ist. Ebenso sollten die Hinweise auf der Website kritisch geprüft werden. Nicht zuletzt sind auch sämtliche Maßnahmen für die Gewährleistung der Datensicherheit kritisch zu hinterfragen – wie ist die Kanzlei davor geschützt, wenn ein USB-Stick verloren geht oder ein Verschlüsselungs-Virus das Kanzleisystem befällt?
Viele Kanzleien verfallen angesichts der Fülle der Aufgaben, die die DSGVO erfordert in Panik. Wie sollten diese jetzt vorgehen?
Man sollte sich von der Vorstellung lösen, dass man von Anfang an sämtliche Verpflichtungen zu 100 Prozent erfüllen kann. Dazu sind die Verpflichtungen einerseits zu umfangreich und es gibt andererseits zu viele ungeklärte Fragen, zu denen sich erst in den nächsten Wochen und Monaten Meinungen herausbilden werden. Wichtig ist es, mit den zentralen Punkten zu beginnen. Wer einen Datenschutzbeauftragen benötigt, weil mehr als zehn Personen am Computer arbeiten, sollte einen bestellen. Auch das Verarbeitungsverzeichnis ist wichtig. Ein unvollständiges Verarbeitungsverzeichnis ist immer noch besser als keines zu haben.
Zudem sollte man unbedingt die Datenschutzerklärung der eigenen Kanzlei-Website sowie die Hinweise zur Datenverarbeitung zur Übergabe bei Mandatsbeginn überprüfen bzw. erstellen. Hier gibt es u.a. Mustertexte des Deutschen Anwaltsvereins, die man verwenden kann. Bei der Erfüllung der Informationspflichten gegenüber Mandanten und eigenen Arbeitnehmern werden sich in kurzer Zeit Mustertexte als Standard herausbilden. Auch zur Sicherstellung der technischen und organisatorischen Maßnahmen der Datensicherheit stellt der DAV einen Mustertext zur Verfügung. Kurzum: Mit vertretbarem Aufwand können viele Verpflichtungen erfüllt werden. Falsch wäre es jedoch, das Thema zu ignorieren. Das Thema Datenschutz wird bleiben. Die Umsetzung der DSGVO ist also vielmehr ein fortlaufender Prozess als ein Einmalakt.
Welche Vorschriften haben in Ihrer Kanzlei Ihnen die größten Schwierigkeiten bereitet?
Alleine im Stammhaus Nürnberg sind fast 800 Mitarbeiter tätig aus den unterschiedlichsten Bereichen (Rechtsberatung, Steuern, Consulting, etc) und in zahlreichen Teams mit völlig unterschiedlichen Arbeitsprozessen. Die relevanten Verarbeitungsprozesse herauszuarbeiten war mit einem immensen Aufwand verbunden. Zudem war es im laufenden Tagesgeschäft nicht immer einfach die Mitarbeiter von der Notwendigkeit sich mit diesem zeitintensiven Thema zu befassen zu überzeugen.
Zudem hat Rödl knapp 100 Standorte in 51 Ländern, in Europa, aber auch außerhalb. Bei der Analyse und Bewertung der Datenübertragung über Landesgrenzen hinweg haben sich komplexe Rechtfragen gestellt, die teilweise nur sehr schwierig zu beantworten waren. Ein Problem das viele international aufgestellte Kanzleien/ Unternehmen trifft.
Ein besonderes Augenmerk wurde auf die Schulung der Mitarbeiter gelegt. Neben zahlreichen Info-Schreiben wurde auch ein web-basiertes Pflicht-Training absolviert, entwickelt. Auch gibt es in den einzelnen Teams jeweils ein bis zwei Mitarbeiter, die sich vertieft mit der DSGVO befassen und daher erste Ansprechpartner sein können.
Schließlich mussten auch interne Prozesse umgestellt werden, wie z.B. dass abends jeder seinen Schreibtisch von wichtigen Akten leerräumt und diese in den Schränken verschließt. Nur so kann Datensicherheit gewährleistet werden. Bisher gab es Teams, in denen Akten dauerhaft offen im Büro standen.
Wieso ist es so schwer die DSGVO umzusetzen?
Die DSGVO ist leider in vielen Punkten nicht sehr präzise. Der Gesetzgeber hat versucht, einen legislativen Minimalkonsens über alle Unternehmensgrößen hinweg zu erreichen. Das Ziel, ein passendes Gesetz für alle zu schaffen, ist leider gescheitert. Dazu ist die DSGVO mit den zahlreichen Öffnungsklauseln zu vage. Zudem befassen sich viele Unternehmen wie auch Kanzleien nunmehr erstmalig mit dem Datenschutzrecht, was die Sache nicht erleichtert. Wenn eine Kanzlei bereits jetzt alle datenschutzrechtlichen Vorgaben erfüllt, sind die weiteren Umsetzungsschritte, die das neue Gesetz erfordert, überschaubar. Schließich wurde das Thema von vielen „auf den letzten Drücker“ in Angriff genommen. Wenn man sich aber bisher noch nie mit dem Thema befasst hat, ist eine kurzfristige Lösung natürlich umso schwerer.
„Die DSGVO ist leider in vielen Punkten nicht sehr präzise.“
Ist Datenschutz nur ein Thema, das die Inhaber der Kanzlei betrifft oder geht das Thema jeden Mitarbeiter an?
Mit Datenschutz müssen sich alle auseinandersetzen – alle Anwälte über jegliche Senioritätsstufen hinweg, aber natürlich auch die Mitarbeiter aus der Assistenz. Der verantwortungsvolle und bewusste Umgang mit personenbezogenen Daten kann nur umgesetzt werden, wenn eine entsprechende Sachkenntnis da ist. Daher sollte man allen Mitarbeitern intern oder extern Schulungen anbieten. Erst dann entsteht auch das notwendige Problembewusstsein mit personenbezogenen Daten wie z.B. dem Umgang mit Arbeitsunfähigkeitsbescheinigungen, offen einsehbaren Urlaubskalendern, Geburtstagslisten, Umlauf-Zeitschriften, Zeiterfassungsdokumenten etc.. Es ist unbestreitbar, dass die Einhaltung des Datenschutzes zeit- und kostenintensiv ist
„Es ist unbestreitbar, dass die Einhaltung des Datenschutzes zeit- und kostenintensiv ist.“
Gibt es denn gar keine Privilegierungen zugunsten von Anwälten?
Doch, beim Betretungsrecht: Anders als bei anderen Unternehmen kann eine Anwaltskanzlei von Datenschutzbehörden nicht gegen deren Willen betreten werden. Zudem ist es den Aufsichtsbehörden nicht ohne weiteres möglich, Einblick in die elektronische Datenverarbeitung zu nehmen. Auch ist bei den Auskunftsrechten das Mandatsgeheimnis zu berücksichtigen. Insgesamt betrachtet sind das aber natürlich keine fundamentalen Sonderrechte.
Was raten Sie der Ein-Mann-Kanzlei, die hier und jetzt die DSGVO umsetzen möchte?
Erstellen Sie zumindest ein Verfahrensverzeichnis. Typische Verfahren sind z.B. Adressdatenbanken, Software zur Terminverwaltung, Kanzleisoftware, elektronische Personalakten. Für das Verfahrensverzeichnis ist keine bestimmte Form vorgeschrieben. Wichtig ist es aber, die Pflichtangaben des Art. 30 DSGVO zu berücksichtigen.
Lieber Herr Dr. Kurzböck, ich danke Ihnen für das Gespräch.