Ein Jahr nach Inkrafttreten gehört ein DSGVO konformer Umgang mit sensiblen Daten noch immer nicht 100% ig zum gelebten Alltag in einigen Kanzleien. Seit Mai 2018 gelten für den Datenschutz in Deutschland die schärften Vorschriften der Datenschutz Grundverordnung (DSGVO). Die Einführung hat im vergangenen Jahr hohe Wellen auch in Deutschen Kanzleien geschlagen. Das Fazit: Die befürchtete Abmahnwelle blieb aus und auch die Datenschutzbehörden hielten sich im letzten Jahr vorerst zurück.
Dies ist aber kein Grund zum Zurücklehnen. Seit Beginn dieses Jahres werden die Behörden immer aktiver. Einzelne Datenschutzbehörden bauen Personal auf und intensivieren das Prüfungsaufkommen.
Zwar sind die bislang verhängten Bußgelder weit entfernt von den möglichen Höchstbeträgen, die 4% des weltweiten Umsatzes betragen dürfen, aber auch die verhängte Durchschnittsstrafe von 6.000 EUR bedeutet für eine kleine Kanzlei eine Menge Geld.
Aus Sicht des Digitalverbandes Bitkom bestehen nach wie vor große Unsicherheiten in der Anwendung der Verordnung. Da die DSGVO umfassende Pflichten enthält und nicht zwischen Konzernen und z.B. kleinen Kanzleien unterscheidet, profitieren tatsächlich große Anbieter sogar stärker von dem einheitlichen Rechtsrahmen, da bei kleineren und mittleren Unternehmen der Verwaltungsaufwand deutlich spürbarer ist.
Mit der Europäischen Datenschutz Grundverordnung – kurz – DSGVO hat das EU Parlament eine gemeinsame Grundlage für grenzüberschreitende Märkte geschaffen. Durch ihre 99 Artikel kommen zahlreiche neue Pflichten auch auf die Kanzleien zu, die das bisherige Bundesdatenschutzgesetz nicht kannte. Nachweispflicht, Privacy by Design, Recht auf Vergessen werden, Datenschutz Folgenabschätzungen, die Unterrichtung von Betroffenen und Aufsichtsbehörden über Datenschutzverstöße.
Unsere Checkliste fasst alle relevanten Punkte zusammen, die es bei der Umsetzung der DSGVO zu beachten gilt:
- Setzen Sie einen Projekt und Zeitplan auf
- Je nach Organisationsgröße: Einbindung der Kanzleiführung, um eine DSGVO konformen Unternehmenskultur zu etablieren
- Überarbeiten Sie interne Datenschutz Policies, ggf. mit Unterstützung externer Datenschutzexperten
- Erstellen Sie ein lückenloses Verarbeitungsverzeichnisses (Art. 30), das auf eine mögliche Anfrage der Aufsichtsbehörde hin jederzeit bereitgestellt werden kann
- Dokumentieren Sie die Datenschutz Folgenabschätzungen (Art. 35) sowie überschlägigen Risikoanalysen für alle (sonstigen) Verarbeitungsprozesse
- Konsultieren Sie die Aufsichtsbehörde in den Fällen, in denen ein hohes Risiko Level vorliegt (Art. 36)
- Überprüfen und ergänzen Sie ggf. Ihre Verträge mit externen Auftragsverarbeitern (AV) und prüfen Sie, ob eine Garantie der Auftragsverarbeiter vorhanden (Art. 28). Erstellen Sie mit Ihrer Office-Software interne Vereinbarungen zur Auftragsabwicklung und binden Sie diese in Ihre Kanzleimanagementsoftware ein.
- Schaffen Sie kanzleiinterne Vereinbarungen über eine Auftragsverarbeitung, falls Sie im Kanzleiverbund eingebunden sind
- Überprüfung bereits vorhandener Einwilligungserklärungen der Betroffenen (zweckgebunden, rechtssicher dokumentiert)
- Klären Sie Besonderheiten im Bereich der Personaldatenverarbeitung
- Ergreifen Sie Maßnahmen zur Umsetzung Ihrer individuellen Löschungspflichten nach dem Grundsatz der Datenminimierung und Speicherbegrenzung
- Pseudonymisieren Sie personenbezogene Daten, für die eine Zuordnung zur konkreten Person nicht (mehr) erforderlich ist
- Löschen Sie personenbezogene Daten, für die der ursprüngliche Verarbeitungszweck weggefallen ist oder andere gesetzliche Anforderungen nicht hinreichend nachweisbar erfüllt sind und für die eine Pseudonymisierung nicht möglich bzw. unverhältnismäßig erscheint
- Überprüfen Sie die Sicherheit der EDV Systeme gemäß des Grundsatzes „Privacy by Design“ und passen Sie dies ggf. an (z.B. durch eine verbesserte Datenverschlüsselung)
- Überprüfen Sie Ihre EDV Systeme zur Erhebung personenbezogener Daten sowie die nachfolgenden (Weiter ) Verarbeitungsprozesse nach dem Grundsatz „Privacy by Default“ und passen Sie diese ggf. an
- Die lokale Speicherung von personenbezogenen Daten sollte reduziert oder sogar verboten werden
- Installieren Sie ein Meldesystem für den Fall möglicher Datenpannen
- Konzipieren und kommunizieren Sie einen Maßnahmenplan zur Gewährleistung umgehender Gegenmaßnahmen sowie einer möglichen Meldepflicht (innerhalb von 72 Stunden) bei der Aufsichtsbehörde
- Klären Sie die Verantwortlichkeiten in den Abteilungen/Dezernaten und dokumentieren Sie diese nachhaltig, inklusive beweiskräftiger Vorgangs Historie
- Sensibilisieren Sie alle Mitarbeiter der Kanzlei, verbunden mit entsprechenden Schulungsangeboten
- Schließen Sie Datenschutzverpflichtungserklärung für sämtliche Mitarbeiter ab, die Umgang mit personenbezogenen Daten haben können
- Einführung regelmäßiger Überwachungsprozesse und Audits
Sie sind daran interessiert, die Prozesse in Ihrer Kanzlei zu verbessern? Schauen Sie sich unsere Software für Anwaltskanzleien an, um Ihre Organisation zu verbessern.