„Was bedeutet die kommende EU DSGVO für Rechtsanwälte?“

Die Uhr tickt – ab dem 25. Mai gilt die neue EU-DSGVO. Welche Neuerungen kommen und vor allem welche Auswirkungen diese haben, hat unser Datenschutzbeauftragter Herrn Rechtsanwalt Stefan Wiesen für Sie beantwortet. Informieren Sie sich in unserem Interview „Was bedeutet die kommende Europäische Datenschutzgrundverordnung für Rechtsanwälte?“.

Silvia Kämmer: Herr Wiesen, vielen Dank, dass Sie sich Zeit für das Interview nehmen. Kommen wir gleich zur ersten Frage:

Bisher hatte § 203 StGB ja so seine Tücken in Bezug auf Auftragsdatenvereinbarung und Berufsgeheimnisträger. Zwischenzeitlich wurde § 203 StGB dahingehend geändert, dass bei Einbeziehung bestimmter Dienstleister keine unbefugte Offenbarung mehr erfolgt. Können Sie uns hierzu mehr sagen?

Der Kreis derer, denen mandatsbezogene Daten offenbart werden dürfen, wurde erweitert. Früher waren praktisch nur Kanzleibeschäftigte insoweit privilegiert. Das war schon geraume Zeit nicht mehr mit der Realität in Einklang zu bringen, da natürlich auch Kanzleien zeitgemäße Technik verwenden müssen. Dafür brauchen sie vernünftigerweise Dienstleister, Kanzleiinhaber und -beschäftigte sind ja in der Regel keine IT-Spezialisten. Die Kompetenz eines seriösen externen Anbieters kann durchaus ein Plus für Berufsgeheimnis und Datenschutz bedeuten.

SKä: Soweit so gut. Nun bringt jedoch die neue Datenschutzgrundverordnung, die ab dem 25.05.2018 gilt, für Rechtsanwälte neue Probleme zu Tage. Denn nun muss die Einschaltung eines Dienstleisters zur Verarbeitung im Auftrag generell gesondert gerechtfertigt werden. Ihre Meinung hierzu interessiert uns.

Die Auffassung, die Sie hier wiedergeben, ist mir bekannt; ich teile sie aber nicht. Einer gesonderten Rechtfertigung der Auftragsverarbeitung bedarf es meiner Meinung nach nicht.

SKä: Was ändert sich konkret für Rechtsanwälte? Was kann in den Kanzleien nach dem 25.05.2018 auf keinen Fall mehr so gehandhabt werden wie bisher?

Viele Pflichten für Unternehmen und Kanzleien, die die DS-GVO vorsieht, bestanden auch schon in der Vergangenheit. Wer hier nachlässig war, brauchte aber nicht allzu viel zu befürchten. Künftig tragen Kanzleien und sonstige Unternehmen die Beweislast dafür, dass sie die gesetzlichen Grundsätze bei der Verarbeitung von Daten einhalten. Sie müssen dies spontan nachweisen können. Schon wer dieser Nachweispflicht nicht nachkommen kann, riskiert ein „wirksames und abschreckendes“ Bußgeld – auch ohne dass eine Datenschutzverletzung als solche überhaupt vorliegt.

SKä: Worauf sollten unsere Leser in Bezug auf die neue Datenschutzgrundverordnung ein besonderes Augenmerk haben?

Wir müssen künftig alle einen planvollen Umgang mit dem Thema Datenschutz pflegen. Es reicht nicht, eine irgendwo kopierte Datenschutzerklärung auf der Internetseite einzubinden und Mitarbeitern eine mehr oder weniger verständliche Verpflichtungserklärung unterschreiben zu lassen, damit der Form genüge getan ist. Der komplette Umgang mit personenbezogenen Daten und deren Verarbeitung in der Kanzlei müssen durchdacht, gesteuert und auch dokumentiert werden.

SKä:Wie hat sich die Haftungsfrage bei Verstößen verändert?

Die DS-GVO droht Bußgelder sprichwörtlich bis in die Millionen an. Die Aufsichtsbehörden können anlasslos kontrollieren. Allerdings könnten z.B. enttäuschte Mitarbeiter oder Mandanten eine Kontrolle durch Beschwerden auch fördern. Sanktionen gegenüber Kanzleien werden vielleicht nicht 7-stellig sein, aber sie werden wehtun.

SKä: Wie sieht es aus mit Auskunfts- und Benachrichtigungspflichten gegenüber dem Mandanten?

Sie sprechen hier einen der Grundsätze der Datenverarbeitung an, nämlich Transparenz. Bei der Erhebung von personenbezogenen Daten, also z.B. bei der Annahme eines Mandats, muss die betroffenen Person, hier der Mandant, umfänglich informiert werden, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange seine Daten verarbeitet bzw. gespeichert werden. Darüber hinaus ist er auch noch über seine Rechte zu belehren. Kanzleien werden Ihren neuen Mandanten daher z.B. Informationsblätter an die Hand geben müssen, um dem gerecht zu werden.

Ungeachtet dessen besteht, wie bisher eigentlich auch schon, eine Auskunftspflicht bei Nachfragen.

SKä: Ist das Unterzeichnen der Auftragsdatenvereinbarung nach § 11 BDSG mit einem Dienstleister nach dem 25.05.2018 noch ausreichend?

Das Institut der Auftragsdatenverarbeitung bzw. Auftragsverarbeitung, wie es nun heißt, hat sich aus unserer deutschen Sicht eigentlich nicht stark geändert. Gleichwohl sollten an die DS-GVO angepasste Verträge geschlossen werden, da ja in den alten Verträgen z.B. oft auf das BDSG Bezug genommen wird. Für den Vertragsabschluss genügt übrigens inzwischen ein elektronisches Format; Schriftform, wie bisher, ist also nicht erforderlich.

SKä: Was ist bei personenbezogenen Daten der gegnerischen Partei oder sonstiger Dritter zu beachten?

Der deutsche Gesetzgeber hat im neuen BDSG (2018) die Informationspflichten und Betroffenenrechte insbesondere im Zusammenhang mit der anwaltlichen Tätigkeit eingeschränkt, nämlich dann, wenn diese beeinträchtigt würde; der Anwalt muss also bspw. nicht den Gegner informieren, dass er dessen Daten, zu welchem Zweck usw. verarbeitet.

SKä: Sind Rechtsanwälte, WP und StB auch gegenüber Datenschutzkontrollinstanzen zur Auskunft verpflichtet?

Grundsätzlich unterliegen auch Berufsgeheimnisträger der Überwachung der Aufsichtsbehörden. Allerdings dürfen diese zum Schutz der Mandanten keinen Zugriff auf mandats- bzw. mandantenbezogene Informationen nehmen. Ansonsten würde das Berufsgeheimnis unterlaufen. Dort wo die Kanzlei aber kurz gesagt unternehmerisch tätig ist, gelten keine Besonderheiten für sie.

SKä: Was empfehlen Sie unseren Lesern zum Thema „WLAN in der Kanzlei“ und sonstigem Systemschutz?

Drahtlose Datenübermittlung bietet eine potentiell breitere Angriffsfläche im Vergleich zum Kabel. Wenn also WLAN zum Einsatz kommen soll, müssen die Möglichkeiten der Sicherung ausgeschöpft werden, wie insbesondere sichere Passwörter, aktuelle Verschlüsselungsmethoden und regelmäßige Updates. Das dürfte aber selbstverständlich sein.

SKä: Welche Gefahren stecken in der E-Mail-Kommunikation im Business?

Die normale E-Mail im Klartext ist bekanntlich mitlesbar – beim Provider der Kanzlei oder bei demjenigen des Mandanten und wer weiß, wo noch überall. Die E-Mail-Verschlüsselung im Kanzleialltag ist nicht immer praktikabel; man hat ja auch nicht unbedingt nur technisch interessierte Mandanten. Außerdem können bei der Übertragung verschlüsselter Inhalte gleichwohl Metadaten zur Mail oder zu angehängten Dokumenten lesbar sein.

Darüber, dass der Mandant konkludent den Anwalt von der Schweigepflicht entbindet, wenn er sich per ungesicherter E-Mail an ihn wendet, kann man streiten. Und es gibt sogar Datenschützer, die der Auffassung sind, man könne in die Verwendung einer offensichtlich unsicheren Technik gar nicht einwilligen. Ergo: die E-Mail als Kommunikationsmittel im Mandatsverhältnis halte ich eigentlich für nicht geeignet und überkommen.

SKä: Was halten Sie von den Alternativen De-Mail und E-Postbrief?

Nicht viel.

SKä: Können Sie unseren Lesern noch einen Tipp zur Datensicherung geben?

Sinn einer Datensicherung ist es, in einem Störungsfall einen etwaigen Datenverlust kompensieren zu können. Die Sicherungskopie sollte daher möglichst aktuell sein und räumlich nicht ausschließlich unmittelbar beim Originaldatenbestand aufbewahrt werden. Die Wiederherstellung sollte möglichst einfach und kurzfristig möglich sein. Auch sollte diese ab und an einmal getestet werden. All dies einzurichten wäre übrigens eine schöne Aufgabe für einen versierten externen Dienstleister.

 

Informieren Sie sich auch in den Webinaren Die Uhr tickt! Was bedeutet die DSGVO für Rechtsanwälte? Praktische Tipps!

02.Mai 2018 | 16.00 – 16,30 Uhr

16.Mai 2018 | 11.00 – 11.30 Uhr