Die neue Europäische Datenschutz-Grundverordnung (DSGVO) gilt seit 25.05.2018 unmittelbar in allen EU-Mitgliedstaaten. Die DSGVO ändert die Konzeption des Datenschutzes in Deutschland zwar nicht grundlegend, da viele Verpflichtungen schon während des alten Bundesdatenschutzgesetzes galten. Es gibt dennoch einige neue datenschutzrechtliche Vorgaben, deren Erfüllung schon aufgrund des neuen hohen Bußgeldrahmens einer genauen Betrachtung und Umsetzung bedürfen. So werden die Themen „Datenschutz“ und „Datensicherheit“ zunehmend bedeutender und rücken aktuell in den Fokus des öffentlichen Diskurses.
Wir stellen Ihnen mit den folgenden Informationen Handreichungen zur Verfügung, die Ihnen sowohl den Einstieg in das Thema, aber auch eine vertiefte Befassung ermöglichen sollen. Sie finden auf dieser Seite daher neben einem Ersten-Hilfe-Paket und Handlungsempfehlungen auch Informationen und Veröffentlichungen zum Thema „Datenschutz“.
Aktuelles
BayLDA bestätigt: Keine Auskunft gegenüber gegnerischem Rechtsanwalt
Sofern sich Personen, die in Rechtsstreitigkeiten verwickelt sind, an den gegnerischen Rechtsanwalt wenden und Auskunft nach Art. 15 DS-GVO hinsichtlich ihrer bei diesem Anwalt gespeicherten personenbezogenen Daten verlangen, muss einem solchen Auskunftsverlangen nach Ansicht des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) (vgl. 9. Tätigkeitsbericht 2019, unter Punkt 5.2) in der Regel nicht nachgekommen werden. Gemäß Art. 23 Abs. 1 lit. g) DS-GVO i.V.m. § 29 Abs. 1 S. 2 BDSG ist das Auskunftsrecht ausgeschlossen, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift der Geheimhaltung unterliegen. Darunter fallen insbesondere Informationen, die der berufsrechtlichen Verschwiegenheit unterliegen, mithin grundsätzlich alles, was dem Rechtsanwalt in Ausübung seines Berufs bekannt geworden ist (§ 43a Abs. 2 BRAO). Dies gilt in den seltenen Fällen nicht, wenn es sich um Tatsachen handelt, die offenkundig sind oder aufgrund ihrer Bedeutung keiner Geheimhaltung bedürfen. Unberührt bleibt hingegen das Auskunftsrecht eines Mandanten gegenüber seinem eigenen Rechtsanwalt.
E-Mail-Kommunikation zwischen Rechtsanwälten und Mandanten
Viele Rechtsanwälte kommunizieren mit ihren Mandanten per E-Mail. Nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO ist dies auch grundsätzlich möglich, da Rechtsanwälte ein berechtigtes Interesse an der effizienten und schnellen Abwicklung ihres Schriftverkehrs geltend machen können. Um ein dem Risiko angemessenes Schutzniveau zu sichern, müssen jedoch nach Art. 32 DS-GVO geeignete organisatorische Maßnahmen getroffen werden. Rechtsanwälte sind gemäß § 43a Abs. 2 BRAO hinsichtlich aller Informationen, die ihnen in Ausübung ihres Berufs bekannt geworden sind, zur Verschwiegenheit verpflichtet. Ein Verstoß ist nach § 203 Abs. 1 Nr. 3 StGB strafbar. Nach Auffassung des BayLDA (vgl. 9. Tätigkeitsbericht 2019, unter Punkt 18.5) müssen Rechtsanwälte beim Versand von E-Mails grundsätzlich auf das Vorhandensein einer Transportverschlüsselung achten. Bei einem hohen Risiko für die Rechte und Freiheiten ist zusätzlich eine Inhaltsverschlüsselung (z.B. mittels PGP oder SMIME) vorzusehen, wobei das Absenken des Risikoschutzes hin zu einer bloßen Transportverschlüsselung mit Zustimmung des Mandanten möglich ist, solange nicht die Daten Dritter betroffen sind. Das BayLDA geht in seinem Tätigkeitsbericht davon aus, dass sich der Rechtsanwalt beim Versand von Daten von Dritten vergewissern muss, dass der E-Mail-Provider des Mandanten die Inhalte der E-Mail nicht zu Werbezwecken verwendet. Sollte dies der Fall sein, sei unabhängig vom Risiko eine Inhaltsverschlüsselung vorzunehmen.
Datenschutzrechtliche Regelungen bei Homeoffice
Zu dieser - nicht zuletzt durch die Corona-Pandemie aktuellen - Thematik hat das BayLDA ausführliche Best-Practice-Prüfkriterien entwickelt. Diese finden Sie hier
Erste-Hilfe-Paket
Am 25.05.2018 ist die Datenschutzgrundverordnung in Kraft getreten. Die hierin enthaltenen Regelungen bezüglich der Verarbeitung personenbezogener Daten sind auch von Rechtsanwälten und Rechtsanwältinnen im Rahmen Ihrer anwaltlichen Tätigkeit zu beachten.
Nach § 2 Abs. 1 DSGVO gilt die Verordnung für die ganz, teilweise sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Letztendlich werden damit alle Datenverarbeitungsvorgänge, die in einer Kanzlei erfolgen, erfasst.
In Deutschland ändert sich im Vergleich zum bisher geltenden deutschen Datenschutzrecht nicht viel; zu beachten ist jedoch, dass die Bußgeldvorschriften wesentlich geändert wurden; insbesondere Art. 83 Abs. 4 und 5 DSGVO. Es drohen beispielsweise bei Aufklärungsverstößen Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes.
Darüber hinaus drohen Anwälten auch wettbewerbsrechtliche Abmahnungen, weil es sich bei den datenschutzrechtlichen Bestimmungen um Marktverhaltensregeln iSv. § 3a UWG handelt.
Sie sind vorbereitet?Wenn Sie kurz prüfen wollen, ob Sie im Hinblick auf die Änderungen nach der DSGVO alles bedacht haben, können Sie anhand eines Fragebogens des Bayerischen Landesamts für Datenschutzaufsicht schnell feststellen, was noch zu tun ist:
Sie haben sich mit der DSGVO bisher wenig auseinandergesetzt?Wir bieten Ihnen hier eine erste kurze Hilfestellung und Übersicht an, um die ersten Gefahren eines Verstoßes zu reduzieren.
Begriffe:
Jede Rechtsanwältin und jeder Rechtsanwalt sowie jede Rechtsanwaltsgesellschaft (§ 59c BRAO), die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezo-genen Daten entscheidet, ist ein sog. Verantwortlicher (Art. 4 Nr. 7 DS-GVO). Dieser ist ggf. gemein-sam mit anderen insbesondere dafür verantwortlich, dass er die Anforderungen der DS-GVO einhält.Unter Verarbeitung versteht man nach Art. 4 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Der Begriff personenbezogene Daten umfasst gemäß Art. 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
1. Website
Von der DSGVO sind nicht nur die Daten betroffen, die Sie in Ihrer Kanzlei vorhalten, wie z.B. Mandanten-, Gegner und Beschäftigtendaten, sondern auch Daten, die Sie über Ihre Website verarbeiten.
Sofern Sie also eine Website betreiben, sollten Sie überprüfen, ob diese den datenschutzrechtlichen Vorgaben entspricht, insbesondere ob Ihre Datenschutzerklärung ausreichend ist.
Nach Art. 13 und 14 DSGVO haben Anwaltskanzleien hinsichtlich ihres Internetauftritts Informationspflichten zu erfüllen. Dabei geht es vor allem um Datenverarbeitungsprozesse, die mit dem Besuch der Website verbunden sind. Nach § 13 TMG sind Sie als Website-Anbieter ebenfalls verpflichtet, den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.
Sie benötigen daher auf der Website eine an die DSGVO angepasste Datenschutzerklärung.
Diese muss neben den allgemeinen Informationen (Wer ist Verantwortlicher, wer ist Datenschutzbeauftragter etc.) auch Hinweise zu beispielsweise folgenden Punkten enthalten:
- Kontaktformular
- Speicherung von IP-Adressen
- Verwendung von Cookies
- Verwendung von Social-Media-Plug-Ins
- Verwendung von Analysetools (z.B. Google Analytics)
- Auftragsdatenverarbeitung durch einen Host-Provider
- Newsletterversand
- Blog
- Verlinkungen
Hier finden Sie eine unverbindliche Muster-Datenschutzerklärung und einen Fragebogen zur Prüfung, was in ihrer Datenschutzerklärung enthalten sein muss.
2. Datenschutzbeauftragter
In der Regel ist nur dann ein Datenschutzbeauftragter vom Verantwortlichen zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (Art. 37 DS-GVO, erweitert durch § 38 Abs. 1 BDSG-neu). Das bedeutet, dass ein Datenschutzbeauftragter bestellt werden muss, wenn mindestens zehn Personen Zugang zur Kanzlei-EDV haben (dabei ist der Zugang zu E-Mails ausreichend), unabhängig vom Tätigkeitsumfang (auch Teilzeitkräfte). Es kann ein Angestellter der Kanzlei oder Externer bestellt werden.
Bitte beachten Sie, dass gemäß § 37 Abs. 7 DSGVO der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten (bspw. im Rahmen der Datenschutzerklärung auf der Webseite, vgl. oben) zu veröffentlichen hat. Darüber hinaus muss die Benennung des Datenschutzbeauftragten samt der Kontaktdaten der Aufsichtsbehörde mitgeteilt werden.
Das für in Bayern ansässige Rechtsanwälte zuständige Bayerische Landesamt für Datenschutzaufsicht betriebt unter folgendem Link ein Online-Melde-Portal:
Die Frage, ob Sie einen Mitarbeiter oder einen Externen als Datenschutzbeauftragten benennen, bleibt Ihnen überlassen. Unabhängig davon, wie Sie sich entscheiden, ist die Zuverlässigkeit des Beauftragten sicherzustellen. Diese erfordert neben Fachkunde und Vertrauenswürdigkeit. Bei einer internen Benennung müssen Sie darauf achten, dass kein Interessenkonflikt bei der Wahrnehmung der Funktion des Datenschutzbeauftragten mit anderen Aufgaben in der Kanzlei besteht. Dies ist vor allem dann der Fall, wenn die Person ein eigenes Interesse am Unternehmen (etwa wegen Beteiligung an seinem Vermögen wie z.B. Teilhaber oder Gesellschafter) oder Leitungsfunktion haben. Partner einer Rechtsanwaltskanzlei scheinen damit in der Regel keine geeigneten Datenschutzbeauftragten. Für angestellte Da-tenschutzbeauftragte gelten besondere Kündigungsschutzregelungen. Inhaber, Partner und (bei Ge-sellschaften) gesetzliche Vertretungsorgane (z.B. Geschäftsführer) dürfen nicht zum Datenschutzbe-auftragten bestellt werden (keine Selbstüberwachung).
Detailliertere Ausführungen zu dieser Frage, finden Sie in der e-Broschüre „Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei“, 3. Auflage, die Sie auf der Website des Deutschen Anwaltverein abrufen können:
3. Mandantenbelehrung
Gemäß Art. 13 DSGVO trifft den Verantwortlichen eine Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person. Diese Informationspflicht besteht bereits zum Zeitpunkt der Erhebung der Daten. Es empfiehlt sich daher dringend, dem Aufnahmebogen eine Mandantenbelehrung beizufügen, die – zur Dokumentation – vom Mandant unterzeichnet werden sollte. Die Angaben in der Belehrung sollten sich der Einfachheit halber an der Aufzählung in Art. 13 DSGVO orientieren
Ein Muster für eine Mandantenbelehrung stellt ebenfalls der Deutsche Anwaltverein zur Verfügung:4. Weiter geht's...
Die ersten Schritte haben Sie nun hinter sich gebracht. Die wichtigsten Lücken sind geschlossen. Das Thema Datenschutz in der Kanzlei ist damit allerdings noch nicht abgeschlossen. In einem zweiten Schritt sollten Sie nun folgende Themen angehen:
AuftragsdatenverarbeitungImmer dann, wenn ein externer Dritter Daten in Ihrem Auftrag bearbeitet, muss geprüft werden, ob eine Auftragsdatenverarbeitung vorliegt. Typische Beispiele sind Hostprovider bei einer Datenverarbeitung über die Website, Kanzleisoftwarehersteller, wenn dieser Clouddienste anbietet, sonstige Clouddienste wie die Webakte, IT-Dienstleister bei externer Datensicherung. Eine solche Auftragsdatenverarbeitung kann nur auf Grundlage eines Vertrages erfolgen, der den Auftragsverarbeiter in Bezug auf die Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Sie sollten daher die vorhandenen Verträge überprüfen, ob sie diesen Vorgaben entsprechen.
Einen Muster-Auftragsverarbeitungsvertrag stellt das Bayerische Landesamt für Datenschutzaufsicht zur Verfügung: https://www.lda.bayern.de/media/muster_adv.pdf
VerarbeitungsverzeichnisDas aus dem BDSG bekannte Verfahrensverzeichnis (§ 4g Abs. 2 und 2a BDSG; dort „Übersicht“ genannt) wird mit der DSGVO durch ein (schriftliches oder elektronisches) Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten abgelöst. Dieses Verzeichnis betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Was in diesem Verzeichnis enthalten sein muss und wie es ausschauen könnte, finden Sie hier: Muster-Verarbeitungsverzeichnis.
MitarbeiterNach Art. 29, 32 Abs. 4 DSGVO haben Sie als Verantwortlicher Ihre Mitarbeiter anzuhalten, dass personenbezogene Daten nur auf Ihre Anweisung hin verarbeitet werden. Eine entsprechende Verpflichtung Ihrer Mitarbeiter kann insoweit im Rahmen der Verschwiegenheitsverpflichtung erfolgen. Zudem sollte überprüft werden ob den Mitarbeitern eine private Nutzung der in der Kanzlei vorhandenen Kommunikationsmittel gestattet ist. In diesem Fall sind gegebenenfalls zusätzliche Vereinbarungen mit dem Mitarbeiter zu treffen, die die Einhaltung der datenschutzrechtlichen Vorgaben gewährleisten.
Zudem ist gemäß Art. 24 Abs. 1 DSGVO eine regelmäßige Schulung der Mitarbeiter bezüglich der Einhaltung der Vorgaben der DSGVO erforderlich. Demnach hat der Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung der Daten gemäß der DSGVO erfolgt.
Der Datenschutz der in der Kanzlei Beschäftigten wird in § 26 BDSG-neu geregelt. Insbesondere dürfen gemäß § 26 Abs. 1 S. 1 BDSG-neu personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Bewerberinnen und Bewerber gelten hierbei, gemäß § 26 Abs. 8 S. 2 BDSG-neu, ebenfalls als Beschäftigte, so dass die Vorschriften zum Beschäftigtendatenschutz ebenfalls auf diese anzuwenden sind.
Organisation der LöschfristenDie Löschung von Daten, die für den Zweck der Erhebung nicht mehr erforderlich sind, wird immer wichtiger: Für die Einhaltung der Löschfristen der gespeicherten persönlichen Daten sind geeignete technische und organisatorische Maßnahmen zu treffen, Art. 25 DSGVO. Die Speicherung von personenbezogenen Daten ist nach dem Grundsatz des Art. 5 Abs. 1 e DSGVO nur so lange zulässig wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Allerdings ist in diesem Zusammenhang Art. 17 Abs. 3 b) DS-GVO zu beachten, der vorsieht, dass die Löschung nicht vorgenommen werden muss, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erfolgt, die die Verarbeitung erfordert. Dies kann z. B. im Hinblick auf § 43a Abs. 4 BRAO gegeben sein, der eine Interessenkollisionsprüfung bei Übernahme eines Mandats vorsieht oder im Hinblick auf steuerrechtliche Aufbewahrungspflichten. Zusätzlich räumt Art. 17 DSGVO den Betroffenen unter bestimmten Voraussetzungen das Recht ein, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden.
Es empfiehlt sich daher durch technische Vorkehrungen sicherzustellen, dass die Löschfristen eingehalten und Löschanträge von betroffenen Personen berücksichtigt werden können. Hierfür sollte ein Konzept erarbeitet werden, das die näheren Details zu der Vorgehensweise bezüglich eines entsprechenden Löschungsantrages regelt. Im Übrigen sollte ein Fristenkalender mit den Löschdaten geführt bzw. regelmäßig aktualisiert werden, beispielsweise im Falle der Mandatsbeendigung.
IT-Sicherheit/Datensicherheit/Technisch-organisatorische Maßnahmen, Art. 25, 32 DSGVOEin besonderes Augenmerk ist auch auf die IT-Sicherheit zu legen, da sie heute in der Regel das Medium ist, um das Risiko eines unbefugten Zugriffs von Dritten auf geschützte Daten zu minimieren.
Es wird daher nun auch datenschutzrechtlich immer wichtiger, folgende Maßnahmen zu veranlassen:
regelmäßige Updates der von Ihnen verwendeten Softwareprogramme,
Nutzung aktueller Anti-Viren- und Sicherheitssoftware sowie
Sicherstellung einer ausreichenden Verschlüsselung bei der Übermittlung von Daten, bspw. der Korrespondenz mit dem Mandanten.Gemäß Art. 30 Abs. 2 lit. d DSGVO ist, wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO in das Verarbeitungsverzeichnis aufzunehmen. Eine kurze Erläuterung zu den geeigneten technischen und organisatorischen Maßnahmen findet sich in Erwägungsgrund 78 zur DSGVO.
In diesem Zusammenhang ist zu beachten, dass auch dokumentiert werden sollte, inwiefern die Räumlichkeiten bzw. die technischen Geräte, die zur Verarbeitung personenbezogener Daten verwendet werden, vor dem Zugriff durch unbefugte Dritte gesichert ist. Beispielsweise ist hier zu erfassen, ob die Räumlichkeiten über eine Alarmanlage verfügen sowie ob die verwendeten PCs passwortgeschützt sind. Gleichfalls bietet es sich an ein Konzept zu erstellen, das nähere Angaben dazu enthält bzw. regelt, welche Mitarbeiter worauf Zugriff haben und welche Zugangsberechtigungen (auch zu den jeweiligen Räumlichkeiten der Kanzlei) diesen erteilt sind. Hierbei sind auch Erläuterungen beizufügen, welche Maßnahmen getroffen wurden, um die aufgestellten Vorgaben einzuhalten (bspw. die Vergabe spezieller Zugangscodes und Erstellung einzelner Benutzerprofile).
5. Nun zum Endspurt!
Datenschutz-Folgenabschätzung, Art. 35 DSGVO
Sofern eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche gemäß Art. 35 DSGVO vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen. Erfasst sind hiervon nur einzelne, konkrete Verarbeitungsvorgänge.
Art. 35 Abs. 3 DSGVO enthält hierzu eine Aufzählung von Fällen, in denen eine Datenschutz-Folgeabschätzung erforderlich ist. Demzufolge unter anderem dann, wenn besondere Kategorien von personenbezogenen Daten entsprechend der Art. 9 und 10 DSGVO in umfangreicher Weise in der Kanzlei bearbeitet werden.
Sofern eine Datenschutz-Folgeabschätzung erforderlich ist, muss zudem gemäß § 38 Abs. 1 S. 2 BDSG-neu ein Datenschutzbeauftragter benannt werden, auch wenn die in § 38 Abs. 1 S. 1 BDSG-neu genannte Zahl der mit der Verarbeitung beschäftigten Personen nicht überschritten wird.
Der Mindestinhalt einer Datenschutz-Folgeabschätzung ist in Art. 35 Abs. 7 DSGVO geregelt.
Notfallkonzept erarbeiten - MeldepflichtenSollte es in Ihrer Kanzlei zu einer Verletzung der datenschutzrechtlichen Bestimmungen kommen, muss der Verantwortliche dies grundsätzlich gemäß Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde anzeigen. Eine Ausnahme besteht dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, Art 33 Abs. 1 S. 1 2. Hs. DSGVO.
In der Kanzlei muss daher ein Konzept entwickelt werden, das es zum einen ermöglicht, Datenschutzverletzungen zu erkennen, und zum anderen die Einhaltung der oben genannten Frist zu gewährleisten.
Die Meldung muss gemäß Art. 33 Abs. 3 DSGVO mindestens folgende Angaben enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Darüber hinaus ist die in Art. 5 Abs. 2 DSGVO enthaltene Rechenschaftspflicht zu beachten. Demnach muss der Verantwortliche die Einhaltung der in Art. 5 Abs. 1 DSGVO enthaltenen Pflichten nachweisen können. Auf Nachfrage der Aufsichtsbehörde muss daher dokumentiert werden können, dass die datenschutzrechtlichen Vorgaben der DSGVO eingehalten werden. Es ist daher ratsam ein internes Handbuch über die jeweiligen Verarbeitungsvorgänge sowie die entsprechenden getroffenen datenschutzrechtlichen Vorkehrungen zu führen.
6. Für Profis
Weitergehenden Informationen zur DSGVO erhalten Sie auf folgenden Webseiten:
- Bundesrechtsanwaltskammer (BRAK)
https://www.brak.de/fuer-anwaelte/datenschutz/
- Bayerischen Landesamt für Datenschutzaufsicht (BayLDA)
https://www.lda.bayern.de/de/index.html
- Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
https://www.bfdi.bund.de/DE/Home/home_node.html
- Bundesamt für Sicherheit in der Informationstechnik
https://www.bsi.bund.de/DE/Home/home_node.html
FAQs zum Datenschutz
Eine Zusammenfassung der wichtigsten Fragen und Antworten zum Datenschutzrecht finden Sie hier.
Informationen und Veröffentlichungen
Artikel
„Neues Datenschutzrecht: Wie bereiten sich Anwaltskanzleien richtig vor?“
Rechtsanwalt Prof. Niko Härting , Ausgabe 3/2017 der Mitteilungen der Rechtsanwaltskammer München: http://mitteilungen.rak-muenchen.de/archiv/2017/datenschutz-fuer-die-anwaltschaft/schwerpunkt/neues-datenschutzrecht-wie-bereiten-sich-anwaltskanzleien-richtig-vor-02101/„Die Datenschutz-Grundverordnung der EU“
Rechtsanwalt Prof. Dr. Armin Herb; BRAK-Mitt. 2017, S. 209: https://www.brak.de/w/files/01_ueber_die_brak/herb-brak-mitt.-2017-209.pdf„Was bringt die Datenschutz-Grundverordnung für Anwaltskanzleien?“
Rechtsanwälte Michael Dreßler und Jörg Mathis; BRAKMagazin 2/2018, S. 16: http://www.brak-mitteilungen.de/media/BRAKMagazin_2018_02.pdf„Digitales, Datenschutz und Geldwäsche“
Rechtsanwältin Dr. Susanne Reinemann; Ausgabe 4/2017 der Mitteilungen der Rechtsanwaltskammer München: http://mitteilungen.rak-muenchen.de/archiv/2017/digitales-datenschutz-und-geldwaeschegesetz/schwerpunkt/digitales-datenschutz-und-geldwaesche-02581/„Datenschutz in der Kanzlei nach der Datenschutzgrundverordnung“
Rechtsanwalt Dr. Arnd-Christian Kulow; Kammerreport der Rechtsanwaltskammer Stuttgart (Ausgabe 1): https://rak-muenchen.de/fileadmin/downloads/01_Rechtsanwaelte/Mitgliederservice/Datenschutz_in_Anwaltskanzleien/Informationsmaterial/Kammerreport_RAK_Stuttgart.pdfChecklisten
„Checkliste für Rechtsanwälte zur EU-Datenschutz-Grundverordnung“ – Hinweise des Ausschusses Datenschutzrecht (Stand: Mai 2018): https://www.brak.de/w/files/02_fuer_anwaelte/2018-05_checkliste-rae-zur-dsgvo-final.pdfErläuterungen zur „Checkliste für Rechtsanwälte zur EU-Datenschutz-Grundverordnung“ (Stand: Dezember 2019):
https://www.brak.de/w/files/02_fuer_anwaelte/datenschutz/2019-12-19-erlaeuterungen-zur-checkliste-rae-zur-dsgvo.pdfLeitfäden
„Leitfaden zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung“ der europäischen Kommission :
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX%3A52018DC0043&qid=1517578296944&from=ENDer bitkom hat Leitfäden zur datenschutzkonformen Datenverarbeitung nach der DS-GVO veröffentlicht: https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat sog. Kurzpapiere zu verschiedenen Themen veröffentlicht: https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1-3.html
Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat Praxishilfen zur DS-GVO veröffentlicht: https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo
Die Informationsplattform der Stiftung Datenschutz ist ab dem 25.05.2018 hier zu finden: DSGVO.stiftungdatenschutz.org
Tätigkeitsberichte
Auszug aus dem Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht 2017/2018 zu Steuerberatern und Rechtsanwälten.Tätigkeitsberichte BayLDA
Das Bayerische Landesamt für Datenschutzaufsicht informiert die Öffentlichkeit in Tätigkeitsberichten über Schwerpunkte seiner Arbeit. Die seit 2019 nunmehr jährlich erscheinenden Tätigkeitsberichte können Sie hier abrufen.
Datenschutzrechtliche Auskunftsansprüche von Mandanten nach Art. 15 DSGVO
Unter dem Titel „Datenschutzrechtliche Auskunftsansprüche Mandant gegen Anwalt – Die Reichweite des datenschutzrechtlichen Auskunftsanspruchs nach Art. 15 DSGVO“ erörtert RAin Simone Kolb, Geschäftsführerin der RAK München, was es zu beachten gilt, wenn Mandanten datenschutzrechtliche Auskunftsansprüche geltend machen.
Der Aufsatz ist in den BRAK-Mitteilungen 02/2022 erschienen.