Die Datenschutz-Grundverordnung (DSGVO)
eBook - ePub

Die Datenschutz-Grundverordnung (DSGVO)

Ein Leitfaden für die Anwaltskanzlei mit Checklisten

  1. 160 Seiten
  2. German
  3. ePUB (handyfreundlich)
  4. Über iOS und Android verfügbar
eBook - ePub

Die Datenschutz-Grundverordnung (DSGVO)

Ein Leitfaden für die Anwaltskanzlei mit Checklisten

Angaben zum Buch
Buchvorschau
Inhaltsverzeichnis
Quellenangaben

Über dieses Buch

Verständliche DarstellungDie Autorin, erfahrene Anwältin und Expertin für Datenschutzrecht, wendet sich mit diesem Leitfaden direkt an die kleine und mittelgroße Anwaltskanzlei. In verständlicher Sprache schildert sie die Herausforderungen, die durch die DSGVO auf jede Kanzlei zukommen, und gibt dem Leser Lösungen an die Hand. Hilft Bußgelder zu vermeidenSchritt für Schritt zeigt sie auf, wie Kanzleien vermeiden können, dass sie schlimmstenfalls hohe Bußgelder zahlen müssen, und wie sie dabei ihre Kanzleiorganisation optimieren können. Betroffenenrechte und InformationspflichtenZunächst werden die Neuerungen und Begrifflichkeiten im neuen Datenschutzrecht erklärt. Anschließend erarbeitet die Autorin schrittweise das "Projekt DSGVO-Umsetzung". Sie stellt einerseits die kritischen Punkte dar, insbesondere Betroffenenrechte und Informationspflichten, und andererseits beschreibt sie, wie ein funktionierendes Datenschutz-Management-System aussehen kann. Konsequent kanzleiorientiertDabei verliert dieser Praxisleitfaden nie die besonderen Umstände und Erfordernisse in Anwaltskanzleien aus dem Auge. Relevante Risiken werden ausführlich besprochen, gesetzliche Neuerungen, die Anwälte nicht betreffen, lediglich angerissen. Die Vorschläge zu Organisation und Strukturierung beziehen sich konkret auf die in Kanzleien vorzufindenden Abläufe. Hilfreiche ChecklistenErgänzt werden die Ausführungen durch Checklisten, die die Umsetzung der Maßnahmen sowie deren Dokumentation erleichtern.

Häufig gestellte Fragen

Gehe einfach zum Kontobereich in den Einstellungen und klicke auf „Abo kündigen“ – ganz einfach. Nachdem du gekündigt hast, bleibt deine Mitgliedschaft für den verbleibenden Abozeitraum, den du bereits bezahlt hast, aktiv. Mehr Informationen hier.
Derzeit stehen all unsere auf Mobilgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.
Mit beiden Aboplänen erhältst du vollen Zugang zur Bibliothek und allen Funktionen von Perlego. Die einzigen Unterschiede bestehen im Preis und dem Abozeitraum: Mit dem Jahresabo sparst du auf 12 Monate gerechnet im Vergleich zum Monatsabo rund 30 %.
Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.
Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.
Ja, du hast Zugang zu Die Datenschutz-Grundverordnung (DSGVO) von Christiane Tischer im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Jura & Rechtstheorie & -praxis. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag
Richard Boorberg Verlag
Jahr
2018
ISBN
9783415063105
Auflage
1
Thema
Jura
Thema
Rechtstheorie & -praxis

IV. Projekt DSGVO-Umsetzung

Neben den genannten Grundsätzen, die einzuhalten sind, gibt es noch eine Vielzahl an Einzelpflichten in der DSGVO. Wie kann man das alles umsetzten und noch dazu kommen, seine Fälle zu bearbeiten und auch die übrigen Kanzleitätigkeiten nicht zu vernachlässigen? Zugegeben – es ist viel Arbeit, insbesondere für die Dokumentation, die teilweise auch als „ein bisschen viel des Guten“ erscheint. Mit systematischem Vorgehen ist es jedoch zu schaffen.
Das „Projekt DSGVO“ teilt sich in zwei Phasen: Zunächst in die Vorbereitung, in der Inventur gemacht, sämtliche erforderliche Dokumente entworfen, notwendige Informationen erteilt und Mitarbeiter geschult werden. Sodann muss sich das geschaffene System in Phase 2 im Alltag bewähren. Hier ist es – nicht nur am Anfang, insbesondere aber dann – nötig, das System zu überwachen und zu verbessern. Hierbei muss die Kanzleiorganisation in einen Kreislauf aus Planung der Maßnahmen, Umsetzung, Überprüfung, Schwachstellen-Feststellung, Verbesserung, Definition verbesserter Maßnahmen und deren Umsetzung etc. kommen.
Erwägungsgrund 74 sagt hierzu:
„(…) Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.
Sie haben es nach Lektüre der vorangegangenen Absätze vermutet: eine Umsetzung der DSGVO, eine Dokumentation der Compliance (Rechenschaftspflicht) und eine Sicherstellung, dass im „Normalbetrieb der Kanzlei“ sämtliche datenschutzrechtlichen Anforderungen und auch Ansprüche betroffener Personen umgesetzt worden, geht nicht ohne ein umfassendes Datenschutz-Management-System, das auch ein Datensicherheits-Management einschließt. Hauptfunktion ist natürlich die Compliance mit der DSGVO. Wichtig sind die Arbeiten aber auch dann, wenn etwas schiefgegangen ist: Denn bei der Festsetzung von Bußgeldern entscheiden über die tatsächliche Höhe nicht nur, wie sich etwa aus Erwägungsgrund 150 ergibt, alle Umstände des Verstoßes, sondern auch die Maßnahmen, die ergriffen wurden, um die Einhaltung der aus der DSGVO erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern. Daher muss nicht nur klar (und dokumentiert) sein, was im Alltag mit personenbezogenen Daten zu tun ist – sondern auch, was zu tun ist, wenn eine Datenpanne eintritt.
Der Ablauf der ersten Phase könnte folgendermaßen aussehen:
  1. Verantwortlichkeiten festlegen: Wer soll im „Team DSGVO“ sein und welche Aufgaben haben?
  2. Überblick verschaffen: Wer tut was in der Kanzlei mit welchen personenbezogenen Daten?
  3. Überarbeitung und Fertigstellung: Wer im ersten Schritt noch delegiert hat (Sekretärin, Kanzleimanagerin, Bürovorsteherin, IT-Dienstleister & Co.), ist spätestens jetzt selbst gefordert: Durchsicht und Korrektur der Bestandsaufnahme sind notwendig. Denn hier ist bereits juristisches Wissen erforderlich: Sind tatsächlich alle personenbezogenen Daten erfasst? Oder haben sich Dinge „eingeschlichen“, bei denen es nicht um personenbezogene Daten geht, ist alles vollständig und plausibel?
  4. Planung zum Informationsfluss: Wer erhält wann welche Informationen, insbesondere auch zur Einbindung des Datenschutzbeauftragten?
  5. Dokumentation erstellen: Die Datenschutz-Grundverordnung verlangt, dass sie nicht nur umgesetzt wird, sondern dass dies umfassend dokumentiert wird und dass auch für verschiedene Themen Dokumente vorhanden sind. Diese sind sodann auf der Basis der Bestandsaufnahme zu erstellen. Das betrifft insbesondere das Verzeichnis der Verfahrenstätigkeiten sowie das Datenschutz-Management-System, (Rechte-)Management inkl. Datenschutz-Folgenabschätzungen. In besonderen Fällen kann es sein, dass man vorab noch bei der Aufsichtsbehörde anfragen will oder sollte.
  6. Anpassung aller Formulare, die an Mandanten, Arbeitnehmer, Dienstleister & Co. versandt oder von diesen genutzt/eingereicht werden.
  7. Überarbeitung sämtlicher Einwilligungserklärungen, Prüfung bestehender Einwilligungen.
  8. Prüfung und Überarbeitung von Auftragsdatenverarbeitungsverträgen, Abschluss der Neuverträge mit dem Dienstleister, Richtlinie zur Einbindung externer Dienstleister. Wer selber Auftragsdatenverarbeiter ist: Hinwirken auf Anpassung der Verträge, da mit der DSGVO auch der Auftragsdatenverarbeiter „dran“ ist und nicht nur der Auftraggeber, wie es bisher war.
  9. Informationen für Mitarbeiter erstellen: Nach der DSGVO ist ein „Beipackzettel“ für Mitarbeiter erforderlich. Für die Neueinstellungen ab 25.05.2018 gilt dies ohne Diskussion – daher sollte die Information auch an die bereits tätigen Mitarbeiter gegeben werden.
  10. Prüfung, ob sich noch etwas geändert hat oder angepasst werden muss.
  11. Schulungsmaterialien für Mitarbeiter erstellen: Da auch Ihre Verwaltungsmitarbeiter, insbesondere aber die SekretariatsmitarbeiterInnen mit personenbezogenen Daten arbeiten, müssen diese natürlich auch erfahren, was sie unter Geltung der DSGVO zu beachten bzw. zu ändern haben.
  12. Umsetzung und Kommunikation in der Kanzlei, neue Regeln werden verbindlich.
Es ist zwar richtig, dass die DSGVO eine Vielzahl an Dokumentationspflichten und Organisationspflichten vorsieht. Ein Großteil davon macht zwar Arbeit, ist aber „halb so schlimm“. Dennoch gibt es aber natürlich Themen, die einen ganz erheblichen Aufwand und eine ganz erhebliche inhaltliche und rechtliche Auseinandersetzung fordern, wie beispielsweise die Risikoanalyse. Im Folgenden sind die einzelnen Aspekte dargestellt.
Es gibt sogar einen Standard zur Umsetzung der DSGVO, den VdS 10010. Diesen kann man auf der Seite des VdS (https://shop.vds.de/de/produkt/vds-10010) herunterladen, wenn man „Vorschau“ wählt, sogar kostenlos.

1. Einbindung des Datenschutzbeauftragten

Gibt es in Ihrer Kanzlei einen Datenschutzbeauftragten? Falls ja, ist dies der erste Ansprechpartner für das Projekt DSGVO. Der Datenschutzbeauftragte ist von Anfang an einzubinden, da er gem. DSGVO in alle relevanten Fragen hinsichtlich personenbezogener Daten zu involvieren ist. Und das ist – wenig überraschend – zu dokumentieren.
Wer in der Kanzlei keinen Datenschutzbeauftragten hat, sollte zunächst prüfen, ob ein solcher bestellt werden muss. Denn auch hier ändert sich durch die DSGVO die Rechtslage:
Wenn die Kerntätigkeit der Kanzlei in systematischer Überwachung oder Verarbeitung besonderer personenbezogener Daten oder Daten über strafrechtliche Verurteilungen besteht, besteht gem. Art. 37 unabhängig von der Mitarbeiterzahl die Pflicht, einen Datenschutzbeauftragten zu benennen.
Erwägungsgrund 97 konkretisiert:
Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.
Kerntätigkeit ist jede Tätigkeit, die essentiell für die Erreichung der Ziele des Unternehmens sind. Als Beispiel wird in den FAQ der Artikel-29-Gruppe genannt, dass die Arbeit mit Patientendaten eine Kerntätigkeit eines Krankenhauses ist, keine Kerntätigkeit sei es dagegen, wenn nur eigene Arbeitsverhältnisse administriert werden oder eine „handelsübliche“ IT-Infrastruktur betrieben wird (WP243 unex – frequently asked questions, Ziffer 2).
Wann ein Datenschutzbeauftragter zu benennen ist, hat die Artikel-29-Gruppe, zukünftig EU-DS-Ausschuss, konkretisiert.6 Hier wurden besonders folgende Faktoren genannt, die maßgeblich für das Merkmal „umfangreiche Verarbeitung“ sind:
  • die Anzahl der Betroffenen
  • die Menge der betroffenen Daten und/oder die Vielzahl der verschiedenen Datensätze
  • die Dauer der Datenverarbeitung
  • die geographische Reichweite der Datenverarbeitung.
Man kann durchaus die Auffassung vertreten, dass in einer Anwaltskanzlei die Kerntätigkeit in Datenverarbeitungsvorgängen besteht. Besondere Kategorien von Daten oder personenbezogene Daten bei strafrechtlichen Verurteilungen und Straftaten werden auch in Kanzleien, die etwa im Straf- oder Familienrecht tätig sind, regelmäßig verarbeitet. Bei der Anwaltstätigkeit stellt sich dann die Frage, ob diese Verarbeitungsvorgänge solche sind, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Das sind – legt man Erwägungsgrund 24 zugrunde – insbesondere alle Arten des Internettrackings und Profilings. Eine systematische Überwachung ist bei Rechtsanwälten dagegen weniger zu erkennen, da der Anwalt sich ja (auftragsgemäß) nur auf den konkreten Fall, also ein spezifisches Problem, konzentriert.
Daher ist durchaus vertretbar, dass Kanzleien, die eben nicht besonders sensible Daten üblicherweise haben, hier nicht unter die Regelung fallen.
Darüber hinaus kann es durchaus Sinn machen, freiwillig einen Datenschutzbeauftragten zu bestellen – schon deshalb, um die Umsetzung der DSGVO ordnungsgemäß abwickeln zu können und hierfür fachlich qualifizierte Unterstützung zu haben. Denn es ist praktisch kaum möglich, „alles selber zu machen“.
Bisher war es so, dass ein Datenschutzbeauftragter zu benennen war, wenn mehr als neun Mitarbeiter regelmäßig Daten zu Personen verarbeiten. Dies wird sich ab Mai 2018 nicht ändern – der deutsche Gesetzgeber hat aber diese Regelung aufrechterhalten. Wer also bisher einen Datenschutzbeauftragten hat, behält ihn auch. Aber es gibt auch Neues: Gem. § 38 BDSG-neu muss eine Kanzlei einen Datenschutzbeauftragten benennen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der (DSGVO) unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Neu ist im neuen BDSG auch: Die Vorgaben zur Abberufung und Kündigung des Datenschutzbeauftragten für öffentliche Stellen gelten nun auch für den Datenschutzbeauftragten für nichtöffentliche Stellen.
Die DSGVO spricht von „Benennung“ statt „Bestellung“. Nicht konkretisiert hat sowohl der Ausschuss als auch die DSGVO, was unter dem Begriff „Benennung“ zu verstehen ist und wie diese konkret aussieht. Aus Sicherheitsgründen sollte diese – wie bisher – schriftlich erfolgen.
Es gibt weiterhin die Möglichkeit, interne oder externe Datenschutzbeauftragte zu bestellen. Es kann sich durchaus anbieten, eine externe Lösung zu wählen, da sich voraussichtlich im Zusammenhang mit der Umsetzung der DSGVO sehr viel Arbeit für den Datenschutzbeauftragten ergibt, die intern entweder nicht oder nicht neben der sonstigen Tätigkeit geleistet werden kann. Wer bereits einen Datenschutzbeauftragten hat, steht aber ebenfalls Veränderungen gegenüber: Die Rolle des Datenschutzbeauftragten hat sich ebenfalls gemäß DSGVO verändert. Die Anforderungen (berufliche Qualifikationen, Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis, Fähigkeit zur Erfüllung der gesetzlich definierten Aufgaben) sind dagegen gleichgeblieben.
Nachdem ggf. ein fehlender Datenschutzbeauftragter benannt oder ein bestehender nach kurzer Prüfung bestätigt wurde, bietet sich an, die Kontaktdaten des Datenschutzbeauftragten auf der Kanzleihomepage aufzunehmen und auch an die Aufsichtsbehörde mitzuteilen.
Aufgaben des Datenschutzbeauftragten sind gem. Art. 39 folgende:
  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Daraus ergibt sich auch, welche Aufgabe der Datenschutzbeauftragte nicht hat: er ist nich...

Inhaltsverzeichnis

  1. Cover
  2. Titel
  3. Impressum
  4. Vorwort
  5. Inhalt
  6. I. DSGVO – Was ist das?
  7. II. Begriffe der DSGVO
  8. III. Die Grundsätze der DSGVO
  9. IV. Projekt DSGVO-Umsetzung
  10. V. Zulässigkeit der Datenverarbeitung
  11. VI. Betroffenenrechte beachten
  12. VII. Datenschutz-Management-System implementieren
  13. VIII. Datensicherheit
  14. IX. Sonderthemen
  15. X. Sanktionen
  16. XI. Zusammenfassung: 12 Punkte zur DSGVO
  17. Checklisten
  18. Reihenanzeigen