IV. Projekt DSGVO-Umsetzung
Neben den genannten Grundsätzen, die einzuhalten sind, gibt es noch eine Vielzahl an Einzelpflichten in der DSGVO. Wie kann man das alles umsetzten und noch dazu kommen, seine Fälle zu bearbeiten und auch die übrigen Kanzleitätigkeiten nicht zu vernachlässigen? Zugegeben – es ist viel Arbeit, insbesondere für die Dokumentation, die teilweise auch als „ein bisschen viel des Guten“ erscheint. Mit systematischem Vorgehen ist es jedoch zu schaffen.
Das „Projekt DSGVO“ teilt sich in zwei Phasen: Zunächst in die Vorbereitung, in der Inventur gemacht, sämtliche erforderliche Dokumente entworfen, notwendige Informationen erteilt und Mitarbeiter geschult werden. Sodann muss sich das geschaffene System in Phase 2 im Alltag bewähren. Hier ist es – nicht nur am Anfang, insbesondere aber dann – nötig, das System zu überwachen und zu verbessern. Hierbei muss die Kanzleiorganisation in einen Kreislauf aus Planung der Maßnahmen, Umsetzung, Überprüfung, Schwachstellen-Feststellung, Verbesserung, Definition verbesserter Maßnahmen und deren Umsetzung etc. kommen.
Erwägungsgrund 74 sagt hierzu:
„(…) Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.“
Sie haben es nach Lektüre der vorangegangenen Absätze vermutet: eine Umsetzung der DSGVO, eine Dokumentation der Compliance (Rechenschaftspflicht) und eine Sicherstellung, dass im „Normalbetrieb der Kanzlei“ sämtliche datenschutzrechtlichen Anforderungen und auch Ansprüche betroffener Personen umgesetzt worden, geht nicht ohne ein umfassendes Datenschutz-Management-System, das auch ein Datensicherheits-Management einschließt. Hauptfunktion ist natürlich die Compliance mit der DSGVO. Wichtig sind die Arbeiten aber auch dann, wenn etwas schiefgegangen ist: Denn bei der Festsetzung von Bußgeldern entscheiden über die tatsächliche Höhe nicht nur, wie sich etwa aus Erwägungsgrund 150 ergibt, alle Umstände des Verstoßes, sondern auch die Maßnahmen, die ergriffen wurden, um die Einhaltung der aus der DSGVO erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern. Daher muss nicht nur klar (und dokumentiert) sein, was im Alltag mit personenbezogenen Daten zu tun ist – sondern auch, was zu tun ist, wenn eine Datenpanne eintritt.
Der Ablauf der ersten Phase könnte folgendermaßen aussehen:
- Verantwortlichkeiten festlegen: Wer soll im „Team DSGVO“ sein und welche Aufgaben haben?
- Überblick verschaffen: Wer tut was in der Kanzlei mit welchen personenbezogenen Daten?
- Überarbeitung und Fertigstellung: Wer im ersten Schritt noch delegiert hat (Sekretärin, Kanzleimanagerin, Bürovorsteherin, IT-Dienstleister & Co.), ist spätestens jetzt selbst gefordert: Durchsicht und Korrektur der Bestandsaufnahme sind notwendig. Denn hier ist bereits juristisches Wissen erforderlich: Sind tatsächlich alle personenbezogenen Daten erfasst? Oder haben sich Dinge „eingeschlichen“, bei denen es nicht um personenbezogene Daten geht, ist alles vollständig und plausibel?
- Planung zum Informationsfluss: Wer erhält wann welche Informationen, insbesondere auch zur Einbindung des Datenschutzbeauftragten?
- Dokumentation erstellen: Die Datenschutz-Grundverordnung verlangt, dass sie nicht nur umgesetzt wird, sondern dass dies umfassend dokumentiert wird und dass auch für verschiedene Themen Dokumente vorhanden sind. Diese sind sodann auf der Basis der Bestandsaufnahme zu erstellen. Das betrifft insbesondere das Verzeichnis der Verfahrenstätigkeiten sowie das Datenschutz-Management-System, (Rechte-)Management inkl. Datenschutz-Folgenabschätzungen. In besonderen Fällen kann es sein, dass man vorab noch bei der Aufsichtsbehörde anfragen will oder sollte.
- Anpassung aller Formulare, die an Mandanten, Arbeitnehmer, Dienstleister & Co. versandt oder von diesen genutzt/eingereicht werden.
- Überarbeitung sämtlicher Einwilligungserklärungen, Prüfung bestehender Einwilligungen.
- Prüfung und Überarbeitung von Auftragsdatenverarbeitungsverträgen, Abschluss der Neuverträge mit dem Dienstleister, Richtlinie zur Einbindung externer Dienstleister. Wer selber Auftragsdatenverarbeiter ist: Hinwirken auf Anpassung der Verträge, da mit der DSGVO auch der Auftragsdatenverarbeiter „dran“ ist und nicht nur der Auftraggeber, wie es bisher war.
- Informationen für Mitarbeiter erstellen: Nach der DSGVO ist ein „Beipackzettel“ für Mitarbeiter erforderlich. Für die Neueinstellungen ab 25.05.2018 gilt dies ohne Diskussion – daher sollte die Information auch an die bereits tätigen Mitarbeiter gegeben werden.
- Prüfung, ob sich noch etwas geändert hat oder angepasst werden muss.
- Schulungsmaterialien für Mitarbeiter erstellen: Da auch Ihre Verwaltungsmitarbeiter, insbesondere aber die SekretariatsmitarbeiterInnen mit personenbezogenen Daten arbeiten, müssen diese natürlich auch erfahren, was sie unter Geltung der DSGVO zu beachten bzw. zu ändern haben.
- Umsetzung und Kommunikation in der Kanzlei, neue Regeln werden verbindlich.
Es ist zwar richtig, dass die DSGVO eine Vielzahl an Dokumentationspflichten und Organisationspflichten vorsieht. Ein Großteil davon macht zwar Arbeit, ist aber „halb so schlimm“. Dennoch gibt es aber natürlich Themen, die einen ganz erheblichen Aufwand und eine ganz erhebliche inhaltliche und rechtliche Auseinandersetzung fordern, wie beispielsweise die Risikoanalyse. Im Folgenden sind die einzelnen Aspekte dargestellt.
Es gibt sogar einen Standard zur Umsetzung der DSGVO, den VdS 10010. Diesen kann man auf der Seite des VdS (https://shop.vds.de/de/produkt/vds-10010) herunterladen, wenn man „Vorschau“ wählt, sogar kostenlos.
1. Einbindung des Datenschutzbeauftragten
Gibt es in Ihrer Kanzlei einen Datenschutzbeauftragten? Falls ja, ist dies der erste Ansprechpartner für das Projekt DSGVO. Der Datenschutzbeauftragte ist von Anfang an einzubinden, da er gem. DSGVO in alle relevanten Fragen hinsichtlich personenbezogener Daten zu involvieren ist. Und das ist – wenig überraschend – zu dokumentieren.
Wer in der Kanzlei keinen Datenschutzbeauftragten hat, sollte zunächst prüfen, ob ein solcher bestellt werden muss. Denn auch hier ändert sich durch die DSGVO die Rechtslage:
Wenn die Kerntätigkeit der Kanzlei in systematischer Überwachung oder Verarbeitung besonderer personenbezogener Daten oder Daten über strafrechtliche Verurteilungen besteht, besteht gem. Art. 37 unabhängig von der Mitarbeiterzahl die Pflicht, einen Datenschutzbeauftragten zu benennen.
Erwägungsgrund 97 konkretisiert:
„Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“
Kerntätigkeit ist jede Tätigkeit, die essentiell für die Erreichung der Ziele des Unternehmens sind. Als Beispiel wird in den FAQ der Artikel-29-Gruppe genannt, dass die Arbeit mit Patientendaten eine Kerntätigkeit eines Krankenhauses ist, keine Kerntätigkeit sei es dagegen, wenn nur eigene Arbeitsverhältnisse administriert werden oder eine „handelsübliche“ IT-Infrastruktur betrieben wird (WP243 unex – frequently asked questions, Ziffer 2).
Wann ein Datenschutzbeauftragter zu benennen ist, hat die Artikel-29-Gruppe, zukünftig EU-DS-Ausschuss, konkretisiert.6 Hier wurden besonders folgende Faktoren genannt, die maßgeblich für das Merkmal „umfangreiche Verarbeitung“ sind:
- die Anzahl der Betroffenen
- die Menge der betroffenen Daten und/oder die Vielzahl der verschiedenen Datensätze
- die Dauer der Datenverarbeitung
- die geographische Reichweite der Datenverarbeitung.
Man kann durchaus die Auffassung vertreten, dass in einer Anwaltskanzlei die Kerntätigkeit in Datenverarbeitungsvorgängen besteht. Besondere Kategorien von Daten oder personenbezogene Daten bei strafrechtlichen Verurteilungen und Straftaten werden auch in Kanzleien, die etwa im Straf- oder Familienrecht tätig sind, regelmäßig verarbeitet. Bei der Anwaltstätigkeit stellt sich dann die Frage, ob diese Verarbeitungsvorgänge solche sind, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Das sind – legt man Erwägungsgrund 24 zugrunde – insbesondere alle Arten des Internettrackings und Profilings. Eine systematische Überwachung ist bei Rechtsanwälten dagegen weniger zu erkennen, da der Anwalt sich ja (auftragsgemäß) nur auf den konkreten Fall, also ein spezifisches Problem, konzentriert.
Daher ist durchaus vertretbar, dass Kanzleien, die eben nicht besonders sensible Daten üblicherweise haben, hier nicht unter die Regelung fallen.
Darüber hinaus kann es durchaus Sinn machen, freiwillig einen Datenschutzbeauftragten zu bestellen – schon deshalb, um die Umsetzung der DSGVO ordnungsgemäß abwickeln zu können und hierfür fachlich qualifizierte Unterstützung zu haben. Denn es ist praktisch kaum möglich, „alles selber zu machen“.
Bisher war es so, dass ein Datenschutzbeauftragter zu benennen war, wenn mehr als neun Mitarbeiter regelmäßig Daten zu Personen verarbeiten. Dies wird sich ab Mai 2018 nicht ändern – der deutsche Gesetzgeber hat aber diese Regelung aufrechterhalten. Wer also bisher einen Datenschutzbeauftragten hat, behält ihn auch. Aber es gibt auch Neues: Gem. § 38 BDSG-neu muss eine Kanzlei einen Datenschutzbeauftragten benennen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der (DSGVO) unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“
Neu ist im neuen BDSG auch: Die Vorgaben zur Abberufung und Kündigung des Datenschutzbeauftragten für öffentliche Stellen gelten nun auch für den Datenschutzbeauftragten für nichtöffentliche Stellen.
Die DSGVO spricht von „Benennung“ statt „Bestellung“. Nicht konkretisiert hat sowohl der Ausschuss als auch die DSGVO, was unter dem Begriff „Benennung“ zu verstehen ist und wie diese konkret aussieht. Aus Sicherheitsgründen sollte diese – wie bisher – schriftlich erfolgen.
Es gibt weiterhin die Möglichkeit, interne oder externe Datenschutzbeauftragte zu bestellen. Es kann sich durchaus anbieten, eine externe Lösung zu wählen, da sich voraussichtlich im Zusammenhang mit der Umsetzung der DSGVO sehr viel Arbeit für den Datenschutzbeauftragten ergibt, die intern entweder nicht oder nicht neben der sonstigen Tätigkeit geleistet werden kann. Wer bereits einen Datenschutzbeauftragten hat, steht aber ebenfalls Veränderungen gegenüber: Die Rolle des Datenschutzbeauftragten hat sich ebenfalls gemäß DSGVO verändert. Die Anforderungen (berufliche Qualifikationen, Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis, Fähigkeit zur Erfüllung der gesetzlich definierten Aufgaben) sind dagegen gleichgeblieben.
Nachdem ggf. ein fehlender Datenschutzbeauftragter benannt oder ein bestehender nach kurzer Prüfung bestätigt wurde, bietet sich an, die Kontaktdaten des Datenschutzbeauftragten auf der Kanzleihomepage aufzunehmen und auch an die Aufsichtsbehörde mitzuteilen.
Aufgaben des Datenschutzbeauftragten sind gem. Art. 39 folgende:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Daraus ergibt sich auch, welche Aufgabe der Datenschutzbeauftragte nicht hat: er ist nich...