© WEKA Business Solutions GmbH
A-1200 Wien, Dresdner Straße 45
E-Mail: kundenservice@weka.at
Datenschutz in der Kanzlei – Kurzüberblick
Erfahren Sie in diesem Beitrag, welche Dokumentations- und Informationspflichten und Aufgaben Kanzleien gemäß der DSGVO treffen. Gilt die DSGVO auch für pseudonymisierte Daten?
Grundsätzlich sind Rechtsanwälte gem § 9 Abs 2 RAO schon immer bzw bereits vor Inkrafttreten der DSGVO zur Verschwiegenheit über die ihm anvertrauten Angelegenheiten und die ihm sonst in seiner beruflichen Eigenschaft bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse seiner Partei gelegen ist, verpflichtet. Man könnte also meinen, dass die Umsetzung der Normen der DSGVO zu keiner radikalen Veränderung des Kanzleibetriebs führte?
Ja und nein, selbst wenn Rechtsanwälte schon immer einer Verschwiegenheitspflicht unterlagen, brachte die DSGVO neue Dokumentations- und Informationspflichten, die so bisher nicht in der RAO festgelegt waren. Außerdem enthält die DSGVO zahlreiche Regelungen über die Verarbeitung von Daten zum Zwecke des Marketings, die es auch in Kanzleien zu beachten gilt.
Wichtige Aspekte zur Umsetzung DSGVO in der Kanzlei
Auf folgende Aspekte sollte in der Kanzlei hinsichtlich der DSGVO ein besonderer Augenmerk gelegt werden:
- Organisatorische und technische Maßnahmen zur Datensicherheit (Art 32 DSGVO): Von der Gebäudesicherheit (Zugangskontrolle) bis hin zur sicheren Aktverwahrung
- Übergabe der Datenschutzerklärung an Mandanten im Rahmen der ersten Informationsaufnahme
- Datenschutzerklärung für Mandanten und Website
- Verzeichnis der Verarbeitungstätigkeiten (Art 30 DSGVO)
- Prozedere Databreach
- Prozedere Auskunftsersuchen
- Einwilligungserklärungen für Newsletter
Anwendungsbereich
Grundsätzlich schützt die DSGVO die Daten von natürlichen Personen. Strittig ist, ob § 1 DSG auch juristische Personen schützt, wogegen schon der Langtitel des Gesetzes spricht. Praktisch fallen aber auch bei der Verarbeitung von Daten von juristischen Personen Daten über natürliche Personen an. Beispielsweise enthält ein Firmenbuchauszug zumindest Daten einer natürlichen Person, nämlich des Geschäftsführers samt Anschrift und Geburtsdatum. Selbst wenn eine Kanzlei ausschließlich juristische Personen vertritt, ist die Umsetzung der DSGVO zwingend.
Grundsätzlich wurde das moderne Datenschutzrecht für die elektronische Datenverarbeitung geschaffen. Die automatisationsunterstützte Datenverarbeitung erlaubt es, große Mengen an Daten zu sammeln und diese Informationen gezielt zu durchsuchen und zu strukturieren.
Allerdings fallen auch nicht automatisationsgeschützte Datensammlungen unter die DSGVO, wenn diese geordnet und durchsuchbar sind (Art 4 Z 6 DSGVO). Bei Handakten oder Archivordnern besteht kein Zweifel an der Anwendbarkeit der DSGVO.
Ausgenommen von der Anwendung der DSGVO sind Privatpersonen, die eine Verarbeitung von Daten für rein persönliche und familiäre Tätigkeiten durchführen. Eine andere Ausnahme aufgrund besonders geringen Umfangs der Datenverarbeitung gibt es daher nicht. Das heißt, dass jede Rechtsanwaltskanzlei – sollte sie auch nur einen Mandanten haben – unter die DSGVO fällt.
Die DSGVO gilt ausschließlich für personenbezogene Daten. Werden Daten daher anonymisiert, sodass kein Personenbezug mehr hergestellt werden kann, so liegt keine Anwendbarkeit mehr vor.
Ausdrücklich von der DSGVO geregelt sind pseudonymisierte Daten. Pseudonymisierung ist ein wichtiges Instrument zur Verminderung datenschutzrechtlicher Risiken.
Bestes Beispiel für pseudonymisierte Daten ist die Aktbezeichnung.
Beispiel: Pseudonymisierung
Der Mandant Max Mustermann ist einer Besitzstörung bezichtigt und legt nunmehr der Kanzleimitarbeiter folgenden elektronischen und physischen Akt an:
MustMa/Besitzstörung
Dabei handelt es sich um eine spezielle Art von personenbezogenen Daten, weil über einfache Eingabe in der Kanzleisoftware der Mandant gefunden werden kann und ist daher die DSGVO anwendbar. Gelingt jemandem ein Blick auf den Aktendeckel, so kann er im Sinne der Informationssicherheit nicht erkennen, dass es sich um Max Mustermann handelt.
Detailliertere Informationen zum Datenschutz in der Kanzlei erhalten Sie in unserem Download-Beitrag „Umsetzung der DSGVO in der Kanzlei“.