Cover

Bibliografische Information der Deutschen Nationalbibliothek | Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über www.dnb.de abrufbar.

Print ISBN 978-3-415-06301-3
E-ISBN 978-3-415-06310-5

© 2018 Richard Boorberg Verlag

E-Book-Umsetzung: Datagroup int. SRL, Timisoara

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Dies gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Titelfoto: © jijomathai – stock.adobe.com

Richard Boorberg Verlag GmbH & Co KG | Scharrstraße 2 | 70563 Stuttgart
Stuttgart | München | Hannover | Berlin | Weimar | Dresden
www.boorberg.de

Inhalt

Vorwort

I. DSGVO – Was ist das?

1. Was hat es mit der neuen Datenschutz-Grundverordnung auf sich?

2. Ein Hauptproblem der DSGVO

3. Für wen und was gilt die DSGVO?

4. Struktur der Datenschutz-Grundverordnung

II. Begriffe der DSGVO

1. „Personenbezogene Daten“

2. „Betroffene Person“

3. „Besondere Kategorien personenbezogener Daten“ gemäß Art. 9 DSGVO

4. „Verantwortlicher“

5. „Verarbeitung“

6. „Einwilligung“

7. „Dritter“

8. „Unternehmen“

9. „Empfänger“

10. „Verletzung des Schutzes personenbezogener Daten“

11. Weitere Definitionen

III. Die Grundsätze der DSGVO

1. Rechtmäßigkeit der Datenverarbeitung

2. Verarbeitung nach Treu und Glauben

3. Transparenz

4. Zweckbindung

5. Datenminimierung

6. Richtigkeit

7. Speicherbegrenzung

8. Integrität und Vertraulichkeit

9. Datenübermittlung in Drittstaaten

10. Rechenschaftsprinzip

IV. Projekt DSGVO-Umsetzung

1. Einbindung des Datenschutzbeauftragten

2. Projektteam benennen

3. Überblick verschaffen und Gap-Analyse

4. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

5. Risiken ermitteln und abschätzen

6. Einwilligungen prüfen

a) Formular für Einwilligungen neu fassen

b) Einwilligung eines Kindes

c) Überprüfung bestehender Einwilligungen in Datenspeicherung und -verarbeitung

7. Datenschutzfreundliche Grundeinstellungen

8. Überprüfung von Verträgen mit Dienstleistern/ Auftragsverarbeitung

V. Zulässigkeit der Datenverarbeitung

1. Einhaltung der Erlaubnistatbestände

a) Einwilligung, Art. 6 Abs. 1 a

b) Vertrag

c) Gesetzliche Verpflichtung (Art. 6 Abs. 1 c DSGVO)

d) Lebenswichtige Interessen

e) Öffentliche Interessen

f) Interessenabwägung, Art. 6 Abs. 1 f

2. Abwägungen im Datenschutzrecht

3. Dokumentation der Rechtmäßigkeit der Datenverarbeitung

VI. Betroffenenrechte beachten

1. Informationspflichten umsetzen

a) Informationspflichten bei Datenerhebung beim Betroffenen

b) Informationspflichten bei Datenerhebung, die nicht bei der betroffenen Person stattfindet

2. Das Auskunftsrecht (Art. 15 DSGVO)

3. Recht auf Löschung („Vergessenwerden“) gemäß Art. 17 DSGVO

a) Der EuGH begründet das Recht auf Vergessenwerden

b) Recht auf Vergessenwerden in der DSGVO

c) Vergessenwerden ist mehr als Löschen

4. Recht auf Einschränkung der Verarbeitung

5. Anspruch auf Berichtigung, Art. 16

6. Recht auf Datenübertragbarkeit, Art. 20

7. Widerspruchsrecht, Art. 21

8. Art. 11 DSGVO: Verarbeitung ohne Identifizierung

VII. Datenschutz-Management-System implementieren

1. Erstellung und regelmäßige Überprüfung einer Datenschutzrichtlinie

2. Rechtzeitige Feststellung relevanter Änderungen

3. Wahrnehmung von Betroffenenrechten sicherstellen

4. Feststellung und Reaktion auf Datenschutzverstöße/Datenpannen

5. Kooperation mit der Behörde sicherstellen

6. Datensicherheitsmanagement

7. Das Standarddatenschutzmodell (SDM)

VIII. Datensicherheit

1. Sicherheitsstandards nutzen

2. Einzelne Sicherheitsstandards

a) ISO 27001

b) VdS 3473

i. Leitlinie zur Informationssicherheit

ii. IT-Richtlinie für Mitarbeiter (und Kanzleiinhaber/Partner)

iii. Richtlinie Mobilgeräte und tragbare Datenträger

iv. Regelmäßige Schulungen, Vertraulichkeitserklärungen

v. Richtlinie für IT-Dienstleiter

vi. Regelmäßige Informationen über neue Entwicklungen in der IT-Sicherheit

vii. Rechtemanagement

viii. Netzwerksicherung

ix. Serverraum und Co.

x. Datensicherung

xi. Regelmäßig Sicherheitsmaßnahmen überprüfen

IX. Sonderthemen

1. Datenschutz-Folgenabschätzungen (DSFA)

a) Fälle, in denen immer eine Datenschutz-Folgenabschätzung erfolgen muss

b) Liegt eine „riskante Datenverarbeitung“ vor?

c) Folgenabschätzung

d) Einbeziehung betroffener Personen gemäß Art. 35 Abs. 9 DSGVO

e) Konsultationsverfahren

f) Bußgelder

2. Was zu tun ist, wenn „es“ passiert – Data Breach (Art. 33, 34 DSGVO)

a) Meldepflichten nach bisherigem Recht

b) Neuregelung der DSGVO

c) Anforderungen bei einer Datenpanne

3. Kanzleiwerbung prüfen

a) Überprüfung der Kanzleiwebsite

b) Newsletter-Versand

4. Datenschutz im Arbeitsverhältnis

a) Arbeitnehmer als betroffene Personen

b) Schulung und Sensibilisierung von Mitarbeitern

c) Verpflichtung der Mitarbeiter auf das Datengeheimnis

X. Sanktionen

1. Bußgelder

2. Verbandsklagerecht

3. Schadensersatz

XI. Zusammenfassung: 12 Punkte zur DSGVO

1. Datenschutz als wichtiges Thema: Haftung und Bußgelder

2. Prozesse analysieren

3. Verzeichnis der Verarbeitungstätigkeiten

4. Datenschutz-Folgenabschätzung

5. Informationspflichten erfüllen

6. Einwilligungen einholen

7. Prüfen der Auftragsverarbeiter

8. Betroffenenrechte umsetzen

9. Bestandsdaten nicht vergessen

10. Verantwortliche benennen

11. Mitarbeiter schulen

12. Datenschutzerklärung

Checklisten

Checkliste 1: Erforderliche Dokumente gemäß DSGVO

Checkliste 2: Notfallplan

3. Zum Weiterlesen

Vorwort

Das neue Datenschutzrecht ändert vieles, auch für Anwaltskanzleien. Die DSGVO und das neue BDSG fordern den Anwalt als Unternehmer in eigener Sache. Zwar ist die Aufregung, die teilweise medial verbreitet wird, übertrieben – Handlungsbedarf besteht jedoch. Mein Anliegen ist es, Kolleginnen und Kollegen dabei zu unterstützen, die Anforderungen in ihrer Kanzlei pragmatisch umzusetzen.

Herzlich bedanken möchte ich mich bei den Mitarbeiterinnen und Mitarbeitern des Verlages, die mich in hervorragender Weise unterstützt haben: Frau Assmann, Herr Dr. Kulow und Herr Dr. Kopp haben das Manuskript korrigiert und mich auf eine Vielzahl an Verbesserungsmöglichkeiten aufmerksam gemacht. Das Buch hat durch ihre Unterstützung maßgeblich gewonnen.

Aus der Zusammenarbeit ist ein weiteres Projekt entstanden, eine Formularsammlung mit Mustern, die Anwälten eine ganz praktische Hilfe bieten, um die nach dem neuen Datenschutzrecht notwendigen Dokumentationen zu erstellen. Es handelt sich um das von Herrn Dr. Kulow herausgegebene Werk „DatenschutzDOKU nach der DSGVO“, eine Arbeitsmappe mit CD-ROM. Beide Produkte sind unabhängig voneinander nutzbar, ergänzen sich jedoch hervorragend.

Über Zuschriften, Lob, Kritik und Vorschläge freue ich mich. Sie können diese über den Verlag oder direkt per E-Mail (info@christianetischer.de) an mich richten.

Stuttgart, April 2018

Dr. Christiane Tischer

I. DSGVO – Was ist das?

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. (…) Jede Person (hat) das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“ (Erwägungsgrund 1 DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) kommt. Zeitgleich am 25. Mai 2018 tritt auch ein neues Bundesdatenschutzgesetz (BDSG) in Kraft. Warum sollten Anwältinnen und Anwälte sich für das neue Datenschutzrecht interessieren? Zunächst einmal natürlich deshalb, weil rechtliche Änderungen für Anwälte grundsätzlich interessant sind. Doch die DSGVO ist nicht nur unter dem Gesichtspunkt der Beratung von Mandanten für diejenigen spannend, die im weitesten Sinne mit dem Datenschutzrecht zu tun haben – sie ist auch in eigener Sache sehr wichtig. Denn jede Kanzlei ist ein Unternehmen, oder datenschutzrechtlich gesprochen eine nichtöffentliche Stelle. Damit muss die DSGVO auch in der Kanzlei umgesetzt werden. Kolleginnen und Kollegen, die im Datenschutzrecht arbeiten, werden aber wahrscheinlich in diesem Buch wenig Neues finden: Ich habe bewusst einen praxisorientierten Ansatz gewählt und auf einen umfassenden Fußnotenapparat und Streitstände wo immer möglich verzichtet. Denn ich habe dieses Buch für diejenigen Anwältinnen und Anwälte (zum Zwecke besserer Lesbarkeit habe ich im Folgenden nur die männliche Form verwendet, jedoch stets auch Frauen ebenso gemeint) geschrieben, die einen anderen Schwerpunkt gewählt haben.

Bei der anstehenden Umsetzung der DSGVO in der Kanzlei ist einiges zu tun. Und das wird nicht ganz einfach. Dies gilt ganz besonders deshalb, weil nach meiner Erfahrung Freiberufler oft ihren Fokus auf die inhaltliche Tätigkeit legen. Wer Anwalt ist, vertritt engagiert seine Mandanten – um die eigene unternehmerische Tätigkeit dagegen und insbesondere um Strukturen oder gar Managementsysteme kümmert man sich dann weniger. Ja, oft ist man im Gegenteil sogar stolz darauf, möglichst wenig Strukturen und Systeme in der Kanzlei zu haben. Schließlich ist man freier Anwalt, freiberuflich, kreativ und schöpferisch tätig.

Halt. Darauf nimmt das Datenschutzrecht keine Rücksicht. Es verlangt vielmehr, dass Prozesse dokumentiert und geprüft werden, und dass klare Verantwortlichkeiten und Aufgaben umgesetzt werden. Dabei soll Ihnen dieses Buch helfen. Gerade für eher spontan geführte Kanzleien kann die DSGVO aber auch ein Ansatzpunkt zur Professionalisierung sein. Trotz aller Arbeit, die damit verbunden ist, ist dies nicht das Schlechteste, was einer Kanzlei passieren kann. Das Hauptargument, sich mit der DSGVO zu beschäftigen, ist bei vielen Unternehmen – und damit auch bei vielen Kanzleien – die horrende Erhöhung der Bußgelder, die im Verstoßfall drohen. Darüber hinaus haben die Datenschutzbehörden sehr viel weniger Ermessensspielraum als bisher, um von eben diesen Bußgeldern gegebenenfalls absehen zu können. Hinsichtlich einiger Datenschutzbehörden ist auch schon bekannt, dass sie ihr Personal aufstocken, um mehr kontrollieren zu können – und es wurde auch schon angekündigt, den Bußgeldrahmen auszuschöpfen. Neben den Bußgeldern ist der drohende Vertrauensverlust ein ernstzunehmendes Thema – Vertrauen ist schließlich die „Währung“ im Anwaltsgeschäft. Und auf die persönliche Haftung will ich nur kurz hinweisen.

Das heißt also für alle Kanzleien: Die DSGVO muss umgesetzt werden. Damit sollte man möglichst früh beginnen, da erfahrungsgemäß im Kanzleialltag nicht immer Zeit dafür ist, in eigener Sache aktiv zu sein. Ich habe häufiger gehört: „Das Datenschutzrecht ist das neue Kartellrecht.“ Hinsichtlich der Bedeutung für die Compliance und auch hinsichtlich der Geldbußen ist an diesem Spruch durchaus etwas dran. Es ist daher unabdingbar, sich mit der DSGVO und dem neuen deutschen Datenschutzrecht zu befassen.

Dieser Gesichtspunkt ist natürlich richtig und wichtig. Ich rege jedoch an, den Fokus auch auf die positiven Seiten eines etwas strukturierteren Vorgehens zu legen und die Vorteile, nicht nur für den Datenschutz, sondern auch für die Kanzleiarbeit zu sehen. In diesem Sinne soll das vorliegende Buch die Anforderungen der DSGVO im Kanzleialltag und für die Kanzleiorganisation transparenter machen und Handlungsmöglichkeiten vorstellen, um den Frustfaktor, der für Freiberufler immer mit administrativen Tätigkeiten verbunden ist, möglichst zu reduzieren.

Ich freue mich über Rückmeldungen, Lob und Kritik und Stellungnahmen jeder Art, die Sie mir gerne über den Verlag zukommen lassen können.

1. Was hat es mit der neuen Datenschutz-Grundverordnung auf sich?

Die Verordnung EU 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO)1 ist bereits am 25.05.2016 in Kraft getreten. Da jedoch eine Übergangszeit von zwei Jahren festgelegt war, bevor die Verordnung anwendbar ist, ist der Stichtag der 25.05.2018. Das bedeutet: Bis dahin müssen alle Prozesse angepasst sein! Denn ab diesem Stichtag gilt die Datenschutz-Grundverordnung unmittelbar – und verdrängt im Wege des Anwendungsvorrangs deutsches Recht. Dann wird auch die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr2 aufgehoben.

Der deutsche Gesetzgeber blieb auch nicht untätig und hat ein neues Bundesdatenschutzgesetz (BDSG-neu) geschaffen, das ebenfalls am 25.05.2018 in Kraft tritt. Das bisherige BDSG ist dann Geschichte. Auch dieses neue BDSG ist Gegenstand des vorliegenden Buches. Für Unternehmen und daher für Kanzleien sind hiervon die ersten beiden Teile besonders relevant. Bereichsspezifische Regelungen, die nicht durch die DSGVO verdrängt werden, gehen weiterhin denen des BDSG-neu vor (z. B. Regelungen aus TKG, TMG, UWG § 7, SGB).

Die DSGVO hat 99 Artikel, hinzu kommen 173 Erwägungsgründe. Die Erwägungsgründe haben zwar selbst keine Gesetzeskraft, sie helfen jedoch bei der Auslegung der DSGVO. Oft sind sie konkret einem Artikel bzw. Thema zugeordnet. Da davon auszugehen ist, dass sich auch die Datenschutzbehörden sehr an diesen Erwägungsgründen orientieren, spielen sie in diesem Buch eine erhebliche Rolle.

Ziele der DSGVO sind u. a.:

In der DSGVO selbst (Erwägungsgrund 11 DSGVO) sind das Hauptziel und die hierfür notwendigen Änderungen so zusammengefasst: „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert eine (…) Stärkung und Präzisierung der Rechte der betroffenen Personen sowie eine Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, aber ebenso gleiche Befugnisse der Mitgliedsstaaten bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Fall ihrer Verletzung.

Viele Neuerungen der DSGVO kann man vor dem Hintergrund ihrer Zielsetzung besser verstehen. Und es wird schon an dieser Stelle deutlich: Die Anforderungen an Verantwortliche, die personenbezogene Daten verarbeiten, steigen – und das Thema Sanktionen ist auch bereits angesprochen. Dieses gilt natürlich ebenso wie für alle anderen „Datenverarbeiter“ auch für Anwälte und Kanzleien.

Die DSGVO ist eine Verordnung – das bedeutet, dass sie unmittelbar in jedem EU-Mitgliedsstaat gilt, und einheitlich nach europarechtlichen Maßstäben ausgelegt wird, also nicht eine gesonderte Auslegung in Deutschland, Frankreich, Polen oder jedem anderen EU-Land erfährt. Die DSGVO als europäische Verordnung hat Anwendungsvorrang vor allen nationalen Gesetzen. Gibt es nun europaweit ein einheitliches Datenschutzrecht? Nicht ganz. Denn die DSGVO enthält einige Öffnungsklauseln (etwa für den Beschäftigtendatenschutz oder für den öffentlichen Bereich, auch die E-Privacy-Richtlinie – Richtlinie 2002/58/EG – sieht nationale Rechtssetzungskompetenz vor). Und der deutsche Gesetzgeber hat zum Thema Betroffenenrechte Konkretisierungen vorgenommen, die eher den Charakter von Ausnahmen haben. Das heißt also: Ganz einheitlich wird das europäische Datenschutzrecht trotz DSGVO nicht.

Aber: Eine Befugnis, das Datenschutzniveau insgesamt zu verringern, ist mit den Öffnungsklauseln & Co nicht verbunden (Erwägungsgrund 10 DSGVO). Es wäre daher durchaus möglich, dass die eine oder andere „Konkretisierung“ noch vor dem Europäischen Gerichtshof landet, damit dieser entscheidet, ob sie dem Datenschutzniveau der DSGVO gerecht wird.

Die wichtigsten Themenbereiche, in denen es praxisrelevante Änderungen durch das neue Datenschutzrecht gibt, sind:

Aus der Sicht von Personen, deren Daten genutzt werden, bedeutet die DSGVO eine erhebliche Verbesserung. Für Kanzleien bedeutet sie dagegen ein ganz erheblich gesteigertes Maß an Dokumentation und Bürokratie sowie die Notwendigkeit, organisatorische Vorkehrungen zur Erfüllung der datenschutzrechtlichen Pflichten zu schaffen, also ein Datenschutz-Management-System einzurichten.

Im Anhang habe ich die Gesetzestexte der DSGVO sowie des BDSG neuer Fassung beigefügt, damit Sie möglichst unkompliziert die entsprechenden Normen nachschlagen können. Empfehlen kann ich auch die Seite https://dsgvo-gesetz.de/. Eine besondere Stärke dieses Angebotes liegt darin, dass die zum jeweiligen Artikel thematisch passenden Erwägungsgründe unter dem Normtext verlinkt sind; außerdem ist dort auch der englische Text einsehbar, ebenso das neue BDSG. Einen Blick wert ist auch die Übersicht der CR3. Hier gibt es den DSGVO-Text mit den jeweils passenden BDSG-neu-Regelungen.

Das Datenschutzrecht ändert sich und entwickelt sich weiter, gerade zur DSGVO liegen naturgemäß auch noch keine Entscheidungen der Gerichte und nur punktuelle Mitteilungen der Aufsichtsbehörden vor. In Absprache mit dem Verlag habe ich daher für meine Leserinnen und Leser folgende Lösung gefunden: Es wird eine zugehörige Internetseite zu diesem Buch geben. Diese finden Sie unter www.christianetischer.de/boorberg. Hier stelle ich nicht nur Checklisten zur Verfügung, sondern informiere auch über besonders wichtige Entwicklungen im Bereich der Datenschutz-Grundverordnung, soweit dies für Anwälte von Bedeutung ist.

2. Ein Hauptproblem der DSGVO

Schaut man sich die DSGVO etwas genauer an, so fallen insbesondere die häufigen unbestimmten Rechtsbegriffe und allgemeinen Regelungen auf. Hier war ursprünglich vorgesehen, dass die Europäische Kommission Konkretisierungen erlässt – diese Regelungen sind jedoch im Rahmen der Verhandlungen gestrichen worden. Aber auch politische Kompromisse haben oft zu Generalklauseln geführt. Auch abwägungsoffene Tatbestände sind nicht selten. In Verbindung mit den ganz erheblichen Sanktionsdrohungen ist dies eine gefährliche Kombination. Ein wenig „entschärfen“ lässt sich die Situation aber schon:

Zunächst sind es nun die Aufsichtsbehörden, die hier Konkretisierungen zur Verfügung stellen sollen, werden und dies teilweise bereits getan haben. Auch wenn das Handeln von Behörden selbstverständlich gerichtlicher Kontrolle unterliegt – die Mitteilungen und Handhabungen der Aufsichtsbehörden sollten mit großer Aufmerksamkeit beobachtet werden. Außerdem sind in der DSGVO auch eine Vielzahl von Konkretisierungen und Veröffentlichungen der Datenschutzbehörden explizit vorgesehen, an denen man sich (wenn sie denn veröffentlicht werden) orientieren kann.

Es gibt auch weitere Ansätze, die allgemeinen Vorschriften und unbestimmten Rechtsbegriffe sowie Abwägungen zu konkretisieren. Der erste Ansatz sind die Vielzahl an Erwägungsgründen zur DSGVO (es gibt 173 Erwägungsgründe).

Darüber hinaus gibt es Arbeitspapiere (Working Papers, WP) der Artikel-29-Gruppe (künftig: EU-DS-Ausschuss), die sich mit der Auslegung der Europäischen Datenschutz-Grundverordnung (DSGVO) beschäftigen.4 Dort sind auch FAQ (Häufig gestellte Fragen mit Antworten) zur DSGVO zusammengestellt worden.

Auch ist bereits eine Vielzahl an Kommentaren zur DSGVO auf den Markt gekommen, darunter sind sehr gute und praxistaugliche Werke. Diese greifen – zu Recht – auch auf die bisherige Literatur zur bisherigen Datenschutzrichtlinie und zum BDSG alt zurück. Denn die DSGVO baut auf ihren Vorläufern auf. Auch wenn man hier natürlich nicht alles „eins zu eins“ übernehmen kann, so ergeben sich wertvolle Anhaltspunkte.

Es bleibt jedoch ein gewisses Risiko und eine gewisse Rechtsunsicherheit, und alle Rechtsanwender müssen die weitere Entwicklung, insbesondere Entscheidungen der Gerichte, Vorgaben der Aufsichtsbehörden und europäischer Gremien, aufmerksam beobachten.

Natürlich ist man an vielen Stellen und in vielen Einzelfällen trotz der genannten Hilfen auf die eigene Abwägung angewiesen. Hier hilft es sehr, wenn man diese nicht völlig im „luftleeren Raum“ machen muss. Bei der Strukturierung von Abwägungen hilft auch die Rechtsdogmatik. Daher finden Sie in diesem Buch auch einen Abschnitt über die Struktur der Abwägung (Abschnitt V. 2).

3. Für wen und was gilt die DSGVO?

Für die Frage, wer sich an das deutsche (bzw. europäische) Datenschutzrecht halten muss, gilt wie bisher: Es entscheidet, wo sich der Verantwortliche der Datenverarbeitung befindet. Ist dies die Europäische Union, so gilt die DSGVO (Niederlassungsprinzip). Die DSGVO gilt darüber hinaus auch, wenn Personen in der EU durch die Datenverarbeitung Waren oder Dienstleistungen angeboten werden oder das Verhalten von Personen in der EU beobachtet wird. Dies wird als Marktortprinzip bezeichnet. Daneben gilt die DSGVO auch, wenn der Auftragsdatenverarbeiter in der Europäischen Union niedergelassen ist (unabhängig davon, wo sich der Auftraggeber befindet). Also ist klar: Kanzleien in Deutschland unterliegen der DSGVO.

Unerheblich ist grundsätzlich auch, wie groß Ihre Kanzlei ist und wie viele Mitarbeiter Sie haben. Nur für ganz wenige Themen gibt es eine Untergrenze einer bestimmten Mitarbeiterzahl, die überschritten sein muss, damit eine bestimmte Verpflichtung gilt. Zwar verpflichtet die DSGVO die Aufsichtsbehörden, die Bedürfnisse von Kleinstunternehmen zu berücksichtigen (allgemein in Erwägungsgrund 13 DSGVO, dies wird bei verschiedenen Einzelthemen nochmals aufgenommen). Insgesamt aber gilt: Auch Einzelkämpfer sind an die DSGVO gebunden.

Die DSGVO gilt für die automatisierte Verarbeitung personenbezogener Daten. Sind personenbezogene Daten bereits in einem Dateisystem (strukturierte Daten, zur Definition sogleich) gespeichert oder sollen sie noch in einem solchen gespeichert werden, so gilt die DSGVO auch für die nicht-automatisierte Verarbeitung (Art. 2 Abs. 1 DSGVO). Die hier wesentlichen Begriffe der Verarbeitung und der personenbezogenen Daten sind in der DSGVO legal definiert (dazu Kapitel II). Welche Technik zugrunde liegt, ist egal (Technikneutralität, Erwägungsgrund 15).

4. Struktur der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung besteht aus 99 Artikeln sowie 173 Erwägungsgründen, die ihr vorangestellt sind. Diese Erwägungsgründe sind für die Auslegung der Datenschutz-Grundverordnung wichtig. Die 99 Artikel teilen sich in 11 Kapitel auf.

Kapitel 1 enthält allgemeine Bestimmungen; hier geht es um den Geltungsbereich, es sind aber auch wichtige Begriffsbestimmungen enthalten.

In Kapitel 2 geht es um Grundsätze der Datenverarbeitung und insbesondere auch darum, wann eine Datenverarbeitung zulässig ist. Auch die Einwilligung ist hier geregelt. Dies ist ein für Kanzleien wichtiges Kapitel. In Art. 5 sind die Grundsätze für die Verarbeitung personenbezogener Daten aufgestellt. In Art. 6 geht es um die Rechtmäßigkeit der Verarbeitung. Hier ist die Grundkonstruktion des Datenschutzrechts – Verbot mit Erlaubnisvorbehalt – festgehalten sowie aufgeführt, wann die Verarbeitung personenbezogener Daten (ausnahmsweise) erlaubt ist. Für einen derartigen Erlaubnistatbestand gibt es drei Möglichkeiten: Eine (wirksame) Einwilligung des Betroffenen (dazu Abschnitte II. 6 und V. 1. a), eine gesetzliche Erlaubnis (dazu Abschnitt V. 1), oder eine Interessenabwägung (dazu Abschnitt V. 2), die zugunsten der Kanzlei ausgeht. Der Zulässigkeitsgrund der Einwilligung ist in Art. 7 weiter ausgeführt, in Art. 8 geht es um die Besonderheiten bei der Einwilligung eines Kindes. Letzteres dürfte in Anwaltskanzleien kaum vorkommen, da man hier, auch bei minderjährigen Mandanten, typischerweise mit den Eltern in Kontakt steht bzw. den anderweitigen Personensorgeberechtigten.

Art. 9 betrifft die Verarbeitung besonderer Kategorien personenbezogener Daten. Wenn man also besonders sensible Daten hat, sollte die „rote Lampe“ leuchten (dazu Abschnitt II. 3).

Solche Daten gibt es in Kanzleien durchaus: In Diskriminierungsprozessen vor dem Arbeitsgericht kann es um „rassische“ oder ethnische Herkunft gehen. Im Presse- und Äußerungsrecht können durchaus politische Meinungen eines Mandanten (oder Gegners) eine Rolle spielen. Die Gewerkschaftszugehörigkeit ist nicht nur bei den eigenen Mitarbeitern ein Thema, sondern möglicherweise auch bei Mandanten oder Gegnern – gerade im Arbeitsrecht, wenn die Gegenseite gewerkschaftlich vertreten ist. Hier kann aus der Erwähnung der Gewerkschaft als Prozessvertreter durchaus auf die Gewerkschaftsmitgliedschaft des Gegners geschlossen werden. Genetische Daten wird es meiner Einschätzung nach in Kanzleien kaum geben, ebenso biometrische Daten. Auftreten können dagegen Gesundheitsdaten – auch hier wieder sowohl die der eigenen Mitarbeiter als auch der Mandanten, gerade in Arbeits- und Sozialgerichtsprozessen. Für diese besonderen Arten personenbezogener Daten ist nochmals ein ausdrückliches Verbot festgelegt, aber auch hier gibt es einen Erlaubnisvorbehalt. Die Speicherung und Verwendung dieser Daten ist also nicht grundsätzlich unzulässig, sollte jedoch stets als solche ausdrücklich gekennzeichnet und besonders behandelt und nach den Vorgaben geprüft werden.

In Art. 10 DSGVO geht es um die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten. Auch dies dürfte in Anwaltskanzleien durchaus vorkommen. Hier ist festgelegt, dass derartige Daten nur unter behördlicher Aufsicht verarbeitet werden dürfen – oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Soweit ich diese Daten für meine anwaltliche Arbeit benötige, habe ich also durchaus einen Rechtfertigungsgrund. Das heißt aber, dass ich mich mit diesen Daten besonders beschäftigen und insbesondere ein strenges Löschungskonzept haben sollte.

In Kapitel 3 befasst sich die DSGVO mit den Rechten der betroffenen Person. Hier sind bekannte Ansprüche wie Löschung und Sperrung geregelt, aber auch neue Rechte wie dasjenige auf Datenübertragbarkeit.

Nach einem eher allgemeinen Artikel hierüber folgen die konkreten Informationspflichten sowohl bei Erhebung der Daten beim Betroffenen (Art. 13) als auch die Informationspflichten, wenn die personenbezogenen Daten nicht beim Betroffenen erhoben werden (Art. 14). Sodann folgt in Art. 15 das Auskunftsrecht, das aus dem bisherigen Datenschutzrecht ja bereits bekannt ist. Die Auskunftspflichten jedoch in Art. 13 und 14 gehen weit darüber hinaus: Hier muss unaufgefordert informiert werden. Und das setzt eine Anpassung der Kanzleiprozesse voraus. Denn einerseits muss ich sicherstellen, dass ich tatsächlich jede Situation erkenne, in der ich aktiv informieren muss. Ich muss meine Dokumente dafür zur Hand haben – und ich muss auch im Vorfeld diese Dokumente nicht nur schreiben, sondern auch die entsprechenden Entscheidungen hierfür treffen. So ist bspw. darüber zu informieren, wann Daten gelöscht werden – was voraussetzt, dass in der Kanzlei ein Löschungskonzept existiert (und auch gelebt wird).

Kapitel 3 regelt außerdem die Berichtigung und Löschung personenbezogener Daten – was wir ja grundsätzlich schon aus dem BDSG-alt kennen (auch wenn es in der DSGVO etwas anders umgesetzt ist). Daneben gibt es ein Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie – neu – eine Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder bei Einschränkung der Verarbeitung. Auch hier wieder: Eine solche Mitteilungspflicht kann nur erfüllt werden, wenn die organisatorischen Voraussetzungen hierfür geschaffen sind. Daher muss im Datenschutzplan der Kanzlei festgelegt sein, dass immer dann, wenn eine Berichtigung oder Löschung personenbezogener Daten oder eine Einschränkung der Verarbeitung erfolgt, die geforderte Mitteilung tatsächlich umgesetzt wird. Das könnte bspw. über eine Checkliste zum Umgang mit Berichtigungs-, Löschungs- und Einschränkung der Verarbeitungs-Anträge geschehen, sollte aber allgemein auch Teil des Löschungskonzepts sein. Und auch hier muss natürlich das entsprechende Dokument mit den Informationen „stehen“, und nicht nur das, es muss auch regelmäßig geprüft und ggf. überarbeitet werden.

Ein ganz neues Recht gibt es in Art. 20 DSGVO: Das Recht auf Datenübertragbarkeit. Das bedeutet, dass die betroffene Person das Recht hat, nicht nur Auskunft über die Daten zu verlangen, sondern die Daten selbst herauszubekommen – und zwar in einem üblichen Format, sodass sie die Daten weitergeben kann. Die Weitergabe der Daten an einen anderen darf auch nicht erschwert oder behindert werden. Ich vermute, dass dies in der Anwaltswelt weniger eine Rolle spielen wird. Wenn jemand dort Daten herausverlangt, macht er üblicherweise Anspruch auf Herausgabe der Handakte geltend. Aber natürlich werden auch dann die datenschutzrechtlichen Auskunftsansprüche relevant sein. Zumal man hier nicht nur über ein mögliches gerichtliches Vorgehen „Druck machen“ kann, sondern insbesondere durch eine Meldung des (angeblich) gegen die DSGVO verstoßenen Anwalts, der keine Auskunft erteilt oder Akten nicht herausgibt. Die Datenübertragbarkeit betrifft Kanzleien vermutlich weniger, da die meisten Kanzleien die Daten nicht in besonderen Formaten vorhalten und diese auch nicht im Ganzen weitergegeben werden – eine Ausnahme könnte bspw. der Anwaltswechsel eines Mandanten sein, wo der Mandant den ehemaligen Anwalt anweist, an den neuen Anwalt sämtliche Daten in einem vernünftigen Format herauszugeben.

Außerdem ist ein Widerspruchsrecht in Art. 21 vorgesehen, darüber hinaus in Art. 22 Regelungen zur automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Hier geht es darum, dass die DSGVO es nicht zulässt, dass rein maschinell Entscheidungen über Personen getroffen werden, ohne dass ein Mensch hier nochmals draufschaut und die Entscheidung verantwortlich trifft. Zunächst hört sich dies vom anwaltlichen Alltag sehr weit entfernt an – und ich kann es mir auch derzeit kaum vorstellen, dass hinsichtlich der Mandatsarbeit irgendeine Entscheidung unkritisch einem Algorithmus überlassen wird. Aber die einen oder anderen Legal Tech Startups haben solche automatisierten Entscheidungen von Rechtsfällen bestimmt schon im Fokus. Auch auf anderer Ebene kann ein Anwalt mit automatisierten Entscheidungen in Kontakt kommen: Beim Profiling hinsichtlich der Auswahl neuer Mitarbeiter, oder auch im Onlinemarketing, wo Anzeigen hinsichtlich der Anwaltsdienstleistung auf (vom Algorithmus ausgewählte) möglicherweise interessierte Personen ausgerichtet werden. Interessant ist das also für Kanzleien, die bspw. Facebook-Werbung machen, oder Landingpages, etwa für den Kanzlei-Newsletter, optimieren und personalisieren. Hier ist auf jeden Fall eine Datenschutz-Folgenabschätzung „fällig“, ggf. auch die Einschaltung der Behörde.

In Kapitel 4 geht es um die allgemeinen Pflichten des Verantwortlichen und um Auftragsverarbeitung (so heißt nun die Auftragsdatenverarbeitung). Hier werden also die Pflichten derjenigen behandelt, die personenbezogene Daten erheben und verarbeiten. Während Art. 24 zunächst die Verantwortung des Unternehmens für die Datenverarbeitung festschreibt, beschäftigt sich Art. 25 mit dem Datenschutz durch technische Gestaltung und durch datenschutzfreundliche Voreinstellungen. Hier muss also eine grundsätzliche Prüfung und Dokumentation des IT-Systems erfolgen: Welche Systeme sind im Einsatz und wie können diese datenschutzfreundlich eingestellt werden? In Art. 26 geht es um gemeinsam für die Verarbeitung Verantwortliche, dies dürfte im Anwaltsalltag weniger relevant sein, ebenso wie Artikel 27, der sich mit Vertretern von nicht in der EU niedergelassenen Verantwortlichen befasst. Spannend wird dagegen Art. 28, die Auftragsverarbeitung, sowie Art. 29, die Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters. In Art. 30 geht es um das Verzeichnis von Verarbeitungstätigkeiten. Dieses ist grundsätzlich erst ab 250 Mitarbeitern zu führen, es gibt jedoch Ausnahmen, wenn die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten im Sinne des Art. 10 erfolgt. Spätestens bei den letzten beiden Voraussetzungen ist man als Anwalt üblicherweise „dabei“. Zudem lässt sich auch gut argumentieren, dass gerade die Arbeit in einer Kanzlei ein erhebliches Risiko für Rechte und Freiheiten bedeutet, da man der Natur der Sache gemäß mit vertraulichen Daten arbeitet. Deshalb kann man an dieser Stelle festhalten: Jede Anwaltskanzlei wird ein Verzeichnis ihrer Verarbeitungstätigkeiten führen müssen.

Kapitel 5 dreht sich um die Übermittlung personenbezogener Daten ins Ausland, Kapitel 6 um die unabhängigen Aufsichtsbehörden. Auch das Kapitel 7, Zusammenarbeit und Konkurrenz, bezieht sich auf die Aufsichtsbehörden. Sodann folgt Kapitel 8 mit Rechtsbehelfen, Haftung und den schon mehrfach angesprochenen Sanktionen.

In Kapitel 9 stehen Vorschriften für besondere Verarbeitungssituationen und in Kapitel 10 solche für delegierte Rechtsakte und Durchführungsrechtsakte (für die praktische Umsetzung der DSGVO in der Kanzlei weniger wichtig). Den Abschluss bilden die Schlussbestimmungen in Kapitel 11.

In diesen 11 Kapiteln enthalten sind die ersten fünf inhaltlichen Anforderungen, die umgesetzt werden müssen. Dabei ist Kapitel 1 mit den Allgemeinen Bestimmungen, Anwendungsbereich & Co. praktisch nicht allzu relevant. Kapitel 5 mit der Übermittlung personenbezogener Daten in Drittländer ist dies auch nur dann, wenn eine solche auftritt. In den meisten Kanzleien wird es hiermit wenige Probleme geben. Interessant wird dieses Thema jedoch dann, wenn bspw. für den Kanzlei-Newsletter ein Dienstleister in den USA wie bspw. AWeber oder MailChimp genutzt wird, oder wenn für die Kanzleiarbeit sonstige Tools, die mit Daten in der Cloud und mit amerikanischem Anbieter zu tun haben, zum Einsatz kommen. So etwa, wenn der Anwalt seine Fälle und Fristen mit Trello verwaltet (zu diesem Thema ausführlich unten, III. 9). Wer derartige Prozesse hat oder haben will, sollte sie zunächst im Verzeichnis der Verarbeitungstätigkeiten notieren und mit einem roten Ausrufezeichen kennzeichnen – sodann ist der fragliche Prozess im Rahmen der Feststellung seiner Rechtmäßigkeit gesondert zu prüfen bzw. bearbeiten.

Spannend an Kapitel 1 sind somit – da eine deutsche Kanzlei selbstverständlich der DSGVO unterliegt und damit Fragen der Anwendbarkeit zweitrangig sind – die Definitionen. Damit richten wir unseren Fokus neben diesen Definitionen auf die Kapitel 2, 3 und 4.

II. Begriffe der DSGVO

In jedem Rechtsgebiet gibt es wichtige Begriffe, das ist im Datenschutzrecht und auch im konkreten Fall der DSGVO nicht anders. Die Begriffe sind etwas anders als im BDSG und auch eigenständig, also vor dem Hintergrund der DSGVO, auszulegen. Was ähnlich heißt, muss nicht dasselbe sein. Die wichtigste Definitionsnorm der DSGVO ist Art. 4. Insgesamt gibt es in der DSGVO 26 legaldefinierte Begriffe. Die wichtigsten sind:

1. „Personenbezogene Daten“

Die „personenbezogenen Daten“ sind in der DSGVO neu definiert, dieser Begriff ist weiter als der bisher im deutschen Datenschutzrecht verwendete. Personenbezogene Daten sind ausweislich Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen