Datenschutz

Ab 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DS-GVO) - auch für Rechtsanwältinnen und Rechtsanwälte. Bei Verstößen drohen empfindliche Bußgelder. Die Umsetzung der EU-Datenschutz-Grundverordnung stellt die Kanzleien vor neue Herausforderungen. Um diesen Herausforderungen zu begegnen, hat der Deutsche Anwaltverein (DAV) ein ausführliches Merkblatt, eine Mustererklärung für die Kanzlei-Homepage, ein Hinweisblatt zur Erfüllung der Informationspflichten gegenüber den Mandanten sowie ein Muster für ein Verarbeitungsverzeichnis entwickelt. Auch die Bundesrechtsanwaltskammer hat Informationen zur Umsetzung der Datenschutz-Grundverordnung in Anwaltskanzleien veröffentlicht. Sie finden diese unter folgendem Link https://www.brak.de/fuer-anwaelte/datenschutz/.

Liegen die Voraussetzungen des Art. 37 DS-GVO oder des § 38 BDSG vor, ist ein Datenschutzbeauftragter zu benennen. Nach § 38 Abs.1 BDSG müssen Kanzleien stets eine(n) Datenschutzbeauftragte(n) benennen, soweit sie in der Regel mindestens 20 Personen (bis 25.11.2019: mindestens 10 Personen) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Da unabhängig davon alle Kanzleien zur Einhaltung des Datenschutzrechts verpflichtet sind, kann es sich auch bei fehlender Verpflichtung zur Benennung einer/s Datenschutzbeauftragten empfehlen, freiwillig eine(n) Datenschutzbeauftragte(n) zu benennen. 

Nach Art.37 Abs.7 DS-GVO sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese Daten sind dem Hessischen Datenschutzbeauftragten als Aufsichtsbehörde mitzuteilen. Der Hessische Datenschutzbeauftragte bittet darum, hierfür das Online-Meldeformular zu verwenden und von schriftlichen Meldungen abzusehen.

Aus einer Reihe von Vorschriften der DS-GVO ergibt sich, dass der Verantwortliche „die ihm unterstellten natürlichen Personen“ (Angestellten, Praktikanten, Referendare, Azubis etc.) über die datenschutzrechtlichen Anforderungen zu informieren und auf diese zu verpflichten hat (vgl. Art. 24 Abs. 1, 28 Abs. 3 Satz 2 lit. b, 32 Abs. 4, 39 Abs. 1 lit. a DS-GVO).
Der Inhalt dieser Verpflichtung nach DS-GVO unterscheidet sich von der berufsrechtlichen Verpflichtung auf das Anwaltsgeheimnis (sog. Verschwiegenheitsverpflichtung). So hat der Rechtsanwalt als Verantwortlicher im Sinne der DS-GVO insbesondere über die zahlreichen Grundsätze der Verarbeitung zu informieren und sicherzustellen, dass personenbezogene Daten nur auf seine Weisung hin verarbeitet werden (Art. 32 Abs. 4 DS-GVO).
In Anbetracht der Rechenschafts- und Nachweispflicht nach Art. 5 Abs. 2 DS-GVO empfiehlt die Datenschutzkonferenz DSK (Kurzpapier Nr. 19), die Verpflichtung in schriftlicher oder elektronischer Form vorzunehmen. Dort finden Sie auch ein Muster für eine datenschutzrechtliche Verpflichtung.

Die letzten Tätigkeitsberichte des Hessischen Beauftragten für Datenschutz und Informationsfreiheit haben wir im Hinblick auf für die Anwaltschaft Relevantes ausgewertet. Der Hessische Datenschutzbeauftragte hat sich im Tätigkeitsbericht 2018 unter anderem zu Auskunfts- und Informationsansprüchen betroffener Personen nach der DS-GVO gegenüber Rechtsanwältinnen und Rechtsanwälten geäußert und auf das Formular für Meldungen von Datenschutzverletzungen nach Art.33 DS-GVO hingewiesen. Der Tätigkeitsbericht 2019 enthält unter anderem Ausführungen zum (fehlenden) Recht der Mandantschaft auf Löschung ihrer Daten und zur anwaltlichen Kommunikation mit der Mandantschaft per E-Mail. Der Tätigkeitsbericht 2020 befasst sich unter anderem mit der sicheren Aktenvernichtung durch Rechtsanwaltskanzleien.