Datenschutz

Ab 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) - auch für Rechtsanwältinnen und Rechtsanwälte. Bei Verstößen drohen empfindliche Bußgelder. Die Umsetzung der EU-Datenschutz-Grundverordnung stellt die Kanzleien vor neue Herausforderungen. Um diesen Herausforderungen zu begegnen, hat der Deutsche Anwaltverein (DAV) ein ausführliches Merkblatt, eine Mustererklärung für die Kanzlei-Homepage, ein Hinweisblatt zur Erfüllung der Informationspflichten gegenüber den Mandanten sowie ein Muster für ein Verarbeitungsverzeichnis entwickelt. Auch die Bundesrechtsanwaltskammer hat Informationen zur Umsetzung der Datenschutz-Grundverordnung in Anwaltskanzleien veröffentlicht. Sie finden diese unter folgendem Link https://www.brak.de/fuer-anwaelte/datenschutz/.

Liegen die Voraussetzungen des Art.37 DSGVO oder des § 38 BDSG (neu) vor, ist ein Datenschutzbeauftragter zu benennen. Nach Art.37 Abs.7 DSGVO sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese Daten sind dem Hessischen Datenschutzbeauftragten als Aufsichtsbehörde mitzuteilen. Der Hessische Datenschutzbeauftragte bittet darum, hierfür das Online-Meldeformular zu verwenden und von schriftlichen Meldungen abzusehen. Der Hessische Datenschutzbeauftragte geht davon aus, dass die Mitteilung innerhalb von drei Monaten ab dem 14.05.2018 erfolgt.

Aus einer Reihe von Vorschriften der DS-GVO ergibt sich, dass der Verantwortliche „die ihm unterstellten natürlichen Personen“ (Angestellten, Praktikanten, Referendare, Azubis etc.) über die datenschutzrechtlichen Anforderungen zu informieren und auf diese zu verpflichten hat (vgl. Artt. 24 Abs. 1, 28 Abs. 3 Satz 2 lit. b, 32 Abs. 4, 39 Abs. 1 lit. a DS-GVO).
Der Inhalt dieser Verpflichtung nach DS-GVO unterscheidet sich von der berufsrechtlichen Verpflichtung auf das Anwaltsgeheimnis (sog. Verschwiegenheitsverpflichtung). So hat der Rechtsanwalt als Verantwortlicher im Sinne der DS-GVO insbesondere über die zahlreichen Grundsätze der Verarbeitung zu informieren und sicherzustellen, dass personenbezogene Daten nur auf seine Weisung hin verarbeitet werden (Art. 32 Abs. 4 DS-GVO).
In Anbetracht der Rechenschafts- und Nachweispflicht nach Art. 5 Abs. 2 DS-GVO empfiehlt die Datenschutzkonferenz DSK (Kurzpapier Nr. 19), die Verpflichtung in schriftlicher oder elektronischer Form vorzunehmen. Ein Muster der Gesellschaft für Datenschutz und Datensicherheit e.V. finden Sie hier.