Kanzleidatenschutz (Demo)

Die Datenschutzgrundverordnung (DS-GVO) ist Grund genug, sich dieses Thema aus praktischer Sicht einmal anzuschauen. König geht in einem Aufsatz (BRAK-Mitteilungen 2/2016, S. 53 ff) darauf ein. Ein ähnlichen Tenor hat der Artikel aus dem Ausschuss Datenschutz der BRAK (BRAK Magazin 02/2016. S. 4). Vor kurzem wurde ich von einer Kollegin auf einen Missstand bei mir im Büro aufmerksam gemacht (Datenschutz, Persönlichkeitsrechte). Dieser Hinweis hat mir noch einmal deutlich gemacht, wie oft wir hier Zielkonflikten ausgesetzt sind. Wir wollen Gutes tun (z.B. Aufklärung bei Diebstählen, nach erfolgten Einbrüchen) und gleichzeitig die Rechte der eigenen Mitarbeiter berücksichtigen. Ein schmaler Grat – wie verhalte ich mich richtig. Bei mandantenbezogenen Daten wird das Ganze dann nochmals verschärft durch die berufsrechtlichen Besonderheiten. Ich habe deshalb z.B. frühzeitig auf ein System von zwei Papiereimern gesetzt Schredder oder „normaler“ Papiermüll, einen gesonderten Datenschutzserver eingerichtet und bei meinen Akten und Ordnern immer darauf geachtet, dass man nicht gleich auf dem Aktendeckel erkennt, wer gegen wen in den Ring steigt (um die misslichen Fälle mit den Akten auf dem Beifahrersitz, bei verschlossenen Auto überhaupt erst entstehen zu lassen). Warum gibt es nun materiell rechtliche Konflikte? Das liegt an dem Subsidiaritätsgrundsatz aus § 1 III BDSG. Dies kann aber natürlich nur für die Bereiche gelten, die auch durch das Berufsrecht der Rechtsanwälte (insbesondere BRAO und BORA – §§ 43a BRAO iVm 73 II Nr. 4, 74, 56, 57 BRAO) geregelt sind. Zustimmen lässt sich wohl der Auffassung, dass Rechtsanwälte einer doppelten Aufsicht unterliegen (zuständige RAK und LDAB). Die Diskussionen über die ineffektive Aufsicht kann ich nachvollziehen, sehe aber auch, dass eine Rüge der zuständigen RAK schon ein erhebliches Druckmittel sein kann, da kein Rechtsanwalt mit seiner Kammer im „unreinen“ sein möchte. Da ich aber kein Freund der Selbstverwaltung bin, würde ich an dieser Stelle auch eine staatliche Aufsicht bevorzugen. Allein deshalb, dass man eine gewisse Unabhängigkeit gewährleisten kann. Es ist nun einmal menschlich, dass man sich oft schwer tut, den Tatbestand auszublenden, dass es sich um einen Bekannten oder sogar Kollegen in derselben Einheit handelt. Die aktiven Rechtsanwälte in einem Kammerbezirk sind aber oft gut untereinander vernetzt. Man kennt sich. Die anwaltliche Unabhängigkeit vorzuschieben, überzeugt mich nicht. Auch bei einer Steuerprüfung wird der Rechtsanwalt von staatlicher Seite überprüft (und die Aufsicht ausgeübt). Die mandatsbezogene Datenverarbeitung von der allgemeinen und betriebswirtschaftlichen Datenverarbeitung in einer Kanzlei zu trennen ist aus meiner Erfahrung praktisch schwer darstellbar.

Nachfolgend einige Darstellungen zum Datenschutz in Kanzleien:

  1. Rechtsanwälte dürfen mandatsbezogene Daten speichern und erheben. Auch für sie gilt der Grundsatz der Datensparsamkeit. Das bedeutet auch, dass nach Abschluss des Mandats überlegt werden muss, wie lange ich die Daten aufbewahre (5 J – § 50 II Satz 1 BRAO oder 10J, in Ausnahmefällen sogar 30J.)
  2. Alle Mitarbeiter einer Kanzlei müssen dem Datenschutz verpflichtet werden
  3. Rechtsanwälte müssen moderne Instrumente der IT-Sicherheit beachten (Firewalls, Passwortschutz usw.)
  4. Mobile Datenträger müssen zusätzlich geschützt werden (z.B. Fingerprint, Dongle oder Passwort)
  5. Dem Einsatz halte ich es bei aktueller Rechtslage für schwer abgrenzbar, ob ein ADV geschlossen werden muss (Subsidiarität) – die berufsrechtlichen Pflichten verbleiben auch für diese Daten beim Rechtsanwalt, als sicherster Ansatz sollte ein solcher abgeschlossen werden
  6. Die Forderung nach einer Verschlüsselung der E-Mailkommunikation, über den normalen Sicherheitsstandard hinaus, geht an der Praxis vorbei. Eine Ende-zu-Ende Verschlüsselung oder eine Passwortgeschütze Kommunikation bei ALLEN E-Mail ist nicht praktikabel. Vertrauliche Dokumente sollten natürlich entsprechend verschlüsselt werden
  7. Es empfielt sich auch Verfahrensverzeichnisse über alle automatisierten Datenverarbeitungen zu führen (davon ist aus meiner Sicht die Kanzeleisoftware nicht betroffen, da für jeden ersichtlich ist, dass diese personenbezogene Daten verarbeitet)
  8. Bei 10 Mitarbeitern, die sich automatisiert und bei 20 Mitarbeitern, die sich in Papierform mit der Verarbeitung oder Erhebung von personenbezogenen Daten beschäftigt, sollte über die Bestellung eines Datenschutzbeauftragten nachgedacht werden

Ein spannendes Feld. Als Rechtsanwalt, der sich als Unternehmer sieht, komme auch ich immer wieder in Konflikte zwischen betriebswirtschaftlich sinnvollem Handeln und Schutzrechten. Eine einzelfallbezogene Analyse sollte in jedem Fall durchgeführt werden. Und Hand aufs Herz, wer übersieht hier nicht mal schnell die Persönlichkeitsrechte bzw. das BDSG? Mir ist das erst vor kurzem passiert. Daher sollte man sich als Unternehmer immer wieder vor Augen führen, dass es immer zwei Seiten zu betrachten gilt und die regulatorische Aufsicht bzw. regelkonformes Verhalten eine ist.

Verwandte Beiträge