1 Jahr DSGVO – Checkliste für Kanzleien zur Umsetzung & Leitfaden zum Datenschutz

Ein Jahr nach Inkrafttreten gehört ein DSGVO-konformer Umgang mit sensiblen Daten noch immer nicht 100%-ig zum gelebten Alltag in einigen Kanzleien. Seit Mai 2018 gelten für den Datenschutz in Deutschland die schärften Vorschriften der Datenschutz-Grundverordnung (DSGVO). Die Einführung hat im vergangenen Jahr hohe Wellen auch in Deutschen Kanzleien geschlagen. Das Fazit: Die befürchtete Abmahnwelle blieb aus und auch die Datenschutzbehörden hielten sich im letzten Jahr vorerst zurück.

Dies ist aber kein Grund zum Zurücklehnen. Seit Beginn dieses Jahres werden die Behörden immer aktiver. Einzelne Datenschutzbehörden bauen Personal auf und intensivieren das Prüfungsaufkommen.

Zwar sind die bislang verhängten Bußgelder weit entfernt von den möglichen Höchstbeträgen, die 4% des weltweiten Umsatzes betragen dürfen, aber auch die verhängte Durchschnittsstrafe von 6.000 EUR bedeutet für eine kleine Kanzlei eine Menge Geld.

Aus Sicht des Digitalverbandes Bitkom bestehen nach wie vor große Unsicherheiten in der Anwendung der Verordnung. Da die DSGVO umfassende Pflichten enthält und nicht zwischen Konzernen und z.B. kleinen Kanzleien unterscheidet, profitieren tatsächlich große Anbieter sogar stärker von dem einheitlichen Rechtsrahmen, da bei kleineren und mittleren Unternehmen der Verwaltungsaufwand deutlich spürbarer ist.

Mit der Europäischen Datenschutz-Grundverordnung – kurz – DSGVO hat das EU-Parlament eine gemeinsame Grundlage für grenzüberschreitende Märkte geschaffen. Durch ihre 99 Artikel kommen zahlreiche neue Pflichten auch auf die Kanzleien zu, die das bisherige Bundesdatenschutzgesetz nicht kannte. Nachweispflicht, Privacy by Design, Recht auf Vergessen werden, Datenschutz-Folgenabschätzungen, die Unterrichtung von Betroffenen und Aufsichtsbehörden über Datenschutzverstöße.

Unsere Checkliste fasst alle relevanten Punkte zusammen, die es bei der Umsetzung der DSGVO zu beachten gilt:

  • Setzen Sie einen Projekt- und Zeitplan auf
  • Je nach Organisationsgröße: Einbindung der Kanzleiführung, um eine DSGVO-konformen Unternehmenskultur zu etablieren
  • Überarbeiten Sie interne Datenschutz-Policies, ggf. mit Unterstützung externer Datenschutzexperten
  • Erstellen Sie ein lückenloses Verarbeitungsverzeichnisses (Art. 30), das auf eine mögliche Anfrage der Aufsichtsbehörde hin jederzeit bereitgestellt werden kann
  • Dokumentieren Sie die Datenschutz-Folgenabschätzungen (Art. 35) sowie überschlägigen Risikoanalysen für alle (sonstigen) Verarbeitungsprozesse
  • Konsultieren Sie die Aufsichtsbehörde in den Fällen, in denen ein hohes Risiko-Level vorliegt (Art. 36)
  • Überprüfen und ergänzen Sie ggf. Ihre Verträge mit externen Auftragsverarbeitern (AV) und prüfen Sie, ob eine Garantie der Auftragsverarbeiter vorhanden (Art. 28)
  • Schaffen Sie kanzleiinterne Vereinbarungen über eine Auftragsverarbeitung, falls Sie im Kanzleiverbund eingebunden sind
  • Überprüfung bereits vorhandener Einwilligungserklärungen der Betroffenen (zweckgebunden, rechtssicher dokumentiert)
  • Klären Sie Besonderheiten im Bereich der Personaldatenverarbeitung
  • Ergreifen Sie Maßnahmen zur Umsetzung Ihrer individuellen Löschungspflichten nach dem Grundsatz der Datenminimierung und Speicherbegrenzung
  • Pseudonymisieren Sie personenbezogene Daten, für die eine Zuordnung zur konkreten Person nicht (mehr) erforderlich ist
  • Löschen Sie personenbezogene Daten, für die der ursprüngliche Verarbeitungszweck weggefallen ist oder andere gesetzliche Anforderungen nicht hinreichend nachweisbar erfüllt sind und für die eine Pseudonymisierung nicht möglich bzw. unverhältnismäßig erscheint
  • Überprüfen Sie die Sicherheit der EDV-Systeme gemäß des Grundsatzes „Privacy by Design“ und passen Sie dies ggf. an (z.B. durch eine verbesserte Datenverschlüsselung)
  • Überprüfen Sie Ihre EDV-Systeme zur Erhebung personenbezogener Daten sowie die nachfolgenden (Weiter-) Verarbeitungsprozesse nach dem Grundsatz „Privacy by Default“ und passen Sie diese ggf. an
  • Die lokale Speicherung von personenbezogenen Daten sollte reduziert oder sogar verboten werden
  • Installieren Sie ein Meldesystem für den Fall möglicher Datenpannen
  • Konzipieren und kommunizieren Sie einen Maßnahmenplan zur Gewährleistung umgehender Gegenmaßnahmen sowie einer möglichen Meldepflicht (innerhalb von 72 Stunden) bei der Aufsichtsbehörde
  • Klären Sie die Verantwortlichkeiten in den Abteilungen/Dezernaten und dokumentieren Sie diese nachhaltig, inklusive beweiskräftiger Vorgangs-Historie
  • Sensibilisieren Sie alle Mitarbeiter der Kanzlei, verbunden mit entsprechenden Schulungsangeboten
  • Schließen Sie Datenschutzverpflichtungserklärung für sämtliche Mitarbeiter ab, die Umgang mit personenbezogenen Daten haben können
  • Einführung regelmäßiger Überwachungsprozesse und Audits

Wenn Sie erfahren möchten, wie unsere Cloud-Kanzleisoftware hilft, Kanzlei- und Mandantendaten sicher zu schützen, laden Sie sich das Security-Factsheet herunter oder vereinbaren Sie eine persönliche Online-Demo.

Kostenfreier Leitfaden für Ihr Wissens-Update
Mit den Erfahrungen nach den ersten zwölf Monaten DSGVO erhalten Sie in unserem Leitfaden konkrete Praxistipps zu einer datenschutz­konformen Ausgestaltung der anwaltlichen Tätigkeit in Kanzleien. Zudem stellen wir Ihnen eine Schritt-für-Schritt-Anleitung zur Erfüllung der wichtigsten Anforderungen zur Verfügung. Den Leitfaden “Datenschutz in Anwaltskanzleien” laden Sie kostenfrei hier herunter.

 

Topics: Business - Kleos Kanzleisoftware