DSGVO

DSGVO, Kanzleiwebsite etc.: Gehen Sie es an!

Die Suchbegriffe „DSGVO“ und „Bußgelder“ zählen vermutlich zu den häufigsten, die aktuell im Zusammenhang mit der Datenschutz-Grundverordnung in Suchmaschinen eingegeben werden. Gerne wird versucht, mit den erhöhten Bußgeldern und Schadensersatzansprüchen den Druck zur Umsetzung der DSGVO zu verstärken. Um Bußgelder soll es in diesem Beitrag aber nicht gehen.

DSGVO – worum geht es?

Ab dem 25. Mai 2018 gilt ein neues Datenschutzrecht, und zwar europaweit. Erfasst sind alle Lebensbereiche, sodass auch Kanzleien aufgrund der neuen Regelungen Maßnahmen ergreifen müssen. Jeder, der personenbezogene Daten von Menschen erhebt, die in Europa leben, muss die neuen Vorgaben berücksichtigen. Aus deutscher Sicht kann gesagt werden, dass ein wesentlicher Teil der bekannten Prinzipien im Datenschutz beibehalten werden. Da das alte Bundesdatenschutzgesetz (BDSG) zum 25. Mai 2018 nicht mehr in Kraft sein wird, kommt trotzdem einiges an Arbeit auf Privatwirtschaft und Behörden zu.

Kanzleiwebseiten und Datenschutzerklärung

Nahezu jede Anwalts- und Steuerberaterkanzlei hat mittlerweile eine eigene Präsenz im Internet – in den meisten Fällen auch mit einem entsprechenden Datenschutzhinweis, der nicht erst mit dem 25. Mai notwendig wird. Der Text dieser Datenschutzerklärung muss nun bis zum 25. Mai neu erstellt bzw. auf die DSGVO angepasst und z. B. auf der Kanzleiwebsite entsprechend veröffentlicht werden. Mitunter muss auch die Seite technisch überarbeitet werden, sodass beispielsweise die Inhalte aus einem Kontaktformular nur verschlüsselt (SSL-Zertifikat) übertragen werden. Eine entsprechende SSL-Verschlüsselung der Website, die auch positive Effekte für die Suchmaschinenoptimierung (SEO) hat, wird von Web-Agenturen im Zweifel auch kurzfristig eingerichtet.

Beachtet man vor allem diese beiden Vorgaben nicht, ist die Kanzleiwebsite abmahngefährdet. Vor allem „findige“ Kollegen, können hier Fehler wettbewerbsrechtlich abmahnen.

Aber auch andere Vorgänge auf der Kanzleiwebsite können datenschutzrechtlich relevant sein und müssen deshalb überprüft werden, wie das folgende Beispiel zeigt: Während die Datenübertragung bei Nutzung eines Google Maps-Kartenausschnitts noch als berechtigtes Interesse des Seitenbetreibers gerechtfertigt werden kann (vgl. Art. 6 Abs. 1 Nr. f) DSGVO), ist dies zum Beispiel bei sog. Webfonts nicht der Fall. Hierbei werden Schriftarten bei einem Drittanbieter (z. B. Google oder Adobe) gehostet und zugleich bestimmte Daten eines Seitenbesuchers übertragen. Da das eigene Hosten von Schriftarten genauso gut möglich ist, gibt es für die Nutzung von fremdgehosteten Schriftarten insofern keine Rechtfertigung. Eine datenschutzkonforme Umsetzung ohne Webfonts ist aber auch in den meisten Fällen problemlos möglich.

Datenschutzbeauftragter in der Datenschutzerklärung

Wichtig ist außerdem: In aktuellen Datenschutzerklärungen muss der Datenschutzbeauftragte (DSB) der Kanzlei benannt werden. Grundsätzlich muss ein DSB erst bestellt werden, wenn in der Kanzlei zehn oder mehr Personen Daten verarbeiten.

Allerdings herrscht hier derzeit Unsicherheit, ob auch in manch einer kleinen Kanzlei ein DSB bestellt werden muss. Denn werden personenbezogene Daten verarbeitet, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren („besondere Kategorien personenbezogener Daten“), muss ebenfalls ein DSB bestellt werden – unabhängig von der Anzahl der Mitarbeiter.

Streng genommen könnte so die Pflicht zur Bestellung eines DSB auch kleine Kanzleien treffen, z. B. im Bereich Medizinrecht, Strafrecht oder Steuerberatung. Da die Verarbeitung von sensiblen personenbezogenen Daten aber nicht zu den Kerntätigkeiten des Verantwortlichen – also des Anwalts – gehört, es bei anwaltlicher bzw. steuerberaterliche Tätigkeit aber in erster Linie um Beratung geht, kann man durchaus der Auffassung sein, dass diese Ausnahme auch in Fällen von Medizinrechtskanzleien etc. nicht greift. Hier ist derzeit nicht sicher, wie Behörden diesen Punkt abschließend bewerten.

All das zeigt, dass die gesamte Kanzleiwebsite im Hinblick auf den Datenaustausch beurteilt werden muss, um im Anschluss eine maßgeschneiderte, abmahnsichere Lösung für eine individuelle Datenschutzerklärung erstellen zu können.

Kanzleiinterne Dokumentation und Auftragsdatenverarbeitung

Außerdem ist jede Kanzlei verpflichtet, ein sog. internes Verfahrensverzeichnis zu erstellen. Hierunter kann man sich eine Tabelle vorstellen, die alle in der Kanzlei erfassten Daten auflistet und dokumentiert, wie diese Daten verarbeitet und auch gelöscht werden. Allerdings geht es hier nicht darum, jeden erfassten Datensatz einzeln zu dokumentieren, sondern darum, die Prozesse für bestimmte Datensätze und Abläufe zu dokumentieren. Das soll den Umgang mit personenbezogenen Daten in der Kanzlei dokumentieren und ist in erster Linie für die Aufsichtsbehörden gedacht. Veröffentlicht werden muss dieses Verzeichnis nicht. Insofern besteht hier keine Abmahngefahr aus dem Kollegenkreis, sondern „nur“ das Risiko behördlicher Überprüfungen und Beanstandungen.

Wichtig ist dabei auch, ob Dritte, die nicht in der Kanzlei beschäftigt sind, Zugriff auf personenbezogene Daten haben (könnten), also z. B. der externe IT-Dienstleister, der Cloud-Anbieter, der Anbieter der Kanzleisoftware, der per Fernwartung auf den Kanzleiserver zugreifen kann etc. In diesen Fällen muss dringend geprüft werden, ob ggfs. ein Vertrag zur Auftragsverarbeitung mit den Dienstleistern abgeschlossen werden muss.

Fazit

Jede Kanzlei sollte zum 25. Mai 2018 mindestens die Datenschutzerklärung auf der eigenen Kanzleiwebsite an die Anforderungen der DSGVO anpassen. Denn es ist nicht auszuschließen, dass „schwarze Schafe“ diesen Moment nutzen, um wettbewerbsrechtliche Abmahnungen auszusprechen. Der Aufwand für diese Maßnahme ist überschaubar. Außerdem sollte man bedenken, dass eine aktuelle Datenschutzerklärung ein gewisses Aushängeschild für potenzielle Mandanten sein kann.

Für die übrigen Punkte, interne Organisation und Klärung der Auftragsbearbeitung, sollte man nicht allzu lange warten, auch wenn hierfür nach dem 25. Mai sicher noch Zeit ist.

 

 

Tipp! Wer sich umfassender darüber informieren möchte, welche Maßnahmen in der Anwaltskanzlei umgesetzt werden müssen, hat am 25. Mai 2018 die Möglichkeit, an einem Webinar von RA’in Dr. Astrid Auer-Reinsdorff teilzunehmen: www.anwaltswebinare.de.

Extra für Steuerberater: Die neue, kostenlose eBroschüre „DSGVO: Die zehn wichtigsten To-dos für Steuerkanzleien“ von Christian Solmecke. Hier downloaden.

 

Foto: Fotolia/wladimir1804