Es ist ratsam, sich in einem ersten Schritt – sofern noch nicht geschehen – zumindest das essentielle Basiswissen im Bereich Datenschutz anzueignen oder alternativ jemanden zu engagieren, der dies bereits vorweisen kann. Daher ist ein externer Datenschutz-Berater oder gar ein unter Umständen (bei Kanzleien mit mehr als neun Mitarbeitern) ohnehin verpflichtender, alternativ auf freiwilliger Basis (bei kleineren Kanzleien) bestellter Datenschutzbeauftragter (DSB) eine Überlegung wert. Denn an dieser Stelle kann nur ein Überblick über die wichtigsten Grundlagen in komprimierter Form erfolgen. Das Datenschutzrecht dient dem Schutz bei der Verarbeitung von Daten mit Personenbezug. Die entscheidenden Begriffe, nämlich "personenbezogen" und "verarbeiten", werden sehr weitgehend verstanden. Ein Personenbezug besteht bereits dann, wenn eine natürliche Person identifizierbar ist. Folgende Faustregel sollte man sich merken: Im Zweifel sollte davon ausgegangen werden, dass die Daten, die typischerweise in einer Anwaltskanzlei anfallen, Personenbezug haben. Lediglich reine Statistik- bzw. Maschinendaten sollen ausgeschlossen sein. Zu den personenbezogenen Daten gehören also u.a.:
- persönliche Daten (Name, Anschrift, Geburtsdatum usw.),
- Kontaktdaten (Telefonnummer, Faxnummer, E-Mail-Adresse usw.),
- Finanzdaten (Bankverbindung, Gehaltsabrechnung usw.),
- Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung usw.),
- Fotos mit einer erkennbar abgebildeten Person,
- Kfz-Kennzeichen,
- IP-Adressen.
Während im BDSG a.F. sprachlich noch nach einzelnen Verarbeitungsvorgängen differenziert wurde, muss dies nun nicht mehr erfolgen. Denn gemäß der DSGVO meint der Begriff "Verarbeitung" jeden mit oder ohne Hilfe eines automatisierten Verfahrens ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie beispielsweise das Erheben, das Ordnen, die Speicherung, die Veränderung, die Verwendung, die Übertragung oder auch das Löschen. Im Zeitalter der Digitalisierung, in dem niemand mehr – auch in einer vergleichsweisen konservativen Branche – mit Schreibmaschine und Karteikarten arbeitet, wird somit im Grunde jeder einzelne Datenverarbeitungsvorgang von der ersten Erhebung bis hin zur endgültigen Löschung durch das Datenschutzrecht erfasst. Also sollte im Zweifel diesbezüglich davon ausgegangen werden, dass ein Verarbeiten in Sinne der DSGVO vorliegt.
Nur rein private Tätigkeiten, wie etwa die Geburtstagsliste in Excel für Familie und Freunde, unterfällt nicht dem Anwendungsbereich der DSGVO. Aber schon bei einer "gemischten" Geburtstagsliste für Familie, Freunde und Kollegen kann die DSGVO zur Anwendung kommen.
Hinweis:
Neben den beiden wirklich zentralen Begriffen "personenbezogen" und "verarbeiten" enthält Art. 4 DSGVO noch über 20 weitere Definitionen, die es sich lohnt, einmal näher zu betrachten.
Hat man sich die wichtigsten Vokabeln angeeignet, sollten auch die wesentlichen Grundsätze bekannt sein. So ist das Datenschutzrecht, wie zuvor unter dem BDSG a.F. auch, als Verbot mit Erlaubnisvorbehalt ausgestaltet. Das bedeutet, dass jegliche Verarbeitung personenbezogener Daten in der Anwaltskanzlei verboten ist, es sei denn, sie ist ausnahmsweise gestattet. Es gibt drei Kategorien von Erlaubnistatbeständen.
aa) Einwilligung der Person, deren Daten verarbeitet werden
Eine Einwilligungserklärung hat den "Pferdefuß", dass sie jederzeit widerrufbar ist, wodurch ab dann die Rechtsgrundlage für die weitere Verarbeitung der betreffenden Daten entfällt.
bb) Überwiegende berechtigte Interessen
Als "berechtigte Interessen" nennt die DSGVO z.B. Verhinderung von Betrug oder auch Direktwerbung. Diese Interessen müssen allerdings nicht nur begründet und im Zweifel auch nachgewiesen werden, sondern sie müssen auch mit den Rechten und Freiheiten der von der Datenverarbeitung betroffenen Person(en) abgewogen werden. Aufgrund des mit der DSGVO neu eingeführten Accountability-Prinzips und der damit verbundenen Beweislastumkehr ist die datenverarbeitende Stelle dafür nachweispflichtig, dass sie rechtskonform handelt. Hinzu kommt, dass bei einer solchen Interessenabwägung, die man als Rechtsgrundlage zur Datenverarbeitung heranzieht, immer die Gefahr besteht, dass die Datenschutz-Aufsichtsbehörden oder Gerichte im Nachhinein zu einer anderen Auffassung gelangen.
bb) Gesetzliche Erlaubnisnorm
Ideal ist also eine gesetzliche Erlaubnisnorm als Rechtsgrundlage – glücklicherweise bringt die DSGVO die wichtigsten Aspekte gleich mit. Gemäß Art. 6 DSGVO ist eine Datenverarbeitung zulässig:
- zur Erfüllung eines Vertrags bzw. zur Durchführung vorvertraglicher Maßnahmen,
- aufgrund einer rechtlichen Verpflichtung,
- zum Schutz lebenswichtiger Interessen oder
- zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe bzw. Ausübung öffentlicher Gewalt.
Praxishinweis:
Im Rahmen der "typischen" Tätigkeiten in Anwaltskanzleien, wie etwa der Bearbeitung von Mandaten oder auch der Erstellung der eigenen Steuererklärung etc., bestehen demnach gesetzliche Erlaubnistatbestände, weshalb man hier nicht noch zusätzlich mit berechtigten Interessen oder Einwilligungserklärungen oper...