Ausgestattet mit dem erforderlichen Wissen kann man in einem nächsten Schritt zur Umsetzung konkreter Maßnahmen übergehen. Je größer die Kanzlei, desto umfangreicher werden die Vorarbeiten sein, d.h. die Planung des Personals oder ggf. des externen Sachverstands, der finanziellen Mittel, der benötigten Zeit etc. Es sollten insbesondere solche Maßnahmen angegangen werden, die eine Außenwirkung und damit das größte Risikopotential besitzen. Dazu zählen im Wesentlichen zwei Dinge:
aa) Benennung und Meldung eines Datenschutzbeauftragten
Bei der Frage, ob eine Kanzlei einen Datenschutzbeauftragten (DSB) benötigt, muss eine zweistufige Prüfung erfolgen, denn sowohl die DSGVO als auch das BDSG weisen entsprechende Regelungen auf. Danach gilt: Gibt es zehn oder mehr Beschäftigte in der Kanzlei (darunter fallen Festangestellte, Teilzeitkräfte, Auszubildende, Vertretungen, freie Mitarbeiter usw.), besteht in aller Regel die Pflicht zur Benennung eines DSB. Kanzleien mit weniger als zehn Beschäftigten müssen nur dann einen DSB benennen, wenn sie Datenverarbeitungsvorgänge durchführen, die z.B. mit Hilfe von Legal-Tech-Tools automatisiert ablaufen oder mit denen besondere Kategorien von Daten i.S.d. Art. 9, 10 DSGVO (besonders sensible Daten, wie z.B. Gesundheitsdaten, oder Daten über strafrechtliche Verurteilungen bzw. Straftaten) in umfangreicher Weise verarbeitet werden. Insbesondere wären hier die Bereiche Strafverteidigung oder auch Arbeits-, Sozial-, bzw. Medizinrecht zu nennen. Allerdings muss die Kerntätigkeit der Kanzlei in der Verarbeitung von derart sensiblen Daten bestehen, so dass allein der Umstand, dass eine Kanzlei zahlreiche Angestellte und entsprechend viele sensible Daten in deren Personalakten hat, noch nicht zwingend zur DSB-Pflicht führt. Die Auslegung des Begriffs "Kerntätigkeit" ist eines der noch offenen Problemfelder, die es seit Einführung der DSGVO zu lösen gilt – leider lassen Rechtsprechung und Literatur bislang eine einhellige, überzeugende Auffassung vermissen.
Wird ein DSB benannt, entfaltet sich insofern eine Außenwirkung, als dass dieser auch der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden muss. Weil diese ein Verzeichnis über alle DSB führt, kann sie durch Abgleich der ihr vorliegenden Daten über existierende Kanzleien und deren Mitarbeiteranzahl bzw. Tätigkeitsschwerpunkte vergleichsweise einfach prüfen, ob die DSB-Pflicht erfüllt wurde oder nicht.
bb) Erfüllung von Informationspflichten
In puncto Informationspflichten ist die Sachlage hingegen simpel: Jede Kanzlei hat die Vorgaben aus Art. 13, 14 DSGVO zu erfüllen. Zwar existieren gem. § 29 DSGVO bestimmte Ausnahmen für den Anwaltsberuf, gleichwohl ist insbesondere Art. 13 DSGVO regelmäßig zu beachten. Danach sind u.a. folgende Informationen verpflichtend mitzuteilen:
- Name und Kontaktdaten der verantwortlichen Stelle (also der Kanzlei),
- Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden),
- Zweck der Datenverarbeitung,
- Rechtsgrundlagen der Datenverarbeitung,
- ggf. die Empfänger oder die Kategorien von Empfängern, denen Sie personenbezogene Daten übermitteln,
- Dauer der Datenspeicherung bzw. Kriterien für die Festlegung dieser Dauer,
- Hinweis auf die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerruf, Widerspruch, Beschwerde und Datenportabilität),
- ggf. Hinweis auf gesetzliche oder vertragliche Pflichten zur Bereitstellung der Daten und die Folgen der Nichtbereitstellung.
Neben der auch früher schon verpflichtenden Datenschutzerklärung für die Verarbeitungsvorgänge auf der Kanzlei-Website kommt seit dem 25.5.2018 noch die Pflicht hinzu, auch über die offline durchgeführten Verarbeitungstätigkeiten zu informieren. Selbstverständlich sind hier nicht, wie auf der Website, Dinge, wie Google Analytics, Kontaktformular oder SSL-Verschlüsselung, zu beschreiben, sondern die "normalen" Verarbeitungsvorgänge im Kanzleialltag. Online-Datenschutzerklärung und allgemeine Datenschutzhinweise richten sich gleichermaßen nach Art. 13, 14 DSGVO – je nachdem, ob die jeweiligen Daten bei der betreffenden Person selbst oder über Dritte erhoben wurden – enthalten aber naturgemäß nur teilweise die gleichen Informationen. Es bietet sich an, aufgrund der größeren Reichweite zunächst die Datenschutzerklärung für die Kanzlei-Website an die DSGVO anzupassen.
Alternativ kann dieser Text aber natürlich auch entweder selbst oder im Rahmen einer konkreten Rechtsberatung durch einen Kollegen erstellt werden. Die DSGVO-konforme Online-Datenschutzerklärung hat oberste Priorität, da sie von jedermann jederzeit abgerufen werden kann; auch eine etwaige Beweissicherung ist in diesem Fall simpel. Bei fehlender oder unzureichender Datenschutzerklärung besteht zudem die