I. Vorbemerkung
Seit dem Stichtag der Datenschutzgrundverordnung (DSGVO), dem 25.5.2018, ist etwas Zeit ins Land gegangen – und die Erde dreht sich noch. Die Phase der größten Panik ist wohl vorbei, man könnte fast schon wieder von "Normalität" an der Datenschutzfront sprechen. Allerdings bestehen vielerorts nach wie vor gewisse Unsicherheiten in Bezug auf die konkrete Umsetzung der Vorgaben der EU-Datenschutzgrundverordnung. Das ist nicht verwunderlich, können doch selbst die Datenschutz-Aufsichtsbehörden bislang keine klare, einheitliche Linie vorweisen. Unterbesetzt und überfordert, so beschreiben böse Zungen die aktuelle Situation dort. Und mangels belastbarer Erkenntnisse aus der Rechtsprechung bleibt zwangsläufig eine gewisse Rechtsunsicherheit in einigen Bereichen. Tagtäglich haben Behörden, Unternehmen und natürlich auch Anwaltskanzleien damit zu kämpfen, die in teilweise missglückte Vorschriften gegossenen hehren Ziele des neuen europäischen Datenschutzrechts in die Praxis umzusetzen.
Letztlich gibt die DSGVO nur das zu erreichende Ziel vor: Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 DSGVO). Den Weg, wie dieser Schutz erreicht werden soll, wird hingegen nicht genau beschrieben. Wie auch?! Das Gesetz zielt auf alle datenschutzrechtlich verantwortlichen Stellen gleichermaßen ab, unabhängig von Größe, Branche, Organisationsform, Mitarbeiteranzahl oder Umsatz. Positiv ist dabei, dass jedes Unternehmen, also auch jede Anwaltskanzlei, ihren eigenen, individuellen Weg finden kann – allerdings auch finden muss. Aber – und das ist die schlechte Nachricht: Keiner kann zum jetzigen Zeitpunkt genau sagen, wie verschiedene Details in der Praxis genau auszusehen und abzulaufen haben.
Hinweis:
Es gibt mittlerweile, etwa ein halbes Jahr nach Wirksamwerden der DSGVO, diverse Stellungnahmen von Aufsichtsbehörden und anderen Institutionen auf dem Sektor des Datenschutzes. Primär ist dabei wohl auf die insgesamt 19 sog. Orientierungshilfen abzustellen, welche von der Datenschutzkonferenz auf ihrer Website ( www.datenschutzkonferenz-online.de) zum Download bereitgestellt werden.
Die Datenschutzkonferenz (DSK) ist ein Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder. Nach eigenen Angaben hat sie die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Ihre Beschlüsse, Orientierungshilfen, Kurzpapiere etc. sind kostenfrei für jedermann einsehbar. Aber auch darin finden sich natürlich nicht für alle Praxisprobleme abschließende Lösungen und im Zweifel haben die zuständigen Gerichte das "letzte Wort".
II. Umsetzung der DSGVO
1. Status quo
Ich wage die Behauptung, dass die Umstellung auf die Vorgaben der DSGVO für denjenigen, der auch vorher nach deutschen Recht schon die datenschutzrechtlichen Vorgaben pflichtgemäß umgesetzt hatte, fristgerecht zu bewältigen gewesen ist. Zumal jedenfalls die essentiellen Inhalte der DSGVO schon ausreichend vor ihrem Inkrafttreten im Mai 2016, die finale Fassung immerhin zwei Jahre vor endgültigem Wirksamwerden, bekannt waren. Allerdings war im Bereich Datenschutz der "Leidensdruck" für Unternehmens- bzw. Kanzleiverantwortliche wohl nicht allzu hoch, denn bis zum Inkrafttreten der DSGVO haben sich die wenigsten Unternehmen Gedanken darum gemacht, wie sie mit personenbezogenen Daten ihrer Mitarbeiter, Kunden etc. umgehen; der Anwaltssektor war da keine Ausnahme. Zumeist gab es eine – mehr oder weniger aussagekräftige – Datenschutzerklärung auf der Website (oft noch nicht einmal das), das war es dann aber auch schon. Begriffe, wie Vorabkontrolle oder Verfahrensverzeichnis, waren für eine Mehrheit nichtssagende Vokabeln. Somit hat der DSGVO-Hype zumindest dazu beigetragen, dass das Thema Datenschutz in den Köpfen der Menschen einen größeren Platz einnimmt als vorher.
Natürlich bedarf es umso mehr an organisatorischem, personellem und finanziellem Aufwand, je größer eine Kanzlei ist. Allerdings steigen mit ihrer Größe in aller Regel auch die personellen und finanziellen Ressourcen, so dass die Umsetzung von Datenschutzmaßnahmen in einer Kanzlei mit 100 Mitarbeitern vermutlich besser zu realisieren ist, als in einer Kanzlei mit nur 15 Mitarbeitern oder einer kleinen zwei oder drei Berufsträger umfassende Kanzlei. Fakt ist jedoch: Seit dem 25.5.2018 ist die DSGVO voll umfänglich zu beachten, flankierend hierzu auch die neue Fassung des Bundesdatenschutzgesetzes (BDSG).
Die Erfahrung zeigt, dass längst nicht alle Behörden oder Unternehmen vollständige Compliance erlangt haben. Dies dürfte auch für die Anwaltschaft gelten, denn "Datenschutz" erfordert nicht nur angemessene Grundkenntnisse in diesem Rechtsgebiet, sondern auch die richtige Umsetzung in die Praxis. Nachfolgende Hinweise können helfen, die Kanzlei datenschutzkonform auszurichten.
2. Maßnahmenplan zur Erreichung der DSGVO-Konformität
Mit einem Maßnahmenplan, dessen einzelne Ber...