Ein zentrales Element der seit dem 25.5.2018 geltenden DSGVO ist die Rechenschaftspflicht (sog. Accountability-Prinzip) aus Art. 5 Abs. 2. Diese sieht in Bezug auf eine für die Verarbeitung von personenbezogenen Daten verantwortlichen Stelle vor, dass diese die Einhaltung der gesetzlichen Vorgaben nachweisen können muss. Nach Maßgabe von Art. 4 Nr. 1 DSGVO sind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die "betroffene Person") beziehen. Dies bezieht sich also auf alle Daten mit Personenbezug, unabhängig davon, ob es sich um Mitarbeiter, Mandanten, Vertragspartner, Richter, Staatsanwälte o.a. Personen im Zusammenhang mit der anwaltlichen Tätigkeit handelt. Die DSGVO geht von einem sehr weitgehenden Begriff aus, sodass im Hinblick auf den Umgang mit Daten in der anwaltlichen Praxis im Zweifel davon ausgegangen werden kann, dass es sich dabei um Daten mit Personenbezug i.d.S. handelt. Nur reine Unternehmens-, Maschinen- oder Statistikdaten werden vom Datenschutzrecht nicht umfasst. In Zweifelsfällen ist jedoch anzuraten, von einem Personenbezug und daher auch von einer Anwendbarkeit des Datenschutzrechts auszugehen.
Neben "normalen" personenbezogenen Daten nennt die DSGVO in Art. 9 Abs. 1 solche Daten, die sie als besonders sensibel einstuft. Zu diesen besonderen Kategorien personenbezogener Daten zählen (abschließend) die folgenden:
- rassische/ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische oder biometrische Daten
- allgemeine Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
Die Verarbeitung dieser sensiblen Daten ist grds. untersagt und nur ausnahmsweise in den Fällen von Art. 9 Abs. 2 DSGVO bzw. § 22 BDSG gestattet.
Praxistipp:
Auch in Art. 10 DSGVO werden besondere Datenkategorien erwähnt, darin geht es um Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln. Dies kann insb. für Strafverteidiger bzw. Kanzleien mit entsprechendem Tätigkeitsschwerpunkt eine Rolle spielen, da die Verarbeitung von Daten gem. Art. 9, 10 DSGVO regelmäßig mit einem erhöhten Risiko einhergeht.
Unter "Verarbeitung" ordnet Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten ein; auch dies ist sehr weitgehend zu verstehen. Ein "Verantwortlicher" im datenschutzrechtlichen Sinne ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Es kommt also weder darauf an, ob die Datenverarbeitung durch einen Einzelanwalt, durch eine kleinere Sozietät oder durch eine große "Anwalts-GmbH" erfolgt, noch auf die Mitarbeiteranzahl, den Umsatz, die Spezialisierung etc. Nach Maßgabe der DSGVO kommt es für die Eigenschaft als verantwortliche Stelle allein darauf an, wer über Zweck und Mittel der Datenverarbeitung entscheidet, wer also letztverantwortlich die Fragen nach dem "Ob" und dem "Wie" der Verarbeitung von personenbezogenen Daten beantwortet.
Beispiel:
Handelt es sich um einen Einzelanwalt, ist dieser Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO, bei einer Anwalts-Gesellschaft ist es eben diese.
Neben den "Vokabeln" des Datenschutzrechts sollten auch die elementaren Grundsätze aus Art. 5 Abs. 1 DSGVO bekannt sein:
- Rechtmäßigkeit/Verarbeitung nach Treu und Glauben/Transparenz: Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
- Zweckbindung: Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
- Datenminimierung: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
- Richtigkeit: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
- Speicherbegrenzung: Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
- Integrität und Vertraulichkeit: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch...