DatenschutzChecklistefrdieAnwaltskanzlei

1. Erhebungund Nutzungvon personenbezogenen Daten

2. Datenschutzrege lungenaufstellenund Sensibilittschaffen

In jeder Anwaltskanzlei werden personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes verarbeitet. Ungeachtet der nach wie vor un geklrten Frage des Verhltnisses des Datenschutzrechtes zur anwaltlichen Verschwiegenheit und der Verpflichtung zur einseitigen Wahrnehmung der InteressendesMandantenhabenAnwaltskanzleienManahmenzumSchutz dieser personen und mandatsbezogenen Daten im Interesse der Betroffe nenschonaufBasisderberufsrechtlichenRahmenbedingungenzuergreifen. An den Anfang ist eine Analyse zu stellen darber, welche Daten von wem auf welchem Weg erhoben und genutzt werden. Dabei erfolgt im Hinblick auf die anwaltliche Verpflichtung zur einseitigen Interessenwahrnehmung abweichend von den datenschutzrechtlichen Regelungen die Erhebung per sonenbezogener Daten des Gegners und anderer Beteiligter typischerweise nicht vorrangig beim Betroffenen selbst. Die Datenerhebungsvorgnge sind zum Beispiel durch Mandantenaufnahmebogen zu dokumentieren. In der Kanzlei verarbeitete Daten lassen sich regelmig in folgende Kategorien unterscheidenundunterliegenjeweilsanderengesetzlichenVorgaben:man datsbezogeneDatenBerufspflichteninsbesonderenach43,43Absatz2 BRAO und 5 BORA, Mitarbeiterdaten Arbeitnehmerdatenschutz 32 BDSG,LieferantendatenundAkquise/NetworkingDatenDatenschutznach BDSG ggf. mit weiteren Anforderungen fr Telemediendienste nach dem TMG. Wenn mglich sind diese verschiedenen Datenkategorien getrennt voneinanderzuspeichernundzuverwalten. DemDatenschutzliegenfolgendePrinzipienzugrunde: Verbot mit Erlaubnisvorbehalt: Nur dem BDSG vorrangige Rechtsvor schriften oder die auch konkludente Einwilligung der Betroffenen rechtfertigendieErhebungundVerarbeitungpersonenbezogenerDaten Zweckbindung: Die Erhebung, Speicherung, Verarbeitung und Nutzung personenbezogener Daten muss an einen konkreten Zweck gebunden sein.DieDatendrfennichtanderweitigverwandtwerden. DatenvermeidungundDatensparsamkeit:Datendrfennurerhobenund verarbeitet werden, soweit dies fr den gerechtfertigten/eingewilligten Zweckunbedingterforderlichist. Transparenz und Meldepflicht: Die Kanzlei muss namhaft und fr die Datenverarbeitungverantwortlichgemachtwerdenknnen. Datensicherheit: Die Daten sind insbesondere vor Verlust, Verflschung oderunerlaubterKenntnisnahmezuschtzen. An diesen Prinzipien kann sich der Datenschutz in der Anwaltskanzlei orientieren, wobei die Transparenz und die Meldepflicht zugunsten des be sonderen Vertrauensverhltnisses im Mandatsverhltnis nur eingeschrnkt gelten. Es bietet sich an interne Datenschutzregeln aufzustellen und bei Erhebung von Daten auf die elektronische Verarbeitung hinzuweisen. Wer denDatenberdieInternetseitederAnwaltskanzleierhoben,isteineDaten
1

schutzerklrung erforderlich. In jeder Kanzlei empfiehlt sich eine Daten schutzschulungdurchexterneBerater.DieDatenschutzschulungsollteauch umfassen, wie sich die Mitarbeiter bei der Anfrage einer Aufsichtsstelle (Datenschutzbeauftragter des Landes, zustndige Rechtsanwaltskammer) und bei Auskunfts und Lschungsbegehren von Betroffenen zu verhalten haben. 3. Einsatzbedarfsge rechterITLsungen mitregelmiger Statuskontrolle DieAnforderungnachsachundfachgerechtenITAnwendungenergibtsich sowohl aus dem Datenschutz als auch aus den Anforderungen an die Ein richtungen zur anwaltlichen Berufsausbung. Art und Umfang der geeig neten Ausstattung richten sich nach der Gre und dem verarbeiteten Datenvolumen der Anwaltskanzlei. Die Anforderungen an die Sicherheit ergeben sich aus dem konkreten Einsatz und insbesondere der Art der eingesetzteninsbesonderemobilenKommunikationslsungensowieZu griffsmglichkeiten auf die gespeicherten Informationen. Selbstverstndlich sind Spam und Virenfilter, eine Firewall und ggf. weitere Sicherheitsvor kehrungenzutreffen,umsichvorDatenverlustundBeeintrchtigungderIT Anwendungenzuschtzen.Richtlinienzutechnischenundorganisatorischen Manahmen ergeben sich aus der Anlage zu 9 BDSG. Meist werden An waltskanzleien hier nicht mehr ohne professionelle auf sie zugeschnittene UntersttzungdurchBeraterauskommen. Datensicherung erfolgt schon im ureigenen Interesse der Anwaltskanzlei an der lckenlosen Verfgbarkeit des Datenbestandes als Arbeitsgrundlage. Dabei ist auch der Anwaltskanzlei eine externe OnlineDatensicherungs lsungohneVerstogegendasAnwaltsgeheimnisgestattet,wennDatennur verschlsselt bermittelt und abgelegt werden. Die lokale Lsung birgt oftmals das Risiko, dass die Datensicherung vergessen oder aber Daten sicherungsdatentrgerimServerschrankverwahrtwerden,sodassdiesebei einemKanzleibrandodereineranderenHaveriemitvernichtetwerden.Die DatensicherungsroutinesollteinjedemFalltglichgeprftwerden.Daneben stehtdiestrukturierteArchivierungderMandatsunterlagensowiederBelege zu den Geschftsvorfllen der Kanzlei im Rahmen der anwaltlichen und steuerlichenDokumentationspflichten. Zur anwaltlichen Grundausstattung gehren regelmig die elektronische SignatursowiedieMglichkeitmitdenBeteiligtenverschlsseltzukommu nizieren. Die Kanzlei sollte technische Einrichtungen vorhalten, um der AnforderungderMandantennachauthentifizierterundverschlsselterelek tronischer Kommunikation entsprechen zu knnen. Dieses knnen auch verschlsselte Dateiablagesysteme sein, zu denen der Anwalt dem Man danten den Zugriff auf seine Korrespondenz gewhrt. Bei besonders an flligen bertragungswegen wie zum Beispiel WLAN hat der Anwalt auf hinreichende Verschlsselung der Datenkommunikation zu achten, will er sichnichtdemVorwurfderVerletzungdesAnwaltsgeheimnissesaussetzen. Knnen in der Anwaltskanzlei mehr als neun Personen elektronisch Daten verarbeiten,soisteinDatenschutzbeauftragterzubestellen.Diesergibtsich zwingend, wenn diese Personen auch nicht mandatsbezogene Daten ver arbeiten aus den datenschutzrechtlichen Regelungen. Bei reiner mandats bezogener Datenverarbeitung empfiehlt sich die Ernennung eines Daten schutzbeauftragten. Dabei kann die Anwaltskanzlei einen internen Ange stelltennichtdieInhaberderKanzleioderdenITBeauftragtenoderaber einen externen Dritten beauftragen. Bei der Bestellung eines Mitarbeiters
2

4. Datensicherungs konzeptund Archivierung einfhrenund kontrollieren

5. Einsatzderelektro nischenSignaturund Verschlsselung prfen

6. Datenschutz beauftragten bestellen

7. Zulssigkeitund Rahmenbedingungen derexternenIT Lsungenprfen

8. Vertraulichkeitsund Geheimhaltungs vereinbarungen

derKanzleibietetessichan,diesemeinBudgetfrBeratungzutechnischen Fragen frei zu geben und diesen zu entsprechenden Schulungen frei zu stellen. Bei der Beauftragung von ITLeistungen, bei denen personen und/oder mandatsbezogene Daten auerhalb der Kanzlei verarbeitet werden, ist zu prfen, ob die Voraussetzungen des 11 BDSG an die Auftragsdatenver arbeitungerflltundfernerdasAnwaltsgeheimnisgewahrtist.Hierzugehrt auch die Fernwartung der Systeme, welche in jedem Fall nur auf vorherige FreigabeimEinzelfalldurchdieKanzleierfolgendarf. Anwltesindgenerellverpflichtet,ihreMitarbeiterundsonstigenPersonen, welchesiebeiderAusbungihresBerufesuntersttzenausdrcklichaufdie Verschwiegenheit zu verpflichten. Dies gilt selbstverstndlich auch fr die Dienstleister, welche die Kanzlei in ITFragen untersttzt. Dabei ist fr den Anwalt wichtig zu wissen, dass er damit nicht aus der Verantwortung ent lassen ist, sondern weiterhin die Zuverlssigkeit des Dienstleisters zu ber wachenhat. WeiterfhrendeLinks: www.davit.de:GrundregelnderAnwaltschaftinderInformations gesellschaftfrInformationstechnikundTelekommunikation www.bsi.bund.de:ITGrundschutzhandbuch www.bfdi.bund.de:MaterialienzumDatenschutz www.datenschutzzentrum.de:ArbeitshilfenzumDatenschutz www.gdd.de:DownloadMusterzurAuftragsdatenverarbeitung Stand:August2010