Rechtsanwaltskanzleien <br>im Fokus der Datenschützer
Rechtsanwaltskanzleien im Fokus der Datenschützer
Hannover im März 2015 von Stephan Rehfeld
Die Prüfung von Rechtsanwaltskanzleien durch Aufsichtsbehörden der Datenschützer hat eine neue Dimension erhalten.
Datenschutzaufsicht in Deutschland
ist die Datenschutzaufsichtsbehörde
Die Datenschutzaufsicht ist in Deutschland für nicht-öffentliche Stellen, also auch Kanzleien, dezentral organisiert. Zuständig für die Datenaufsicht ist die Aufsichtsbehörde des Bundeslandes, in dem der Hauptsitz einer Kanzlei liegt.
Die Datenschutzaufsichtsbehörden verfolgen zwei Prüfkonzepte: anlassbezogene und anlasslose Prüfungen. Anlassbezogene Prüfungen können z.B. dadurch ausgelöst werden, dass eine Kanzlei Auskunftsrechte von Betroffenen missachtet, Mandanten- oder Personaldaten der Kanzlei im Hausmüll gefunden werden oder nicht gelöschte Festplatten alter Rechner / USB-Sticks aufgetaucht sind.
Anlasslose Prüfungen im Jahr 2014
Die Rechtsanwaltskammer (RAK) München hat im Juni dieses Jahres gemeldet, dass der rechtsberatende Beruf eine Schwerpunktbranche der anlasslosen Prüfungen 2014 in Bayern ist. Es würden schwerpunktmäßig die technischorganisatorischen Maßnahmen von Kanzleien geprüft.
Folgende Liste möglicher Prüfungsgegenstände wurde von der RAK veröffentlicht:
- datenschutzgerechte Datenträgervernichtung
- Einsatz einer Ende-Zu-Ende-Verschlüsselung bei E-Mail-Kommunikation
- sicherer Abruf der E-Mails vom Mail-Server
- sichere IT-Infrastruktur zwischen den Standorten
- Nutzung eines sicheren E-Mail-Dienstleisters
- beanstandungsfreier Einsatz von Google-Analytics
- HTTPS-Verschlüsselung bei Einsatz besonderer Dienstleistungen über die Kanzlei-Website
- Einsatz von Leasing-Geräten (z.B. Drucker, Scanner, ... )
- Backup-Konzept der Datenträger
- Zutrittskontrolle.
Berufsgeheimnisträger und Ihr Berufsrecht
Berufsgeheimnisträger müssen auf die Einhaltung des Berufsrechts achten, insb. die Einhaltung der beruflichen Verschwiegenheit gewährleisten. Laut Meldung der Rechtsanwaltskammer München verlangt die Datenschutzaufsichtsbehörde bei ihren Prüfungen keinen Einblick in Mandantenakten oder Mandantendaten.
Missachtung von gesetzlichen Datenschutzregelungen
Wird die Missachtung von gesetzlichen Datenschutzregelungen aufgedeckt, kann das folgende Folgen haben:
Aufforderung zur
- Abstellung von Abweichungen von den gesetzlichen Datenschutzregelungen,
- Löschung nicht legal erhobener personenbezogener Daten,
- Einstellung des Betriebs von nicht-datenschutzkonformer EDV
sowie - Bußgelder (§ 43 BDSG) oder
- Strafen (§ 44 BDSG).
zurück zur Übersicht
Analyse der Prüftätigkeiten der Aufsichtsbehörde
Auf der einen Seite verfügen die Datenschutzaufsichtsbehörden für ihre Prüftätigkeiten über begrenzte Ressourcen, und auf der anderen Seite veröffentlichen sie nur wenig Material über die geplanten Prüfungsschwerpunkte. Die knappen Ressourcen führen häufig zu der These, dass eine anlasslose Prüfung durch eine Datenschutzaufsichtsbehörde sehr unwahrscheinlich ist.
Analysiert man aber die Veröffentlichungen der Aufsichtsbehörde, wird diese These widerlegt:
- Automatisierte Massenprüfungen: Im Internet werden Tools für automatisierte Massentests eingesetzt. So wurden in 2012 vom Bayerischen Landesamt für Datenschutzaufsicht 13.404 Web-Seiten auf einen datenschutzkonformen Einsatz von Google-Analytics, ein sogenanntes Tracking-Tool, überprüft. Der Landesbeauftragte für Datenschutz und Informationssicherheit in Nordrhein-Westfalen und auch der Landesbeauftragte für den Datenschutz Baden-Württemberg zogen nach.
- Branchenschwerpunkte: Wesentlich aufwändiger sind anlasslose Prüfungen von nicht-öffentlichen Stellen. Hier scheinen die Datenschutzaufsichtsbehörden Prüfschwerpunkte nach der Sensibilität der personenbezogenen Daten durch die jeweilige Branche zu setzen. Unbestritten erheben, verarbeiten und nutzen Berufsgeheimnisträger, also auch die rechts-, steuer- und wirtschaftsprüfenden Berufe äußerst sensible Daten ihrer Mandanten. Es war also nur eine Frage der Zeit, dass die Aufsichtsbehörden ihren Prüffokus auch auf Berufsgeheimnisträger legten.
Prüfungsbefugnis der Datenschutzaufsichtsbehörden
Bis heute ist die Prüfungsbefugnis der Datenschutzaufsichtsbehörden bei Berufsgeheimnisträgern nicht höchstrichterlich geklärt. Den aktuellen Stand der Diskussion dürfte der Beschluss des Kammergerichts Berlin vom 20.8.2010 (Az.: 1 Ws (B) 51/07) zum Verhältnis des Mandatsschutzes zum BDSG wiedergeben. Bei aufmerksamem Lesen des berichteten Prüfungskataloges fällt auf, dass genau der Schutzbereich des Mandatsverhältnisses unangetastet bleibt.
Verträge zur Auftragsdatenverarbeitung
In dem Prüfkatalog steckt viel Sprengstoff, z.B.: Sollten Sie Leasing-Geräte (z.B. Drucker, Scanner, ... ) oder externe Backup-Konzepte (Backup in Rechenzentren) in Ihrer Organisation einsetzen oder Google Analytics auf Ihrer Organisations-Webseite verwenden, sollten die entsprechenden Verträge zur Auftragsdatenverarbeitung griffbereit vorliegen.
Realitätsferne Aussagen und Forderungen
Die Prüfpunkte zum E-Mail-Einsatz lassen bei einem Datenschutzpraktiker alle Lichter auf Rot gehen. So wird auf den Seiten der niedersächsischen Datenschutzaufsichtsbehörde ausgeführt: „Sensible personenbezogene Daten (Sozial-, Steuer-, Personal- und medizinische Daten) dürfen nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden.“*)
Präventive schriftliche Schweigerechtsentbindungen sowie EInwilligungen
Diese Aussage wird von der Aufsichtsbehörde aus der Weiterleitungskontrolle der Anlage zu § 9 Satz 1 des BDSG hergeleitet. Was für ein Fax gilt, gilt natürlich auch für E-Mails. Eine strenge Auslegung dieser Aussage führt zu einem realitätsfremden Faxverbot zwischen Berufsgeheimnisträgern/Gerichten/Personalabteilung etc. Da E-Mail-Verschlüsselung im Geschäftsverkehr eher unüblich ist, gilt dies auch für das Medium E-Mail. Hier sollten präventiv die schriftlichen Schweigerechtsentbindungen und die schriftliche Einwilligung des jeweils Betroffenen in den unverschlüsselten Datenverkehr bereitgehalten werden.
