Datenschutz

Die grundlegenden datenschutzrechtlichen Pflichten ergeben sich aus der Datenschutz-Grundverordnung der EU (DS-GVO), die auch für Rechtsanwältinnen und Rechtsanwälte gilt.

Insbesondere sind die in Art. 5 DS-GVO normierten Grundsätze für die Verarbeitung personenbezogener Daten (u.a. Rechtmäßigkeit, Transparenz, Zweckbindung, Richtigkeit, Integrität und Vertraulichkeit) zu beachten und die Datenverarbeitung muss auf mindestens einer der in Art. 6 DS-GVO genannten Rechtsgrundlagen beruhen; regelmäßig ist sie zur Erfüllung des anwaltlichen Geschäftsbesorgungsvertrages erforderlich (Art. 6 Abs. 1b). Die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2f) DS-GVO ist u.a.   zur „Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen“ zulässig.

Nach Art. 12 bis 15 DS-GVO bestehen gegenüber der Mandantschaft umfangreiche datenschutzrechtliche Informations- und Auskunftspflichten.

Bei Beauftragung von Dienstleistern, die Daten im anwaltlichen Auftrag verarbeiten, müssen die in Art. 28 DS-GVO genannten Anforderungen erfüllt werden und mit ihnen ist ein Auftragsdatenverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO abzuschließen. 

Nach Art. 30 DS-GVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen; die in Abs. 5 genannten Ausnahmevoraussetzungen liegen bei Anwaltskanzleien regelmäßig nicht vor.

Etwaige Datenschutzpannen sind nach Maßgabe des Art. 33 dem Hessischen Datenschutzbeauftragten als Aufsichtsbehörde zu melden.

Liegen die Voraussetzungen des Art. 37 DS-GVO oder des § 38 BDSG vor, ist ein/e Datenschutzbeauftragte/r zu benennen. Nach § 38 Abs. 1 BDSG müssen Kanzleien stets eine/n Datenschutzbeauftragte/n benennen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nach Art. 37 Abs. 7 DS-GVO sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und dem Hessischen Datenschutzbeauftragten mitzuteilen; hierfür steht ein Online-Meldeformular zur Verfügung.

Aus einer Reihe von Vorschriften der DS-GVO ergibt sich, dass der Verantwortliche „die ihm unterstellten natürlichen Personen“ (Angestellte, Auszubildende, Referendarinnen und Referendare etc.) über die datenschutzrechtlichen Anforderungen zu informieren und auf diese zu verpflichten hat (vgl. Art. 24 Abs. 1, 28 Abs. 3 Satz 2 lit. b, 32 Abs. 4, 39 Abs. 1 lit. a DS-GVO). Der Inhalt dieser Verpflichtung nach DS-GVO unterscheidet sich von der berufsrechtlichen Verpflichtung auf das Anwaltsgeheimnis (sog. Verschwiegenheitsverpflichtung). In Anbetracht der Rechenschafts- und Nachweispflicht nach Art. 5 Abs. 2 DS-GVO empfiehlt die Datenschutzkonferenz DSK (Kurzpapier Nr. 19), die Verpflichtung in schriftlicher oder elektronischer Form vorzunehmen. Dort finden Sie auch ein Muster für eine datenschutzrechtliche Verpflichtung.

Aus dem ergänzend geltenden Bundesdatenschutzgesetz (BDSG) ist insbesondere § 26 zu nennen, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. 

Das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG) regelt hingegen die Datenverarbeitung durch die öffentlichen Stellen des Landes, der Gemeinden und Landkreise (§ 1 Abs. 1).