Risiken frühzeitig erkennen
Je komplexer die Datenverarbeitungssysteme werden, desto wichtiger ist es, frühzeitig Datenschutzrisiken zu erkennen, technische und organisatorische Maßnahmen vorzusehen, die eine für den Betroffenen einfache und effiziente Möglichkeit zum Selbstschutz bieten, und Anreize zu schaffen, Datenschutz möglichst frühzeitig in technische Systeme zu integrieren.
Schon bei der Konzeption von IT-Systemen müssen Belange des Datenschutzes gewährleistet werden („Privacy by Design“). Dabei geht es in erster Linie darum, den Umfang der erhobenen und verarbeiteten personenbezogenen Daten auf ein Minimum zu beschränken.
Zu einer datenschutzgerechten Technikgestaltung gehören auch entsprechende Voreinstellungen von IT-Systemen und elektronischen Diensten („Privacy by Default“).
Mögliche Lösung: das „Datenschutzaudit“
Mit einem „Datenschutzaudit“ können Anbieter von Datenverarbeitungssystemen und -programmen als auch verantwortliche Stellen ihre Datenschutzkonzepte sowie ihre technischen Einrichtungen mit einem datenschutzrechtlichen Gütesiegel versehen lassen und damit werben. Die Prüfung sollte durch unabhängige und zugelassene Gutachter erfolgen.
Besondere Bedeutung kommt auch der Pflicht zur Information bei Datenschutzpannen zu. Danach müssen Kanzleien im Falle des Verlusts von als besonders gefährdet eingestuften Daten die Betroffenen sowie die Aufsichtsbehörde informieren. Unterbleibt diese Information oder ist sie nicht richtig, nicht vollständig oder nicht rechtzeitig, droht ein Bußgeld.
DSGVO 2018: Verschärfte Nachweispflichten
Die Datenschutzgrundverordnung sieht für Verantwortliche und Auftragsverarbeiter deutlich erweiterte Nachweispflichten vor (sog. „accountability“). So wird vorgeschrieben, dass der für die Verarbeitung Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen kann.
Folgende Prozesse und Dokumente sollte eine Kanzlei prüfen und vorhalten:
- Einführung eines Berechtigungsmanagements (mit der Regelung, wer unter welchen Voraussetzungen Zugriff auf bestimmte personenbezogene Daten erhält),
- Dokumentation der Datenverarbeitungsprozesse in der Kanzlei,
- Datenschutzerklärungen (Erweiterung der Informationspflichten)
- Einwilligungserklärungen (Verschärfung der formalen Vorgaben),
- Prozess für den Widerruf der Einwilligung,
- Anpassung der Betriebsvereinbarungen an die DSGVO,
- Prozesse zur Umsetzung von Widersprüchen,
- Vereinbarungen zur Auftragsverarbeitung (Haftungsregelung, Dokumentation),
- Überarbeitung des Prozesses bei Datenpannen, entsprechend der neuen Vorgaben,
- Verfahren, um Daten in einem gängigen elektronischen Format übertragen zu können,
- Durchführung von zielgruppengerechten Schulungen zu den Neuerungen der DSGVO und den eigenen Prozessen,
- Durchführung einer Risiko-Analyse zur Festlegung geeigneter technisch-organisatorischer Maßnahmen,
- Vornahme einer Datenschutz-Folgenabschätzung,
- Monitoring nationaler Gesetzgebung und Fortbildung,
- Implementierung eines Backup-Managements (d.h. eine organisierte Erstellung von Datensicherungen auf Medien, die nicht zum eigentlichen Kanzleinetzwerk gehören)
- Maßnahmen zur Zugangserschwernis bzw. Zugangsverwehrung (d.h. Vornahme von Schutzmaßnahmen für die eigenen Kanzleiräumlichkeiten, um Unbefugten den Zutritt physikalisch zu erschweren bzw. ihn zu verhindern).
Hinweis: Eine Kanzlei sollte über ein effektives Datenschutzmanagement–System mit den oben aufgeführten Prozessen verfügen und vor allem die einzelnen Schutzmaßnahmen dokumentieren, sodass auch gegenüber einer Aufsichtsbehörde der Nachweis geführt werden kann, dass geeignete Strategien und Maßnahmen ergriffen worden sind.