Veröffentlicht am Schreib einen Kommentar

Warum Kanzleien von der DS-GVO profitieren

Setzen Sie jetzt in Ihrer Kanzlei einen DS-GVO-Maßnahmenplan um und verschaffen Sie sich so mehr Rechtssicherheit und Wettbewerbsvorteile

Am 25. Mai 2016 wurde das Datenschutzrecht in Europa auf neue Füße gestellt – die Europäische Datenschutzgrundverordnung (DS-GVO) trat in Kraft. Nach einer Übergangsfrist von zwei Jahren erlangte sie ihre Gültigkeit und war somit als Verordnung für alle Organisationen, also auch für die Kanzleien, innerhalb der EU unmittelbar anwendbar. Die Erfahrung zeigt jedoch, dass die meisten Kanzleien auch drei Jahre nachdem die DS-GVO „scharf gestellt“ worden ist, die entsprechenden Rahmenbedingungen noch nicht in ihren Prozessen implementiert haben. Aus diesem Grund gehe ich in meinem heutigen Blog-Beitrag auf die Thematik DS-GVO-Maßnahmenplan ein.

Warum ist es für eine Kanzlei, die ohnehin verschwiegen mit Daten umgeht, überhaupt wichtig, einen DS-GVO-Maßnahmenplan umzusetzen?

Wer sich mit dem Datenschutz beschäftigt, muss sich in erster Linie mit technischen und organisatorischen Maßnahmen sowie mit Datensicherheit in Prozessen und Abläufen auseinandersetzen. Für Sie als Kanzleiinhaber bedeutet das – indem Sie Ihre Prozesse durchleuchten, lernen Sie Ihre Kanzlei noch besser kennen, erlangen ein tieferes Verständnis der Prozesse und können gegebenenfalls Ihre Abläufe optimieren.

Die drei zentralen Vorteile für Kanzleien:

  • Sie steigern die Effizienz und damit den Umsatz Ihrer Kanzlei
  • Sie erschließen sich ein strategisches Differenzierungsmerkmal gegenüber Ihren Mitbewerbern, indem Sie nicht nur fachlich auf aktuellem Stand sind, sondern auch Ihre Prozesse optimal im Griff haben
  • Sie erfüllen eine Gesetzesvorgabe und verringern damit das Risiko, von der Aufsichtsbehörde ein Bußgeld auferlegt zu bekommen

Wie kann die Kanzlei die Rahmenbedingungen der DS-GVO berücksichtigen und die Vorgaben intern umsetzen?

Damit Sie ein genaueres Verständnis davon bekommen, wie die Daten von Mandanten, Mitarbeitern, Geschäftspartnern und anderen Betroffenen nach der DS-GVO verarbeitet werden, ist es wichtig, die Rahmenbedingungen aller Datenverarbeitungsprozesse, also den Ist-Zustand, festzuhalten.

Auf folgende Punkte ist dabei zu achten:

  • Prüfen Sie, ob Sie einen Datenschutzbeauftragten bestellen müssen
  • Erstellen Sie ein Verzeichnis, aus dem hervorgeht, in welchen Prozessen aktuell personenbezogene Daten in der Kanzlei verarbeitet werden (siehe hierzu Art. 30 DS-GVO)
  • Prüfen Sie, auf welcher Rechtsgrundlage die Verarbeitung personenbezogener Daten erfolgt (siehe hierzu Art. 6 DS-GVO)
  • Überprüfen Sie, ob alle notwendigen Datenschutzverträge mit den Dienstleistern vorhanden sind, die Zugriff auf personenbezogene Daten in Ihrer Kanzlei haben (siehe hierzu Art. 28 DS-GVO)
  • Prüfen Sie, ob alle Mitarbeiter die notwendigen Betriebsvereinbarungen und Datenschutzrichtlinien (Verschwiegenheitsverpflichtung, Schulung, Richtlinie-Homeoffice, Einwilligung für die Veröffentlichung personenbezogener Daten auf der Webseite, etc.) unterschrieben haben
  • Führen Sie regelmäßige Audits durch, um nachweisen zu können, dass das Thema Datenschutz intern auch gelebt wird
  • Zu guter Letzt dokumentieren Sie alles, was in der Kanzlei umgesetzt wurde beziehungsweise wird, um den Schutz der Betroffenenrechte zu gewährleisten (siehe hierzu Art. 5 Abs.2 DS-GVO)

Tipp: Nutzen Sie den DATA Security Manager, um die Vorgaben der DS-GVO pragmatisch in Ihrer Kanzlei umzusetzen. Profitieren Sie von den über 40 Mustervorlagen – und gewinnen Sie dadurch Zeit für Ihr Kerngeschäft, die steuerliche Beratung Ihrer Mandanten. Gerne stehen Ihnen unsere Berater zur Verfügung, wenn Sie das Thema DS-GVO auslagern möchten.

Fazit:

Die Erstellung eines DS-GVO Maßnahmenplans inklusive Umsetzung muss Sie nicht viel Zeit kosten. Wichtig ist, sich auf die notwendigen Punkte zu konzentrieren und diese umzusetzen, wie zum Beispiel das Verzeichnis der Verarbeitungstätigkeiten welches in Art. 30 DS-GVO von den Kanzleien verlangt wird.

Wissen Sie, welche Informationen ein Verarbeitungsverzeichnis nach Art. 30 DS-GVO enthalten muss? Sie erfahren alles Wissenswerte darüber in meinem nächsten Blog-Beitrag!

Veröffentlicht am Schreib einen Kommentar

Datenschutzbeauftragter in der Kanzlei – ja oder nein?

Alles rund um die Bestellpflicht – und warum ein externer Datenschutzbeauftragter immer sinnvoll ist

In wenigen Wochen wird sie drei Jahre alt: die Europäische Datenschutzgrundverordnung (DS-GVO). In vielen Kanzleien bestehen jedoch noch Unklarheiten – insbesondere rund um die Bestellung eines Datenschutzbeauftragten (DSB). Brauche ich in meiner Kanzlei überhaupt einen? Kann ich einen DSB intern oder extern bestellen? Muss ich diesen an die Aufsichtsbehörde melden? Und bin ich aus dem Schneider, falls ich nicht der Bestellpflicht unterliege? Diese und viele weitere Fragen beschäftigen die Kanzleien seit dem DS-GVO-Stichtag am 25. Mai 2018. In meinem heutigen Blog-Beitrag will ich Ihnen die Antworten liefern.

Wann besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten in der Kanzlei?

Nach der DS-GVO sind Verantwortliche – in den Kanzleien sind dies in der Regel die Geschäftsführer – unter bestimmten Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu ernennen. Es werden insgesamt sechs Voraussetzungen für die Bestellung eines Datenschutzbeauftragten beschrieben, für eine Bestellpflicht muss allerdings nur eine davon zutreffen. Für die meisten Kanzleien sind zwei der sechs nachfolgenden Kriterien relevant.

  1. In der Kanzlei sind mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 S. 1 BDSG).

Für die Prüfung einer Bestellpflicht sind mitzuzählen:

  • Geschäftsführer/-in, Chef/Chefin, Inhaber/-in, Partner/-in
  • Mitarbeiter in Telearbeit
  • Praktikanten
  • Freie Mitarbeiter
  • Leiharbeiter
  • Freiwillige
  • Auszubildende

Was bedeutet ständig? Dieses Kriterium ist erfüllt, wenn die Datenverarbeitung zu den (arbeitsvertraglich/weisungsgemäß) zugeordneten Aufgaben zählt und nicht nur ausnahmsweise und ad hoc ohne dauerhafte Zuordnung erfolgt.

Was bedeutet automatisiert? Eine automatisierte Datenverarbeitung liegt vor, wenn für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von den Beschäftigten Datenverarbeitungsanlagen wie PCs, Tablets oder Smartphones eingesetzt werden.

Wichtig: Es ist dabei egal, ob es sich um Voll- oder Teilzeitkräfte handelt. Ebenso irrelevant ist es, ob die Beschäftigtenzahl kurzzeitig unter oder über 20 Beschäftigten liegt. Entscheidend ist der auf ein Jahr zu betrachtende, durchschnittliche Personalbestand.

  1. Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs.1 Buchst. c DS-GVO).

Folgende Kriterien müssen kumulativ gegeben sein, um nach dieser Vorschrift die risikobasierte Benennungspflicht auszulösen:

  • Verarbeitung von besonderen Kategorien von Daten nach Art. 9, 10 DS-GVO als Kerntätigkeit und
  • im Rahmen einer umfangreichen Verarbeitung

Hinweis: Bei der Lohnbuchhaltung scheinen auf den ersten Blick die oben genannten Kriterien erfüllt zu sein. In den meisten Fällen ist der Prozess „Lohnbuchhaltung“ jedoch nicht die Kerntätigkeit der Kanzlei. Es gilt, individuell zu prüfen und zu entscheiden, ob dieses Kriterium relevant ist und eine DSB-Bestellpflicht auslöst.

  1. Es ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen (§ 38 Abs. 1 S. 2 1. HSBDSG in Verbindung mit Art. 35 DS-GVO).

Eine Kanzlei muss eine Datenschutz-Folgenabschätzung durchführen, sobald die Form der Datenverarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, voraussichtlich ein hohes Risiko zur Folge hat. Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellwertanalyse“).

  1. Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 Buchst. a DS-GVO). Hier muss immer ein Datenschutzbeauftragter benannt werden.

(Für Kanzleien im Regelfall nicht relevant.)

  1. Die Kerntätigkeit besteht in der umfangreichen oder systematischen Überwachung von betroffenen Personen (Art. 37 Abs. 1 Buchst. b DS-GVO).

Achtung: Überwachung meint nicht nur Videoüberwachung oder die Tätigkeiten von Detekteien und privaten Sicherheitsunternehmen, sondern z.B. auch die Nachverfolgung des Surfverhaltens im Internet oder des Kaufverhaltens durch ein Treueprogramm.

(Für Kanzleien im Regelfall nicht relevant.)

  1. Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet (§38 Abs. 1 S. 2 2. HSBDSG).

(Für Kanzleien im Regelfall nicht relevant.)

Welche Personen können den Datenschutzbeauftragten für eine Kanzlei stellen?

Ein Datenschutzbeauftragter kann gemäß Art. 37 Abs. 6 DS-GVO sowohl intern als auch extern bestellt werden. Wichtig hierbei ist, dass bei der Bestellung des Datenschutzbeauftragten keine Interessenkollision entsteht. Dies ist der Fall, wenn der Datenschutzbeauftragte eine dieser Positionen bekleidet:

  • Leitungs-, Chef- und Inhaberebene
  • Leiter oder Verantwortlicher für die IT
  • Familienangehöriger

Tipp: Fordern Sie ein unverbindliches Angebot für den externen Datenschutzbeauftragten bei der DATA Security GmbH an. (Kostenlos: Erstgespräch, ca. 60 Minuten)

Welche Aufgaben hat ein Datenschutzbeauftragter?

Der DSB hat nach Art. 39 DS-GVO folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Datenschutz-Pflichten (lit. a)
  • Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen (Kanzlei) für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen (lit. b)
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO und Überwachung ihrer Durchführung (lit. c)
  • Zusammenarbeit mit der Aufsichtsbehörde (lit. d) und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde (lit. e)
  • Hinzu kommt die Beratung der betroffenen Personen zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DS-GVO im Zusammenhang stehenden Fragen (Art. 38 Abs. 4 DS-GVO).

Muss die Kanzlei ihren Datenschutzbeauftragten melden?

Da die DS-GVO lediglich von einer Benennung des Datenschutzbeauftragten spricht, ist eine Schriftform – im Gegensatz zum § 4f Abs. 1 S. 1 BDSG-alt – nicht mehr vorgeschrieben. Aus Beweisgründen im Hinblick auf die Nachweispflichten gemäß Art. 24 Abs. 1 DS-GVO und Art. 5 Abs. 2 DS-GVO und zur Rechtssicherheit ist es jedoch empfehlenswert, die Benennung eines DSB in geeigneter Form zu dokumentieren. Die bereits vor Geltung der DS-GVO und dem BDSG-neu unterzeichneten Bestellungsurkunden gelten vor diesem Hintergrund fort. Die Urkunde und etwaige darin enthaltenen Zusatzvereinbarungen und Aufgabenzuweisungen sollten auf ihre Vereinbarkeit mit den neuen Regelungen der DS-GVO überprüft und gegebenenfalls angepasst werden.

Die Aufsichtsbehörden haben für diesen Zweck zudem ein eigenes Portal auf der jeweiligen Website geschaffen, damit die verantwortliche Stelle (Kanzlei) ihren Datenschutzbeauftragten bei der für sie zuständigen Aufsichtsbehörde melden kann.

Die jeweils zuständige Aufsichtsbehörde finden Sie hier:

Liste der Aufsichtsbehörden für den nicht-öffentlichen Bereich

Fazit:

Durch die Lockerung der Bestellpflicht und die Erhöhung der Grenze von 10 auf 20 Mitarbeiter könnte der Eindruck entstehen, dass damit ebenfalls eine Lockerung der datenschutzrechtlichen Anforderungen für Kanzleien erfolgt ist. Leider ist dies nicht der Fall. Und auch wenn Sie keinen Datenschutzbeauftragten benötigen sollten, kann es trotzdem sinnvoll sein, einen zu bestellen, da dieser die notwendigen Fachkenntnisse mitbringt und Ihnen hilft, Ihre Prozesse datenschutzkonform zu gestalten.

Apropos Prozesse – wissen Sie, ob in Ihrer Kanzlei alle Prozesse DS-GVO-konform ablaufen? Erfahren Sie dazu mehr in unserem nächsten Blogbeitrag.

Quellen:

Veröffentlicht am

Gemeinsame Verantwortlichkeit (Social Plugin, Facebook-Fanpage)

Es bestehen trotz des EuGH-Urteil vom 29.7.2019, sowie den allgemein bekannten datenschutzrechtlichen Risiken bei Facebook und anderen Anbietern, immer noch sehr viele Webseiten mit sogenannten „Social-Plug-Ins“. Diese „Social-Plug-Ins“ übertragen Informationen und Daten (z.B. IP-Adresse) des Webseitenbesuchers an die Fanpage des Webseitenbetreibers (z.B. Facebook-Fanpage).

Facebook-Fanpage

Gemäß dem Gerichtsurteil des EuGH, fällt das Betreiben von Facebook-Fanpages in die gemeinsame Verantwortlichkeit gemäß Art. 26 EU-DS-GVO.  Das Gerichtsurteil des EuGH sagt, wer de facto in irgendeiner Art und Weise Einfluss auf „Zwecke und Mittel“ der Verarbeitung hat, so muss dieser auch bei Rechtsverstößen belangt werden können.

Die „Einflussnahme“ besteht darin, dass der Webseitenbesucher durc…

Problem:

Mit oder Ohne „Social-PlugIn“: Solange eine Fanpage besteht, ist der Fanpagebetreiber GEMEINSAM mit Facebook für den Datenschutz und die damit einhergehenden Pflichten und Anforderungen verantwortlich. Facebook erfüllt jedoch viele der Pflichten und Anforderungen der EU-DS-GVO nicht. Aufgrund der fehlenden Transparenz, was Facebook mit den Daten genau macht, können die Webseitenbetreiber Ihre Pflichten gegenüber den Betroffenen nicht erfüllen. Auch kann der Webseitenbetreiber nicht feststellen, ob die anderen Datenschutzgrundsätze eingehalten und umgesetzt werden.

„Unwissenheit schützt vor Strafe nicht“

Werden die Rechte der Betroffenen nicht gewährleistet und umgesetzt, so betrifft die Gefahr von Sanktionen und Geldbußen nicht nur Facebook alleine sondern auch jeden Facebook-Fanpage-Betreiber.

Um die Gefahr von Sanktionen und Geldbußen entgegenzuwirken empfehlen wir:

  1. Prüfung, ob Sie betroffen sind und Handlungsbedarf besteht
  2. Falls Handlungsbedarf besteht, Löschen Sie das Plug-In und deaktivieren Sie die Fanpage
  3. Passen Sie Ihre Datenschutzerklärung an

Quellen:

https://www.lda.bayern.de/media/baylda_report_09.pdf

https://www.datenschutzkonferenz-online.de/media/dskb/20180905_dskb_facebook_fanpages.pdf

Bei Fragen stehen steht Ihnen das Team der DATA Security GmbH gerne zur Verfügung. Unsere zertifizierten Datenschutzbeauftragten beantworten gerne Ihre Fragen.

Kontaktieren Sie uns mit Stichwort Fanpage oder Facebook oder gemeinsame Verantwortlichkeit per Mail unter info@data-security.one oder telefonisch unter +49 8031 4696931.