„Der Datenschutz beginnt in den Köpfen, und nicht auf dem Kanzleiserver.“
Am 25. Mai 2018 endet die zweijährige Übergangsfrist der DSGVO. Dieser Tag wird zeigen, welche Anwaltskanzleien dafür bereit sind – und welche nicht. Im folgenden Interview spricht der Datenschutzbeauftragte der Firma Hülskötter, Olaf Tenti, über mögliche Folgen und sagt, warum die DSGVO nicht rein technisch zu bewerten ist.
Herr Tenti, worauf müssen sich Anwaltskanzleien in Sachen DSGVO einstellen?
Olaf Tenti: Grundsätzlich müssen sich Anwaltskanzleien darauf einstellen, bis spätestens zum 25. Mai 2018 eine genaue Rechenschaft über die maschinelle Verarbeitung ihrer Daten ablegen zu können. Dabei sollten Sie sich schon heute vor Augen führen, dass künftig Bußgelder fällig werden, wenn Kanzleien keine genauen Auskünfte darüber erteilen können. Allerdings bleibt abzuwarten, inwieweit die vorgesehenen Strafen tatsächlich verhängt werden.
Außerdem werden sich bei der Einwilligung zur personenbezogenen Datenverarbeitung einige Dinge ändern. Das betrifft zum Beispiel die Erhebung von Daten Minderjähriger, also von Kindern und Jugendlichen unter 16 Jahren. Des Weiteren müssen geeignete Prozesse in Kanzleien eingeführt werden, mit deren Hilfe sie Datenauskünfte erteilen können. Ansonsten kann man konstatieren, dass die DSGVO der Datenschutz nicht neu erfindet und entsprechende Regeln und Vorschriften auch schon davor existierten. Allerdings beschleicht mich manchmal das Gefühl, dass mit der Neufassung des Datenschutzes das Thema ganz neu bewertet wird. Wird es aber nicht.
Was sollten Anwaltskanzleien bis zum 25. Mai 2018 auf jeden Fall erledigt haben?
Dazu gehört auf jeden Fall ein Verzeichnis über die maschinelle Verarbeitung personenbezogener Daten. Darüber hinaus müssen eindeutige Prozesse definiert und eingeführt werden, wie Datenverluste gemeldet und Datenauskünfte erteilt werden können. Außerdem muss jede Kanzlei eine Risikofolgeabschätzung abgeben können, wie sie besonders sensible Daten verarbeitet. Dazu gehören beispielsweise die sexuelle Orientierung eines Menschen, dessen Zugehörigkeit zu einer Partei oder Gewerkschaft und ähnliche Informationen.
Wie hoch schätzen Sie den vorbereitenden Aufwand in Sachen DSGVO ein?
Das hängt maßgeblich von der Größe und der Struktur einer Kanzlei ab. Angenommen, eine Anwaltskanzlei weist einen Standort auf und beschäftigt etwa 15 Mitarbeiter. Will sie in solch einem Fall die vorbereitenden DSGVO-Arbeiten alleine erledigen (also ohne die Hilfe eines Datenschutzexperten), kommt auf die Kanzleien vorbereitender Aufwand von etwa 20 Tagen zu. Dieser Zeitaufwand lässt sich mithilfe einer externen Beratung auf 5 Tage reduzieren. Diese Zahlen beziehen sich allerdings auf Anwälte, die mit dem Datenschutz bisher noch gar nichts am Hut hatten.
Welche Behauptungen gehören denn in die Kategorie „DSGVO-Mythen“?
Da gibt es einige. So wird beispielsweise behauptet, dass der Datenschutz gemäß der DSGVO durch Technik neu gestaltet wird, was aber ganz und gar nicht den Tatsachen entspricht. So mussten Kanzleien schon immer nachweisen können, dass sie mithilfe geeigneter technischer Maßnahmen die Sicherheit personenbezogener Daten gewährleisten können. Das betrifft auch das explizite Löschen von Daten, was ebenfalls seit langem möglich sein muss.
Welche technischen Maßnahmen sollte man in Sachen Datenspeicherung treffen?
Das ist ein so komplexes Thema, dass ich dazu keine genaue Antwort geben kann. Einen guten Ratschlag hätte ich allerdings parat: Anwaltskanzleien sollten nicht glauben, dass man sämtliche Arbeiten und Aufgaben im Rahmen der DSGVO mithilfe geeigneter Werkzeuge erledigen kann. Die DSGVO gibt nicht explizit vor, wie Daten von Datenspeichern entfernt werden müssen. Außerdem, wenn man personenbezogene Daten ordnungsgemäß speichert und davon z.B. Backups anlegt, kann man gar nicht genau sagen, wo sich diese Daten im Einzelnen befinden. Natürlich müssen Kanzleien auf Anforderung eines Betroffenen aus der jeweiligen Anwendung seine Daten löschen können. Und ich möchte es nochmals sagen: Datenschutz beginnt in den Köpfen, und nicht auf dem Kanzleiserver, auf dem die Daten gespeichert werden.
Inwieweit hilft die QM-Zertifizierung einer Kanzleiorganisation hinsichtlich der DSGVO?
Eine zertifizierte Anwaltskanzlei kann damit auf jeden Fall das Einhalten ihrer Arbeitsabläufe in Form von Prozessen nachweisen. Außerdem wird eine Kanzlei dadurch gezwungen, bestimmte Prozesse zu etablieren und zu dokumentieren, und das auf Basis einheitlicher Vorlagen. Allerdings sollte man nicht das Gefühl haben, einem Großteil der DSGVO-Anforderungen zu entsprechen, nur, weil man QM-zertifiziert ist. Aber, und das könnte für die Zertifizierung sprechen, hat man sich schon einmal mit dem Thema Prozessoptimierung eingehend beschäftigt.
Kann ein Umzug ins Rechenzentrum helfen, den DSGVO-Anforderungen besser zu entsprechen?
Sagen wir mal so: Es ist immer besser, seine IT-Landschaft in die Hände von Profis zu legen, als das ganz alleine machen zu wollen. Aber auch hier gilt: Der Umzug in ein Rechenzentrum, selbst wenn dieses zertifiziert ist, macht nur einen Bruchteil dessen aus, was die DSGVO in Sachen Datenschutz fordert. Denn im Vordergrund stehen die Anpassungen der Prozesse, und nicht so sehr der Technik. Man sollte sich also nicht von der Annahme verleiten lassen, dass mit dem Umzug ins Rechenzentrum alle Versäumnisse in Sachen Datenschutz behoben sind. Denn die finden leider immer noch zu einem Großteil in den Kanzleien statt. Und das hat in vielen Fällen nichts mit der Technik zu tun.