Und wieder widmen wir uns an diesem Freitag dem nächsten Teil unserer großen DSGVO-FAQ-Videoreihe. Die Frage, die wir dieses Mal beantworten wollen, lautet:
„Müssen wir bei einem Verstoß gegen die DSGVO 20 Millionen Euro zahlen?“
Gerade zu dieser Frage gibt es diverse (Miss)Informationen, da sich mit dem Thema Geldstrafe sehr leicht Stimmung machen lässt. Um genauer zu verstehen, was der Gesetzgeber bei Verstößen gegen die Datenschutz-Grundverordnung an Sanktionen vorsieht, hilft ein Blick in Artikel 83 der DSGVO. Dort werden zwei Arten von Bußgeldern unterschieden: Entweder 10 Millionen oder 2 Prozent vom Vorjahresumsatz einer Kanzlei bzw. 20 Millionen oder 4 Prozent vom Umsatz (der jeweils höhere Wert). Welche Obergrenze für den Verstoß infrage kommt, hat mit der Art des Datenschutzvergehens zu tun.
10 oder 20 Millionen? Das hängt von der Art der Datenschutzverletzung ab
So greift die 10-Millionen-Obergrenze in all den Fällen, die sich unter anderem aus den Artikeln 8, 11, 25, etc. ergeben. So sagt beispielsweise der Artikel 25 etwas darüber aus, ob der Datenschutz mithilfe einer angemessenen Technik bzw. durch datenschutzfreundliche Voreinstellungen sicher gestellt wird – oder eben auch nicht.
Die Obergrenze von 20 Millionen Euro (oder 4%) ist dann relevant, wenn gegen die Artikel 5, 6, 7 und 9 sowie gegen Art. 12 bis 22 der DSGVO verstoßen wird. Dazu gehören beispielsweise Verstöße gegen eine transparente Kommunikation, gegen die Informationspflicht bei der Ergebung von personenbezogenen Daten und vieles mehr.
Doch wie wird das Thema Strafgelder in der Praxis gehandhabt? Nun, das hängt, wie gerade aufgezeigt, von der Schwere des Vergehens ab, aber auch von der Kooperationsbereitschaft der betreffenden Kanzlei. Und sollte die zuständige Aufsichtsbehörde den Eindruck gewinnen, dass der Datenschutz seitens des Kanzleibetreibers überhaupt nicht oder nur sehr dürftig ernst genommen wird, ist sicherlich mit empfindlichen Strafen zu rechnen. Da wird die Ausrede „Wir haben davon leider nichts gewusst!“ kaum akzeptiert werden. Hülskötter & Partner unterstützen Sie bei der Umsetzung der DSGVO
Damit Sie sich um diese Form der Bestrafung erst gar keine Gedanken machen müssen, möchte ich Ihnen den Service eines Kooperationspartners von Hülskötter & Partner ans Herz legen. Damit werden Sie bei Ihrer ganz persönlichen Umsetzung der DSGVO bestmöglich unterstützt. Zu den Leistungen zählen unter anderem die Bereitstellung eines externen Datenschutzbeauftragten oder die gesamte Basisdokumentation für den Datenschutz zur individuellen Anpassung – und das für gerade mal 70 Euro (netto) monatlich. Vergleichbare Angebote für externe Datenschutzbeauftragte rufen schnell mal 150 Euro (netto) monatlich auf den Plan. Weitere Informationen zu dem Thema Datenschutz finden Sie auf unserer Internetseite.
Bereiten Sie sich mit unserem Webinar auf die DSGVO richtig vor
Falls Sie noch mehr zur DSGVO wissen möchten, kann ich Ihnen unser DSGVO-Webinar im Rahmen der Kanzleiakademie-Flatrate guten Gewissens ans Herz legen, das wir für unsere Kunden konzipiert haben. Haben Sie keine noch keine Flatrate bieten wir Ihnen für dieses Webinar einmalig die Möglichkeit für 299,00 Euro (netto) pro Teilnehmer am Webinar teilzunehmen, auch wenn Sie keine Flatrate haben. Das Onlineseminar können Sie direkt über unsere Kanzleiakademie buchen. Bitte geben Sie bei der Buchung an, ob Sie bereits eine Flatrate haben oder nicht. Wir nehmen falls erforderlich dann nach der Buchung mit Ihnen Kontakt auf und schalten Sie dann für das Webinar frei.
„Wie gehen wir mit personenbezogenen Daten richtig um?“
Klar sollte Ihnen auf jeden Fall sein, dass die Regeln über den richtigen Umgang mit personenbezogenen Daten mit der DSGVO deutlich verschärft werden. So sieht die Datenschutzgrundverordnung einen möglichst umsichtigen und vertrauensvollen Umgang mit personenbezogenen Daten vor.
Dazu gehört beispielsweise, dass Unternehmen jederzeit sagen können, wie und wo Daten gespeichert und verarbeitet werden. Aber auch die Anwender, die diese Daten verarbeiten und speichern, müssen bekannt sein. Zudem muss jedes Unternehmen die entsprechenden DSGVO-Löschfristen kennen.
Wichtig ist in diesem Zusammenhang auch, dass personenbezogene Datenjederzeit richtig und aktuell sein müssen und nur so lange wie nötig gespeichert werden dürfen. Die DSGVO-Verordnung bezeichnet diese Prinzipien mit den Begriffen „Rechtmäßigkeit“, „Verarbeitung nach Treu und Glauben“, „Transparenz“, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“, etc. Wer es ganz genau wissen möchte: Artikel 5 der DSGVO regelt all diese Prinzipien.
Hülskötter & Partner unterstützen Sie bei der Umsetzung der DSGVO
In diesem Zusammenhang möchte ich Ihnen einen neuen Service von einem Kooperationspartner der Hülskötter & Partner ans Herz legen, von dem Sie bei Ihrer ganz persönlichen Umsetzung der DSGVO bestmöglich unterstützt werden. Zu den Leistungen zählen unter anderem die Bereitstellung eines externen Datenschutzbeauftragten oder die gesamte Basisdokumentation für den Datenschutz zur individuellen Anpassung – und das für gerade mal 70 Euro (netto) monatlich. Vergleichbare Angebote für externe Datenschutzbeauftragte rufen schnell mal 150 Euro (netto) monatlich auf den Plan. Weitere Informationen zu dem Thema Datenschutz finden Sie auf unserer Internetseite.
Bereiten Sie sich mit unserem Webinar auf die DSGVO richtig vor
Falls Sie noch mehr zur DSGVO wissen möchten, kann ich Ihnen unser DSGVO-Webinar guten Gewissens ans Herz legen, das wir für unsere Kunden konzipiert haben. Dieses Onlineseminar können Sie direkt über unsere edudip-Webinar-Plattform mithilfe des zugehörigen Links buchen.
„Der Datenschutz beginnt in den Köpfen, und nicht auf dem Kanzleiserver.“
Am 25. Mai 2018 endet die zweijährige Übergangsfrist der DSGVO. Dieser Tag wird zeigen, welche Anwaltskanzleien dafür bereit sind – und welche nicht. Im folgenden Interview spricht der Datenschutzbeauftragte der Firma Hülskötter, Olaf Tenti, über mögliche Folgen und sagt, warum die DSGVO nicht rein technisch zu bewerten ist.
Herr Tenti, worauf müssen sich Anwaltskanzleien in Sachen DSGVO einstellen?
Olaf Tenti: Grundsätzlich müssen sich Anwaltskanzleien darauf einstellen, bis spätestens zum 25. Mai 2018 eine genaue Rechenschaft über die maschinelle Verarbeitung ihrer Daten ablegen zu können. Dabei sollten Sie sich schon heute vor Augen führen, dass künftig Bußgelder fällig werden, wenn Kanzleien keine genauen Auskünfte darüber erteilen können. Allerdings bleibt abzuwarten, inwieweit die vorgesehenen Strafen tatsächlich verhängt werden.
Außerdem werden sich bei der Einwilligung zur personenbezogenen Datenverarbeitung einige Dinge ändern. Das betrifft zum Beispiel die Erhebung von Daten Minderjähriger, also von Kindern und Jugendlichen unter 16 Jahren. Des Weiteren müssen geeignete Prozesse in Kanzleien eingeführt werden, mit deren Hilfe sie Datenauskünfte erteilen können. Ansonsten kann man konstatieren, dass die DSGVO der Datenschutz nicht neu erfindet und entsprechende Regeln und Vorschriften auch schon davor existierten. Allerdings beschleicht mich manchmal das Gefühl, dass mit der Neufassung des Datenschutzes das Thema ganz neu bewertet wird. Wird es aber nicht.
Was sollten Anwaltskanzleien bis zum 25. Mai 2018 auf jeden Fall erledigt haben?
Dazu gehört auf jeden Fall ein Verzeichnis über die maschinelle Verarbeitung personenbezogener Daten. Darüber hinaus müssen eindeutige Prozesse definiert und eingeführt werden, wie Datenverluste gemeldet und Datenauskünfte erteilt werden können. Außerdem muss jede Kanzlei eine Risikofolgeabschätzung abgeben können, wie sie besonders sensible Daten verarbeitet. Dazu gehören beispielsweise die sexuelle Orientierung eines Menschen, dessen Zugehörigkeit zu einer Partei oder Gewerkschaft und ähnliche Informationen.
Wie hoch schätzen Sie den vorbereitenden Aufwand in Sachen DSGVO ein?
Das hängt maßgeblich von der Größe und der Struktur einer Kanzlei ab. Angenommen, eine Anwaltskanzlei weist einen Standort auf und beschäftigt etwa 15 Mitarbeiter. Will sie in solch einem Fall die vorbereitenden DSGVO-Arbeiten alleine erledigen (also ohne die Hilfe eines Datenschutzexperten), kommt auf die Kanzleien vorbereitender Aufwand von etwa 20 Tagen zu. Dieser Zeitaufwand lässt sich mithilfe einer externen Beratung auf 5 Tage reduzieren. Diese Zahlen beziehen sich allerdings auf Anwälte, die mit dem Datenschutz bisher noch gar nichts am Hut hatten.
Welche Behauptungen gehören denn in die Kategorie „DSGVO-Mythen“?
Da gibt es einige. So wird beispielsweise behauptet, dass der Datenschutz gemäß der DSGVO durch Technik neu gestaltet wird, was aber ganz und gar nicht den Tatsachen entspricht. So mussten Kanzleien schon immer nachweisen können, dass sie mithilfe geeigneter technischer Maßnahmen die Sicherheit personenbezogener Daten gewährleisten können. Das betrifft auch das explizite Löschen von Daten, was ebenfalls seit langem möglich sein muss.
Welche technischen Maßnahmen sollte man in Sachen Datenspeicherung treffen?
Das ist ein so komplexes Thema, dass ich dazu keine genaue Antwort geben kann. Einen guten Ratschlag hätte ich allerdings parat: Anwaltskanzleien sollten nicht glauben, dass man sämtliche Arbeiten und Aufgaben im Rahmen der DSGVO mithilfe geeigneter Werkzeuge erledigen kann. Die DSGVO gibt nicht explizit vor, wie Daten von Datenspeichern entfernt werden müssen. Außerdem, wenn man personenbezogene Daten ordnungsgemäß speichert und davon z.B. Backups anlegt, kann man gar nicht genau sagen, wo sich diese Daten im Einzelnen befinden. Natürlich müssen Kanzleien auf Anforderung eines Betroffenen aus der jeweiligen Anwendung seine Daten löschen können. Und ich möchte es nochmals sagen: Datenschutz beginnt in den Köpfen, und nicht auf dem Kanzleiserver, auf dem die Daten gespeichert werden.
Inwieweit hilft die QM-Zertifizierung einer Kanzleiorganisation hinsichtlich der DSGVO?
Eine zertifizierte Anwaltskanzlei kann damit auf jeden Fall das Einhalten ihrer Arbeitsabläufe in Form von Prozessen nachweisen. Außerdem wird eine Kanzlei dadurch gezwungen, bestimmte Prozesse zu etablieren und zu dokumentieren, und das auf Basis einheitlicher Vorlagen. Allerdings sollte man nicht das Gefühl haben, einem Großteil der DSGVO-Anforderungen zu entsprechen, nur, weil man QM-zertifiziert ist. Aber, und das könnte für die Zertifizierung sprechen, hat man sich schon einmal mit dem Thema Prozessoptimierung eingehend beschäftigt.
Kann ein Umzug ins Rechenzentrum helfen, den DSGVO-Anforderungen besser zu entsprechen?
Sagen wir mal so: Es ist immer besser, seine IT-Landschaft in die Hände von Profis zu legen, als das ganz alleine machen zu wollen. Aber auch hier gilt: Der Umzug in ein Rechenzentrum, selbst wenn dieses zertifiziert ist, macht nur einen Bruchteil dessen aus, was die DSGVO in Sachen Datenschutz fordert. Denn im Vordergrund stehen die Anpassungen der Prozesse, und nicht so sehr der Technik. Man sollte sich also nicht von der Annahme verleiten lassen, dass mit dem Umzug ins Rechenzentrum alle Versäumnisse in Sachen Datenschutz behoben sind. Denn die finden leider immer noch zu einem Großteil in den Kanzleien statt. Und das hat in vielen Fällen nichts mit der Technik zu tun.
Dass sich diese Frage nicht auf eine kurze Antwort beschränkt, dürfte bereits anhand der Videoantwort klar werden, denn bis zum 25. Mai 2018 stehen zahlreiche Arbeiten auf dem Programm, um für die DSGVO startklar zu sein. Speziell dann, wenn sich eine Kanzlei mit dem Thema DSGVO und Datenschutz noch gar nicht oder nur sehr oberflächlich auseinander gesetzt hat.
In diesem Zusammenhang möchte ich auf zwei Dinge hinweisen: Zum einen haben wir vor geraumer Zeit ein sehr interessantes Interview mit unserem Datenschutzbeauftragten Olaf Tenti geführt, in dem er recht detailliert auf die drängendsten Fragen rund um die DSGVO eingeht. Das Interview finden Sie wie immer auch auf unserem Blog.
Und zweitens möchte ich Ihnen einen neuen Service von einem Kooperationspartner der Hülskötter & Partner ans Herz legen, mit dem Sie bei Ihrer ganz persönlichen Umsetzung der DSGVO bestmöglich unterstützt werden. Zu den Leistungen zählen unter anderem die Bereitstellung eines externen Datenschutzbeauftragten oder die gesamte Basisdokumentation für den Datenschutz zur individuellen Anpassung – und das für gerade mal 70 Euro (netto) monatlich. Vergleichbare Angebote für externe Datenschutzbeauftragte rufen schnell mal 150 Euro (netto) monatlich auf den Plan. Weitere Informationen zu dem Thema Datenschutz finden Sie auf unserer Homepage.
Wie wir bereits vor geraumer Zeit berichtet haben, stellen wir unseren Kunden, die die Kanzleiakademie Flatrate gebucht haben, ein Webinar zur Verfügung, das speziell den Aspekt „Datenschutz und Datensicherheit in der Kanzlei mit advoware“ in den Vordergrund rückt. In diesem Kontext haben wir zudem eine zehnteilige Videoclipreihe entwickelt, die sich mit den zehn wichtigsten Fragen rund um die EU-DSGVO auseinandersetzt. Da es noch ziemlich genau zehn Wochen bis zum endgültigen „Start“ der DSGVO sind, stellen wir bis zum 25. Mai jeweils freitags ein Video online, das eine weitere Frage beantwortet.
Neben der Videoreihe und dem Webinar haben wir zudem ein ganz besonderes Bonbon für unsere Kunden. Wir haben mit einem unserer Kooperationspartner, der sich exzellent mit den Themen rund um Datenschutz und Datensicherheit in Anwaltskanzleien auskennt, ein Datenschutzkonzept für Sie erarbeitet: Für gerade mal 70,00 Euro (netto) monatlich können Sie für Ihre Kanzlei einen externen Datenschutzbeauftragten bestellen. Vergleichbare Angebote bei anderen Anbietern liegen im Schnitt bei 150 Euro (netto) monatlich. Weitere Infos zu den Leistungen unsere Datenschutzbeauftragten finden Sie auf unserer Webseite.
Diese zweite Frage beschäftigt sich mit der Frage, was denn die Kernaussage der EU-DSGVO ist, warum also die Europäische Kommission beschlossen hat, den Datenschutz europaweit zu harmonisieren.
Falls Sie mehr zu diesem Thema wissen möchten, kann ich sehr unser DSGVO-Webinar empfehlen, das wir am 9. April zum ersten Mal anbieten. Dieses Onlineseminar können Sie direkt über unsere neu geschaffene edudip-Webinar-Plattform mithilfe des zugehörigen Links buchen.