EU-DSGVO 2018: Maßnahmen zur Datensicherheit in der Kanzlei

Der Kanzleiinhaber sollte aus den genannten Gründen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten alle geeigneten technischen und organisatorischen Maßnahmen einsetzen, um die Datensicherheit zu gewährleisten.

+++Tipp+++ DSGVO-Abmahnung? So wehren Sie sich! Sind DSGVO-Verstöße auf Webseiten durch Wettbewerber abmahnfähig oder nicht? Und wie schützen Sie sich vor Abmahnungen? Mit diesem Spezialreport sind Sie gerüstet - Hier klicken und downloaden.

Risiken frühzeitig erkennen

Je komplexer die Datenverarbeitungssysteme werden, desto wichtiger ist es, frühzeitig Datenschutzrisiken zu erkennen, technische und organisatorische Maßnahmen vorzusehen, die eine für den Betroffenen einfache und effiziente Möglichkeit zum Selbstschutz bieten, und Anreize zu schaffen, Datenschutz möglichst frühzeitig in technische Systeme zu integrieren.

Schon bei der Konzeption von IT-Systemen müssen Belange des Datenschutzes gewährleistet werden („Privacy by Design“). Dabei geht es in erster Linie darum, den Umfang der erhobenen und verarbeiteten personenbezogenen Daten auf ein Minimum zu beschränken.

Zu einer datenschutzgerechten Technikgestaltung gehören auch entsprechende Voreinstellungen von IT-Systemen und elektronischen Diensten („Privacy by Default“).

Mögliche Lösung: das „Datenschutzaudit“

Mit einem „Datenschutzaudit“ können Anbieter von Datenverarbeitungssystemen und -programmen als auch verantwortliche Stellen ihre Datenschutzkonzepte sowie ihre technischen Einrichtungen mit einem datenschutzrechtlichen Gütesiegel versehen lassen und damit werben. Die Prüfung sollte durch unabhängige und zugelassene Gutachter erfolgen.

Besondere Bedeutung kommt auch der  Pflicht zur Information bei Datenschutzpannen zu. Danach müssen Kanzleien im Falle des Verlusts von als besonders gefährdet eingestuften Daten die Betroffenen sowie die Aufsichtsbehörde informieren. Unterbleibt  diese Information oder ist sie nicht richtig, nicht vollständig oder nicht rechtzeitig, droht ein Bußgeld.

DSGVO 2018: Verschärfte Nachweispflichten

Die Datenschutzgrundverordnung sieht für Verantwortliche und Auftragsverarbeiter deutlich erweiterte Nachweispflichten vor (sog. „accountability“). So wird vorgeschrieben, dass der für die Verarbeitung Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen kann.

Folgende Prozesse und Dokumente sollte eine Kanzlei prüfen und vorhalten:

  • Einführung eines Berechtigungsmanagements (mit der Regelung, wer unter welchen Voraussetzungen Zugriff auf bestimmte personenbezogene Daten erhält),
  • Dokumentation der Datenverarbeitungsprozesse in der Kanzlei,
  • Datenschutzerklärungen (Erweiterung der Informationspflichten)
  • Einwilligungserklärungen (Verschärfung der formalen Vorgaben),
  • Prozess für den Widerruf der Einwilligung,
  • Anpassung der Betriebsvereinbarungen an die DSGVO,
  • Prozesse zur Umsetzung von Widersprüchen,
  • Vereinbarungen zur Auftragsverarbeitung (Haftungsregelung, Dokumentation),
  • Überarbeitung des Prozesses bei Datenpannen, entsprechend der neuen Vorgaben,
  • Verfahren, um Daten in einem gängigen elektronischen Format übertragen zu können,
  • Durchführung von zielgruppengerechten Schulungen zu den Neuerungen der DSGVO und den eigenen Prozessen,
  • Durchführung einer Risiko-Analyse zur Festlegung geeigneter technisch-organisatorischer Maßnahmen,
  • Vornahme einer Datenschutz-Folgenabschätzung,
  • Monitoring nationaler Gesetzgebung und Fortbildung,
  • Implementierung eines Backup-Managements (d.h. eine organisierte Erstellung von Datensicherungen auf Medien, die nicht zum eigentlichen Kanzleinetzwerk gehören)
  • Maßnahmen zur Zugangserschwernis bzw. Zugangsverwehrung (d.h. Vornahme von Schutzmaßnahmen für die eigenen Kanzleiräumlichkeiten, um Unbefugten den Zutritt physikalisch zu erschweren bzw. ihn zu verhindern).

Hinweis: Eine Kanzlei sollte über ein effektives Datenschutzmanagement–System mit den oben aufgeführten Prozessen verfügen und vor allem die einzelnen Schutzmaßnahmen dokumentieren, sodass auch gegenüber einer Aufsichtsbehörde der Nachweis geführt werden kann, dass geeignete Strategien und Maßnahmen ergriffen worden sind.

Spezialreport DSGVO-Abmahnung 2019

Sind DSGVO-Verstöße auf Webseiten durch Wettbewerber abmahnfähig oder nicht? Und wie schützen Sie sich vor Abmahnungen? Mit diesem Spezialreport sind Sie gerüstet!

» Jetzt hier kostenlos herunterladen!

Spezialreport zur DSGVO 2018

Jetzt heißt es handeln: Was Sie tun können, um ihre Kanzlei optimal auf die Anforderungen nach der EU-DSGVO einzustellen, erfahren Sie in diesem Report!

» Jetzt hier kostenlos herunterladen!