Mögliche Lösung: das „Datenschutzaudit“
Mit einem „Datenschutzaudit“ können Anbieter von Datenverarbeitungssystemen und -programmen als auch verantwortliche Stellen ihre Datenschutzkonzepte sowie ihre technischen Einrichtungen mit einem datenschutzrechtlichen Gütesiegel versehen lassen und damit werben. Die Prüfung sollte durch unabhängige und zugelassene Gutachter erfolgen.
Besondere Bedeutung kommt auch der Pflicht zur Information bei Datenschutzpannen zu. Danach müssen Kanzleien im Falle des Verlusts von als besonders gefährdet eingestuften Daten die Betroffenen sowie die Aufsichtsbehörde informieren. Unterbleibt diese Information oder ist sie nicht richtig, nicht vollständig oder nicht rechtzeitig, droht ein Bußgeld.
DSGVO 2018: Verschärfte Nachweispflichten
Die Datenschutzgrundverordnung sieht für Verantwortliche und Auftragsverarbeiter deutlich erweiterte Nachweispflichten vor (sog. „accountability“). So wird vorgeschrieben, dass der für die Verarbeitung Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen kann.
Folgende Prozesse und Dokumente sollte eine Kanzlei prüfen und vorhalten:
- Einführung eines Berechtigungsmanagements (mit der Regelung, wer unter welchen Voraussetzungen Zugriff auf bestimmte personenbezogene Daten erhält),
- Dokumentation der Datenverarbeitungsprozesse in der Kanzlei,
- Datenschutzerklärungen (Erweiterung der Informationspflichten)
- Einwilligungserklärungen (Verschärfung der formalen Vorgaben),
- Prozess für den Widerruf der Einwilligung,
- Anpassung der Betriebsvereinbarungen an die DSGVO,
- Prozesse zur Umsetzung von Widersprüchen,
- Vereinbarungen zur Auftragsverarbeitung (Haftungsregelung, Dokumentation),
- Überarbeitung des Prozesses bei Datenpannen, entsprechend der neuen Vorgaben,
- Verfahren, um Daten in einem gängigen elektronischen Format übertragen zu können,
- Durchführung von zielgruppengerechten Schulungen zu den Neuerungen der DSGVO und den eigenen Prozessen,
- Durchführung einer Risiko-Analyse zur Festlegung geeigneter technisch-organisatorischer Maßnahmen,
- Vornahme einer Datenschutz-Folgenabschätzung,
- Monitoring nationaler Gesetzgebung und Fortbildung,
- Implementierung eines Backup-Managements (d.h. eine organisierte Erstellung von Datensicherungen auf Medien, die nicht zum eigentlichen Kanzleinetzwerk gehören)
- Maßnahmen zur Zugangserschwernis bzw. Zugangsverwehrung (d.h. Vornahme von Schutzmaßnahmen für die eigenen Kanzleiräumlichkeiten, um Unbefugten den Zutritt physikalisch zu erschweren bzw. ihn zu verhindern).
Hinweis: Eine Kanzlei sollte über ein effektives Datenschutzmanagement–System mit den oben aufgeführten Prozessen verfügen und vor allem die einzelnen Schutzmaßnahmen dokumentieren, sodass auch gegenüber einer Aufsichtsbehörde der Nachweis geführt werden kann, dass geeignete Strategien und Maßnahmen ergriffen worden sind.
Verschlüsselung zur Sicherung der Datenverarbeitung
Als geeignete Maßnahme zur Sicherheit der Datenverarbeitung führt Art. 32 Abs. 1a DSGVO die Verschlüsselung auf. Folgende Verschlüsselungsverfahren lassen sich in der Praxis meist problemlos umzusetzen und entfalten zugleich eine sehr große Wirkung:
Dateien, Dokumente und Nachrichten: Mit geringem Aufwand lassen sich bei Dateien mit Hilfe von Zip-VerschIüsselungen schützen. Ähnliches gilt für E-Mails, die sich entweder per Zip-Verschlüsselung oder mit Hilfe etablierter Lösungen wie PGP oder S/MIME verschlüsseln lassen. Eine Verschlüsselung empfiehlt sich auch bei der Verwendung von Cloud-Diensten.
Einwahllösungen: Für Besuche bei Mandanten benötigen Kanzleimitarbeiter gelegentlich Zugriff auf das eigene Kanzleinetzwerk. Es empfiehlt sich, mittels VPN einen Daten über sicheren Kanal auszutauschen.
E-Mail-Server: Die Einstellungen STARTTLS und Perfect Forward Secrecy ermöglichen eine Transportverschlüsselung nach dem Stand der Technik. Auf diese Weise werden E-Mail-Nachrichten zwischen den beteiligten Mailservern im Idealfall durchgängig verschlüsselt, weshalb ein Mitlesen von Unbefugten auf dem Transport nicht möglich ist.
Mobile Geräte: Beim Einsatz von mobilen Geräten (Smartphones, Tablets oder klassische Notebooks), ist es notwendig, diese neben dem Kennwort zum Entsperren des Nutzer-Accounts („Windows-Passwort“) auch mit einer Datenträgerverschlüsselung auszustatten.
Website: Wenn personenbezogene Daten auf einer Website verarbeitet werden (z.B. über ein Kontaktformular auf der Kanzlei-Website), gilt HTTPS als Transportverschlüsselung als eine erforderliche Sicherheitsmaßnahme.
WLAN-Netze: Wenn Kanzleien WLAN-Netze zur Verfügung stellen, ist zwingend darauf zu achten, dass diese ausreichend vor unbefugten Zugriffen geschützt werden (u.a. Verwendung von Passwörtern beim WLAN-Netz selbst und auch beim Zugriff auf den WLAN-Router). Voreingestellte Passwörter zur Konfiguration des WLAN-Routers sollten umgehend geändert werden.