15. Müssen Rechtsanwälte ein Verzeichnis über ihre Verarbeitungstätigkeiten führen?

Jeder Verantwortliche, d. h. auch jeder Kanzleiinhaber, muss ein Verzeichnis aller Tätigkeiten führen, bei denen personenbezogene Daten verarbeitet werden (Art. 30 Abs. 1 Satz 1 DSGVO). Das Verzeichnis von Verarbeitungstätigkeiten kann schriftlich oder elektronisch geführt werden. Das Verarbeitungsverzeichnis muss Angaben enthalten zu:

  • Namen und Kontaktdaten des Kanzleiinhabers und ggf. des gemeinsam mit ihm Verantwortlichen (Partner, evtl. Bürogemeinschaft?), seines Vertreters und ggf. des Datenschutzbeauftragten.

Es bietet sich an, diese Informationen „vor die Klammer“ zu ziehen, und danach die einzelnen Verarbeitungsprozesse darzustellen.

  • Zwecke der Verarbeitung (z.B. 1. Zeile: Erfüllung von Mandatsverträgen zur Beratung und gerichtlichen und außergerichtlichen Vertretung, 2. Zeile: Durchführung von Beschäftigungsverhältnissen, inklusive des Bewerbungsprozesses, 3. Zeile: …).
  • Beschreibung der Kategorien betroffener Personen (z. B. Mandanten, Beschäftigte) und der Kategorien personenbezogener Daten (z. B. mandantenbezogene personenbezogene Daten, Beschäftigtendaten).
  • Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden [einschließlich der Empfänger in Drittländern (Achtung: Eine Übertragung in Drittländer kann auch bei der Inanspruchnahme von IT-Diensten gegeben sein, ohne dass man sich dessen zwingend bewusst ist.)]. Dies können z. B. Gegner des Mandanten, deren anwaltliche Vertreter, Versicherungen, Gerichte und Behörden sein.
  • Wenn möglich, die vorgesehenen Löschfristen der verschiedenen Datenkategorien (z. B. bei Bewerberdaten sechs Monate nach Mitteilung der ablehnenden Entscheidung, bei Mandatsakten die Aufbewahrungspflichten für Handakten (§ 50 Abs. 1 Satz 2 BRAO), die steuerrechtlichen Aufbewahrungspflichten und ggf. die aufgrund der Verjährung vorgegebenen Fristen).
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DS-GVO.

Die Vorgaben für das von Auftragsverarbeitern zu führende Verzeichnis enthält Art. 30 Abs. 2 DS-GVO. (Rechtsanwälte können keine Auftragsverarbeiter sein, da sie als Organe der Rechtspflege nicht weisungsgebunden sind.)

Das Kurzpapier zum Verzeichnis von Verarbeitungstätigkeiten der Datenschutz-Konferenz findet sich hier: https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1-3.html.

Das Muster eines Verarbeitungsverzeichnisses als Word-Dokument findet sich hier: https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/verzeichnis-der-verarbeitungstaetigkeiten-nach-artikel-30-ds-gvo/

Die GDD-Praxishilfe zur DS-GVO V zum Verzeichnis von Verarbeitungstätigkeiten inklusive eines Musters kann unter diesem Link eingesehen werden https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf

 
Copyright 2018 - Bundesrechtsanwaltskammer