18. Müssen Rechtsanwälte eine Datenschutz-Folgenabschätzung durchführen?

Diese Frage lässt sich nicht pauschal beantworten. In Zweifelsfällen sollten Rechtsanwälte eine Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO durchführen.

Gem. Art. 35 DS-GVO muss vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchgeführt werden, wenn eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist bei sensiblen Mandatsakten, z. B. im Familienrecht, im Sozialrecht, im Medizinrecht, im Verkehrsrecht, im Versicherungsrecht, im Steuerrecht, etc. in der Regel gegeben. Unter Umständen kann bei der ausschließlichen Beratung von Unternehmen z. B. im Vertragsrecht davon ausgegangen werden, dass die Voraussetzungen von Art. 35 DS-GVO nicht vorliegen. Bei der Beurteilung muss beachtet werden, dass die DS-GVO immer dann einen besonderen Schutz vorsieht, wenn „besondere Kategorien“ personenbezogener Daten verarbeitet werden. Dazu zählen u. a. Gesundheitsdaten (vgl. auch Art. 4 Nr. 15 DS-GVO).

Für Einzelanwälte könnte etwas anderes gelten. Erwägungsgrund 91 Sätze 4 und 5 sieht Folgendes vor: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz- Folgenabschätzung nicht zwingend vorgeschrieben sein.“ Danach ist für Einzelanwälte ggf. keine Datenschutz-Folgenabschätzung erforderlich. Allerdings sieht die Formulierung in Satz 5 anscheinend eine Interessenabwägung vor, die auch zu einer anderen Beurteilung führen könnte.

Die Mindestangaben der Folgenabschätzung gem. Art. 35 Abs. 7 DSGVO umfassen Folgendes:

·        Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung, ggf. der von dem Kanzleiinhaber verfolgten berechtigten Interessen;

·        eine Bewertung der Notwendigkeit und der Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck;

·        eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gem. Art. 35 Abs. 1 DSGVO und

·        die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen einschließlich Garantien, Sicherheitsvorkehrung und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die datenschutzrechtlichen Vorschriften eingehalten werden. Dabei muss den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden.

Das Kurzpapier zur Datenschutz-Folgenabschätzung der Datenschutz-Konferenz kann unter folgendem Link eingesehen werden: https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1-3.html.

Die die GDD-Praxishilfe DS-GVO X zu den Voraussetzungen der Datenschutz-Folgenabschätzung findet sich hier: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_10.pdf

 
Copyright 2018 - Bundesrechtsanwaltskammer