Sichere Kanzleisoftware - Worauf man beim Kauf achten sollte

von Fritz Spaeder

Kanzleien verarbeiten sensible Daten. Deshalb muss Datenschutz bei der Entscheidung für eine Kanzleisoftware von Anfang an einen besonderen Stellenwert einnehmen. Und das schon bei der Softwareentwicklung. Nur so können die Sicherheit sensibler Mandanten-Daten gewährleistet und die Anforderungen der DSGVO erfüllt werden. Für den rechtssicheren und datenschutzkonformen Umgang mit diesen Daten ist die Kanzlei immer selbst verantwortlich.

Datenschutz von Anfang an

Seit Inkrafttreten der DSGVO hat sich das Thema Datenschutz stärker im Bewusstsein der Wirtschaft und beratender Anwälte verankert. Auch wenn es ihn schon vor dem 25.05.2018 gab, hat niemand darüber gesprochen. Heute ist das Thema in aller Munde.

Mit dem Wirksamwerden der DSGVO veränderten sich auch die Anforderungen an Kanzleien stark. Der Betroffene, die Person, die ihre Daten zur Verarbeitung überlässt, steht im Zentrum. Hauptthema: die digitale Verarbeitung der Daten – Data Protection by Design und Data Protection by Default.

Die DSGVO widmet diesen zentralen Prinzipien des Datenschutzes sogar einen eigenen Artikel: Artikel 25. Das unterstreicht die Wichtigkeit der Betroffenenrechte als zentralen Ausgangpunkt aller
Regelungen rund um den Datenschutz.

Die Verordnung lässt im Einzelnen offen, was genau zu tun ist. Allerdings erklärt sie, was das für den Einsatz von Datenverarbeitungsverfahren bedeutet: Sie sollen dem „Stand der Technik“ entsprechen und den Verantwortlichen dazu in die Lage versetzen, seinen Datenschutzverpflichtungen nachzukommen (Art. 25/32 DSGVO und Erwägungsgrund 78).

Worauf beim Kauf von Kanzleisoftware zu achten ist

Nicht neu ist, dass technische Standards beim Einsatz von Software die Datensicherheit gewährleisten sollen. Neu ist aber, dass sich diese Anforderungen von der Erhebung bis zur Löschung an den Rechten der betroffenen Personen orientieren sollen.

Das bedeutet, dass bereits in der Planungsphase folgende Fragen berücksichtigt werden müssen:

– Wie kann ich die Rechtevergabe in meiner Software steuern? 
– Kann ich Datensätze einschränken und kann ich sie nachweisbar löschen?
– Wie verwalte ich die verarbeiteten Daten von der Erfassung bis zum Abschluss so, dass der Zugriff immer den beabsichtigten Zwecken entspricht?
– Ist meine Software auch auf die Arbeit im Homeoffice ausgelegt? 

Das ist nur ein kleiner Ausschnitt aus einem großen Portfolio relevanter Fragestellungen im Sinne der DSGVO. Denn bei Beschwerden von Betroffenen oder Prüfhandlungen der Aufsichtsbehörden wird die Frage, ob die gewählte Lösung alles kann, was sie können muss, zur bußgeldbewehrten Quizfrage.

Konsequenzen für Kanzleien ohne sichere Software

Manchmal spielt es nicht nur eine Rolle, ob eine Anforderung irgendwie über drei Umwege nachgewiesen werden kann. Es geht auch darum, ob sie es „benutzerfreundlich“ kann. Betroffenen soll es jederzeit leicht gemacht werden, Auskünfte zu bekommen, Benutzer sollen ohne komplizierte Operationen Schutzmaßnahmen durch Einstellungen vornehmen oder einen Lösch- bzw. Einschränkungsvorgang auf den Weg bringen können.

Hinter dem Prinzip „Data Protection by Default“ verbirgt sich die Erwartung, dass solche Einstellungen nach Möglichkeit antizipieren, was an Datenschutzmaßnahmen erforderlich ist.

Diese dem Erwerber der Software mit Art. 25 auferlegte Pflicht ist umso leichter zu erfüllen, je mehr die ausgewählte Lösung bereits brauchbare Strategien anbietet, um in der jeweiligen Situation richtig zu reagieren.

Dass das manchmal gar nicht so leicht ist, zeigt sich am Beispiel des höchsten Bußgeldes seit Inkrafttreten der DSGVO. Es wurde in Höhe von 14,5 Millionen Euro gegen eine Wohnungsgesellschaft verhängt. Diese hatte versäumt dafür zu sorgen, dass das von ihr angewendete Archivsystem auch die Löschung von Daten vorsieht. Klingt fast zu einfach, ist aber wahr.

Wahr ist auch, dass ein hoher Prozentsatz an Rechtsanwaltskanzleien diese Themen immer weit nach hinten schiebt. Fragen danach, wie und wann Daten einzuschränken sind, wann welche Daten zu löschen sind und wie ich diese Informationen für den Betroffenen bereithalten kann, bleiben häufig unbeantwortet. Dass und wie die geeignete Softwareanwendung unterstützen kann, wird dadurch umso wichtiger.

Wenn die Anwendung in der Lage ist, meine Anforderungen bereits so abzubilden, dass die DSGVO-Konformität gewahrt ist, muss der Verantwortliche sich nicht mit Themen auseinandersetzen, für die er ungerne Zeit erübrigt.

Fazit: Seien Sie kritisch beim Softwarekauf. Scheinbar unscheinbare Probleme können zu mächtigen Konsequenzen führen, wenn eine Entscheidung zum Einsatz eines Datenverarbeitungsverfahrens nicht wohl überdacht ist. Es empfiehlt sich, beim Hersteller aktiv nachzufragen, Datenschutzfeatures zu hinterfragen. Beim Kauf und bei der Planung zum Einsatz einer Software sollten Kanzleien sich überlegen: Auf was muss ich vorbereitet sein und wie leicht macht es mir die vorgestellte Software?

Über den Autor:

Fritz Spaeder
Head of Consultants bei der STP AG sowie
Systemischer Coach und zertifizierter
Datenschutzbeauftragter (IHK)