Datenschutz in der Mediation
Seit über einem Jahr gilt die Datenschutz Grundverordnung (DS-GVO), aktuell hat der Gesetzgeber Anpassungen am Bundesdatenschutzgesetz (BDSG) vorgenommen. Was Mediatorinnen und Mediatoren im Hinblick auf den Datenschutz zu beachten haben, lesen Sie hier.
Einführung, Geltung DSGVO
Nach zwei Jahren Vorlaufzeit sind EU Datenschutz Grundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) am 25.05.2018 wirksam geworden. Noch nie wurde in den Medien so viel über Datenschutz berichtet und viele Unternehmen, aber auch Rechtsanwältinnen und Rechtsanwälte befassten sich erstmals mit datenschutzrechtlichen Fragen.
Sanktionen
Die befürchtete Abmahnwelle ist ausgeblieben, die Abmahnfähigkeit von Verstößen gegen Datenschutzrecht wird von den Gerichten unterschiedlich beurteilt. Die Anzahl von Anfragen und Beschwerden an die Aufsichtsbehörden ist seit 25.05.2018 sprunghaft angestiegen, erste Bußgeldverfahren wurden nach neuem Recht abgeschlossen. Google wurden in Frankreich 50 Millionen € Bußgeld auferlegt. Das höchste deutsche Bußgeld von 80.000 € verhängte der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg. In Hessen wurde die fehlende Vereinbarung zur Auftragsverarbeitung mit 5.000 € geahndet. Nach wie vor sehen die Aufsichtsbehörden ihre Aufgabe vorrangig in der Verwirklichung von gutem Datenschutz und weniger in der Realisierung von Bußgeldern. Wer sich grundsätzlich und Datenschutz bemüht und nach Hinweis auf Verbesserungsbedarf einsichtig, transparent und kooperativ agiert, hat durchaus Chancen, einem Bußgeldverfahren zu entgehen.
Datenschutzkonforme Mediation
Der Weg zur datenschutzkonformen Kanzlei sollte bei den Themen starten, die leicht von außen erkannt und geprüft werden können. Anschließend sollten sukzessive die anderen Bereiche bearbeitet werden.
Webseite
Webseiten können weltweit ohne weiteres abgerufen und geprüft werden. Ob die Datenschutzerklärung auf der Webseite fehlt, noch dem alten Recht entspricht oder schon nach neuem Recht verfasst wurde, ist auf den ersten Blick an der Struktur, der Wortwahl, den zitierten Normen etc. zu erkennen. Mit wenig mehr Aufwand können erfahrene Benutzer feststellen, welche Datenverarbeitung über die Webseite eingerichtet sind (Cookies, google-analytics, Google Webfonts, YouTube etc.) und daher in der Datenschutzerklärung finden müssten. In Zusammenarbeit mit Webdesigner, Kanzlei und einem auf Datenschutz spezialisierten Berater sollte daher eine Datenschutzerklärung erstellt und publiziert werden, die alle relevanten Datenverarbeitungen umfasst.
Datenschutzbeauftragte(r)
Ohne großen Aufwand kann man aus der Darstellung des Kanzlei-Teams schließen, ob mehr als zehn (künftig mehr als 20) Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind und deshalb ein Datenschutzbeauftragter benötigt wird, dessen Kontaktdaten dann in der Datenschutzerklärung genannt sein müssen. Aus der Darstellung der Tätigkeitsbereiche, wie etwa Familienrecht, Sozialrecht, Arbeitsrecht, Strafrecht etc. kann man schnell erkennen, ob wegen der Verarbeitung besonderer Kategorien personenbezogener Daten ein Datenschutzbeauftragter zu bestellen ist. Da ist sorgfältig zu prüfen, ob ein Datenschutzbeauftragter zu bestellen ist. Nach Bestellung sind dessen Kontaktdaten in der Datenschutzerklärung auf der Webseite und für neue Medianden aufzunehmen.
Datenschutzinformation
Nach der Dienstleistung-Informationspflichtenverordnung (DL-InfoV) steht die Verpflichtung, neuen Medianden die darin genannten Informationen zu geben. Art. 13 DS-GVO verpflichtet Mediatorinnen und Mediatoren neuen Medianden bei Erhebung der personenbezogenen Daten Information zur Datenverarbeitung zu geben. Beide Informationen können beide Informationen können miteinander und mit der Mediation- und Vergütungsvereinbarung verbunden werden.
Zweck der Verarbeitung
Besondere Aufmerksamkeit in dieser Erklärung ist dem Zweck der Verarbeitung personenbezogener Daten zu widmen. Sollen Daten für Blicke verwendet werden, die der Datenschutzinformation nicht genannt waren, muss nach Art. 13 Abs. 3 DS-GVO eine neue Datenschutzinformation an die betroffene Person gesendet werden. Dagegen bleibt es unproblematisch, wenn die Daten nicht zu allen in der Tat nicht Information genannten Zwecken wirklich genutzt werden. Deshalb sollte man sorgfältig über die Zwecke nachdenken und beispielsweise die Durchsetzung eigener Vergütungsansprüche an die Abwehr oder Erfüllung von Schadensersatzansprüchen der Medianden aufnehmen. Auch die Prüfung von möglichen Tätigkeit verboten nach § 3 MediationsG ist ein Zweck, der genannt werden sollte.
Informationen an Dritte
Schon beim ersten Gespräch, erst recht im weiteren Verlauf, werden die Medianden über Personen sprechen, die nicht an der Mediation teilnehmen und daher nach Art. 14 DS-GVO über eine Verarbeitung ihrer personenbezogenen Daten informiert werden müssten. Dabei ist nicht nur elektronische Verarbeitung gemeint, auch die sonstige Verarbeitung in einem papiergebundenen Dateisystem kann unter die Vorschrift fallen. Aufzeichnungen auf Moderationswände oder Flipcharts werden häufig nicht den Anforderungen der DS-GVO unterworfen sein. In allen übrigen Fällen werden die Informationspflichten gegenüber Dritten häufig durch Art. 14 Abs. 5 d) unnötig sein, da sie der Verschwiegenheitspflicht unterliegen.
Löschkonzept
Teil der Datenschutzinformation ist nach Art. 13 Abs. 2 a) DS-GVO die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer. Aufgrund des Rechtmäßigkeitsgrundsatzes dürfen personenbezogene Daten nur gespeichert werden, solange es für die Speicherung eines Rechtsgrundlage gibt. Rechtsanwältinnen und Rechtsanwälte sind nach § 50 Abs. 2 BRAO verpflichtet, Handakten auf die Dauer von fünf Jahren nach Beendigung des Auftrags aufzubewahren. Länger sind die steuerrechtlichen Verpflichtungen zur Führung und Aufbewahrung von Aufzeichnungen über die wirtschaftliche Situation nach § 147 Abgabenordnung (AO). Diese Frist kann sich durch ein möglicherweise anhängigen Rechtsstreit weiter verlängern. Noch länger kann die Aufbewahrung von personenbezogenen Daten notwendig sein, um mögliche Tätigkeitsverbote nach § 3 Abs. 3 MediationsG ausschließen zu können.
Weitere Maßnahmen
Weniger leicht von außen zu erkennen, dafür aber für vollständige Konformität mit der Datenschutz Grundverordnung erforderlich sind weitere Maßnahmen. Für die Erfüllung der Rechte der betroffenen Person auf Auskunft, gegebenenfalls Berichtigung personenbezogener Daten, Löschung etc. müssen Vorkehrungen getroffen werden. Außerdem müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um einen angemessenen Schutz der personenbezogenen Daten gewährleisten zu können. Keine moderne Kanzlei kommt ohne externe Dienstleister aus, die die IT, die Telefonanlage etc. betreut, gegebenenfalls Schreibdienste und Telefondienste anbieten. Mit diesen müssen Vereinbarungen nach Art. 28 DS-GVO und § 43e BRAO geschlossen werden. Schließlich müssen die Mitarbeiter für die Belange des Datenschutzes geschult und sensibilisiert werden. Außerdem müssen die getroffenen Maßnahmen ausreichend dokumentiert werden.
(Dr. Thomas Lapp, Rechtsanwalt und zertifizierter Mediator, Fachanwalt für Informationstechnologierecht)
