Fallmanagement und GDPR-Compliance für Anwälte
Anwälte müssen sicher mit Kundendaten umgehen. Die Daten müssen an den richtigen Stellen und zur richtigen Zeit verfügbar sein, aber wir müssen natürlich auch die Datenschutzgrundverordnung einhalten. Dieser Artikel befasst sich mit den Aspekten der GDPR-Compliance, die bei der Verwendung eines Fallverwaltungssystems und von Outlook in der juristischen Arbeit zu beachten sind.
Die schwierigste Herausforderung: E-Mail
Beginnen wir mit dem Teil, in dem die Datenschutzgrundverordnung Anwälten normalerweise die meisten Schwierigkeiten bereitet: E-Mails. Die meisten Anwälte schreiben E-Mails in Outlook, und wenn wir anfangen, “er” in das Empfängerfeld einzugeben, schlägt Outlook sofort “Henrik” vor. Die Frage ist, ob der Henrik, den Outlook im Kopf hat, der richtige ist.
Die Aktivierung der automatischen Vervollständigung von E-Mail-Empfängern ist eines der größten Risiken, wenn es um die Einhaltung der Datenschutzgrundverordnung geht. Zweifellos denken die meisten Anwälte, dass es nur andere Leute sind, die Fehler machen, aber jeder kann in die Falle tappen, wenn viel los ist, und wir haben schon viele E-Mails gesehen, die aus diesem Grund an die falschen Empfänger geschickt wurden.
Einzelne Bewertungen
Das Fallverwaltungssystem enthält eine Vielzahl von Daten, die durch die DSGVO geregelt sind. Das System kann natürlich bei der Einhaltung der DSGVO helfen, aber es gibt immer noch viele Entscheidungen, die von den Anwälten bewertet werden müssen.
Wann ist ein Fall obsolet? Und wer soll dann beurteilen, ob ein veralteter Fall gelöscht oder nur anonymisiert werden sollte?
Das Gleiche gilt für Kunden und Parteien. Sollte ein veralteter Kunde oder eine veraltete Partei anonymisiert oder ganz gelöscht werden? Das hängt von der jeweiligen Situation ab.
Wo werden persönlich sensible Daten gespeichert?
Natürlich gibt es personenbezogene Daten über Fälle, Kunden und Parteien, und sie können sich an vielen verschiedenen Stellen befinden. Es kann sein, dass auf der Karteikarte personenbezogene Daten wie eine Sozialversicherungsnummer vermerkt sind, oder dass der Fall als eine bestimmte Krankheit oder etwas anderes personenbezogenes vermerkt ist.
Aber wo sonst werden persönlich sensible Daten gespeichert?
Was ist mit ehemaligen Mitarbeitern? Dies ist ein Bereich, in dem eine Anonymisierung besonders wichtig ist, denn es kann sehr alte Registrierungen geben, die später als Dokumentation benötigt werden.
In den Zeiterfassungen selbst und in den veröffentlichten Einträgen kann etwas stehen wie “Einholung eines ärztlichen Attests über die Diagnose einer psychischen Erkrankung”. Auch das ist eine persönliche Angelegenheit.
Dann gibt es noch alle Daten, die außerhalb des Fall- und ERP-Systems gespeichert sind, wie z.B. alle Dokumente, die in einer Dokumentenlösung (z.B. SharePoint) oder auf einer Dateifreigabe gespeichert sind. Die Dokumente enthalten natürlich eine Menge persönlicher Daten.
Es ist auch nicht sicher, dass es sich nur um durchsuchbare Dokumente handelt. Es kann z.B. auch Audiodateien oder Videoaufzeichnungen von Anhörungen geben. Diese sind schwieriger nach Namen oder persönlichen Details zu durchsuchen. Und was ist mit E-Mail-Anhängen: Wie können diese abgefangen werden?
Löschung hat Konsequenzen
Wenn Sie in der Praxis mit der Anonymisierung und Löschung von Daten beginnen, ergeben sich eine Reihe von Herausforderungen.
Wir selbst haben GDPR-Funktionen in unser Fallverwaltungssystem Navokat eingebaut. Ziel ist es natürlich, Anwälte bei der Anonymisierung und Löschung von Daten so weit wie möglich zu unterstützen, aber alle Entscheidungen erfordern individuelle Bewertungen, so dass der gesamte Prozess leider noch lange nicht automatisiert ablaufen kann.
Wir haben eine Logik in das System eingebaut, die es ihm ermöglicht, Fälle vorzuschlagen, die gelöscht werden sollten. Dies geschieht auf der Grundlage bestimmter Kriterien, die Sie selbst festlegen. Der Anwalt kann dann die Vorschläge durchsehen und auswählen, was gelöscht werden soll. Sie können die Lösung zum Beispiel bitten, Fälle vorzuschlagen, die vor mehr als X Jahren archiviert wurden.
Leider haben wir schon erlebt, dass ein Kunde den Vorschlägen des Systems zu sehr vertraut hat und am Ende Fälle gelöscht hat, die eigentlich nicht hätten gelöscht werden dürfen. Und jetzt sind die Daten weg. Sie sind vollständig verschwunden, denn wenn es eine Funktion zum Rückgängigmachen gäbe, würden wir die Datenschutzbestimmungen nicht einhalten.
Wenn Sie sich entscheiden, einen Fall zu löschen, verschwinden nicht nur die Fallkarte und das Journal. Es kann sich auch um Kunden, Parteien und alle mit dem Fall verbundenen Dokumente handeln. Dazu gehören Zeiterfassungen, Buchungen – alles, was sich im Bauch des ERP-Systems befindet.
Die Löschung eines Falls ist eine schwerwiegende Entscheidung. Sie ist nach der Datenschutz-Grundverordnung erforderlich, aber Sie müssen sicher sein, dass Sie die Konsequenzen verstehen, wenn Sie Ihre Entscheidung treffen.
Einige Fälle müssen anonymisiert werden – nicht gelöscht
Im Grunde genommen ist der wichtigste Parameter die Zeit. Wenn die Fälle so alt sind, dass es keinen Sinn mehr hat, sie aufzubewahren, sollten sie gelöscht werden. Einige Anwälte verstehen darunter 10 Jahre, andere sagen 5 Jahre. Die Meinungen gehen in der Tat auseinander, aber die Zeit ist immer das wichtigste Kriterium.
Es sollte jedoch nicht alles gelöscht werden. Wenn Sie einen guten Grund haben, Daten aufzubewahren, können Sie dies tun. Ein guter Grund kann zum Beispiel sein, dass der Fall grundsätzliche Fragen betrifft oder die Aufmerksamkeit der Presse oder der Behörden erregt.
Fälle, bei denen es um grundsätzliche Fragen geht, dürfen natürlich nicht gelöscht werden – aber sie müssen möglicherweise irgendwann anonymisiert werden.
Auch hier ist es eine Frage der Beurteilung, ob es von grundlegender Bedeutung ist, dass ein bestimmter Name in der Akte erscheint oder ob der Name anonymisiert werden kann. Dies ist eine weitere Entscheidung, bei der Ihre IT-Lösung leider nicht helfen kann.
Wenn wir Peter Petersen, einen Zeugen in einem Fall, anonymisieren wollen, können wir natürlich nach seinem Namen suchen. An manchen Stellen heißt es nur P. Petersen oder Herr Petersen. Und auf Seite 37 eines Dokuments heißt es ‘der Fahrradladenbesitzer’, von dem natürlich jeder weiß, dass damit Peter Petersen gemeint ist, denn es ist eine kleine Stadt mit nur einem Fahrradladen. Auch diese Erwähnung muss anonymisiert werden.
Es ist schwer, ein IT-System dazu zu bringen, zu erkennen, dass sich ‘der Fahrradladenbesitzer’ auf Peter Petersen bezieht, also ist dies eine weitere Aufgabe, bei der es schwierig ist, Hilfe von der Technologie zu erhalten. Die Technologie muss nicht nur erkennen, dass es sich bei ‘der Fahrradladenbesitzer’ um eine Person handelt, sondern auch beurteilen, ob es im Falle dieser speziellen Erwähnung relevant ist, dass es sich um den Fahrradhändler handelt. Dies erfordert entweder eine ernsthafte künstliche Intelligenz oder viele Stunden manueller Recherche.
Wie ausgereift ist Ihr IT-System?
Die Möglichkeiten, wie Ihre IT-Systeme Sie bei der Löschung und Anonymisierung unterstützen können, lassen sich in vier Stufen einteilen:
- In Stufe 1 schlägt das System Fälle vor, die Sie beurteilen sollen.
- Auf Stufe 2 kann das System die von Ihnen gewählten Vorgänge einschließlich der Buchungen und Belege löschen.
- Auf Stufe 3 kann das System Fälle nach den von Ihnen gewählten Suchkriterien anonymisieren. Es ist eine Art Suchen und Ersetzen im Fallverwaltungssystem.
- Auf der letzten Stufe kann das System künstliche Intelligenz einsetzen, um alle persönlich sensiblen Begriffe zu finden, wie in dem Beispiel “Fahrradhändler”.
Die große Mehrheit der Systeme befindet sich auf Stufe 1 und 2. Wir können keine Systeme nennen, die Stufe 4 erreicht haben oder die Aussicht haben, diese zu erreichen. Aber selbst wenn die Systeme die Punkte 1-4 abdecken könnten, läge ein Großteil der Verantwortung für die Einhaltung der DSGVO immer noch bei den Anwälten, die beurteilen müssen, was im Einzelfall zu tun ist.
Antrag auf Zugang
Das war’s mit der Löschung und Anonymisierung. Ein weiteres Thema, das Anwälten viel Arbeit bereiten kann, ist das der Zugriffsanträge.
Jeder kann sich bei uns bewerben und darum bitten, uns zu sagen, was wir über ihn wissen. Und dann nehmen wir einen Mitarbeiter aus dem Betrieb, damit er sich hinsetzt und in den Dokumenten blättert, um die Stellen zu finden, an denen die betreffende Person erwähnt wird. Für eine normale Anwaltskanzlei kann es sehr entmutigend sein, wenn viele solcher Auskunftsersuchen eingehen. Auch dafür brauchen wir die Hilfe des Systems.
Im Prinzip ist die Herausforderung dieselbe wie bei der Anonymisierung. Wir müssen in der Lage sein, Daten in jedem Winkel von Fällen und Dokumenten zu finden. Die IT-Herausforderung ist die gleiche, und sie ist technologisch schwer zu lösen.
Wer kann eigentlich was tun?
Es gibt viele Teilaufgaben in diesem Bereich, und die Frage ist: Wer kann in Ihrem Unternehmen eigentlich was tun? Wenn Sie eine Löschtaste zur Verfügung haben, ist es nicht gut, wenn jemand versehentlich darauf drückt und die Daten in Luft auflösen kann.
- Die erste Aufgabe ist die Identifizierung. Dazu gehört die Erstellung einer Longlist von Fällen und Daten, die möglicherweise gelöscht werden müssen. Dies ist in erster Linie eine Aufgabe für die IT-Systeme, und es ist in Ordnung, wenn die meisten Mitarbeiter des Unternehmens Zugriff auf die Longlist haben.
- Die nächste Aufgabe ist die Bewertung der Longlist. Hier müssen Anwälte, die die einzelnen Fälle kennen, beurteilen, welche davon gelöscht oder anonymisiert werden sollen. Möglicherweise müssen interne Prozesse festgelegt werden, die regeln, wie lange nach Ablauf der Frist eine Löschung hinausgezögert werden kann, ohne dass ein Partner in die Entscheidung einbezogen wird.
- Und dann kommen wir zu der Löschung selbst. Hier stellt sich die Frage: Wer soll die Befugnis haben, die Löschtaste zu drücken? Wer soll befugt sein, einen Fall zu löschen? Wir sind der Meinung, dass hier sorgfältig überlegt werden sollte, ob z.B. die endgültige Löschung die Zustimmung eines Partners erfordern sollte.
Wer kann was sehen?
Beim Datenschutz geht es auch darum, Daten vor der Weitergabe an Unbefugte zu schützen. Wie stellen wir sicher, dass niemand im Unternehmen zufällig etwas sieht, was er nicht sehen sollte?
Natürlich muss die IT-Sicherheit unter Kontrolle sein, damit Hacker keine Daten stehlen können, um sie entweder zu verkaufen oder aus dem System zu entfernen und eine Zahlung für die Rückgabe zu verlangen, wie es schon vorgekommen ist. Leider können wir feststellen, dass es sehr viele fehlgeschlagene Anmeldeversuche auf Remote-Desktops mit der Navokat-Lösung gibt, bei denen die Software nach dem Prinzip von Versuch und Irrtum arbeitet, um Zugang zu erhalten. Dies ist eine Bedrohung, die jeder ernst nehmen sollte.
Aber auch intern müssen wir ganz einfach sicherstellen, dass nur die richtigen Mitarbeiter Zugang zu den Daten haben. Sollen alle Benutzer im Büro Zugang zu allen Daten in allen Fällen haben oder können Beschränkungen festgelegt werden, die die Anforderungen der DSGVO erfüllen, ohne das Tagesgeschäft zu behindern?
Ebenso kann darüber nachgedacht werden, ob der externe IT-Lieferant jederzeit uneingeschränkten Zugriff auf die Daten haben sollte. Natürlich muss er in der Lage sein, Support zu leisten und IT-Probleme zu beheben, und in diesem Zusammenhang kann es beispielsweise sinnvoll sein, ihm zeitlich begrenzten Zugriff auf die Daten zu gewähren, aber der IT-Lieferant muss nicht unbedingt ständig freien Zugang haben.
Wer hat auf was zugegriffen?
Es ist natürlich auch wichtig, dass Sie dokumentieren können, wie die Person ihre Zugriffsrechte genutzt hat. Wer hat wann welche Daten eingesehen?
Dieses Zugriffsprotokoll ist wichtig, damit die Einhaltung des Datenschutzes dokumentiert und Zugriffsanfragen zufriedenstellend beantwortet werden können.
Wie weit sind Sie mit dem GDPR-Prozess?
Es gibt viel zu tun, wenn eine Anwaltskanzlei jeden einzelnen Aspekt der Datenschutzgrundverordnung erfüllen soll. Ein weiterer Streitpunkt ist die Frage, wie viel von Ihnen erwartet werden kann, wenn Sie eine kleine Kanzlei mit wenigen Ressourcen sind und wenn die Technologie noch nicht in allen Bereichen helfen kann.
Aber der erste Schritt besteht darin, eine Bestandsaufnahme zu machen, damit Sie wissen, wo Sie stehen, und dann zu planen, wie groß Ihre Ambitionen im Bereich der Datenschutzgrundverordnung sein sollen.
Wenn Sie jemanden brauchen, der Ihnen in Fragen der Datenschutzgrundverordnung (GDPR) im Zusammenhang mit Fallverwaltungssystemen beratend zur Seite steht, sind wir gerne bereit, ein Gespräch zu führen, ohne dass Sie dafür einen Cent bezahlen müssen. Wir sind immer bereit für eine Debatte über eines der Themen, die Anwälte derzeit umtreiben.