Anwälte müssen sicher mit Kundendaten umgehen. Die Daten müssen an den richtigen Stellen und zur richtigen Zeit verfügbar sein, aber wir müssen natürlich auch die Datenschutzgrundverordnung einhalten. Dieser Artikel befasst sich mit den Aspekten der GDPR-Compliance, die bei der Verwendung eines Fallverwaltungssystems und von Outlook in der juristischen Arbeit zu beachten sind.

Die schwierigste Herausforderung: E-Mail

Beginnen wir mit dem Teil, in dem die Datenschutzgrundverordnung Anwälten normalerweise die meisten Schwierigkeiten bereitet: E-Mails. Die meisten Anwälte schreiben E-Mails in Outlook, und wenn wir anfangen, “er” in das Empfängerfeld einzugeben, schlägt Outlook sofort “Henrik” vor. Die Frage ist, ob der Henrik, den Outlook im Kopf hat, der richtige ist.

Die Aktivierung der automatischen Vervollständigung von E-Mail-Empfängern ist eines der größten Risiken, wenn es um die Einhaltung der Datenschutzgrundverordnung geht. Zweifellos denken die meisten Anwälte, dass es nur andere Leute sind, die Fehler machen, aber jeder kann in die Falle tappen, wenn viel los ist, und wir haben schon viele E-Mails gesehen, die aus diesem Grund an die falschen Empfänger geschickt wurden.

Einzelne Bewertungen

Das Fallverwaltungssystem enthält eine Vielzahl von Daten, die durch die DSGVO geregelt sind. Das System kann natürlich bei der Einhaltung der DSGVO helfen, aber es gibt immer noch viele Entscheidungen, die von den Anwälten bewertet werden müssen.

Wann ist ein Fall obsolet? Und wer soll dann beurteilen, ob ein veralteter Fall gelöscht oder nur anonymisiert werden sollte?

Das Gleiche gilt für Kunden und Parteien. Sollte ein veralteter Kunde oder eine veraltete Partei anonymisiert oder ganz gelöscht werden? Das hängt von der jeweiligen Situation ab.

Wo werden persönlich sensible Daten gespeichert?

Natürlich gibt es personenbezogene Daten über Fälle, Kunden und Parteien, und sie können sich an vielen verschiedenen Stellen befinden. Es kann sein, dass auf der Karteikarte personenbezogene Daten wie eine Sozialversicherungsnummer vermerkt sind, oder dass der Fall als eine bestimmte Krankheit oder etwas anderes personenbezogenes vermerkt ist.

Aber wo sonst werden persönlich sensible Daten gespeichert?

Was ist mit ehemaligen Mitarbeitern? Dies ist ein Bereich, in dem eine Anonymisierung besonders wichtig ist, denn es kann sehr alte Registrierungen geben, die später als Dokumentation benötigt werden.

In den Zeiterfassungen selbst und in den veröffentlichten Einträgen kann etwas stehen wie “Einholung eines ärztlichen Attests über die Diagnose einer psychischen Erkrankung”. Auch das ist eine persönliche Angelegenheit.

Dann gibt es noch alle Daten, die außerhalb des Fall- und ERP-Systems gespeichert sind, wie z.B. alle Dokumente, die in einer Dokumentenlösung (z.B. SharePoint) oder auf einer Dateifreigabe gespeichert sind. Die Dokumente enthalten natürlich eine Menge persönlicher Daten.

Es ist auch nicht sicher, dass es sich nur um durchsuchbare Dokumente handelt. Es kann z.B. auch Audiodateien oder Videoaufzeichnungen von Anhörungen geben. Diese sind schwieriger nach Namen oder persönlichen Details zu durchsuchen. Und was ist mit E-Mail-Anhängen: Wie können diese abgefangen werden?

Löschung hat Konsequenzen

Wenn Sie in der Praxis mit der Anonymisierung und Löschung von Daten beginnen, ergeben sich eine Reihe von Herausforderungen.

Wir selbst haben GDPR-Funktionen in unser Fallverwaltungssystem Navokat eingebaut. Ziel ist es natürlich, Anwälte bei der Anonymisierung und Löschung von Daten so weit wie möglich zu unterstützen, aber alle Entscheidungen erfordern individuelle Bewertungen, so dass der gesamte Prozess leider noch lange nicht automatisiert ablaufen kann.

Wir haben eine Logik in das System eingebaut, die es ihm ermöglicht, Fälle vorzuschlagen, die gelöscht werden sollten. Dies geschieht auf der Grundlage bestimmter Kriterien, die Sie selbst festlegen. Der Anwalt kann dann die Vorschläge durchsehen und auswählen, was gelöscht werden soll. Sie können die Lösung zum Beispiel bitten, Fälle vorzuschlagen, die vor mehr als X Jahren archiviert wurden.

Leider haben wir schon erlebt, dass ein Kunde den Vorschlägen des Systems zu sehr vertraut hat und am Ende Fälle gelöscht hat, die eigentlich nicht hätten gelöscht werden dürfen. Und jetzt sind die Daten weg. Sie sind vollständig verschwunden, denn wenn es eine Funktion zum Rückgängigmachen gäbe, würden wir die Datenschutzbestimmungen nicht einhalten.

Wenn Sie sich entscheiden, einen Fall zu löschen, verschwinden nicht nur die Fallkarte und das Journal. Es kann sich auch um Kunden, Parteien und alle mit dem Fall verbundenen Dokumente handeln. Dazu gehören Zeiterfassungen, Buchungen – alles, was sich im Bauch des ERP-Systems befindet.

Die Löschung eines Falls ist eine schwerwiegende Entscheidung. Sie ist nach der Datenschutz-Grundverordnung erforderlich, aber Sie müssen sicher sein, dass Sie die Konsequenzen verstehen, wenn Sie Ihre Entscheidung treffen.

Vi har selv bygget GDPR-features i vores sagsbehandlungssystem, Navokat. Es ist eine Selbstverständlichkeit, dass wir bei der Anonymisierung und dem Löschen von Daten die meisten Berater einsetzen, aber alle Benutzer können individuelle Daten verarbeiten, da diese von allen Prozessen, die automatisch ablaufen können, abgezogen werden.

Vi har indbygget en logik i systemet, så der kan dannes forslag til sager, der bør slettes. Das ist ein entscheidender Punkt in jedem Kriterium, das man selbst anwendet. Så kan advokaten kigge forslagene igennem og vælge at slette. Sie können auch nach x Jahren nach dem Abschluss der Transaktion noch einmal nachhaken.

Ich habe schon oft erlebt, dass ein Kunde nach einem großen Teil des Systems gesucht hat und dann auf die Daten gestoßen ist, die er tatsächlich verloren hat. Und dann sind da noch die Daten. Sie sind sehr wichtig, denn wenn es sich um eine “fortryd”-Funktion handelt, dann kann man die GDPR nicht anwenden.

Wenn Sie glauben, dass eine Geschichte erzählt werden kann, dann ist das eine bloße Geschichte und ein Tagebuch. Es gibt auch Klienter, Parter und alle Dokumente, die zum Sagen einladen. Es gibt auch noch andere Mitarbeiter, die im ERP-System arbeiten.

Das ist eine sehr gute Lösung, um eine Nachricht zu senden. Den er krævet i henhold til GDPR, men man skal være sikker på, at man forstår konsekvenserne, når man træffer sin beslutning.

Nogle sager skal anonymiseres – ikke slettes

Der wichtigste Parameter ist die Grundausstattung. Wenn Sie nicht wissen, dass Sie ein Formular haben, um es zu bearbeiten, können Sie es löschen. Keiner der Berater gibt Ihnen 10 Jahre, die anderen 5 Jahre. Der er faktisk forskellige holdninger, men tid er altid det vigtigste kriterium.

Aber das ist ein alter Hut, den man sich nicht leisten kann. Wenn man eine gute Grundlage hat, um Daten zu sammeln, dann würde man das gerne tun. En god grund kan fx være, at sagen har principielt karakter, eller har pressens eller myndigheders opmærksomhed.

Principielle sager skal naturligvis ikke slettes – men på et tidspunkt skal de måske anonymiseres.

Es handelt sich um ein Problem, bei dem es darum geht, dass ein bestimmtes Navigationssystem nicht mehr sagen kann oder dass das Navigationssystem anonymisiert werden kann. Das ist ein Problem, das die IT-Abteilung lösen kann.

Udfordringen med anonymisering bliver desværre værre endnu.

Wenn Sie Peter Petersen anonymisieren wollen, können Sie nach seinem Namen fragen. Nogle steder står der kun P. Petersen eller Hr. Petersen. Auf Seite 37 des Dokuments steht “ejeren af cykelbutikken”, d.h. alle, die Peter Petersen kennen, denn er ist ein großer Mann, und er kann cykelbutik sein. Den omtale skal også anonymiseres.

Es ist eine gute Idee, ein IT-System zu entwickeln, um den “Menschen in der Arbeitswelt”, wie Peter Petersen sagt, zu unterstützen, denn es ist eine gute Möglichkeit, die Hilfe von Technologien zu nutzen. Die Technologie kann auch als “Zykelbutikken” bezeichnet werden, das einer Person zur Verfügung gestellt wird – sie kann aber auch für die konkreten Aufgaben, die sie zu bewältigen hat, genutzt werden. Das ist eine sehr intelligente Lösung – oder eine sehr zeitgemäße Lösung.

Wie sieht dieses IT-System aus?

Der er 4 trin for hvordan dine IT-systemer can hjælpe dig med at slette og anonymisere:

  1. Der erste Punkt ist, dass das System sich auf die Suche nach einer Lösung macht, die Sie bewerten können.
  2. Der andere Punkt ist, dass das System Ihnen auch Poster und Dokumente zur Verfügung stellen kann, die Sie im Internet finden.
  3. Der entscheidende Punkt ist, dass das System die Anonymisierung von Sängern, die von Ihnen ausgewählt wurden, übernehmen kann. Das ist ein schwacher Indikator für die Anonymität des Systems.
  4. Det endegyldige trin er, at systemet via kunstig intelligens kan find all de udtryk, som er personfølsomme, som i eksemplet med “ejeren af cykelbutikken”.

Langt de fleste systemer er på trin 1 og 2. Sie können die Systeme, die sich auf Kanal 4 befinden, ausschalten oder sie aufheben. Selbst wenn das System die Pkt. 1-4, ville der stadig ligge en del af ansvaret for GDPR-compliance hos advokaterne, der skal vurdere, hvad der skal gøres i de konkret sager.

Indsigtsbegæring

Wir haben keine Zeit, um zu sletten oder zu anonymisieren. Ein weiterer Aspekt, der den Kontoinhabern eine große Hilfe sein kann, ist die Anonymisierung.

Alle können Ihnen mitteilen, was Sie über die Produkte wissen möchten. Sie können auch eine Medaille für Produkte kaufen, die Ihnen helfen, den richtigen Ansprechpartner zu finden, wenn Sie eine andere Person suchen. Das ist eine gute Voraussetzung für ein gutes Beraterbüro, denn es gibt viele der besten Berater. Sie haben auch die Möglichkeit, Systemunterstützung zu erhalten.

Udfordringen er principielt den samme som med anonymisering. Sie können Daten in allen Bereichen der Kommunikation und Dokumentation finden. Den IT-mæssige udfordring er den samme, og teknologisk er den svær at løse.

Wie kann ich mich auf die Suche nach dem richtigen Weg machen?

Der er mange del-opgaver inden for dette område, og spørgsmålet er, hvem der egentlig må gøre hvad i din organisation? Wenn Sie sich für einen kleinen Kniff entschieden haben, müssen Sie wissen, dass alle kommen können, um zu versuchen, den Kniff zu finden, und dass die Daten auf dem Tisch liegen.

  1. Die erste Option ist die Identifizierung. Sie dient dazu, eine umfassende Liste von Daten zu erstellen, die von vielen Menschen eingesehen werden können. Das ist eine Möglichkeit, die IT-Systemer im Unternehmen nutzen können, und es ist in Ordnung, wenn die Mitarbeiter des Unternehmens auf die Bruttolisten zugreifen.
  2. Den næste opgave er vurdering af bruttolisten. Hier können Berater, die sich auf das Thema “Anonymität” spezialisiert haben, ihre Kunden beraten, die sie anonymisieren können. Der skal måske være interne processer for, hvor lang tid over deadline, man må trække en sletning, uden at involvere en partner i beslutningen.
  3. Og så kommer vi til selve sletningen. Her er spørgsmålet: Hvem har lov til at trykke på slet-knappen? Wer hat ein Mandat, um einen Auftrag zu erledigen? Ich denke, dass es wichtig ist, dass der Finanzdienstleister ein Partner ist, der das Ende der Welt retten kann.

Wie kann ich Ihnen helfen?

Databeskyttelsen handler også om at sikre data mod at blive delt med uvedkommende. Woher wissen Sie, dass derjenige, der die Daten nicht kennt, sie auch nicht kaufen kann?

Der skal naturligvis være styr på IT-sikkerheden, så hackere ikke kan snuppe data og sælge eller fjerne det fra systemet og kræve betaling for at lægge det ind igen, som man har set eksempler på. Sie können sich darauf verlassen, dass der Login auf dem Navokat-løsningen-Bord, auf dem der Programmierer steht, sehr oft vergessen wird, um den Zugang zu ermöglichen. Das ist eine Herausforderung, die alle meistern werden.

An der internen Grenze können Sie sich auch darauf verlassen, dass die letzten Medienvertreter Zugang zu den Daten haben. Skal alle brugere på kontoret have adgang til al data i alle sager, eller kan der laves begrænsninger, der imødekommer krav til GDPR, uden at det spænder ben for den daglige drift?

Auf die gleiche Art und Weise kann man übersehen, dass der wichtigste IT-Verantwortliche für die Verbesserung der Daten einen sehr guten Zugang zu den Daten hat. Sie können IT-Probleme natürlich unterstützen und lösen, und in der Zwischenzeit können Sie die Daten auch an andere Stellen weitergeben, denn die IT-Verantwortlichen haben keine Zeit, sich um die Daten zu kümmern.

Haben Sie den Weg nach Hause gefunden?

Es ist natürlich wichtig, dass Sie dokumentieren können, wie die betreffende Person ihre Daten erhalten hat. Wie viele Daten haben Sie gesammelt?

Es ist wichtig, dieses Protokoll zu haben, um zu dokumentieren, dass der Datenbestand überfüllt ist, und um zu prüfen, ob Sie die richtigen Daten haben, um eine Entscheidung zu treffen.

Wie kommen Sie zu den GDPR-Prozessen?

Det er en stor mundfuld, hvis man som advokatkontor skal leve op til hvert et hjørne af GDPR. Das ist auch ein anderer Grund, warum ein Mann, der sich mit dem Thema befasst, sich nicht darauf einlassen kann, denn er ist ein wichtiger Kunde, der nach Ressourcen sucht, und die Technologie, die er nutzt, kann alle anderen Anbieter ausschalten.

Die erste Aufgabe besteht darin, den Status zu ermitteln, d.h. herauszufinden, wie lange Sie schon im Geschäft sind, und einen Plan zu erstellen, wie Sie die GDPR einhalten wollen.

Wenn Sie das Bedürfnis haben, die GDPR inden für Sagsbehandlungssysteme zu nutzen, dann sind Sie bereit, sich für ein zusätzliches Angebot zu entscheiden, für das Sie nur eine Krone bezahlen müssen. Sie sind schon ganz aufgeregt wegen der Debatte über einige der Berater, die sich für die Beratung von Kunden stark machen.