Die Datenschutz-Grundverordnung (DSGVO) stellt einzigartige Herausforderungen für Legal-Tech-Plattformen dar. Rechtsdokumente enthalten routinemäßig sensible personenbezogene Daten — Namen, Adressen, Finanzdaten und manchmal Gesundheits- oder Strafregisterinformationen — was die DSGVO-Konformität nicht nur zu einer rechtlichen Verpflichtung, sondern zu einem grundlegenden Vertrauenserfordernis macht.
Für Legal-Tech-Anbieter ist die Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter entscheidend. Wenn eine Anwaltskanzlei Ihre Plattform zur Analyse von Mandantenverträgen nutzt, handeln Sie in der Regel als Auftragsverarbeiter. Das bedeutet, Sie müssen geeignete technische und organisatorische Maßnahmen umsetzen, Verarbeitungsverzeichnisse führen und sicherstellen, dass Daten nur für die vom Verantwortlichen festgelegten Zwecke verwendet werden. Auftragsverarbeitungsverträge (AVV) müssen mit jedem Kunden abgeschlossen werden und den Umfang und die Art der Verarbeitung klar definieren.
Das Recht auf Löschung stellt im Legal-Tech-Kontext besondere Herausforderungen dar. Während Einzelpersonen die Löschung ihrer personenbezogenen Daten beantragen können, dienen Rechtsdokumente oft als Beweismittel oder Aufzeichnungen, die aufgrund anderer regulatorischer Verpflichtungen aufbewahrt werden müssen. Die Navigation in diesem Spannungsfeld erfordert sorgfältige rechtliche Analyse und klare Datenaufbewahrungsrichtlinien, die DSGVO-Anforderungen mit beruflichen Verpflichtungen und Dokumentenaufbewahrungsregeln in Einklang bringen.
Die praktische Umsetzung beginnt mit der Datenzuordnung: dem Verständnis, welche personenbezogenen Daten genau durch Ihr System fließen, wo sie gespeichert werden, wer Zugang hat und wie lange sie aufbewahrt werden. Implementieren Sie dann Datenschutz durch Technikgestaltung — Verschlüsselung im Ruhezustand und bei der Übertragung, Zugriffskontrollen nach dem Prinzip der geringsten Berechtigung, automatisierte Durchsetzung der Datenaufbewahrung und umfassende Audit-Protokollierung. Regelmäßige Datenschutz-Folgenabschätzungen (DSFA) sollten durchgeführt werden, wenn Sie neue Funktionen einführen, die personenbezogene Daten auf neuartige Weise verarbeiten.
Häufig gestellte Fragen
- Wer muss die DSGVO einhalten?
- Jede Organisation, die personenbezogene Daten von EU- oder EWR-Bürgern verarbeitet, unabhängig vom Sitz der Organisation. Eine US-Kanzlei, die einen EU-Mandanten betreut, muss sich daran halten. Ein japanischer SaaS-Anbieter mit EU-Nutzern muss sich daran halten.
- Was ist der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter?
- Ein Verantwortlicher entscheidet warum und wie personenbezogene Daten verarbeitet werden — typischerweise die Kanzlei. Ein Auftragsverarbeiter handelt auf Weisung des Verantwortlichen — typischerweise die Technologieplattform. Verantwortliche tragen die Hauptverantwortung; Auftragsverarbeiter setzen Sicherheit um und folgen Weisungen.
- Überwiegt das Recht auf Löschung gesetzliche Aufbewahrungspflichten?
- Nicht absolut. Artikel 17(3) DSGVO nimmt Verarbeitungen aus, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind, sowie gesetzlich erforderliche Verarbeitungen. Kanzleien müssen Aufbewahrungsfristen dokumentieren und nach deren Ablauf tatsächlich löschen.
Weiterführendes
Ein Auftragsverarbeitungsvertrag (AVV, englisch Data Processing Agreement / DPA) ist ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, der regelt, wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden dürfen. Nach Art. 28 DSGVO ist ein AVV verpflichtend, sobald ein Verantwortlicher einen Auftragsverarbeiter einsetzt, und muss Gegenstand, Dauer, Umfang und Pflichten des Verarbeiters regeln.
→Eine Geheimhaltungsvereinbarung (NDA) ist ein Vertrag, in dem eine oder beide Parteien zusagen, bestimmte Informationen nicht an Außenstehende weiterzugeben. Sie definiert, was als vertraulich gilt, wie lange die Pflicht besteht, mit wem Informationen geteilt werden dürfen und was bei einem Verstoß passiert.
→Eine Freistellungsklausel ist die vertragliche Zusage einer Partei (Freistellender), Verluste einer anderen Partei (Freigestellter) zu tragen, die aus bestimmten Ereignissen entstehen — üblicherweise Ansprüche Dritter, Verletzung von Zusicherungen oder näher bezeichnete Schäden. Die Klausel regelt erfasste Verluste, Auslöser, Haftungshöchstgrenzen und Ausnahmen.
→