Die DSGVO kommt!

Der BDP-Justiziar RA Jan Frederichs erläutert:

Die DSGVO bringt eine Reihe von Aktivitäten auch für die Rechtspsychologinnen und Rechtspsychologen mit sich. Pragmatisch nach Dringlichkeit sollen sukzessive einige Hinweise und Muster zur Verfügung gestellt werden.

  1. Für die eigene Website ist eine (aktualisierte) Datenschutzerklärung vorzuhalten. Dazu ergeben sich allerdings keine spezifischen Anforderungen bezogen auf die Rechtspsychologie. Insoweit wird auf den Artikel im report und die Muster im Mitgliederbereich verwiesen.
    Allerdings haben nicht selten bereits EDV-Dienstleister, Webdesigner usw. Aktualisierungen vorgeschlagen: Sie dürften üblicherweise ausreichend sein.
    Im Zuge der Datenschutzklärung können grundsätzliche Fragen nach der internen Struktur der Zusammenarbeit von Rechtspsychologinnen und -psychologen auftauchen: Gemeinsame Website, weil gemeinsames Angebot ? Oder gemeinsame Website trotz unabhängigen Einzelangeboten ? Das sind zwar ohnehin wichtige Fragen aber für die Datenschutzerklärung braucht nicht differenziert zu werden: Eine Website, eine Datenschutzerklärung.
  2. Ob und wie auch für die Datenerhebung (Exploration) im Rahmen der rechtspsychologischen Tätigkeit eine Datenschutzerklärung vorzuhalten ist, ist hingegen für die Rechtspsychologie eine durchaus eigenständige Frage. Denn offensichtlich sind Explorationen im Auftrag von Gerichten etwas anderes, als wenn Psychologinnen und Psychologen in anderen psychologischen Tätigkeiten Daten erheben. Zu dieser Frage gibt es allerdings kaum Fundstellen und die aktuelle Empfehlung wird angesichts der anstehenden Frist des 25.5.2018 unter Vorbehalt gestellt: Es erscheint einstweilen sinnvoller, ein Muster vorzuhalten und es später vielleicht noch zu revidieren oder zu aktualisieren, als vorerst keine Datenschutzerklärung zu verwenden.

    1. Es bietet sich an, eine solche Datenschutzerklärung ggf. mit der Einholung der Erklärung zur Freiwilligkeit der Begutachtung zu verknüpfen.
    2. Die Datenschutzerklärung braucht zwar nach DSGVO nur mitgeteilt zu werden. Es ist aber gleichwohl ratsam, in den nicht selten streitigen Situationen diese Mitteilung mit einer Unterschrift beweisen zu können.
    3. In dem Maße wie eine Unterschrift nicht zwingend notwendig ist und das Beweisrecht nicht zwischen der Exploration von Erwachsenen und Minderjährigen unterscheidet, ist es pragmatisch, die Datenschutzerklärung sowohl den Eltern, als auch den Kindern mitzuteilen und soweit möglich (und bei Kindern angemessen) auch von beiden unterzeichnen zu lassen.
    4. Welche Betroffenenansprüche bestehen im Rahmen der Tatsachenermittlung im Auftrag des Gerichts überhaupt und daraus abgeleitet, auf welche Betroffenenansprüche muss gem. Art 13 Abs.2 DSGVO deshalb (nicht) hingewiesen werden? Diese wichtige Frage ist leider noch nicht ausreichend beantwortet. Einstweilen wird empfohlen, die Betroffenenansprüche vorsichtshalber standardmäßig aufzuführen, bis hierüber ausreichend Klarheit besteht. Damit wird nicht automatisch bejaht, dass solche Ansprüche letztlich bestehen. Sollten insbesondere während eines laufenden Prozesses solche datenschutzrechtlichen Ansprüche erhoben werden, ist jedenfalls ratsam, unverzüglich das Gericht, für das das Gutachten erstellt wird, einzubeziehen.
  1. Sofern Explorationsdaten extern verarbeitet werden, z.B. wenn Tonaufzeichnungen von Explorationen von externen Schreibbüros verschriftlicht  werden, sind in aller Regel aktualisierte Auftragsdatenverarbeitungsverträge zu verwenden. Die wegen der Neuregelung des Geheimnisschutzes nach § 203 StGB („Schweigepflicht“) zu den „sonstigen Mitwirkenden“ zwingend notwendige Verschwiegenheitsverpflichtung soll der Auftragsdatenverarbeitung angefügt werden.
  2. Auch die freiberuflich tätigen Rechtspsychologinnen und Rechtspsychologen müssen einen Datenschutzordner führen und dort u.a. ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Auch wenn es nicht gleich gelingen sollte, alle Rubriken dieses Verzeichnisses auszufüllen, jedenfalls angefangen haben sollte man.

Muster finden Sie im Mitgliederbereich.

Hier die Checkliste Datenschutz: 
https://bdponline.de/intern/web/2018/dsgvo/checkliste.html

Folgende Fragen haben uns u.a. erreicht, die vom Justiziar RA Frederichs wie folgt beantwortet werden:

  1. Wie genau muss nunmehr die Aufklärung über den Datenschutz gegenüber den Klienten ausfallen und was genau sollte man sich unterschreiben lassen? Die Datenschutzerklärung muss „mitgeteilt“ werden. In streitigen Kontexten möchte man das Mitteilen gerne beweisen können, das geht am besten mit Unterschriften. Dann sollte möglichst die gesamte Datenschutzerklärung mitgeteilt bzw. unterschrieben werden, also z.B. das vorgeschlagen Muster.
  2. Oftmals werden angehende Gutachter oder auch Praktikanten in die Begutachtung eingebunden (Teilnahme an Gesprächen; Transkription u.a.). Muss jetzt mit ihnen ein Datenverarbeitungsvertrag geschlossen werden? Und wenn ja, was müsste der beinhalten? Das klingt ein wenig nach „freie Mitarbeiter“. Das kann nicht einheitlich beantwortet werden: Freie Mitarbeiter können als Auftragsdatenverarbeiter tätig oder vergleichbar den Festangestellten beschäftigt sein. Welche datenschutzrechtliche Einordnung von solchen freien Mitarbeitern eines Unternehmens jeweils sachgerecht ist, hängt laut BayLDA im Wesentlichen davon ab, ob der Externe/Freie nach den Vorgaben und unter der Aufsicht der verantwortlichen Stelle, vergleichbar den festangestellten Mitarbeitern (z. B. zur Bewältigung von Arbeitsspitzen), tätig wird, oder ob der Externe/Freie auf weitgehend eigenständiger Basis seine Dienstleistungen für die verantwortliche Stelle erbringt. Bei fehlender Selbständigkeit sind sie sind „nur“ auf die DSGVO zu verpflichten (ausführlich: https://www.lda.bayern.de/media/info_verpflichtung_beschaeftigte_dsgvo.pdf).
  3. Vergleichbar stellt sich die Frage bei möglichen Transkriptionsdiensten oder Bürokräften. Muss auch mit ihnen ein Auftragsdaten­verarbeitungs­vertrag geschlossen werden? Es gilt das zuvor beschriebene. Aber je mehr Bürokräfte extern tätig sind, desto weniger sind sie Mitarbeiter, sondern Auftragsdatenverarbeiter. Gerade beim Schreibbüro gibt es eine gute Unterscheidbarkeit: Nicht nur (Un)abhängigkeit in Zeit und Ort, sondern insbesondere wer ist für die Hard- und Software zuständig (bzw. wem gehört das)? Wenn dafür die Bürokraft/Schreibbüro selbst zuständig ist, spricht das m.E. klar für Auftragsdatenverarbeitung. Und hingegen: Wenn die Bürokraft den Computer der Rechtspsychologin verwendet, dann Verpflichtung als Mitarbeiter/in.
  4. Wie muss nunmehr die Datenschutzerklärung auf unserer Homepage aussehen? Das ist m.E. eine eigenständige Frage, hat wenig mit der Tätigkeit zu tun. Denn es geht dabei „nur“ um die Frage, welche Daten beim Surfen über die Website von den Websitebesuchern erfasst und bearbeitet werden, also im wesentlichen um deren IP-Adresse. Bei Verwenden eines Kontaktformulars sollte aber mitgeteilt werden, wofür die Daten verwendet werden (meist für die Antwort) und dass bzw. wie und wann sie dann gelöscht werden. Es können noch weitere Erklärungen dazukommen, wenn Analyse- und Trackingtools verwendet werden sollten. Meistens weiß man das als Betreiber nicht selbst, sondern das weiß der Programmierer. Häufig hat dieser auch schon etwas vorgeschlagen oder geregelt. Für die, die keinen Programmierer fragen können, kann das mühselig werden (s. auch unsere Muster).

Hinweis: Dies stellt nur unsere Meinung dar, ist aber nicht als Rechtsberatung zu verstehen.