Schlagwort-Archiv: Ende-zu-Ende-Verschlüsselung

Module

Anwaltskanzleien und IT-Dienstleister: Die 5 wichtigsten Haftungsfallen

ModuleAnwaltskanzleien sind besonders. Immer häufiger hören wir in letzter Zeit von IT-Dienstleistern: „Mit Anwälten arbeiten wir nicht mehr – das ist uns zu aufwändig und zu gefährlich“. Wir bei der Michgehl & Partner GmbH zählen ausschließlich Anwaltskanzleien zu unseren Kunden und können nur bestätigen: In sehr vielen Fällen wissen weder die Anwälte noch die IT-Dienstleister um die rechtlichen Risiken ihrer Zusammenarbeit. In der Folge finden wir immer wieder IT-Strukturen in Kanzleien vor, die klar gegen geltendes Recht verstoßen, ohne dass es einem der Beteiligten bewusst wäre. Die fünf wichtigsten Fehler und mögliche Lösungen finden Sie in diesem Artikel.

Rechtliche Grundlagen

Von herausragender Bedeutung für die (Un-)Vereinbarkeit von anwaltlicher Arbeit und IT-Service ist das Strafgesetz. § 203 StGB regelt die besondere Verschwiegenheitspflicht von Geheimnisträgern und explizit von Rechtsanwälten. Die Zusammenarbeit mit IT-Dienstleistern ist nach Meinung führender Standesvertreter nur unter erschwerten Bedingungen rechtlich zulässig. So zeigt RA Dr. Rainer Spatscheck im Anwaltsblatt ausführlich, dass ein IT-Dienstleister nicht als Gehilfe angesehen werden kann. Die eBroschüre „Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei“ des DAV kommt zu dem Schluss, dass eine sorgfältige Anbieterauswahl und Vertragsgestaltung das Risiko eines Verstoßes zumindest stark reduzieren. Anwaltskanzleien sollten daher einen langfristigen Vertrag mit einem spezialisierten IT-Dienstleister für Anwälte abschließen. Es bleibt jedoch das Restrisiko, dass auch in diesem Fall kein Zeugnisverweigerungsrecht und keine Beschlagnahmefreiheit vorliegen.

Neben das Strafrecht treten zahlreiche weitere Regelungen in Datenschutz und Berufsrecht hinzu. So verlangt § 11 BDSG eine Vereinbarung zur Auftragsdatenverarbeitung und die technisch-organisatorischen Maßnahmen der Anlage zu § 9 BDSG sind als Leitlinie für Datenschutz und Datensicherheit auch in der Anwaltskanzlei zu betrachten. Die Berufsordnung für Rechtsanwälte regelt in § 2 BORA die Verschwiegenheit und wurde jüngst neu gefasst: Einen Verstoß bedeutet demnach nur noch eine Handlung, die nicht „sozialadäquat“ ist. Die Frage lautet demnach: „Muss der Mandant davon ausgehen, dass diese Handlung vorgenommen wird?“. Bei der Speicherung von personenbezogenen Daten ist das sicherlich zu bejahen – bei der Verarbeitung in externen Rechenzentren eher nicht. Abschließend regelt § 43 BRAO die allgemeinen Berufspflichten des Rechtsanwalts, wobei die Wörter „gewissenhaft“ und „würdig“ zwar schwammig klingen, in der Rechtsprechung jedoch häufige Verwendung finden.

Vereinbarung zur Auftragsdatenverarbeitung

Wer andere im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen lässt, der ist für die Einhaltung des Datenschutzes verantwortlich. Der Auftraggeber ist also in der Pflicht und muss nach sorgfältiger Anbieterauswahl einen detaillierten Vertrag mit dem Auftragnehmer schließen. § 11 Abs. 5 BDSG macht unmissverständlich klar, dass diese Regelung auch für die Betreuung von IT-Systemen gilt: „(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“ Wichtig ist dabei, dass die Regelungen konkret und spezifisch getroffen werden. Jüngst wurde ein fünfstelliges Bußgeld verhängt, weil allgemeine Standardformulierungen verwendet wurden.

Passwörter für sensible Daten

Ein großes Risiko des Geheimnisverrats im strafrechtlichen Sinne stellt die Weitergabe von Passwörtern dar. In der Praxis kommt es allerdings häufig vor, dass IT-Dienstleister vollen Zugriff auf die Server, Datensicherung und Software in Anwaltskanzleien haben. In diesem Fall hilft auch eine Vereinbarung zur Auftragsdatenverarbeitung nicht weiter. Wer so vorgeht, macht sich strafbar – und das betrifft nicht den Dienstleister sondern den Rechtsanwalt. Um dieses Risiko so weit wie möglich zu minimieren, bleiben die Passwörter unserer Kunden für sensible Systeme ausschließlich in den Händen der Anwälte. Der Zugriff erfolgt dann nur gemeinsam mit der Kanzlei, unter Beobachtung, transparent und für einen kurzen Zeitraum. So ist ein Höchstmaß an Daten- und Geheimnisschutz sicher gestellt.

Vorsicht bei Cloud-Diensten

Ähnlich verhält es sich mit Cloud-Diensten: Dateispeicherorte und Datensicherung sind möglich, wenn eine Ende-zu-Ende-Verschlüsselung benutzt wird. Sonst nicht! Eine Kanzleisoftware aus der Cloud ist damit aktuell nicht zulässig: Daten müssen in der Cloud entschlüsselt werden –  der Dienstleister ist kein Gehilfe im Sinne des § 203 StGB und auch die Sozialadäquanz nach § 2 BORA ist fraglich. Die einzige Lösung liegt im Betrieb einer Private Cloud, in der namentlich genannte und als Gehilfe zu betrachtende Mitarbeiter ausschließlichen Zugriff auf die Server haben.

Druckerfestplatten als Gefahr für die Verschwiegenheitspflicht

Eine weitere Gefahr für den Verstoß gegen die besondere Verschwiegenheit sollten man als Anwalt und als IT-Dienstleister kennen: Drucker und Kopierer verfügen mittlerweile fast ausnahmslos über interne Festplatten, die sämtliche Dokumente speichern. Von hier aus lassen sie sich mit wenig Aufwand auslesen und insbesondere bei Weiterverkauf oder unsachgemäßer Entsorgung sind die Daten offen zugänglich. Es sollte daher regelmäßig der Speicher des Geräts geleert werden, vor allem am Ende seines Lebenszyklus in der Kanzlei.

Verschlüsselung

Die Verwendung aktueller Verschlüsselungsmethoden wird nicht nur im Bundesdatenschutzgesetz explizit vorgeschrieben, sie ist auch aus nachvollziehbaren Gründen dringend zu empfehlen: Auf gestohlene Notebooks kann mit wenigen Handgriffen das Windows-Kennwort umgangen werden, E-Mails können trotz Transportverschlüsselung an allen Knotenpunkte einfach mitgelesen werden und Daten in der Cloud sind ohne Verschlüsselung undenkbar. Die Lösung liegt in maßgeschneiderten Software-Angeboten für Anwaltskanzleien. So ist die Kommunikation mit Gerichten und Kollegen in naher Zukunft über das besondere elektronische Anwaltspostfach möglich, die Mandantenkommunikation erfolgt jedoch immer häufiger per (unsicherer) E-Mail. Hier bieten wir die WebAkte an, die direkt aus RA-MICRO heraus eine Ende-zu-Ende-verschlüsselte Übermittlung strukturierter Daten ermöglicht. Darüber hinaus verwenden wir verschlüsselungsfähige Wechselfestplatten mit PIN-Pad und natürlich verschlüsselte Datensicherungen.

Spezialisierte Anbieter für Kanzlei IT

Die vorstehenden Beispiele verdeutlichen exemplarisch, wie wichtig ein IT-Dienstleister ist, der sich wirklich mit Anwaltskanzleien auskennt. Mittlerweile unterstützen wir bei der Michgehl & Partner GmbH viele weitere IT-Systemhäuser in der Arbeit mit Rechtsanwälten, da die Risiken für alle Beteiligten schwer überschaubar sind und nur mit spezialisierten Lösungen zu bewältigen sind. Ob Sie Anwalt oder IT-Dienstleister sind: Nehmen Sie gerne Kontakt zu uns auf, um eine mögliche Zusammenarbeit zu besprechen. Wir freuen uns auf Sie.

 

 

Elektronischer Rechtsverkehr Kanzleisoftware

Schadensersatzansprüche nach Versand von Schriftsätzen per E-Mail?

bea iconWenn Sie diesen Betreff mit großem Unbehagen gelesen haben, trügt Sie Ihr Bauchgefühl nicht. Zahlreiche Rechtsanwälte stellen sich genau wie Sie die Frage, wie groß das Risiko unverschlüsselter E-Mails im Alltag eines Rechtsanwaltes ist.

RA-MICRO hat für Sie einen Blick auf die Rechtslage geworfen und nach einem praktikablen Lösungsansatz gesucht. Unser Fazit:

Das rechtliche Risiko für Sie ist enorm. Zahlreiche Publikationen beschäftigen sich vor dem Hintergrund des § 43a BRAO sowie des § 203 StGB mit der Problematik unverschlüsselter anwaltlicher E-Mails und können keine Entwarnung geben. Mit unverschlüsselten E-Mails gefährden Sie grundsätzlich die Vertraulichkeit der Kommunikation. Eine Gefährdung der Verschwiegenheitspflicht geht einher.1

Wenn auf diesem Wege Mandantengeheimnisse in die falschen Hände geraten, können Sie rechtlich vielleicht noch mit „leichter Fahrlässigkeit“ argumentieren – die Rufschädigung sowie zeit- und kostspielige Konsequenzen kommen trotzdem auf Sie zu.

RA-MICRO hat für Sie eine Lösung dieses Problems gefunden: die Kommunikationsplattform WebAkte der e.Consult AG für den Austausch vertraulicher Daten und Nachrichten im Kanzleialltag.

Webakte testen

 

Das Sicherheitskonzept der WebAkte ist sowohl technisch als auch rechtlich umfassend geregelt:

-       SSL-Verschlüsselung

-       Symantec Zertifikat

-       Rechenzentrum der DATEV

-       Serverstandort Deutschland

-       Softwaresicherheit zertifiziert durch TÜV Süd gem. DIN ISO/IEC 25051:2006 (Funktionalität) sowie PPP 13011:2008 (Datensicherheit)

-       Auftragsdatenvereinbarung gem. § 11 BDSG

Mit WebAkte haben Sie das gute Gefühl, dass Ihre digitale Kommunikation mit einer sicherheitszertifizierten Software gefahrlos funktioniert.

Wie viele Ihrer Kollegen werden Sie zudem den Online-Aktenschrank schnell zu schätzen wissen. Denn in WebAkte können Sie Ihre Fallakten sicher ablegen und  jederzeit online einsehen. Den perfekt sortierten Online-Aktenschrank mit Benachrichtigungsfunktion werden auch Ihre Mandanten lieben, da von Ihnen freigegebene Dokumente eine zeitnahe Sachstandseinsicht ermöglichen.

Das Beste: Sie bedienen WebAkte einfach und bequem per Mausklick aus Ihrer E-Akte in RA-MICRO heraus.

WebAkte, Ra-MICRO, Kanzleisoftware

Webakte testen

Nutzen Sie jetzt das Aktionsangebot von RA-MICRO und testen Sie WebAkte 30 Tage gratis – unverbindlich und ohne Verpflichtungen. Mehr über die smarte und sichere Kommunikationsplattform erfahren Sie unter

PS: Durch eine Gesetzesänderung zum 1.Juli 2015 wurde der § 2 BORA neugefasst. Der Weg für WebAkte ist nun auch ohne explizite Einwilligung Ihrer Mandantschaft frei.

1 Henssler/Prütting-Henssler, BRAO, 3. Aufl., § 43a Rdnr. 68.

 

 

 

 

Als einer der stärksten RA-MICRO Vertriebspartner garantieren wir Ihnen seit 20 Jahren kompetenten Service und Erfahrung bei der Integration Ihrer Anwalts-Kanzleisoftware. An unseren Standorten Nordwalde/Münster, Düsseldorf und München bieten wir Ihnen darüber hinaus IT-Service, IT-Sicherheit und IT-Dienstleistungen an folgenden Standorten: Bielefeld, Bochum, Dortmund, Düsseldorf, Essen, Gelsenkirchen, Hamm, Kamen, Köln, Krefeld, Leverkusen, München, Münster, Osnabrück, Recklinghausen, Solingen, Unna, Wuppertal, und Umgebung Michgehl, ra-micro, Seminare, IT-Service, anschalten & anwalten, Kanzlei-Shop, IT-Sicherheit, IT-Dienstleistungen, IT-Security, IT-Service Düsseldorf, IT-Service München, IT-Service Münster, IT-Service Essen, IT-Service Bochum, IT-Service Dortmund, IT-Service Hamm, IT-Service Bielefeld, IT-Service Osnabrück, Kanzleisoftware, Kanzleisoftware Düsseldorf, IT-Service Duisburg, Essen, Duisburg, Düsseldorf, Bochum, Dortmund, Osnabrück, Münster, München, Anwalt, Rechtsanwalt, Kanzlei, Anwaltskanzlei, Rechtsanwaltskanzlei, ramicro, Schulungen, Seminare, RA-Micro Schulungen, RA-Micro Seminare, Anwaltsprogramm, Bielefeld, Bochum, Dortmund, Düsseldorf, Essen, Gelsenkirchen, Hamm, Kamen, Köln, Krefeld, Leverkusen, München, Münster, Osnabrück, Recklinghausen, Solingen, Unna, Wuppertal

35% der Mailserver genügen den gesetzlichen Anforderungen nicht

Icon VerschlüsselungAnfang September 2014 wurden 2236 Unternehmen in Bayern vom zuständigen Landesamt für Datenschutzaufsicht (BayLDA) überprüft. Bei 772 Unternehmen wurde das Sicherheitsniveau der Mailserver für unzureichend befunden. Insbesondere fehlen Möglichkeiten zur Transportverschlüsselung und zur Ende-zu-Ende-Verschlüsselung. Die betroffenen Unternehmen wurden schriftlich aufgefordert, ihre Server auf den aktuellen Stand der  Technik zu bringen.

 

Verschlüsselung ist Pflicht – aus gutem Grund

E-Mails beinhalten häufig vertrauliche Informationen und personenbezogene Daten. Werden sie unverschlüsselt versendet, ist es leicht möglich, die Inhalte von E-Mails mitzulesen. Daher schreibt das Bundesdatenschutzgesetz in §9 BDSG Satz 2 Nr. 2 bis 4 im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle den Einsatz von Verschlüsselungsverfahren nach dem Stand der Technik vor.

 

Kleiner Aufwand – große Wirkung

Richtig konfigurierte Mailserver übertragen Nachrichten automatisch mit dem höchsten Grad der Verschlüsselung, den beide Server erlauben. Fehlt auf nur einem Server die Möglichkeit zur Transportverschlüsselung (Transport Layer Security, kurz TLS), dann werden Nachrichten ohne Verschlüsselung versendet. Daher ist die Verschlüsselung mit STARTTLS eine gesetzliche Grundanforderung und erschwert das Mitlesen und Auswerten von E-Mails deutlich. Zusätzlich ist ein Verfahren einzusetzen, dass es ausschließt, bei Erlangung des Langzeitschlüssels die verschiedenen Kurzzeitschlüssel konstruieren zu können (Perfect Forward Secrecy). Der Aufwand zur Einrichtung dieser Verschlüsselung ist gering. Gerade in Verbindung mit einer Ende-zu-Ende-Verschlüsselung steigt die Sicherheit der E-Mail-Kommunikation jedoch dramatisch. Unternehmen sollten einen erfahrenen IT-Dienstleister zu Rate ziehen, um die Mailserver einmal korrekt einzurichten.

 

Bei 2% der Unternehmen immer noch Heartbleed-Lücke

Die kritische Open-SSL Sicherheitslücke Heartbleed wurde bereits im April 2014 bekannt gegeben und in den Medien intensiv verbreitet. Trotzdem bestand das Problem in der Überprüfung noch bei 44 Unternehmen. Angreifer können unter Ausnutzung der Sicherheitslücke unbemerkt Teile der Kommunikation sowie Sicherheitsschlüssel und Passwörter auslesen.

 

Mailserver sollten dringend überprüft werden

Vor dem Hintergrund der Untersuchung des BayLDA sollten Unternehmen dringend ihre Mailserver von einem professionellen IT-Dienstleister überprüfen lassen – nicht nur in Bayern. Offenbar ist davon auszugehen, dass jeder dritte Server den gesetzlichen Anforderungen nicht entspricht und bei einigen gravierende Sicherheitsmängel bestehen. Unser IT-Service in Nordwalde / Münster, Düsseldorf und München unterstützt Sie gerne vor Ort bei der Überprüfung und Konfiguration.