Schlagwort-Archiv: it-outsourcing

Module

Anwaltskanzleien und IT-Dienstleister: Die 5 wichtigsten Haftungsfallen

ModuleAnwaltskanzleien sind besonders. Immer häufiger hören wir in letzter Zeit von IT-Dienstleistern: „Mit Anwälten arbeiten wir nicht mehr – das ist uns zu aufwändig und zu gefährlich“. Wir bei der Michgehl & Partner GmbH zählen ausschließlich Anwaltskanzleien zu unseren Kunden und können nur bestätigen: In sehr vielen Fällen wissen weder die Anwälte noch die IT-Dienstleister um die rechtlichen Risiken ihrer Zusammenarbeit. In der Folge finden wir immer wieder IT-Strukturen in Kanzleien vor, die klar gegen geltendes Recht verstoßen, ohne dass es einem der Beteiligten bewusst wäre. Die fünf wichtigsten Fehler und mögliche Lösungen finden Sie in diesem Artikel.

Rechtliche Grundlagen

Von herausragender Bedeutung für die (Un-)Vereinbarkeit von anwaltlicher Arbeit und IT-Service ist das Strafgesetz. § 203 StGB regelt die besondere Verschwiegenheitspflicht von Geheimnisträgern und explizit von Rechtsanwälten. Die Zusammenarbeit mit IT-Dienstleistern ist nach Meinung führender Standesvertreter nur unter erschwerten Bedingungen rechtlich zulässig. So zeigt RA Dr. Rainer Spatscheck im Anwaltsblatt ausführlich, dass ein IT-Dienstleister nicht als Gehilfe angesehen werden kann. Die eBroschüre „Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei“ des DAV kommt zu dem Schluss, dass eine sorgfältige Anbieterauswahl und Vertragsgestaltung das Risiko eines Verstoßes zumindest stark reduzieren. Anwaltskanzleien sollten daher einen langfristigen Vertrag mit einem spezialisierten IT-Dienstleister für Anwälte abschließen. Es bleibt jedoch das Restrisiko, dass auch in diesem Fall kein Zeugnisverweigerungsrecht und keine Beschlagnahmefreiheit vorliegen.

Neben das Strafrecht treten zahlreiche weitere Regelungen in Datenschutz und Berufsrecht hinzu. So verlangt § 11 BDSG eine Vereinbarung zur Auftragsdatenverarbeitung und die technisch-organisatorischen Maßnahmen der Anlage zu § 9 BDSG sind als Leitlinie für Datenschutz und Datensicherheit auch in der Anwaltskanzlei zu betrachten. Die Berufsordnung für Rechtsanwälte regelt in § 2 BORA die Verschwiegenheit und wurde jüngst neu gefasst: Einen Verstoß bedeutet demnach nur noch eine Handlung, die nicht „sozialadäquat“ ist. Die Frage lautet demnach: „Muss der Mandant davon ausgehen, dass diese Handlung vorgenommen wird?“. Bei der Speicherung von personenbezogenen Daten ist das sicherlich zu bejahen – bei der Verarbeitung in externen Rechenzentren eher nicht. Abschließend regelt § 43 BRAO die allgemeinen Berufspflichten des Rechtsanwalts, wobei die Wörter „gewissenhaft“ und „würdig“ zwar schwammig klingen, in der Rechtsprechung jedoch häufige Verwendung finden.

Vereinbarung zur Auftragsdatenverarbeitung

Wer andere im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen lässt, der ist für die Einhaltung des Datenschutzes verantwortlich. Der Auftraggeber ist also in der Pflicht und muss nach sorgfältiger Anbieterauswahl einen detaillierten Vertrag mit dem Auftragnehmer schließen. § 11 Abs. 5 BDSG macht unmissverständlich klar, dass diese Regelung auch für die Betreuung von IT-Systemen gilt: „(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“ Wichtig ist dabei, dass die Regelungen konkret und spezifisch getroffen werden. Jüngst wurde ein fünfstelliges Bußgeld verhängt, weil allgemeine Standardformulierungen verwendet wurden.

Passwörter für sensible Daten

Ein großes Risiko des Geheimnisverrats im strafrechtlichen Sinne stellt die Weitergabe von Passwörtern dar. In der Praxis kommt es allerdings häufig vor, dass IT-Dienstleister vollen Zugriff auf die Server, Datensicherung und Software in Anwaltskanzleien haben. In diesem Fall hilft auch eine Vereinbarung zur Auftragsdatenverarbeitung nicht weiter. Wer so vorgeht, macht sich strafbar – und das betrifft nicht den Dienstleister sondern den Rechtsanwalt. Um dieses Risiko so weit wie möglich zu minimieren, bleiben die Passwörter unserer Kunden für sensible Systeme ausschließlich in den Händen der Anwälte. Der Zugriff erfolgt dann nur gemeinsam mit der Kanzlei, unter Beobachtung, transparent und für einen kurzen Zeitraum. So ist ein Höchstmaß an Daten- und Geheimnisschutz sicher gestellt.

Vorsicht bei Cloud-Diensten

Ähnlich verhält es sich mit Cloud-Diensten: Dateispeicherorte und Datensicherung sind möglich, wenn eine Ende-zu-Ende-Verschlüsselung benutzt wird. Sonst nicht! Eine Kanzleisoftware aus der Cloud ist damit aktuell nicht zulässig: Daten müssen in der Cloud entschlüsselt werden –  der Dienstleister ist kein Gehilfe im Sinne des § 203 StGB und auch die Sozialadäquanz nach § 2 BORA ist fraglich. Die einzige Lösung liegt im Betrieb einer Private Cloud, in der namentlich genannte und als Gehilfe zu betrachtende Mitarbeiter ausschließlichen Zugriff auf die Server haben.

Druckerfestplatten als Gefahr für die Verschwiegenheitspflicht

Eine weitere Gefahr für den Verstoß gegen die besondere Verschwiegenheit sollten man als Anwalt und als IT-Dienstleister kennen: Drucker und Kopierer verfügen mittlerweile fast ausnahmslos über interne Festplatten, die sämtliche Dokumente speichern. Von hier aus lassen sie sich mit wenig Aufwand auslesen und insbesondere bei Weiterverkauf oder unsachgemäßer Entsorgung sind die Daten offen zugänglich. Es sollte daher regelmäßig der Speicher des Geräts geleert werden, vor allem am Ende seines Lebenszyklus in der Kanzlei.

Verschlüsselung

Die Verwendung aktueller Verschlüsselungsmethoden wird nicht nur im Bundesdatenschutzgesetz explizit vorgeschrieben, sie ist auch aus nachvollziehbaren Gründen dringend zu empfehlen: Auf gestohlene Notebooks kann mit wenigen Handgriffen das Windows-Kennwort umgangen werden, E-Mails können trotz Transportverschlüsselung an allen Knotenpunkte einfach mitgelesen werden und Daten in der Cloud sind ohne Verschlüsselung undenkbar. Die Lösung liegt in maßgeschneiderten Software-Angeboten für Anwaltskanzleien. So ist die Kommunikation mit Gerichten und Kollegen in naher Zukunft über das besondere elektronische Anwaltspostfach möglich, die Mandantenkommunikation erfolgt jedoch immer häufiger per (unsicherer) E-Mail. Hier bieten wir die WebAkte an, die direkt aus RA-MICRO heraus eine Ende-zu-Ende-verschlüsselte Übermittlung strukturierter Daten ermöglicht. Darüber hinaus verwenden wir verschlüsselungsfähige Wechselfestplatten mit PIN-Pad und natürlich verschlüsselte Datensicherungen.

Spezialisierte Anbieter für Kanzlei IT

Die vorstehenden Beispiele verdeutlichen exemplarisch, wie wichtig ein IT-Dienstleister ist, der sich wirklich mit Anwaltskanzleien auskennt. Mittlerweile unterstützen wir bei der Michgehl & Partner GmbH viele weitere IT-Systemhäuser in der Arbeit mit Rechtsanwälten, da die Risiken für alle Beteiligten schwer überschaubar sind und nur mit spezialisierten Lösungen zu bewältigen sind. Ob Sie Anwalt oder IT-Dienstleister sind: Nehmen Sie gerne Kontakt zu uns auf, um eine mögliche Zusammenarbeit zu besprechen. Wir freuen uns auf Sie.

 

 

IT-Service IT-Sicherheit Cloud

Warum Cloud Computing für Rechtsanwälte (noch) keine Lösung ist

IT-Service IT-Sicherheit CloudDie Auslagerung von Servern in Rechenzentrum ist dem Eigenbetrieb in technischer Hinsicht vielfach überlegen. Bessere Verfügbarkeit, redundante Strom- und Datenleitungen, Zugangskontrolle mit Iris-Scan, Brandschutzanlagen – da stellt sich doch die Frage, warum in einer Anwaltskanzlei überhaupt noch Server stehen sollten. Neben der teilweise nicht ausreichenden Bandbreite und je nach Konfiguration höheren Kosten ist es vor allem aktuell nicht rechtssicher möglich, Mandantendaten auszulagern.

Schon der Einsatz eines einzigen IT-Dienstleisters ist bei sehr genauer Betrachtung nicht eindeutig mit §203 StGB zu vereinbaren, wie eine intensive Beleuchtung des Themas durch RA Dr. Rainer Spatscheck im Anwaltsblatt zeigt. Auch die eBroschüre „Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei“ kommt zu dem Schluss, dass von der Anbieterauswahl bis zur Vertragsgestaltung möglichst sorgfältig vorgegangen werden sollte, um eine strafbare Handlung zumindest unwahrscheinlicher zu machen.

Die Argumentation lautet sehr kurz zusammengefasst:

  • In §203 StGB sind die besondere Verschwiegenheitspflicht, Zeugnisverweigerungsrecht und Beschlagnahmefreiheit geregelt
  • Ein externer IT-Dienstleister kann im Rahmen seiner Tätigkeiten auf Mandantendaten zugreifen, und wenn es nur die Namen sind. Dies stellt nach einhelliger Meinung ein unbefugtes Offenbaren dar.
  • Ein erster Lösungsansatz: Der IT-Dienstleister als Gehilfe im Sinne des §203 StGB – kann zumindest bei bestehender Vertragsbeziehung / Wartungsvertrag angenommen werden
  • Dem gegenüber steht die Auffassung, dass ein Gehilfe zwingend weisungsbefugt sein muss, insbesondere in Zeit, Ort und Inhalt seiner Tätigkeit vom Auftraggeber direkt steuerbar sein muss. Dies ist nur bei angestellten Mitarbeitern der Fall.
  • Fazit: Aktuell ist selbst für den „normalen“ und unbestritten notwendigen IT-Service keine rechtssichere Lösung möglich. Es kann nur bestmöglich vorgesorgt werden, indem ein Servicevertrag und Vertrag zur Auftragsdatenverarbeitung mit einem professionellen und auf Anwälte spezialisierten Systemhaus geschlossen wird
  • Beim Cloud Computing kommen weitere Menschen und Unternehmen hinzu. Das erhöht die Wahrscheinlichkeit, einer strafbaren Handlung im Sinne des §203 StGB.

So bleibt Cloud Computing eine technisch sinnvolle Lösung, die für Anwälte nur in einer Form darstellbar ist: Private Cloud. Das bedeutet: Das Rechenzentrum wird in der Kanzlei betrieben. Ein verschlüsseltes Backup kann dabei auch in ein Rechenzentrum gelegt werden und auch der verschlüsselte Mailverkehr über die Public Cloud ist möglich. Aber der Kanzleiserver steht in der Kanzlei. So wird es wohl erstmal bleiben. Gerne unterstützen wir Sie bei Konzeption, Umsetzung und Betrieb Ihrer Kanzlei-IT. Nehmen Sie einfach direkt Kontakt auf.