Der flexiblen Verwendung von digitalisierten Akten steht die erhöhte Gefahr der Verletzung von Privatgeheimnissen gegenüber. Dieser Beitrag liefert Tipps für Juristen, die diese beim Einstieg in die Cloud beachten sollten.
Grundsätzlich unterliegen alle personenbezogenen Informationen dem Datenschutz. Das Bundesdatenschutzgesetz (BDSG) wahrt das Recht anderer auf den Schutz ihrer persönlichen Daten. Für Mandantendaten gilt zusätzlich dazu die berufsständische Verschwiegenheitspflicht.
Als Berufsgeheimnisträger im Sinne des § 203 des StGB sind Anwälte damit verpflichtet, für den Schutz der hochsensiblen Informationen ihrer Klienten besondere Sorge zu tragen. Gemäß § 11 BDSG bleibt der Auftraggeber auch dann weiterhin verantwortlich, wenn er die Daten durch dritte Parteien verarbeiten lässt und muss im Fall der Verletzung des Datenschutzes etwaige Bußgelder tragen.
Das digitale Outsourcing der Daten durch Nutzung von Cloud Computing-Systemen bedeutet keinesfalls eine Befreiung von datenschutzrechtlichen Bestimmungen für den Anwalt oder die Kanzlei. Foto: Sebastian Duda - Fotolia.com
Wollen Juristen dennoch den Komfort der Cloud nutzen und gleichzeitig den möglichen Sicherheitsrisiken aus dem virtuellen Raum vorbeugen, sollten sie unbedingt folgende Aspekte im Hinterkopf behalten:
1. Der sichere Weg in die Datenwolke
Bereits vor dem Transport der Daten in die Cloud ist ein Höchstmaß an Sicherheit geboten. Aus diesem Grund müssen Informationen noch vor ihrem Upload verschlüsselt und damit sicher gemacht werden.
2. Qual der Wahl: Das richtige Cloud-Modell
Grundsätzlich gilt: Kanzleien sollten von der Verwendung von Public-Lösungen absehen. Besonders geschäftskritische Anwendungen sollten entweder auf den eigenen Server oder auf den sicheren Server externer, spezialisierter Anbieter ausgelagert werden. Dabei gibt es für beide Lösungen unterschiedliche Vor- und Nachteile, die beachtet werden sollten:
Der eigene Server bietet mehr Kontrolle darüber, was mit den auf ihm gelagerten Daten passiert und erlaubt eigenständige Entscheidungen über die eingesetzte Software oder die Gestaltung der Infrastruktur. Das Thema der Weitergabe personenbezogener Daten wäre somit auch erledigt.
Demgegenüber verfügen externe Cloud-Anbieter nicht nur über enorme Speicherkapazitäten, sondern gewinnen auch beim Preisvergleich. Eingespart werden die Hardware-, Software- und Wartungskosten sowie das benötigte Know-how. Zu den weiteren Vorteilen gegenüber den Inhouse-Lösungen gehören der begrenzte Zugang zum Rechenzentrum, eine kontinuierliche Datensicherung und Sicherheitsstandards eines professionellen Serveranbieters.
Welcher Weg für eine Kanzlei der richtige ist, lässt sich letztlich nicht pauschal sagen - Vor- und Nachteile beide Lösungen sollten individuell abgewogen werden.
Was Unternehmen zur EU-Datenschutzreform beachten müssen
Was Unternehmen zur EU-Datenschutzreform beachten müssen Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.
Einwilligung Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.
"Recht auf Vergessen" Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.
Technische und organisatorische Maßnahmen Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.
Anzeige bei Verstößen Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.
Umsetzung und Strafen Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
3. Standortentscheidung: Wo sitzt mein Anbieter?
Grundsätzliche Vorsicht ist bei der Wahl des richtigen Cloud-Anbieters geboten. Dabei gilt zu beachten, dass sich die Datenschutzregelungen von Land zu Land unterscheiden. Eine Vielzahl von Branchengrößen sind in den USA beheimatet, gemessen an deutschen Verhältnissen regelt die US-amerikanische Regierung den Datenschutz eher unzureichend. US-Anbieter garantieren keine vollständige Verschlüsselung und können auf die Daten zugreifen. Gleiches gilt auch für US-Behörden, die keine richterliche Anordnung benötigen, um auf Informationen von inländischen Servern zuzugreifen. Cloud-Giganten wie Microsoft, Apple und Amazon sind daher aus Datenschutzsicht mit Vorsicht zu genießen.
Doch auch wenn Europa in datenschutzrechtlichen Fragen wesentlich besser aufgestellt ist, die Richtlinien variieren von Land zu Land. Deutsche Anwaltskanzleien sind gut beraten, wenn sie sich für einen lokalen Anbieter entscheiden, der deutschen Gesetzen unterliegt und garantieren kann, dass die Daten auf den Servern innerhalb der EU und am besten direkt in Deutschland gespeichert werden.
4. Auf der sicheren Seite durch Revisinssicherheit
Die von Anwälten genutzten Cloud-Lösungen müssen revisionssicher sein. Die Revisionssicherheit ist ein wichtiger Bestandteil der IT-Compliance, also der Einhaltung der Gesetzen, Regeln und Vorschriften im IT-Bereich. Bei revisionssicheren Archivsystemen sind die gespeicherten Informationen datenbankgestützt wieder auffindbar, nachvollziehbar, unveränderbar und verfälschungssicher archiviert. Da die vom Gesetzgeber geforderte Revisionssicherheit jedoch nicht von allen Anbietern gewährleistet wird, muss auch dieser Aspekt bei der Wahl des Dienstleisters beachtet werden.
Elementar wichtig ist, dass sensible Daten nach geltenden Sicherheitsanforderungen verschlüsselt werden. Dabei eignet sich besonders eine Kombination von verschiedenen Verschlüsselungsverfahren. Besonders sicher ist die Ende-zu-Ende-Verschlüsselung mit einer Kombination aus AES-256-Algorithmus und einem PGP-Verfahren mit RSA 2048/3072. Somit ist das gesetzeskonforme Speichern, Synchronisieren und Teilen von Daten und Dokumenten gewährleistet, die den besonderen Anforderungen des Berufsstandes als Geheimnisträger nach § 203 StGB unterliegen.
6. Gütesiegel bieten Orientierung
Auf der Suche nach passenden Cloud-Lösungen begegnen Unternehmen mittlerweile einer Flut an Informationen und verschiedenen Anbietern. Anerkannte Auszeichnungen und entsprechende Gütesigel für Datenschutz und Co. helfen dabei, eine kompetente Entscheidung über die Wahl des geeigneten Anbieters zu treffen.
EU-Datenschutzreform 2014/15: Die zehn wichtigsten Änderungen
Ein Gesetz für alle EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen" Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out" Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16 Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
7. Transparenz durch interne Regeln
Egal für welche Art der Datenspeicherung und -verwendung sich Kanzleien letztlich entscheiden, sollten intern klare Richtlinien vereinbart werden, die den gesamten Datenumgang regeln. Das gilt insbesondere bei Bring Your Own Device (BYOD)-Policies: Wird es Mitarbeitern ermöglicht, eigene Endgeräte wie Smartphones, Tablets oder Laptops zu nutzen, sind klare Regeln unabdingbar, um den fahrlässigen Umgang mit sensiblen Daten zu vermeiden. (bw)