Wie sicher ist die Datenwolke?

Darf das ein Anwalt überhaupt, seine Daten auf einem virtuellen Speicherplatz auslagern, extern, gar in einer Cloud, einer Datenwolke? Darf er als Berufsgeheimnisträger im Sinne des § 203 StGB IT-Dienstleister beauftragen, die regelmäßige Wartungsarbeiten an Hard- und Software vornehmen? Wie soll der Jurist die per Gesetz geforderte Schweigepflicht einhalten? Immerhin unterliegen Mandantendaten der berufsständischen Verschwiegenheitspflicht und personenbezogene Informationen sind darüber hinaus auch datenschutzrechtlich geschützt. Ein Problem, das noch nicht abschließend geklärt, geschweige denn geregelt ist. Ungeachtet dieser nach wie vor ungeklärten Fragen haben Anwaltskanzleien Maßnahmen zum Schutz dieser personen- und mandatsbezogenen Daten im Interesse der Mandanten schon auf Basis der berufsrechtlichen Rahmenbedingungen zu ergreifen. Dabei sollte auch vor allem auf Qualität geachtet werden, denn: "Eine gute IT-Sicherheit sollte selbstverständliches Aushängeschild einer jeden Kanzlei sein und kann das Vertrauen des Mandanten in die Kommunikation mit dem Anwalt sicherstellen oder verbessern", sagt Karsten U. Bartels LL.M., Rechtsanwalt in Berlin, stellvertretender Vorsitzender der Arbeitsgemeinschaft IT-Recht (davit) im Deutschen Anwaltverein (DAV) und Leiter der AG Recht im Bundesverband IT-Sicherheit TeleTrusT.

In die Cloud nur verschlüsselt

Immer mehr Anwälte wollen schnellen Zugriff auf ihre Daten von verschiedenen Standorten der Kanzlei aus, von zuhause, von unterwegs. Mandatsinformationen können aber nur dann sinnvoll genutzt werden, wenn die Daten zentral und mit einer leistungsfähigen Internetverbindung zur Verfügung gestellt werden – wie in einer Daten-Wolke. Der Zugriff erfolgt dann über ein Netzwerk, alsoüber das Internet (wird dann im Allgemeinen "Public Cloud" genannt) oder über ein firmeninternes Intranet ("Private Cloud"). Durch diese Art von digitalem Outsourcing entstehen neue externe Zugriffsmöglichkeiten auf die vertraulichen Mandantendaten, so dass jeder Anwalt schon aus datenschutz- und berufsrechtlichen Vorgaben verpflichtet ist, diese bestmöglich zu schützen. Damit scheiden die Public- Cloud Lösungen (etwa der großen Anbieter Microsoft, Apple und Amazon) schon aus Dort können die Anbieter zumeist Zugriff auf die Daten nehmen und gewährleisten auch nicht deren vollständige Verschlüsselung.  Aber "auch unter dem Aspekt des § 203 StGB sollte eine Cloud-Lösung natürlich vollverschlüsselt sein", sagt etwa Dr. Astrid Auer-Reinsdorff, Fachanwältin für Informationstechnologie und Vizepräsidentin des DAV in Berlin. "Vor einer Online-Datensicherung per zum Beispiel Dropbox kann der Deutsche Anwaltverein nur warnen - es fehlen Verschlüsselung, Datensicherheit und Zuverlässigkeit."

Cloudlösungen für Anwälte: Geschützt gegen Dritte und revisionssicher

Für Intranetlösungen, "Private Clouds",  gibt es bereits Angebote, welche die rechtlichen Vorgaben bezüglich der Datenspeicherung und Sicherung der bereitgehaltenen Informationen umsetzen. Telekom und T-Systems bieten in Kooperation mit der davit die Cloudlösung "Doculife law" an, die  unter anderem gewährleiste, dass kein Dritter unautorisiert Zugriff auf die übermittelten und gespeicherten Daten hat und somit auch für Berufsgeheimnisträger und den Beschlagnahmeschutz geeignet sei. Denn beim Thema Anwälte und Cloud steht immer die Verletzung von Privatgeheimnissen im Raum. Sicher, zentral und verschlüsselt sei deshalb zum Beispiel auch die Jurion jcloud, "mit der Rechtsanwälte Daten und Dokumente auf einem Datenserver online sichern können", erklären Ole Bertram, Bereichsleiter Notariatssoftware und Elektronischer Rechtsverkehr bei der Wolters Kluwer GmBH, zu der auch LTO gehört, und Martin Harasim, Leiter Technisches Produktmanagement AnNoText. Bei AnNoNet gehen Juristen noch nicht einmal direkt ins Internet. Der gesamte Datenverkehr ströme durch eine Art Tunnel, geschützt gegen Eindringlinge durch das AnNoNet-Rechenzentrum. Natürlich müssen Anwaltssoftware und Cloudlösungen für Kanzleien auch revisionssicher sein. Informationen müssen nachvollziehbar, nicht veränderbar, verfälschungssicher und vor allem wieder auffindbar sein. Revisionssicherheit sei leider nicht bei allen Anbietern gegeben, warnt Auer-Reinsdorff vom DAV. "Wer als Rechtsanwalt erwägt, mit einer Cloud zu arbeiten, muss ganz einfach die Vorteile und die Risiken gegeneinander abwägen und die Mandanten je nach den eingesetzten Lösungen über die externe Speicherung informieren."

2/2: Absichern gegenüber externen Dienstleistern

Während größere Kanzleien eigene IT-Mitarbeiter einstellen, nutzen andere externe IT-Dienstleister, die Wartungsarbeiten und Fehlerbehebung entweder in der Kanzlei vor Ort durchführen oder mittels einer Fernwartung auf die EDV-Anlage zugreifen können. Der Nürnberger Rechtsanwalt Thilo Märtin rät zur Vorsicht für die Fälle, in denen ein IT-Dienstleister als Fremdfirma in Kontakt mit Mandantendaten kommt. Unerlässlich sei es unter anderem, Datenzugriffe durch die Fremdfirma zu protokollieren, namentlich festzulegen, wer mit den Anwaltsdaten umgehen darf und diese Mitarbeiter einzeln zur Verschwiegenheit zu verpflichten. Auch zu einer Abstimmung mit der zuständigen Anwaltskammer rät Thilo Märtin. Um Sicherheit zu gewährleisten, sollte ein Cloud-Dienstleister nicht selbständig auf die abgelegten Dokumente und Daten zugreifen können. Denn schief gehen kann immer etwas. Wie steht es dann um die Haftung? Nach Ansicht des Anwalts Karsten U. Bartels aus Berlin ist die Sache eindeutig: "Sofern Fehler bei einem Cloud-Dienstleister auftreten sollten, indem etwa Daten Dritten ohne Erlaubnis zugänglich gemacht werden oder unwiederbringlich verloren gehen, bestehen keine Besonderheiten zu anderen Haftungsregimen, denen ein Rechtsanwalt unterworfen ist, wenn dieser eigene Leistungen durch Dritte erfüllen lässt."

Auch E-Mails sollten sicher sein

Neben Cloudlösungen und anderen IT-Dienstleistungen sind Mail-Verschlüsselungen ein weiteres wichtiges Feld. Viele Rechtsanwälte und Steuerberater kommunizieren nach wie vor mit der Mandantschaft per E-Mail unverschlüsselt. Das bedeutet, dass dort derzeit faktisch unter anderem der elektronische Datenverkehr gänzlich gegen einen ernsthaften gezielten Ausspähungsversuch ungesichert ist. Auch deshalb hat das Thema der E-Mail-Verschlüsselung Dr. Laura Kubach und ihre Kollegen von SBR Schuster & Partner Rechtsanwälte in der Vergangenheit wiederholt beschäftigt. Ein Grundbedürfnis nach vertraulicher Kommunikation mit dem Anwalt ist ihrer Einschätzung nach bei Mandanten eigentlich stets vorhanden, insbesondere, wenn es um den Austausch von Dokumenten gehe, die Geschäfts- und Betriebsgeheimnisse enthielten. Das ginge natürlich auch mithilfe eines der bisherigen Standards namens PGP. "Aber erst ein einziger Mandant wollte mit mir per PGP-Verschlüsselung kommunizieren. Leichtigkeit und Praktikabilität sind ansonsten dann doch immer vorrangig gewesen. Und wenn es mal um tatsächlich sensible Daten ging, wurden diese eher per physischem Datenträger und Kurier übermittelt." Da sie aber keinesfalls sorglos mit den anvertrauten Daten umgehen möchte, hat sich Kubach dennoch für die Verschlüsselung durch Tutanota entschieden, nicht zuletzt, weil sich diese Verschlüsselung reibungslos in das Mailprogramm Outlook integrieren lasse. Schützen, verschlüsseln, sichere Anbieter wählen. Ja, aber es bleibt die Frage, ob es absolute Datensicherheit überhaupt gibt. Zumindest zum Punkt Verschlüsselung sagt Arne Möhle, einer der Chefentwickler der E-Mail-Verschlüsselungssoftware Tutanota Starter: "Natürlich kann kein Verschlüsselungsverfahren absolute Sicherheit garantieren. Besonders schwierig wird es aber zum Beispiel für die NSA, wenn immer mehr Menschen verschlüsseln, ganz einfach, weil sie für jeden verwendeten Schlüssel alles neu entziffern müssen." Anwälte sollten dabei mit gutem Beispiel voran gehen. Vor ihre Kanzleitüren hängen sie ja auch nicht bloß ein Vorhängeschloss.