Datenschutz & Datensicherheit

In der Beliebtheitsskala ist Datenschutz vielleicht nicht die Nr. 1. Aber genau darin liegt die Chance für junge Anwälte, die sich von etablierten Kollegen abgrenzen wollen.  Also ran an dieses Thema: Hier liegt Ihre Chance, sich zu profilieren. Nutzen Sie sie! 


Privatnutzung des Internets am Arbeitsplatz: EGMR erlaubt eine Überwachung in Grenzen

Regelmäßig beschäftigten Fragen der Internetnutzung und Mitarbeiterüberwachung die Gerichte, so entschied das BAG im Juli dieses Jahres, dass eine Überwachung mittels verdeckter Spähprogramme grundsätzlich unzulässig sei. Die neue Entscheidung des Europäischen Gerichtshofs für Menschenrechte (EGMR) vom 5.9.2017 zeigt nun, dass neben den einschlägigen datenschutzrechtlichen Grenzen auch die Europäische Menschenrechtskonvention (EMRK) die Mitarbeiterüberwachung einschränken kann.

Der Fall

Ein rumänischer Vertriebsingenieur war bei einem privaten Arbeitgeber in Rumänien beschäftigt. Er hatte auf seinem dienstlichen Computer auf Veranlassung seines Arbeitgebers einen Yahoo-Messenger-Account eingerichtet, um hierüber direkt Anfragen von Kunden zu bearbeiten. Interne Unternehmensregeln verboten es Arbeitnehmern, den Dienst für private Kommunikation zu nutzen. Der Arbeitnehmer nutzte den Account regelwidrig jedoch auch, um privat zu chatten. Der Arbeitgeber kündigte aus diesem Grund das Arbeitsverhältnis. Der Arbeitnehmer bestritt die Privatnutzung. Sodann legte der Arbeitgeber zum Beweis der Pflichtverletzung eine 45-seitige Abschrift der privaten Kommunikation des Arbeitnehmers von einer einzigen Woche vor, die unter anderem besonders geschützte personenbezogene Daten des Arbeitnehmers (vgl. Art. 9 DS-GVO) enthielt. Die Klage gegen die Kündigung hatte vor den nationalen rumänischen Gerichten sowie vor dem EGMR keinen Erfolg.

Kriterien für eine zulässige Überwachung

Die große Kammer des EGMR stellte jedoch einen Verstoß gegen Art. 8 EMRK fest. Die Überwachung des Arbeitnehmers verstoße gegen das Recht auf Achtung des Privatlebens und der Korrespondenz. Grundsätzlich könnten Arbeitgeber berechtigt sein, die Einhaltung eines Verbots zur Privatnutzung des dienstlichen Internet-Anschlusses zu überwachen, eine derartige Überwachung der Privatkommunikation müsse aber verhältnismäßig sein. Voraussetzung hierfür sei, dass der Arbeitnehmer zunächst über die Möglichkeit sowie über Art und Umfang der Überwachung hinreichend informiert worden sei. Im vorliegenden Fall haben die nationalen Gerichte dies jedoch nicht geprüft. Es fehlten nach Aussage des EGMR auch Feststellungen dazu, ob es einen legitimen Grund für die Kontrollmaßnahmen gegeben hat und ob nicht mildere Mittel zur Verfügung gestanden hätten, einen etwaigen Verstoß gegen das Verbot der Privatkommunikation festzustellen.

Die Praxisfolgen

Zunächst betrifft das Urteil nur einen Fall in Rumänien. Die EMRK ist jedoch auch in Deutschland zu beachten. Datenschutzrechtlich baut der EGMR auf bekannten Grundsätzen auf, konkretisiert jedoch die Vorgaben für eine zulässige Überwachung. Zudem sollte ein Verbot der Privatnutzung der Internetkommunikation angeordnet werden. Damit der Arbeitgeber keine Beweisverwertungsverbote in einem etwaigen Kündigungsschutzprozess bzw. Schmerzensgeldforderungen der Mitarbeiter riskiert, hat er die Arbeitnehmer ausdrücklich über etwaige Kontrollen zu informieren. Arbeitnehmer müssen wissen, was auf sie zukommt. Zu empfehlen ist Unternehmen, eine explizite Regelung in den Arbeitsvertrag oder in eine Betriebsvereinbarung aufzunehmen. Die Kriterien hierfür hat nunmehr der EGMR vorgegeben. Wichtig ist, dass geregelt wird, unter welchen Voraussetzungen und in welchem Umfang eine Überwachung stattfindet. Auch die Zugriffsberechtigten sollten geregelt werden.
mehr...

Dr. Christoph Kurzböck ist Rechtsanwalt bei Rödl & Partner in Nürnberg und Fachanwalt für Arbeitsrecht. Er berät in- und ausländische Unternehmen in allen individual- und kollektivrechtlichen Fragestellungen des nationalen und internationalen Arbeitsrechts, insbesondere an der Schnittstelle zum Insolvenz- und Gesellschaftsrecht. Zu seinen Spezialgebieten gehören die Beratung von Geschäftsführern, Vorständen und leitenden Angestellten in dienstvertraglichen Angelegenheiten sowie die Beratung zur Vermeidung der unternehmerischen Mitbestimmung.


Das Ende der Störerhaftung für öffentliche WLAN-Betreiber – freies WLAN für alle?

Die Bundesregierung hat mit dem Entwurf eines „Dritten Gesetzes zur Änderung des Telemediengesetzes (TMG)“ die gesetzlichen Vorschriften nachgebessert, um die Potenziale von lokalen Netzwerken (Wireless Local Area Network – WLAN) als Zugang zum Internet im öffentlichen Raum besser zu nutzen und dem Vorwurf eines „digitalen Entwicklungslandes“ entgegenzutreten. Aber ist die Neuregelung auch praxistauglich? Dies verrät ein Blick auf die Details.

Die Entwicklung des WLAN-Gesetzes

Bereits das „Zweite Gesetz zur Änderung des Telemediengesetzes“ sollte den WLAN-Betreibern Rechtssicherheit geben, nicht für Rechtsverstöße Dritter abgemahnt zu werden. Eine anschließende Entscheidung des Europäischen Gerichtshofs (EuGH) machte jedoch die erneute Anpassung des TMG notwendig, da dieses die Möglichkeit einer gerichtlichen oder behördlichen Unterlassungsanordnung vorsah, die dem WLAN-Betreiber zur Vorbeugung wiederholter Rechtsverletzungen einen passwortgeschützten Zugang oder ein vorgelagertes Identifikationsverfahren hätte aufgeben können. Dieses stand im Widerspruch zum Ziel, Prüf- oder Verschlüsselungspflichten des WLAN-Betreibers wegfallen zu lassen.

Was ändert sich?

Wichtigste Änderung ist die Abschaffung der Störerhaftung und die damit einhergehende Regelung des § 7 Abs. 4 TMG n.F., welche vorsieht, dass der vermeintliche Rechteinhaber gegenüber dem WLAN-Betreiber keine vor- oder außergerichtlichen Kosten für die Durchsetzung seines Anspruchs geltend machen kann. Als Konsequenz aus der Entscheidung des EuGH wurde zudem in § 8 Abs. 4 TMG n.F. eine Regelung geschaffen, die ausdrücklich eine Verpflichtung durch die Behörde zu einem Identifizierungsverfahren oder einer Zugangsverschlüsselung ausschließt.

Störerhaftung light?

Zusammen mit der Abschaffung der Störerhaftung wurde jedoch eine neue Hürde aufgestellt: § 7 Abs. 4 TMG n.F. sieht nunmehr die Möglichkeit vor, dass der Rechteinhaber einen WLAN-Betreiber zu der Einrichtung einer Zugangssperrung zu dem rechtsverletzenden Inhalt auffordern kann, sofern zur Verhinderung einer Wiederholung keine andere Möglichkeit der Abhilfe besteht und die Sperre zumutbar und verhältnismäßig wäre. Diese Regelung führt nicht nur zu einem vermehrten Aufwand für WLAN-Betreiber, sondern vor allem zu Rechtsunsicherheit. Dem WLAN-Betreiber entstehen im Rahmen des Sperrungsverlangens zwar keine Kosten. Sollte dieser einem (berechtigten) Sperrungsverlangen jedoch nicht nachkommen, besteht spätestens in einem gerichtlichen Verfahren ein Kostenrisiko. Infolgedessen könnte die Sperrungsmöglichkeit eine „Störerhaftung light“ bedeuten und zur Folge haben, dass zur Konfliktvermeidung auch unberechtigtes Sperrungsverlangen befolgt wird. Ein solches „Overblocking“ würde letztlich dem Gesetzeszweck der Öffnung des Internets zuwiderlaufen.

Weiterhin ist unklar, ob die Haftungsprivilegierung des § 7 Abs. 4 TMG n.F. auch die Nutzung von sogenannten dezentral organisierten Netzwerken umfasst. Die Regelung spricht von einer Verletzung des Rechts am geistigen Eigentum bei der Inanspruchnahme eines Telemediendienstes durch den Nutzer. Dezentral organisierte Netzwerke sind jedoch z.B. Tauschbörsen, bei denen die Möglichkeit des Zugriffs auf die Dateien direkt zwischen den einzelnen Nutzern des Netzwerks erfolgt. Jeder Netzwerkteilnehmer ist somit zugleich Anbieter und Nutzer, womit bei einer restriktiven Auslegung kein Telemediendienst genutzt würde. Die bekannten Abmahnansprüche würden hierbei weiterhin bestehen bleiben.

Auch dürfte der Rechtsanspruch der Sperrung gegenüber Plattformen wie YouTube und Facebook diskutiert werden. Besteht ein Rechtsanspruch auf Zugangssperrung der gesamten Plattform, auch wenn sich nur einzelne verletzende Inhalte auf der Plattform befinden, eine alleinige Sperrung dieser Inhalte technisch jedoch nicht möglich ist? In solchen Fällen wird § 7 Abs. 4 TMG n.F. wohl dahingehend aufgefasst werden müssen, dass ein Rückgriffsanspruch auf den WLAN-Betreiber aufgrund von Unverhältnismäßigkeit ausgeschlossen ist, sofern eine Rechtsdurchsetzung auch gegen den primären Störer über die (für Plattformbetreiber) weiterhin geltende Störerhaftung erfolgen kann.

Ja oder nein zum Betrieb von öffentlichem WLAN?

Durch die Änderung des TMG müssen sich WLAN-Betreiber durch den Wegfall eines unmittelbaren Kostenrisikos bei Abmahnungen zukünftig tatsächlich weniger Sorgen machen. Der Gesetzgeber hat jedoch im Gegenzug durch die Einführung eines Sperrungsanspruchs eine unzureichend ausgestaltete Hürde geschaffen, die neue Rechtsunsicherheit mit sich bringt, sofern sich nicht jeglichem Sperrungsverlangen gebeugt wird. Die Gerichte werden nunmehr die Aufgabe übernehmen müssen, weitere rechtliche Rahmenbedingungen für das Betreiben von öffentlichem WLAN auszugestalten. Bis dahin empfiehlt es sich, mit dem Betrieb eines öffentlichen WLAN zu warten.

mehr...

Fabian Nowak ist Rechtsanwalt und zertifizierter Datenschutzbeauftragter bei der Rickert Rechtsanwaltsgesellschaft mbH in Bonn. Neben dem Urheber- und Medienrecht sowie dem Datenschutzrecht, befasst er sich noch schwerpunktmäßig mit dem Internet- und Domainrecht.

www.rickert.net

Datenschutzgrundverordnung – Countdown zum 25. Mai 2018

Die datenschutzkonforme Organisation der Datenverarbeitung ist auch in Anwaltskanzleien Leitungsaufgabe. Viele Anwälte haben inzwischen Grundmaßnahmen zum Schutz der personenbezogenen Daten ihrer Mandanten ergriffen und sind sich durchaus bewusst, dass die Daten, die in familienrechtlichen, arbeitsrechtlichen, arzthaftungsrechtlichen, unfallrechtlichen sowie strafrechtlichen Mandaten erhoben und verarbeitet werden, besonders sensibel sind. Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO), zu der am 12. Mai 2017 das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) verabschiedet wurde, in allen EU-Mitgliedsstaaten unmittelbar wirksam. Nun entsteht Handlungsbedarf, bis zum 24. Mai 2018 die organisatorischen und technischen Maßnahmen zum Datenschutz zu überprüfen, neu aufzustellen und die Mitarbeiter sowie die an der Mandatsarbeit mitwirkenden sonstigen Personen zu informieren und zu verpflichten. Dies betrifft alle Anwälte, wobei für in Europa grenzüberschreitend tätige Kanzleien aufgrund der Harmonisierung durch die DSGVO eine Erleichterung eintritt. Ein(e) Datenschutzbeauftragte(r) ist nunmehr zu benennen, wenn die Kanzlei mindestens zehn Personen ständig mit der Datenverarbeitung beschäftigt, andernfalls ist die Aufgabe durch die Kanzleileitung als verantwortliche Stelle selbst wahrzunehmen.

Die Kanzlei sollte die datenverarbeitenden Systeme in Form eines Verfahrensverzeichnisses niedergelegt haben und muss dieses jetzt als Verzeichnis von Verarbeitungstätigkeiten führen. Dieses umfasst eine Risikobewertung für die Verarbeitung der personenbezogenen Daten und eine Bewertung des Erfordernisses der Erhebung und der Verarbeitung an sich sowie den Zeitpunkt der möglichen Löschung, die sog. Datenschutzfolgenabwägung (Privacy Impact Assessment – PIA).

Ferner ist zu analysieren, welche dritten Dienstleister mit in die Verarbeitung von personenbezogenen Daten einbezogen sind. Mit diesen ist aus datenschutzrechtlicher Sicht eine neue Auftragsverarbeitungsvereinbarung (AVV) – vormals Auftragsdatenverarbeitungsvereinbarung (ADV) – abzuschließen. Bestandteil der AVV ist wiederum die Darstellung der zur Wahrung der IT- und Datensicherheit getroffenen technischen und organisatorischen Maßnahmen, wobei aber über die standardisierte Anlage TOM (technische und organisatorische Maßnahmen nach Anlage zu § 9 BDSG) hinaus ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung aufzunehmen ist. Neu ist, dass die datenverarbeitende Stelle dem Betroffenen zur Rechenschaft über die ergriffenen Maßnahmen verpflichtet ist, d.h. es muss im Zweifel der Nachweis geführt werden, dass die Maßnahmen geeignet waren und tatsächlich umgesetzt wurden, wenn ein Betroffener sich mit dem Vorwurf eines vermeintlichen Datenschutzverstoßes an die Anwaltskanzlei wendet. Auftragsverarbeiter haben einen Datenschutzbeauftragten zu benennen und sind ihrerseits mit In-krafttreten der DSGVO für den Schutz der Daten verantwortlich – neben der „Herrin der Daten“, in diesem Fall die Anwaltskanzlei. Die Vereinbarung mit dem Auftragsverarbeiter kann nach der Gesetzesänderung zukünftig in Textform erfolgen und hat neben der Verpflichtung auf den Datenschutz auch die Verpflichtung auf die Vertraulichkeit aus berufs- und strafrechtlicher Sicht zu umfassen.

Die DSGVO bringt umfangreiche Verpflichtungen mit sich, den Betroffenen zu informieren, wenn personenbezogene Daten nicht bei ihm selbst erhoben werden. Zudem besteht eine Auskunftspflicht über die erhobenen, verarbeiteten bzw. gespeicherten Daten sowie deren etwaige Löschung. Hier stellt § 33 Abs. 1 Ziffer 2 a) DSAnpUG-EU klar, dass eine Informationspflicht über die Erhebung bei Dritten im Falle der Datenerhebung zur Durchsetzung von zivilrechtlichen Ansprüchen nur im Ausnahmefall besteht, wenn die Interessen des Betroffenen überwiegen. Art. 14 Abs. 5 d) DSGVO stellt klar, dass die Informationspflicht immer dann nicht besteht, wenn die betreffenden Daten dem Berufsgeheimnis nach dem EU-Recht oder dem Recht des Mitgliedstaates unterliegen. Sofern keine Informationspflicht besteht, besteht auch kein Auskunftsrecht nach Art. 15 DSGVO, wie § 34 Abs. 1 Ziffer 1 DSAnpUG-EU festlegt.

§ 29 Abs. 3 DSAnpUG-EU gibt vor, dass die Untersuchungsbefugnis der Datenschutzaufsichtsbehörden dort endet, wo dies zu einem Verstoß gegen die Geheimhaltungspflichten der untersuchten Kanzlei – auch bei deren Auftragsverarbeiter – führen würde. Mandatsdaten, die der Aufsichtsbehörde im Rahmen einer solchen Untersuchung zur Kenntnis gelangen würden, unterlägen auch der Geheimhaltungspflicht der Aufsichtsbehörde.

mehr...

Dr. Astrid Auer-Reinsdorff, Berlin / Lisboa Rechtsanwältin und Fachanwältin für IT-Recht, Vorsitzende davit und Vorstandsmitglied des Deutschen Anwaltvereins sowie des Berliner Anwaltsvereins, www.dr-auer.de


Cybercrime – eine zunehmende Gefahr auch für Kanzleien

Internet, E-Mail und Telefonie sind längst zu einem Kommunikationsstandard geworden, ohne den i.d.R. weder der Anwalt noch seine Mandanten auskommen können. Ein Verzicht darauf und die vollständige Rückkehr zur Papierkommunikation sind, nicht zuletzt aufgrund des hohen Integrationsgrades dieser Techniken in die Prozesse von Kanzleien, nahezu undenkbar.

Mit zunehmender Sensibilisierung für die Belange des Datenschutzes und der Datensicherheit wurden auch in Anwaltskanzleien in den letzten Jahren erhebliche Anstrengungen unternommen, um die Daten der Mandanten zu sichern. Dabei ist aber die Entwicklung auf der Seite potenzieller Angreifer ebenfalls nicht stehengeblieben.

Gerade vor dem Hintergrund immer ausgefeilter werdender Betrugs- und Angriffsszenarien, wird es zunehmend schwierig, kriminelle Attacken gegen die Kommunikationseinrichtungen der Kanzlei abzuwehren.

In jüngster Vergangenheit sind Fälle bekannt geworden, in denen sogar auf offene Stellen, die durch Kanzleien ausgeschrieben wurden, im Betreff von E-Mails Bezug genommen wurde. Teilweise handelte es sich bei den angeblichen Absendern sogar um real existierende Personen und um potenzielle Bewerber. Wenn dann aber der E-Mail-Anhang geöffnet wurde und der Empfänger eigentlich die Unterlagen des Bewerbers erwartete, waren die Datenbestände der Kanzlei verschlüsselt und ein Lösegeld wurde gefordert. Wie das Beispiel zeigt, wird die Vorgehensweise dieser Kriminellen immer professioneller. Selbst IT-Profis sind bereits Opfer solcher Attacken geworden wobei für sie i.d.R. der Schaden überschaubar bleibt, weil entsprechende Präventivmaßnahmen getroffen wurden. Der Schaden solcher Aktivitäten besteht jedoch nicht nur in der Erpressung oder in der Zerstörung von Datenbeständen, sondern insbesondere auch darin, dass das Grundvertrauen in Medien zerstört wird, ohne die effizientes Arbeiten kaum mehr möglich ist.

Wie kann sich aber der Anwalt vor solchen Attacken wirksam schützen?

Der beste Schutz gegen Datenverlust ist eine gut durchdachte Datensicherung. Dabei reicht es nicht, die Sicherung über ein verbundenes Laufwerk auf ein anderes Gerät (z.B. NAS) zu kopieren, denn einige Viren verschlüsseln auch die Inhalte sämtlicher verbundener Laufwerke, was den Wert einer Datensicherung in diesem Fall deutlich reduzieren dürfte. Eine Datensicherung sollte am besten täglich oder mehrfach täglich erfolgen. Man kann diese durchaus auf ein verknüpftes Netzlaufwerk schreiben, sollte aber die Sicherung jeweils zusätzlich auf ein Offline-Medium (z.B. externe Festplatte) kopieren, das dann außerhalb der Räumlichkeiten oder in einem speziellen Brandschutztresor gelagert wird. Im Fall einer Verschlüsselung von Daten ist es wichtig, ein möglichst aktuelles Sicherungsmedium zur Verfügung zu haben, das nicht von der Cyberattacke betroffen ist.

Cyberangriffe beschränken sich jedoch keinesfalls auf die Verschlüsselung von Daten, es werden auch zunehmend Telefonanlagen missbraucht, um damit kostenpflichtige Anrufe bei Nummern z.B. im Nahen Osten zu tätigen.

In jedem Fall ist es sinnvoll, eine für professionelle Zwecke geeignete Firewall zu verwenden. Entsprechende Geräte können bereits technisch zumindest einen Teil drohenden Unheils abwenden.

Zusätzlich zu zahlreichen technischen und organisatorischen Maßnahmen, mit denen man sich gegen die Folgen von Cyberkriminalität absichern kann, ist i.d.R. eine sogenannte Cyberpolice, also eine Versicherung gegen die Folgen eines Cyberangriffs, empfehlenswert.

Wer mehr zu dem Thema erfahren möchte, dem sei die kostenlose eBroschüre „Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten“ empfohlen.

mehr...

Dr. Thomas H. Lenhard ist Sachverständiger für IT und Datenschutz und Geschäftsführer der medi-ip dataprotectUG in Bonn. 2011 wurde Dr. Lenhard vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein als Sachverständiger für IT-Produkte (technisch) akkreditiert. In den Jahren
2014 und 2015 folgten die Anerkennungen als Sachverständiger für das Europäische Datenschutzsiegel und für das Datenschutzsiegel Mecklenburg-Vorpommern. Im März 2016 war Dr. Lenhard beim Saarländischen Landtag als Kandidat zur Wahl des Landesbeauftragten für Datenschutz und Informationsfreiheit nominiert. Er ist u.a. Co-Autor der kostenlosen E-Broschüre »Datenschutz und Datensicherheit inder Rechtsanwaltskanzlei.«


Auf dem Weg zur digitalen Anwaltskanzlei - was Sie vom beA erwarten können und worum Sie sich jetzt kümmern sollten 

Viele Kolleginnen und Kollegen hatten darauf gewartet, endlich Ihre elektronische Kommunikation über das beA abwickeln zu können. Hier wären Ihnen einige Haftungsrisiken und Sorgen im Hinblick auf Vertraulichkeit der Kommunikation mit Gerichten, Behörden und Gegenanwälten und -anwältinnen sowie Korrespondenzkolleginnen und -kollegen genommen worden. „beA Digital. Einfach. Sicher.“ lautet die Marke, unter der das besondere elektronische Anwaltspostfach auf der Website der BRAK offeriert wird. Leider ist es gerade besonders schwierig, die beiden Anforderungen einfach und sicher technisch umzusetzen. Die Einhaltung von höheren IT-Sicherheitsstandards insbesondere beim Einsatz von Verschlüsselungstechnologien bedeutet regelmäßig mehr Aufwand beim Nutzer durch höhere Anforderungen an seine sichere Anmeldung am System und/oder den Einsatz von Schutzmechanismen hinsichtlich der übermittelten Dateien und Informationen. Je einfacher dies umgesetzt werden soll, desto kostenintensiver werden die Systeme. Dies umso mehr, als in der Anwaltskanzlei typischerweise mehrere Personen auf dieselben Informationen zugreifen können müssen – und zwar lückenlos und fehlerfrei.

Die hochgesteckten Ziele bei der Umsetzung des beA haben jetzt erst einmal zum Abbruch dessen Einführung geführt. Zeit gewonnen also für die Kolleginnen und Kollegen, die sich ohnehin nicht recht damit anfreunden wollten, einen weiteren Kommunikationskanal in ihrer Kanzlei zu eröffnen. Für alle – BRAK, Lösungsanbieter für die Kanzlei und die Anwaltschaft – eröffnet dies die Möglichkeit, die Pause zu nutzen und die Schnittstellen zu den weiteren Lösungen in der Kanzlei und insbesondere die Frage der Archivierung der beA-Nachrichten und deren Weiterleitung an die Mandanten, Zeugen, Sachverständigen, Gerichtsvollzieher und weiteren Beteiligten zu bewältigen.

Leider hört die Sicherheit des beA da auf, wo ein Großteil der elektronischen Kommunikation in der Kanzlei beginnt. Das beA bietet nicht etwa ein Archivsystem; es ist auch nicht geeignet, wie in der E-Mail-Anwendung die eingehenden und ausgehenden Nachrichten dauerhaft vorzuhalten. Dies ist auch nicht der gesetzliche Auftrag. Umso wichtiger ist es, dass die Anbieter von Lösungen speziell für Anwaltskanzleien oder von Standardlösungen zur sichereren digitalen Kommunikation nunmehr mit viel zeitlichem Vorlauf die Schnittstelleninformationen zum beA erhalten. Sind diese Lösungen bei Einführung des beA noch nicht einsatzfähig, bedeutet dies praktisch, dass weitere organisatorische Vorkehrungen in der Kanzlei zu treffen sind, um die beA-Nachrichten

• zuverlässig zu exportieren

• lückenlos in der digitalen Akte zu archivieren

• nahtlos an die Mandanten und sonstigen Beteiligten weiterleiten zu können
  und

• dabei einen angemessenen Sicherheitsstandard einzuhalten, z.B. durch den
  Einsatz von De-Mail oder Verschlüsselungstools.

Solange die Mandanten weit überwiegend an der sicheren und vertraulichen Übermittlung der digitalen Nachrichten nicht mitwirken, bleibt es bei einem niedrigen Sicherheitsniveau auf Veranlassung der Mandanten. Wichtig ist aber, dass wir Kolleginnen und Kollegen in der Lage sind, bei Bedarf Lösungen anzubieten, und wir für die eigene Kanzlei eine Strategie entwickeln, wie die Mandanten – je nach Struktur des Mandantenstamms – zur Wahl eines sichereren Kommunikationswegs zu motivierensind und welches Tool zur Organisation der Kanzlei passt.

mehr...

Dr. Astrid Auer-Reinsdorff, Berlin / Lisboa Rechtsanwältin und Fachanwältin für IT-Recht, Vorsitzende davit und Vorstandsmitglied des Deutschen Anwaltvereins sowie des Berliner Anwaltsvereins, www.dr-auer.de


Machen Sie von Anfang an alles richtig – Aktenvernichtung

I. Problemstellung

Wie hat der Rechtsanwalt die im Rahmen der Berufsausübung anfallenden Daten zu vernichten?

Sind Mandantenakten vernichtungsreif oder ausgedruckte Schriftsatzentwürfe fertig überarbeitet, dürfen diese nicht einfach in den Altpapiercontainer geworfen werden. Erinnert sei an dieser Stelle an § 203 StGB, der das Mandatsgeheimnis grundsätzlich zeitlich unbeschränkt vor der unbefugten Offenbarung durch den Rechtsanwalt schützt.

II. Vernichtung durch den Rechtsanwalt

Wer die Kenntniserlangung durch Dritte gänzlich verhindern will, der besorgt die Vernichtung seiner Handakten im eigenen Haus. Dabei ist darauf zu achten, dass die Akten so zerstört werden, dass eine Kenntnisnahme durch Dritte wirklich ausgeschlossen ist. Ein herkömmlicher Papierkorb reicht hier sicherlich nicht aus, denn dessen Inhalt landet wiederum in der Öffentlichkeit. Wer hier auf Nummer sicher gehen will, orientiert sich an den DIN-Normen EN 15713 und DIN 66399 und greift auf Aktenvernichter der Sicherheitsstufe P-4 oder besser P-5 zurück. Vorsicht ist auch geboten, soweit es um die Vernichtung digitaler Akten geht. Hier werden „alte Computer“ oft zu leichtfertig als Elektroschrott entsorgt oder anlässlich der nächsten Sperrmüllsammlung auf die Straße gestellt. Auch dies geht selbstverständlich nicht, solange und soweit die auf diesen Rechnern vorhandenen Daten nicht zuvor „sicher“ gelöscht worden sind. Auch hier empfiehlt sich, die Datenträger und Festplatten der Kanzlei physisch zu zerstören. Im Übrigen betrifft dies auch Großkopierer, die in der Regel eine Festplatte enthalten und jeden Scan- bzw. Kopiervorgang speichern. Wer also eine sichere Datenvernichtung durchführen will, dem sei dringend das Studium der Hinweise zum sicheren Löschen von Daten des BSI empfohlen, die im Internet kostenfrei abgerufen werden können.

III. Vernichtung durch Dritte

Wer sich und seine Mitarbeiter nicht selbst an den Schredder stellen möchte, der kann auch auf externe Dienstleister zurückgreifen, die sich auf eine professionelle Aktenvernichtung spezialisiert haben. Mit Blick auf die strengen Vorgaben des § 203 StGB sollte die Auswahl dieser Dienstleister indes nicht allein mit Blick auf den Preis, sondern vor allem mit Fokus auf die Durchführung der beauftragten Vernichtung getroffen werden. Hier sollte in jedem Fall nur auf solche Dienstleister zurückgegriffen werden, die ihrerseits Gewähr für die Einhaltung der bereits benannten DIN-Vorgaben bieten. Entsprechende Zertifizierungen des Vernichtungsprozesses durch unabhängige Dritte, beispielsweise durch den TÜV oder auch das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein (ULD), können bei der Auswahl helfen. Die an den Dienstleister zu übergebenden Daten sollten in entsprechenden Sicherheitsbehältern bereitgestellt werden, die Übernahme der Daten ist zu protokollieren und es ist darauf zu achten, dass auch im Rahmen der Entladung der Sicherheitscontainer beim Dienstleister keine unberechtigte Kenntnisnahme durch Dritte erfolgen kann. Schließlich ist aus datenschutzrechtlicher Sicht der Abschlusseiner entsprechenden Auftragsdatenverarbeitungsvereinbarung zwingend erforderlich. Die meisten externen Dienstleister bieten auch die rechtssichere physische Vernichtung von Datenträgern, wie CDs, Festplatten, USB-Sticks usw. an. Wer – sei es bei der Vernichtung im eigenen Hause, sei es bei der Vernichtung durch Dritte – auf die Einhaltung der vorstehenden Standards achtet, wird dem anwaltlichen Berufsgeheimnis gerecht.

4 Regeln zur Aktenvernichtung

Regel 1: Zur Aktenvernichtung in der Kanzlei empfiehlt es sich,

Aktenvernichter der Sicherheitsstufe P-5 zu nutzen.

Regel 2: Zur Vernichtung digitaler Akten reichen weder das einfache Löschen noch das Formatieren der Festplatte aus. Letztere muss entweder physisch zerstört oder durch eine versierte Drittfirma gelöscht bzw. entsorgt werden.

Regel 3: Es sollten ausschließlich externe Dienstleister beauftragt werden, die die Gewähr für die Einhaltung der DIN-Vorgaben bieten und entsprechende Zertifizierungen vorweisen können.

Regel 4: Die Vorgaben zur Übergabe der Akten und Daten an externe Dienstleister sind einzuhalten, wobei die Übergabe zu protokollieren und eine Auftragsdatenverarbeitungsvereinbarung abzuschließen ist.
mehr...

Rechtsanwalt Dr. Robert Kazemi ist Autor zahlreicher Fachpublikationen zum Datenschutzrecht, wie bspw. Datenschutz in der anwaltlichen Beratung, Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei oder Daten- und Aktenvernichtung in der Anwaltskanzlei.



Lorem ipsum dolor sit amet, consectetur adipiscing elit. Curabitur pharetra dapibus pharetra. Donec interdum eros eu turpis pharetra et hendrerit est ornare. Etiam eu nulla sapien. Nullam ultricies posuere nunc, eget mollis nulla malesuada quis.