IT-Sicherheit und Datenschutz in der Kanzlei, Beitrag von Dr. Sebastian Kraska

Das Thema IT-Sicherheit rückt gerade durch die EU-Datenschutzgrundverordnung in den Fokus der Unternehmen. Dies schließt in gleicher Weise Rechtsanwaltskanzleien ein, die zur Gewährleistung der Vertraulichkeit von Mandanteninformationen ein besonderes Augenmerk auf sichere IT-Systeme legen müssen.

Rechtsanwaltskanzleien sind daher verpflichtet, grundlegende IT-Standards zu beachten. Das Bundesdatenschutzgesetz („BDSG“) verpflichtet datenverarbeitende Betriebe in § 9 BDSG bzw. in der konkretisierenden Anlage dazu, die „innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird“. Dabei werden insb. Maßnahmen zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Datentrennung und Verschlüsselung erwähnt. Auch die EU-Datenschutzgrundverordnung kennt mit Artikel 32 eine vergleichbare Verpflichtung zum Einsatz von dem Stand der Technik entsprechenden IT-Systemen.

Unabhängig von der nach wie vor kontrovers diskutierten Frage über das Ob und den Umfang der Anwendbarkeit des BDSG in Rechtsanwaltskanzleien bieten diese Vorschriften einen Empfehlungsrahmen für die Einhaltung gewisser IT-Standards, der allein schon aus Gründen der Wahrung von im Mandat anvertrauten Geheimnissen sowie dem Schutz vor Rufschädigung befolgt werden sollte.

Neben den standesrechtlichen Vorschriften verdient in diesem Zusammenhang zudem § 42a S. 1 Nr. 3 BDSG bzw. Artikel 33 der EU-Datenschutzgrundverordnung Erwähnung, wonach – vereinfacht zusammengefasst – im Fall des Verlustes personenbezogener Daten, die sich auf die (vermutete) Begehung strafbare Handlungen oder Ordnungswidrigkeiten beziehen, die Datenschutz-Aufsichtsbehörde sowie die Betroffenen zu informieren sind.

Die folgende Übersicht kann dabei als Anhaltspunkt zur Überprüfung der wichtigsten IT-Sicherheitsthemen dienen:

  • Zentrale IT-Systeme wie Server oder Telefonanlage sollten in einem eigenen verschließbaren Raum, zumindest aber in einem verschließbaren Serverschrank untergebracht sein. Es sollten nur Personen Zutritt zu IT-Systemen nehmen können, welche diesen für die Wartung oder Arbeit benötigen.
  • Die Systeme müssen regelmäßig (nach Möglichkeit automatisiert und täglich) gesichert werden. Die Sicherungsmedien sollten in einem eigenen Brandabschnitt separat vom System und gesichert (z.B. in einem feuerfesten Safe) verwahrt werden.
  • Unverzichtbar ist der Einsatz aktueller Betriebssysteme, Firewall-Lösungen und Antiviren-Software. Ferner muss sichergestellt werden, dass die Systeme (einschließlich darauf installierter Software) regelmäßig aktualisiert werden.
  • Es ist ferner zu gewährleisten, dass ausschließlich Nutzer auf die Daten zugreifen können, welche diese für ihre tägliche Arbeit benötigen. Es sollte daher über ein abgestuftes Berechtigungskonzept (z.B. Sekretariat, Praktikant, Referendar, Rechtsanwalt etc.) der Zugriff auf Ordnerstrukturen entsprechend reguliert werden.
  • Um Zugriff auf Systeme nehmen zu können ist ferner erforderlich, den entsprechenden Nutzer eindeutig (z.B. über Passwort und/oder andere Identifikationsmerkmale wie den Fingerabdruck) zuzuordnen. Passwörter sollten regelmäßig (in der Regel alle 90 Tage) geändert werden. Bei Systemen mit mehreren Nutzern kann diese regelmäßige Passwortänderung auch systemseitig erzwungen werden.
  • PC-Systeme sollten so eingestellt sein, dass nach einer bestimmten Zeit Inaktivität das System automatisch gesperrt und zur erneuten Freigabe die Eingabe des Passwortes erforderlich wird.
  • Werden Mandantendaten auch auf tragbaren Systemen (z.B. Laptops, USB-Sticks oder Smartphones) gespeichert, sollte auf verschlüsselte Systeme zurückgegriffen werden. Die meisten PC-Hersteller bieten gegen Aufpreis entsprechende Verschlüsselungsoptionen an. Alternativ kann auch auf Zusatzsoftware (z.B. die Software „BitLocker“ von Microsoft) zurückgegriffen werden.
  • Es sollte dem Mandanten die Möglichkeit geboten werden, bei der Nutzung von E-Mails zum Austausch vertraulicher Informationen entsprechende Verschlüsselungssoftware einzusetzen (z.B. durch Verwendung des Standards S/MIME). Sollte der Mandant dies nicht wünschen oder nicht über entsprechende technische Möglichkeiten verfügen, sollte dies schriftlich (z.B. bei der Mandatserteilung) festgehalten werden.
  • Unerlässlich ist ferner der Einsatz von Schreddern (mind. Sicherheitsklasse 4) oder vergleichbaren Lösungen, um eine datenschutzkonforme Vernichtung von Papierunterlagen zu gewährleisten. Zudem muss bei der Rückgabe von Leasinggeräten (z.B. Kopiergeräten) oder der Vernichtung von Altgeräten sichergestellt sein, dass die in diesen Geräten als Speicher verbauten Festplatten sachkundig gelöscht werden, damit eine Wiederherstellung der Daten ausgeschlossen werden kann.

Beim (in der Rechtsanwaltskanzlei angesichts von § 203 StGB umstrittenen) Einsatz von Dritt-Dienstleistern wie IT-Wartungsunternehmen, externen Hostinganbietern oder externem Büro-Service ist in jedem Fall darauf zu achten, dass entsprechend den Vorgaben von § 11 BDSG zur sogenannten „Auftragsdatenverarbeitung“ Regelungen insb. zu den Aspekten „Ort der Datenverarbeitung“, „Einsatz von Unterauftragnehmern“, „technisch/organisatorische Mindeststandards“ und „Mitteilungspflicht im Datenverlustfall“ getroffen werden.

Rechtsanwalt, Diplom-Kaufmann Dr. Sebastian Kraska (www.iitr.de), Externer Datenschutzbeauftragter, Mitglied im Beirat der ZD (Zeitschrift für Datenschutz)

Weitere Beiträge, Videos und Informationen zur Datenschutzgrundverordnung finden Sie  hier.

 

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.