Cloud-Tipps für Juristen

Mit Recht in die Datenwolke

27.08.2015
Von 


Volker Oboda ist Geschäftsführer und Mitgründer des Hamburger Sync-& Share-Unternehmens TeamDrive und beschäftigt sich daher seit Jahren mit den Themen IT-Sicherheit und Verschlüsselung. Er blickt auf eine jahrzehntelange Laufbahn in verschiedenen Führungspositionen im Bereich Management Sales und Management in weltweit tätigen Unternehmen wie SNAP oder SEIKO Precision (Europe) zurück.
Der flexiblen Verwendung von digitalisierten Akten steht die erhöhte Gefahr der Verletzung von Privatgeheimnissen gegenüber. Dieser Beitrag liefert Tipps für Juristen, die diese beim Einstieg in die Cloud beachten sollten.

Grundsätzlich unterliegen alle personenbezogenen Informationen dem Datenschutz. Das Bundesdatenschutzgesetz (BDSG) wahrt das Recht anderer auf den Schutz ihrer persönlichen Daten. Für Mandantendaten gilt zusätzlich dazu die berufsständische Verschwiegenheitspflicht.

Als Berufsgeheimnisträger im Sinne des § 203 des StGB sind Anwälte damit verpflichtet, für den Schutz der hochsensiblen Informationen ihrer Klienten besondere Sorge zu tragen. Gemäß § 11 BDSG bleibt der Auftraggeber auch dann weiterhin verantwortlich, wenn er die Daten durch dritte Parteien verarbeiten lässt und muss im Fall der Verletzung des Datenschutzes etwaige Bußgelder tragen.

Das digitale Outsourcing der Daten durch Nutzung von Cloud Computing-Systemen bedeutet keinesfalls eine Befreiung von datenschutzrechtlichen Bestimmungen für den Anwalt oder die Kanzlei.
Das digitale Outsourcing der Daten durch Nutzung von Cloud Computing-Systemen bedeutet keinesfalls eine Befreiung von datenschutzrechtlichen Bestimmungen für den Anwalt oder die Kanzlei.
Foto: Sebastian Duda - Fotolia.com

Wollen Juristen dennoch den Komfort der Cloud nutzen und gleichzeitig den möglichen Sicherheitsrisiken aus dem virtuellen Raum vorbeugen, sollten sie unbedingt folgende Aspekte im Hinterkopf behalten:

1. Der sichere Weg in die Datenwolke

Bereits vor dem Transport der Daten in die Cloud ist ein Höchstmaß an Sicherheit geboten. Aus diesem Grund müssen Informationen noch vor ihrem Upload verschlüsselt und damit sicher gemacht werden.

2. Qual der Wahl: Das richtige Cloud-Modell

Grundsätzlich gilt: Kanzleien sollten von der Verwendung von Public-Lösungen absehen. Besonders geschäftskritische Anwendungen sollten entweder auf den eigenen Server oder auf den sicheren Server externer, spezialisierter Anbieter ausgelagert werden. Dabei gibt es für beide Lösungen unterschiedliche Vor- und Nachteile, die beachtet werden sollten:

Der eigene Server bietet mehr Kontrolle darüber, was mit den auf ihm gelagerten Daten passiert und erlaubt eigenständige Entscheidungen über die eingesetzte Software oder die Gestaltung der Infrastruktur. Das Thema der Weitergabe personenbezogener Daten wäre somit auch erledigt.

Demgegenüber verfügen externe Cloud-Anbieter nicht nur über enorme Speicherkapazitäten, sondern gewinnen auch beim Preisvergleich. Eingespart werden die Hardware-, Software- und Wartungskosten sowie das benötigte Know-how. Zu den weiteren Vorteilen gegenüber den Inhouse-Lösungen gehören der begrenzte Zugang zum Rechenzentrum, eine kontinuierliche Datensicherung und Sicherheitsstandards eines professionellen Serveranbieters.

Welcher Weg für eine Kanzlei der richtige ist, lässt sich letztlich nicht pauschal sagen - Vor- und Nachteile beide Lösungen sollten individuell abgewogen werden.

3. Standortentscheidung: Wo sitzt mein Anbieter?

Grundsätzliche Vorsicht ist bei der Wahl des richtigen Cloud-Anbieters geboten. Dabei gilt zu beachten, dass sich die Datenschutzregelungen von Land zu Land unterscheiden. Eine Vielzahl von Branchengrößen sind in den USA beheimatet, gemessen an deutschen Verhältnissen regelt die US-amerikanische Regierung den Datenschutz eher unzureichend. US-Anbieter garantieren keine vollständige Verschlüsselung und können auf die Daten zugreifen.
Gleiches gilt auch für US-Behörden, die keine richterliche Anordnung benötigen, um auf Informationen von inländischen Servern zuzugreifen. Cloud-Giganten wie Microsoft, Apple und Amazon sind daher aus Datenschutzsicht mit Vorsicht zu genießen.

Doch auch wenn Europa in datenschutzrechtlichen Fragen wesentlich besser aufgestellt ist, die Richtlinien variieren von Land zu Land. Deutsche Anwaltskanzleien sind gut beraten, wenn sie sich für einen lokalen Anbieter entscheiden, der deutschen Gesetzen unterliegt und garantieren kann, dass die Daten auf den Servern innerhalb der EU und am besten direkt in Deutschland gespeichert werden.

4. Auf der sicheren Seite durch Revisinssicherheit

Die von Anwälten genutzten Cloud-Lösungen müssen revisionssicher sein. Die Revisionssicherheit ist ein wichtiger Bestandteil der IT-Compliance, also der Einhaltung der Gesetzen, Regeln und Vorschriften im IT-Bereich. Bei revisionssicheren Archivsystemen sind die gespeicherten Informationen datenbankgestützt wieder auffindbar, nachvollziehbar, unveränderbar und verfälschungssicher archiviert. Da die vom Gesetzgeber geforderte Revisionssicherheit jedoch nicht von allen Anbietern gewährleistet wird, muss auch dieser Aspekt bei der Wahl des Dienstleisters beachtet werden.

5. Verschlüsselung, Verschlüsselung, Verschlüsselung

Elementar wichtig ist, dass sensible Daten nach geltenden Sicherheitsanforderungen verschlüsselt werden. Dabei eignet sich besonders eine Kombination von verschiedenen Verschlüsselungsverfahren. Besonders sicher ist die Ende-zu-Ende-Verschlüsselung mit einer Kombination aus AES-256-Algorithmus und einem PGP-Verfahren mit RSA 2048/3072. Somit ist das gesetzeskonforme Speichern, Synchronisieren und Teilen von Daten und Dokumenten gewährleistet, die den besonderen Anforderungen des Berufsstandes als Geheimnisträger nach § 203 StGB unterliegen.

6. Gütesiegel bieten Orientierung

Auf der Suche nach passenden Cloud-Lösungen begegnen Unternehmen mittlerweile einer Flut an Informationen und verschiedenen Anbietern. Anerkannte Auszeichnungen und entsprechende Gütesigel für Datenschutz und Co. helfen dabei, eine kompetente Entscheidung über die Wahl des geeigneten Anbieters zu treffen.

7. Transparenz durch interne Regeln

Egal für welche Art der Datenspeicherung und -verwendung sich Kanzleien letztlich entscheiden, sollten intern klare Richtlinien vereinbart werden, die den gesamten Datenumgang regeln. Das gilt insbesondere bei Bring Your Own Device (BYOD)-Policies: Wird es Mitarbeitern ermöglicht, eigene Endgeräte wie Smartphones, Tablets oder Laptops zu nutzen, sind klare Regeln unabdingbar, um den fahrlässigen Umgang mit sensiblen Daten zu vermeiden. (bw)

»

Best in Cloud 2015

Die ganze Cloud-Community gibt’s nur bei uns! 

Seien Sie am 17. September bei Best in Cloud dabei und sichern Sie sich einen Platz in der ersten Reihe! Interessiert? Dann klicken auf unsere Website: www.best-in-cloud.de!