Nutzungskontrolle: Compliance für die Kanzlei-IT

von Hans-Joachim Bickel, Leiter Produktmanagement und Service Rechtsanwaltsmarkt bei der DATEV eG, Nürnberg

Anwaltskanzleien wähnen sich beim Thema Compliance gerne auf der sicheren Seite. Und in derTat sind die meisten Kanzleien bei den Themen E-Mail-Sicherheit, Verschwiegenheitserklärungen und Firewalls gut gerüstet. Verkannt wird indes häufig, dass Datenschutz auch eine Festlegung verlangt, wer innerhalb der Kanzlei Dateien anlegen, einsehen und bearbeiten darf.

Compliance-Management sorgt für die Einhaltung gesetzlicher Bestimmungen, ethischer Standards und die Erfüllung regulatorischer Anforderungen. In einer Rechtsanwaltskanzlei ist ein wesentlicher Bestandteil davon das Berechtigungskonzept, das regelt, welcher Mitarbeiter für welche Daten, Funktionen und Informationen Zugriffsrechte besitzt. Dies ist in §9 des Bundesdatenschutzgesetzes (BDSG) geregelt, das Maßnahmen zum Schutz personenbezogener Daten definiert. Demnach soll gewährleistet werden, dass die bei Nutzung eines Programms zur Datenverarbeitung Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Ein Berechtigungskonzept zur Nutzungskontrolle ist für einen ordnungsgemaßen IT- Sicherheitsprozess sowie in der IT-Sicherheitsdokumentation ein absolutes Muss. Eine Nutzungskontrolle ermöglicht die Umsetzung, Verwaltung und Kontrolle von benutzerspezifischen Zugriffen und Rechten innerhalb der Kanzleiorganisation. Sie bestimmt, individuell oder gruppenübergreifend, welcher Benutzer welche Berechtigung erhält.

Sicherzustellen ist, dass die Kanzlei allen gesetzlichen Anforderungen gerecht wird und jeder Mitarbeiter nur die ihm zustehenden Berechtigungen besitzt. Denn jeder Mitarbeiter sollte nur die Mandanten sehen und die Programme nutzen, die für seine tägliche Arbeit relevant sind. Daher sollte der Kanzleiinhaber stets einen Überblick haben, wer über welche Berechtigungen verfügt und diese bei Veränderungen von Aufgaben auch entsprechend anpassen.

Berechtigungskonzept für größere Kanzleien

Bei kleineren Kanzleien vertreten sich die Mitarbeiter meist gegenseitig. Daher ist es legitim, wenn alle Mitarbeiter alle Daten einsehen und alle Programme nutzen. Anders sieht es bei mittelgroßen und großen Kanzleien aus. Denn je mehr Personal eine Kanzlei beschäftigt, desto bedeutsamer wird die Frage, wer in welche Dateien Einsicht nehmen kann und darf. Erfahrungen aus der Praxis zeigen, dass bei Kanzleien mit mehr als 15 Mitarbeitern häufig der Überblick fehlt und damit einhergehend ein Kontrollverlust droht.

Ist die Nutzungskontrolle zu unübersichtlich, werden die Berechtigungen zunehmend intransparent. Schnell ist nicht mehr nachvollziehbar, wer über welche Freigaben verfügt. Die Komplexitat der Nutzungskontrolle verführt nicht selten dazu, überhaupt keine Sperren zu setzen. Der IT-Sicherheitszustand wird dadurch stark beeintrachtigt. Kanzleien, die über verschiedene Standorte verteilt sind, stehen zudem oftmals vor dem Problem, die administrative Arbeitsteilung der einzelnen Standorte nicht genau trennen zu können. Ein dezidiertes Berechtigungskonzept hilft, den Überblick über die vergebenen Sperren bzw. Freigaben der Mitarbeiter in den einzelnen Programmen zu behalten.

Bei der Erstellung und Umsetzung eines Berechtigungskonzepts der Nutzungskontrolle von IT- Strukturen und -Programmen müssen einige konzeptionelle Vorentscheidungen getroffen werden. Denn eine wesentliche Eigenschaft eines Berechtigungskonzepts besteht darin, dass ein Anwender tatsächlich nur die Daten einsehen kann und Berechtigungen besitzt, die in seinen Verantwortungsbereich fallen.

Sperrprinzip oder Freigabeprinzip

Eine wichtige Weichenstellung ist, ob die Kanzlei die Berechtigung, Programme zu nutzen und Daten einzusehen auf Basis eines Sperrprinzips oder eines Freigabeprinzips einführen möchte.

Bei Anwendung des Sperrprinzips sind zunächst alle Anwendungen und Daten frei nutzbar und für jeden zugänglich. Der Administrator muss die gewünschten Sperren erst ausdrücklich setzen. Dies hat den Nachteil, dass in der Praxis Mitarbeiter häufig ungewollt viele Rechte haben, weil vergessen wird, Rechte zu sperren.

Beim Freigabeprinzip greift eine entgegengesetzte Logik: Zunächst sind alle Programme und Funktionen gesperrt. Es müssen alle gewünschten Funktionen und Programme ausdrücklich von einem Administrator freigegeben werden, bevor sie genutzt werden können. Dieses restriktive Vorgehen ermöglicht einen deutlich höheren Sicherheitsstandard. Es stellt sicher, dass jeder Mitarbeiter nur die Rechte hat, die er auch tatsächlich für seine Arbeit benötigt. Leider erweist sich dieses Verfahren als sehr umständlich. Wenn sich die Aufgaben eines Mitarbeiters erweitern, müssen neue Rechte stets erst beantragt und durch den Administrator vergeben werden.

Das Freigabeprinzip wird in der Regel in großen Kanzleien und in Kanzleien, die über verschiedene Standorte verteilt sind, eingesetzt, um eine administrativeTrennung der Tätigkeiten zu gewährleisten.

Technische und organisatorische Maßnahmen

Neben technischen Aspekten, sprich dem Setzen von Sperren oder Freigaben in den Programmen, sind insbesondere organisatorische und datenschutzrechtliche Maßnahmen zu beachten. Denn gerade unter Berücksichtigung der berufsspezifischen Verschwiegenheitspflicht bei Anwälten spielt die Gewährleistung der Sicherheit von Mandantendaten eine große Rolle. Zudem können kanzleispezifische Besonderheiten bei der Zuweisung von Rechten (z.B. für das Aktenkonto) besser berücksichtigt werden, beispielsweise durch das Sperren oder Beschränken von Mandantenakten für bestimmte Benutzergruppen. Auf Kanzleiebene ist sorgfältig zu evaluieren, welche Tätigkeiten anfallen, für die Rechte zu vergeben sind. Regelmäßig ist etwa zu klären, wer auf kanzleiinterne Daten zugreifen darf. Auch gibt es häufig VIP-Mandate, die nur von bestimmten Mitarbeitern eingesehen werden sollen. Wenn Klarheit besteht, welche Rollen und Gruppen es in einer Kanzlei gibt, kann in die Feinarbeit der Konzepterstellung eingestiegen werden.

Es empfiehlt sich, die Festlegungen des Berechtigungskonzepts zu dokumentieren. Denn nur wenn nachvollziehbar ist, welche Rollengruppen es gibt, können etwa neueMitarbeiter stringent eingegliedert werden.

Nutzungskontrolle in besonderen Fällen

Relevant ist die Nutzungskontrolle insbesondere bei Dezernatsakten, auf die nur die Mitarbeiter des jeweiligen Dezernats Zugriff haben sollen. Aber auch bei Privatakten oder Insiderakten spielt diese Zugangssicherung eine Rolle. Hier darf das Mandat nur einem eng definierten Mitarbeiterkreis zugänglich sein, beispielsweise wenn der Börsengang eines Unternehmens vorbereitet wird.

Quelle NJW 25/2015