Unter dem Eindruck der Anforderungen an die Dokumentation der Datenschutzorganisation mit Datenschutzhinweisen für die Mandatsbeteiligten und für die Website einschließlich der Auftritte in den Sozialen Medien, Verzeichnissen der Verarbeitungstätigkeiten, Auftragsverarbeitungsverträgen und angemessenen Schutzmaßnahmen ist so manche Anwaltskanzlei froh bereits 2018 die initialen Anforderungen aufgebaut und die Prozesse in den Alltag übernommen zu haben.
Schätze hüten und zugänglich machen
Dabei gerät manchmal aus dem Blick, dass Datenschutz nicht allein dem Schutz vor unberechtigter Kenntniserlangung, der Datensparsamkeit und Wahrung der Betroffenenrechte dient, sondern vor allem auch die Gewährleistung der Verfügbarkeit dazu gehört. Kernstück der anwaltlichen Arbeit sind die Sachverhaltsangaben, Beteiligtendaten, Fristen und Kommunikationsarchive sowie der eigene Wissenspool, die Recherche- und Vorlagensammlungen und die Abrechnungsdaten. In der groben Aufzählung wird schon offenbar, welchen Schatz es zu hüten gilt.
Worst Case oder vorbereitet?
Nach der DSGVO gehören zu den Schutzzielen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie die Fähigkeit, die personenbezogenen Daten und den Zugang zu diesen nach einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Dies erfordert die Umsetzung von technischen und organisatorischen IT-Sicherheitsmaßnahmen, die Investition in IT / TK und Schulung sowie das regelmäßige Review der Resilienz gegen Angriffe von außen und die Vermeidung interner Fehler. Hierzu gehört auch die Erprobung eines Datenverlustes und die Wiederherstellung aus dem Back-Up sowie die Unterrichtung über das richtige Verhalten bei IT-Notfällen. Ein solcher Vorfall ist auch das Öffnen einer Email mit einem Trojaner und das Wissen aller Beteiligten um die richtige Reaktion, die niemals aus schamvollem Schweigen besteht. Ist die Nutzbarkeit des Gesamtsystems gestört, gehören die Kontakt und Kundendaten zu den IT / TK Dienstleistern wie die Notfallnummern bei Unfall und Brand auf eine IT-Notfallkarte.
Top-Secret!
Das Mandatsgeheimnis verpflichtet zur besonderen Vertraulichkeit. Diese Anforderung ist es zuweilen, die Berufsträger davon Abstand nehmen lässt, zeitgemäße IT und Administration einzusetzen, um ihre Daten weiterhin nur auf lokaler Hardware und vor Zugriff dritter Dienstleister geschützt vorzuhalten. Zugegeben es ist nicht gerade ganz trivial die Dienstleister auf das Mandatsgeheimnis zu verpflichten, sofern es kein ohnehin auf die Anwaltschaft ausgerichteter Service ist. Der Aufwand lohnt, da seltener in den Kanzleien IT-Fachwissen vorhanden sein wird.
Wo und wie sind Daten sicher?
Das Berufsrecht hat den Weg zur digitalen Kanzlei frei gemacht und die Daten sind oftmals im Kanzleiserver – für den es zuweilen schon keinen geeigneten Diebstahlschutz gibt – nicht sicherer vor Angriffen als in einer durch einen Rundumservice abgesicherten Rechenzentrum, in dem Spezialisten rund um die Uhr alles dafür tun, Attacken und Ausfälle abzuwenden. Natürlich sind auch interne gut gepflegte IT-Systeme geeignet, aber die Realität wird mehr und mehr sein, dass sogenannte On-Premise Lösungen von Software nicht mehr verfügbar sind oder nicht mehr gepflegt werden, wobei sich hier dann das nächste Sicherheitsrisiko ergibt. Zu Betriebssystemen der Hardware – Server, Notebooks, Smartphones etc. – werden Sicherheitslücken laufend gefunden und nur das regelmäßige Aktualisieren kann vor dem Ausnutzen solcher Lücken schützen.
Immer und überall Zugriff auf alles
Interesse der Mandanten und der Kanzlei ist originär der laufende Zugriff auf die Daten zur zuverlässigen Wahrnehmung des Mandates und zur Wahrung der gerichtlichen Fristen. Sowie der Fristen im Legal Project Management mit den Mandanten – sowohl am Kanzleistandort als auch im mobilen Office (wenn vielleicht auch nicht wie kürzlich der brasilianische Kollege im Wiesn-Zelt). Dieser Komfort, Fluch oder Segen, jederzeit und allerorts die Mandate bearbeiten zu können, Druck- und Kommunikationskosten einzusparen und immer zu wissen, wo die Akte ist – jedenfalls nicht als Papierakte auf dem Rücksitz des PKWs über das Wochenende im Spa-Hotel – und wie der Bearbeitungsstand ist, erfordert neben einer professionellen IT/TK-Betreuung den Willen zur Kollaboration zwischen Berufsträgern und der Assistenz. Insofern ergeben sich neue interessante und zeitgemäße Arbeitsfelder für die Assistenz in der Kanzlei.
Wie bin ich vorbereitet?
Hierfür müssen sowohl die Verarbeitungssysteme mit einem Back-Up und die Infrastruktur stabil und redundant vorgehalten und aufrechterhalten werden. So gehört es zur Ausstattung einer Anwaltskanzlei neben der Telefonanlage noch hinreichend mit Mobiltelefonen und wie im kürzlich entschiedenen Fall beim Oberverwaltungsgericht NRW (Beschluss v. 6.7.2022 – 16 B 413/22) auch nach einem Sturmschaden und zu erwartender längerer Reparaturdauer die Möglichkeit auf einen mobilen Hotspot zurückzugreifen, um fristwahrend beA-Nachrichten einzureichen.
Über die Autorin:
Dr. Astrid Auer-Reinsdorff
ist Rechtsanwältin und Fachanwältin für Informationstechnologierecht (IT-Recht) in Berlin und Lisboa. Sie ist Mitherausgeberin des Handbuch IT- und Datenschutzrecht, der MMR und ZD Wissenschaftsbeirätin beim Verlag C.H.Beck, DGRI-Schlichterin, Mitglied des IT Committee CCBE und Redaktionsleiterin des Berliner Anwaltsblatts.
Dieser Beitrag ist erstmals in der NJW 47/22 erschienen.