Risiko bei cloudbasierter Bürosoftware minimieren

| ChatGPT rückt die Microsoft-365-Bürosoftware Office in den Fokus, da sie sich auch cloudbasiert nutzen lässt. Die Datenschutzkonferenz hatte Ende 2022 entschieden, dass deutsche Unternehmen Microsoft 365 weiterhin nicht DS-GVO-konform nutzen können ( iww.de/s7922 ). Angesichts ihres strengen Berufsrechts müssen Anwälte hier deshalb besonders vorsichtig sein. Rechtsanwalt und zertifizierter Datenschutzbeauftragter Kai Klebba ( iww.de/s7923 ) geht im Interview auf die datenschutz- und datensicherheitsrelevanten Aspekte der Kommunikationsmittel und IT einer Kanzlei ein. |

Frage: Vor allem während der Pandemiezeit haben viele Juristen mit cloudbasierten Angeboten wie Zoom oder Teams gearbeitet. Ist das für Juristen grundsätzlich ein Problem in Sachen Datenschutz?

Antwort: Mittlerweile wurden viele Systeme nachgebessert, was den Datenschutz angeht. Ich halte es so, dass ich mich mit Mandanten auch in Zoom-Meetings austausche: Ich weise auf die rechtliche Lage hin und wenn der Mandant einverstanden ist, lasse ich mich auch darauf ein.

FRAGE: Microsofts Office-Suite ist in Wirtschaft und Verwaltung weit verbreitet. Viele verwenden das cloudbasierte Microsoft 365 und die einzelnen Apps. Machen sich Kanzleien vorher ausreichend Gedanken um den Datenschutz?

ANTWORT: Häufig entscheiden Anwälte das gar nicht bewusst selbst, sondern in erster Linie IT-Verantwortliche oder Administratoren, die diesen Job machen. Deshalb werden Kanzleien auch häufig gar nicht gefragt, ob sie nun mit der klassisch auf dem PC installierten Version von Office oder mit dem cloudbasierten Microsoft 365 arbeiten wollen. Der Griff zu Microsoft 365 passiert da relativ schnell und ich glaube auch, dass viele Kanzleien damit arbeiten. Dass das datenschutzrechtlich problematisch ist, ist allen klar.

FRAGE: Grundsätzlich kann man doch mit Auftragsverarbeitungsverträgen berufs- und mandantenbezogene Daten schützen?

ANTWORT: Aus meiner Erfahrung kümmert sich fast kein IT-ler von sich aus um den Abschluss solcher Verträge. Hier muss der Anwalt selbst aktiv werden. Ich bin allerdings der Meinung, dass man mit solchen Vereinbarungen nicht hundertprozentig auf der sicheren Seite ist. Da müsste man letztlich bei Microsoft nachfragen und die Verarbeitungsprozesse kontrollieren.

FRAGE: Was empfehlen Sie Juristen konkret?

Antwort: Office-Programme sollten auf Laptops und PCs als installierte Version verwendet werden, ohne Anbindung an die Microsoft-Server. Dateien, z. B. in Word oder Excel, sollten auf den eigenen Rechnern und nicht bei OneDrive gespeichert werden. Das gilt ebenso für E-Mail-Programme. Bei der Auswahl seiner Cloud sollte man auf europäische bzw. ISO-zertifizierte deutsche Server achten ‒ hier sollten dann auch alle Back-ups der Kanzlei landen. Diese Praxis sollte man übrigens auf seiner Website bzw. dem Mandanten gegenüber als Qualitätsmerkmal kommunizieren, also mit welchen Programmen und Dienstleistern man arbeitet. Die Kanzlei signalisiert so gegenwärtigen und potenziellen Mandanten, dass sie mit seinen Daten so sicher wie nur möglich umgeht und diese schützt.

FRAGE: Kümmern sich Kanzleien stärker um digitale Sicherheit als früher?

Antwort: Ich habe dazu viel mehr Anfragen als noch vor einigen Jahren. Viele Mandanten haben in den letzten Jahren mitbekommen, dass auch Anwaltskanzleien das Ziel von Hackerangriffen werden können (Abruf-Nr. 47697573 ). Tendenziell achten Kanzleien bei Cloudspeichern auf Serverstandorte und machen sich um den Datenschutz Gedanken. Mit der ausgewählten Datentechnik zeigen Anwälte ein Gefahrenbewusstsein bzw. Sensibilität für Datenschutz.

FRAGE: Ist dies weniger technikaffinen Anwälten oder Kanzleimitarbeitern auch ohne externe Fachleute möglich?

ANTWORT: Das ist mittlerweile recht einfach. Viele Anbieter werben mit DS-GVO-konformen Cloudspeichern bzw. Software und erklären ihre Sicherheitsstandards. Da kann man leicht geeignete Angebote im Internet für die Kanzlei recherchieren und zusammenstellen.

FRAGE: Pusht der aktuelle KI-Hype das Thema Datenschutz noch einmal?

ANTWORT: Ich glaube nicht, dass der Hype um ChatGPT (Abruf-Nr. 49259750 ) oder Dall-E eine ähnlich große datenschutzrechtliche Diskussion lostritt wie die DS-GVO (Abruf-Nr. 49303867 ). Die war damals der wesentliche Impuls dafür, dass der Datenschutz in der Berufsgruppe eine neue Bedeutung gewonnen hat, vom Nischenbereich hin zu einer echten „Hausnummer“. Kanzleien haben heute mitunter große Privacy-Abteilungen ‒ das wäre früher undenkbar gewesen.

FRAGE: Kommen dabei Gefahren auch aus einer unerwarteten Ecke?

ANTWORT: Ich kenne Fälle, in denen der Mandant selbst für datenschutzrechtliche Probleme sorgt, also als Betroffener, indem er Auskunftsansprüche gegenüber der Kanzlei geltend macht oder eine Kanzlei beim zuständigen Landesdatenschutzbeauftragten anschwärzt. Oder ehemalige Angestellte nehmen den Datenschutz als Vehikel, um die Kanzlei als ehemaligen Arbeitgeber „zu ärgern“. Die Folgen, die daraus resultieren, können bei Kanzleien, die sich um den eigenen internen Mitarbeiterdatenschutz nicht ausreichend kümmern, durchaus einen größeren Aufwand nach sich ziehen.

Vielen Dank, Herr Klebba!

Weiterführende Hinweise

• Der TOM-Faktencheck zu Server, Drucker, Passwörtern und Co. im Notariat und in der Kanzlei (mit Checkliste), AK 23, 60

• DSK Datenschutzkonferenz 11/2022: Einsatz von Microsoft 365 (iww.de/s7922)

• Handelsblatt (29.11.22): Cloud-Computing: reagiert auf Microsoft und Google ‒ und verspricht mehr Kontrolle über Cloud-Daten (iww.de/s7925)

• Wenn Anwälte mit dem Kopf in die Wolke streben, AK 21, 47