Cloud Computing in der Anwaltskanzlei

| Cloud Computing hat sich in den letzten Jahren von einem „hippen“ Schlagwort zu einem Geschäftsfeld mit vielen praktischen Anwendungen und Anbietern entwickelt. Rechtsanwälte müssen vor allem die datenschutzrechtliche Problematik beachten. Zudem gilt aufgrund standesrechtlicher Regelungen besondere Vorsicht. |

1. Begriff

Cloud Computing bedeutet, dass IT-Dienstleistungen (Datenverarbeitungsressourcen) über ein Netzwerk, meist das Internet, erbracht werden. Man unterscheidet insoweit mehrere Kategorien: Nutzung von Software „Software as a Service“ (SaaS), die Bereitstellung von IT-Infrastruktur „Infrastructure as a Service“ (IaaS), die wiederum als „Plattform as a Service“ (PaaS) und „Hardware as a Service“ (HaaS) unterschieden werden kann. Dass die eigentliche Datenverarbeitung sich häufig gar nicht auf dem eigenen Rechner vollzieht, ist nicht allen Nutzern bewusst.

2. Allgemeine Vor- und Nachteile

Cloud-Anwendungen dienen allen voran der Kostenersparnis. Anwender können ihre IT-Infrastruktur minimalisieren. Neuanschaffungen, Installation, Wartungen oder ein eigener Server(raum) können gegen eine vergleichsweise geringe Vergütung gespart werden. Der Anwender hat dabei meist die Sicherheit, stets aktuelle Software oder Hardware zu nutzen. Reizvoll kann außerdem der mobile Zugriff auf die Cloud sein.

Die Nachteile korrespondieren mit den Vorteilen: Indem die Cloud weltweit verfügbar ist, ist sie schwer greifbar und kontrollierbar. Mit dem Kontrollverlust kann zudem eine zumindest gefühlte Abhängigkeit einhergehen.

3. Spezielle Fragestellungen für Rechtsanwälte

Die datenschutzrechtlichen Anforderungen stellen die größten Probleme für den Rechtsanwalt dar. Möchte ein Rechtsanwalt z.B. elektronische Akten auf einem Server eines Cloud-Dienstleisters speichern, findet § 11 BDSG Anwendung, der die sogenannte Auftragsdatenverarbeitung regelt. Werden hiernach personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber (der Rechtsanwalt) für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Außerdem muss der Auftraggeber den Auftragnehmer (Diensteanbieter) unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen.

Die Auftragsdatenverarbeitung erfordert einen schriftlichen Vertrag (Auftrag), in dem detailliert dessen Gegenstand und Dauer, Umfang, Art, und Zweck der Datenverarbeitung sowie bestimmte Rechte und Pflichten, festzulegen sind.

Achtung | Außerhalb Deutschlands gilt ein angemessenes Schutzniveau nur innerhalb von EU und EWR und in wenigen anderen Ländern, die dies von der Europäischen Kommission bescheinigt bekommen haben. Liegen diese Voraussetzungen nicht vor, ist nichtsdestotrotz eine Auftragsdatenverarbeitung möglich. Der Auftragnehmer muss jedoch entsprechend verpflichtet werden. Die Kommission hat zu diesem Zweck Standardvertragsklauseln formuliert, die ein angemessenes Schutzniveau garantieren (http://export.gov/safeharbor/). Darüber hinaus können sich Unternehmen in den USA durch das sogenannte Safe Harbor Agreement zwischen der EU und den USA vom US Handelsministerium als „sichere Häfen“ zertifizieren lassen (http://export.gov/safeharbor/). Aber auch hier muss ein Auftragsdatenverarbeitungsvertrag geschlossen werden.

Da der Rechtsanwalt bei der Auftragsdatenverarbeitung verantwortliche Stelle im Sinne des BDSG bleibt, können ihn haftungsrechtliche Konsequenzen, Bußgelder oder Anordnungen durch die Aufsichtsbehörde (§38 Abs. 5 BDSG) oder die Informationspflicht nach § 42a BDSG treffen.

Die Cloud muss zudem „mandantenfähig“ sein (s.u., Orientierungshilfe „Mandantenfähigkeit“). Das heißt, dass die verschiedenen Mandantenbereiche zuverlässig getrennt und zugeordnet werden können. Dies ergibt sich auch aus dem datenschutzrechtlichen Trennungsgebot, wonach zu gewährleisten ist, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Rechtsanwälte sind zudem gemäß § 50 BRAO standesrechtlich dazu verpflichtet, stets ein geordnetes Bild ihrer Tätigkeit zu 
haben. Nicht ausreichend getrennte Datenbestände der Mandanten scheinen hiermit unvereinbar zu sein.

Der Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten des 
Bundes und der Länder hat hierzu die Orientierungshilfe „Mandantenfähigkeit“ erlassen (http://www.iww.de/sl293), die u.a. fünf Kontrollpunkte 
beschreibt: