Aufrufe
vor 2 Monaten

MkG-Spezial: Cyberschutz in der Anwaltskanzlei

  • Text
  • Dsgvo
  • Versicherung
  • Cyberangriff
  • Recht
  • Anwaltskanzlei
  • Datenschutz
  • Cyberschutz
Anwält*Innen sind schon immer zur Verschwiegenheit und Geheimhaltung verpflichtet. Doch im digitalen Zeitalter steigt die Häufigkeit von Cyber-Angriffen auch in Anwaltskanzleien. Genau hier setzt die Sonderausgabe des MkG-Fachinfo-Magazins (Mit kollegialen Grüßen) „Cyberschutz in der Anwaltskanzlei“ an. Der kompakte Leitfaden klärt sowohl über die wichtigsten Vorsichtsmaßnahmen als auch über die technischen Mindeststandards von IT-Sicherheit und Datenschutz in der Anwaltskanzlei auf: • Welche rechtlichen Pflichten haben Anwält*Innen in Sachen IT-Sicherheit? • Was sind die technischen Mindeststandards von IT-Sicherheit und Datenschutz? • Wann müssen Anwält*Innen haften? • Welche Rolle spielt hierbei die DSGVO? • Wann macht eine Cyberschutzversicherung Sinn? Eine praktische Checkliste der wichtigsten Sicherheits-vorkehrungen am Ende der Sonderausgabe hilft zusätzlich, die Empfehlungen zeitnah umzusetzen.

ANFORDERUNGEN

ANFORDERUNGEN ................................................................................................................................................................................................................... Diese Argumentation soll vor allem davor schützen, punktuelle übertriebene Investitionen zu tätigen. Bevor viel Geld in eine neue teure „Firewall“ gesteckt wird, sollte man selbst oder mithilfe eines IT-Sicherdass – trotz weit vorangeschrittener Digitalisierung – keinerlei relevante Verurteilungen veröffentlicht wurden. Aus dieser Perspektive gewinnt man den Eindruck, dass entweder Cybercrime vorwiegend außerhalb von Anwaltskanzleien stattfindet oder dass die durchschnittlichen Sicherheitsmaßnahmen von durchschnittlichen Anwälten häufig ausreichen. Wie ist diese Diskrepanz in der Beschreibung möglicher Risiken aufzulösen und wie soll ein einzelner Anwalt hierzu in der Lage sein? Von Interesse wären weitere Details, etwa von wem und wie oft E-Mails „mitgelesen“ werden oder in welchem Ausmaß versucht wird, eine Transportverschlüsselung oder eine „Ende-zu-Ende“-Verschlüsslung anzugreifen oder zu umgehen. (4) AUSWAHL DER GEEIGNETEN IT-SICHERHEITSMAßNAH- MEN GGF. GEMEINSAM MIT EINEM IT-DIENSTLEISTER; BERÜCKSICHTIGUNG DER SICHERHEIT ALS GESAMT- BILD Trotz dieser Unsicherheit müssen Maßnahmen gewählt werden, welche helfen, die bestehenden Risiken adäquat zu minimieren. In der Regel hilft die Dokumentation der Risiken bei der Auswahl zwischen einer sehr sicheren, aber dafür aufwendigen Maßnahme und einer moderaten, vielleicht aber nicht ganz so sicheren, dafür aber in der Praxis ohne jegliche Änderung der Arbeitsabläufe umsetzbaren Maßnahme. Hierbei ist stets das „Gesamtmaß“ an Sicherheit einer Kanzlei zu berücksichtigen, denn die IT-Sicherheit ist stets nur so stark, wie das schwächste Glied der Kette. Anders ausgedrückt: Wenn die Haustüre gut verschlossen ist, aber die Fenster alle sperrangelweit geöffnet sind, nützt es wenig, die Schlösser der Eingangstür zu verstärken. So ist dies auch im Bereich der IT-Sicherheit und dies wird häufig übersehen. Tatsächlich wird aktuell die Stärke und Methode der E-Mail-Verschlüsslung intensiv diskutiert. Teilweise wird sehr pauschal und ohne konkrete Schutzbedarfsanalyse eine aufwendige Ende-zu-Ende-Verschlüsslung gefordert – ohne zu berücksichtigen, ob Privatpersonen als Mandanten hiermit überfordert sein könnten. Die beste Ende-zu-Ende-Verschlüsslung nützt aber nichts, wenn es sehr leicht ist, von außen oder innen auf die Festplatten der Arbeitsplatzrechner und Server zuzugreifen, etwa weil: M Zugänge nur sehr unzureichend mit Passwörtern gesichert sind, M diese beispielsweise seit Jahren nicht geändert wurden (und auch zahlreichen Ex-Angestellten bekannt sind). heitsexperten kurz überlegen, durch welche Standardmaßnahmen (z. B. den oben genannten) das Gesamtmaß an Sicherheit wesentlich kostengünstiger erhöht werden kann. (5) DOKUMENTATION „PLAUSIBLER“ SCHUTZBE- DARFSANALYSE UND ERGRIFFENER MAßNAHMEN ALS „RETTUNG“ Aus der Ungewissheit über die konkret bestehenden Risiken und die Wirkung und Angemessenheit spezifischer Maßnahmen entsteht zweifellos ein großer Auslegungsund Prognosespielraum. Gerade diese Unwägbarkeiten haben Anwälte in der Vergangenheit dazu veranlasst, erst gar keine Schutzbedarfsanalyse vorzunehmen und diese zu dokumentieren, auch weil Sanktionen oder andere Nachteile in der Praxis bislang kaum drohten. Angesichts der DSGVO sollte sich jedoch jeder Anwalt fragen, ob dieses Verhalten für die Zukunft noch richtig ist. Denn gemäß Art. 5 Abs. 2 und Art. 24 DSGVO besteht eine umfassende Nachweispflicht für die Einhaltung der Vorgaben der DSGVO. Bei einer Nachfrage der Datenschutzaufsichtsbehörde muss der Anwalt nachweisen können, dass er ausreichende Sicherheitsmaßnahmen getroffen hat, um Art. 32 DSGVO zu erfüllen. Einen solchen Nachweis kann nur erbringen, wer die oben genannten Schritte für sich intern dokumentiert hat. 10 // SONDERAUSGABE

ANFORDERUNGEN ................................................................................................................................................................................................................... Im Rahmen der Anfertigung der Dokumentation sollte man sich folgenden Leitgedanken vor Augen halten: Fehlt eine Dokumentation völlig und wurde in keiner Weise verschriftlicht, welcher Schutzbedarf für Daten besteht (und welche Daten überhaupt verarbeitet werden), so stellt dies ohne jeden Zweifel einen Verstoß gegen Art. 32 i.V.m. Art. 5 Abs. 2 und Art. 24 DSGVO dar. Eine komplizierte Prüfung bleibt einer Datenschutzaufsichtsbehörde so erspart. Zwar ist die Wahrscheinlichkeit der verdachtsunabhängigen Prüfung durch eine Datenschutzaufsichtsbehörde nicht sehr hoch, doch die hohe Anzahl an Beschwerden bei Aufsichtsbehörden, welche typischerweise genaue Prüfungen nach sich ziehen, sollte zu denken geben: Was ist, wenn der unzufriedene Mandant, der enttäuschte Gegner oder der frustrierte Kollege sich bei der Datenschutzaufsichtsbehörde mit der Behauptung beschweren, die Daten seien bei Ihnen nicht sicher? Eine Datenschutzaufsichtsbehörde hat dann keine andere Wahl und wird eine Anwaltskanzlei nach der Umsetzung von Art. 32 DSGVO fragen müssen. Bei Fehlen jeglicher Dokumentation wird es dann mühsam und riskant. Umgekehrt gilt jedoch: Sobald „plausibel“ und „in sich schlüssig“ dokumentiert wurde, dass sich jemand auf Basis einer Übersicht aller gespeicherten Datenkategorien Gedanken um den Schutzbedarf gemacht und darauf aufbauend technische und organisatorische Schutzmaßnahmen implementiert hat, wird es für eine Datenschutzaufsichtsbehörde sehr schwierig, zu argumentieren, dass die konkreten Maßnahmen nicht ausreichen. Zumindest Bußgelder werden in einem solchen Fall kaum erlassen werden können – schon allein, weil das Rechtstaatsgebot für schwer sanktionierte Verbote wesentlich präzisere Tatbestände verlangt, als dies in Art. 32 DSGVO umgesetzt wird. Solange keine detaillierte Rechtsprechung zu Art. 32 DSGVO existiert, wird es daher genügen, wenn eine Dokumentation der Auswahl der technischen und organisatorischen Maßnahmen „plausibel“ und „in sich schlüssig“ erscheint; nahezu unabhängig davon, welche konkreten Maßnahmen genau gewählt wurden. Dies ist gewissermaßen die Kehrseite der Medaille der tatsächlichen und rechtlichen Unsicherheit über die Handhabung von Art. 32 DSGVO. Häufig wird man in kleineren Kanzleien feststellen, dass Standardmaßnahmen wie das regelmäßige Ändern von Passwörtern und das regelmäßige Updaten von Software bereits intuitiv vorgenommen werden (oder die Software es mittlerweile automatisch so vorsieht). Dann muss nichts weiter veranlasst werden, als diese Maßnahme zu dokumentieren und anhand des Schutzbedarfs der Kanzlei zu argumentieren, dass diese Maßnahmen ausreichen. (6) ZERTIFIZIERUNG NACH IT-SICHERHEITSNORMEN Angesichts der enormen Unsicherheit über die Frage, wann das Maß einer „ausreichenden“ IT-Sicherheit gegeben ist, gehen viele Unternehmen dazu über, die eigene IT-Sicherheit durch einen externen Auditor begutachten zu lassen, mit dem Ziel, ein Zertifikat darüber zu erlangen. Schließlich, so wird argumentiert, kann sich ein Geschäftsführer, IT-Sicherheitsbeauftragter oder Datenschutzbeauftragter trotz der Unsicherheit der Materie nichts mehr vorwerfen lassen, wenn ein seriöser und anerkannter externer Spezialist, die IT-Sicherheit für zertifizierungswürdig gehalten hat. Insbesondere das Sicherheitsmanagement kann nach der sehr verbreiteten ISO 27001 Norm zertifiziert werden. Die Durchführung eines entsprechenden Audits und vor allem dessen Vorbereitung sind jedoch ohne spezialisierte Experten in diesem Bereich nicht zu schaffen. Deswegen sind Anwälte bislang kaum dazu übergegangen, die eigene Kanzlei zertifizieren zu lassen. Leichter möglich ist es allerdings für einen Anwalt, Teile der IT-Infrastruktur auf einen Dienstleister auszulagern, der seinerseits entsprechend zertifiziert ist. Bei der Auswahl eines geeigneten Cloud-Service-Providers sollte also auf entsprechende Zertifikate geachtet werden. So ist etwa der vom DAV empfohlene Hoster Team- Drive Systems GmbH entsprechend ISO 27001 zertifiziert. 11 // SONDERAUSGABE

Online-Kiosk

Fachinfo-Magazin MkG 03/2019
Fachinfo-Magazin HSB 2/19
eMagazin kanzleimarketing.de 01/2019
Fachinfo-Magazin MkG 03/2019
MkG-Spezial: Cyberschutz in der Anwaltskanzlei
Fachinfo-Magazin MkG 02/2019
Fachinfo-Magazin MkG 01/2019
Fachinfo-Magazin MkG Ausgabe 06/18
MkG-Fachinfomagazin Ausgabe 05/18
MkG-Fachinfomagazin Ausgabe 04/18
MkG Spezial Kanzleigründung leicht gemacht
Fachinfo-Magazin MkG - Ausgabe 03/2018
Fachinfo-Magazin MkG - Ausgabe 02/2018
MKG-Fachinfo-Magazin Ausgabe 1/18
InfoBrief MkG 06/2017
Wegweiser zur Fachanwaltschaft
Infobrief MkG Ausgabe 05/2017
Infobrief-MkG 04/2017
MkG-Infobrief Ausgabe 3/2017
MkG-Sonderausgabe: Die Wahl der ersten Anwaltssoftware
Infobrief MkG Ausgabe 02/2017
Infobrief MkG Ausgabe 2017/01
Infobrief MkG, Ausgabe 2016/06
Infobrief MkG 5/2016
Infobrief MkG 03/2015
Infobrief MkG 04/2016
Infobrief MkG Ausgabe 01/2016
Infobrief MkG Ausgabe 02/2016
Infobrief MkG Ausgabe 03/2016
eMagazin kanzleimarketing.de 01/2019
Kanzleimarketingverzeichnis 2019 - Spezialisierte Anbieter für Rechtsanwalts- und Steuerberaterkanzleien
eMagazin kanzleimarketing.de 04/2018
eMagazin kanzleimarketing.de 03/2018
eMagazin kanzleimarketing.de: Sonderausgabe "Erfolgsrezept Mandantenbindung"
eMagazin kanzleimarketing.de 02/2018
eMagazin kanzleimarketing.de 01/2018
Magazin kanzleimarketing.de 04/2017
kanzleimarketing.de Ausgabe 03/2017
eMagazin kanzleimarketing.de "Legal Tech als Chance"
eMagazin kanzleimarketing.de 2/2017
eMagazin kanzleimarketing.de
Fachinfo-Magazin HSB 2/19
Fachinfo-Magazin HSB 1/19
Fachinfo-Magazin HSB - Ausgabe 3/18
Fachinfo-Magazin HSB - Ausgabe 2/18
Fachinfo-Magazin HSB - Ausgabe 1/18
Infobrief Hohe Schmerzensgeldbeträge 03/2017
Infobrief Hohe Schmerzensgeldbetraege Ausgabe 2/2017
Infobrief Hohe Schmerzensgeldbeträge 1/2017
Infobrief Hohe Schmerzensgeldbeträge 3/2016
Infobrief Hohe Schmerzensgeldbeträge 01/2015
Infobrief Hohe Schmerzensgeldbeträge 01/2016
Infobrief Hohe Schmerzensgeldbeträge 02/2016

Sammlung

Modernes Recruiting in der Anwaltskanzlei - Praktischer Leitfaden für die Mitarbeitersuche
Legal Tech 2019: 100 Angebote für Rechtsanwälte
Fachinfo-Tabelle Gerichtsbezirke 2019
Kanzleimarketingverzeichnis 2019 - Spezialisierte Anbieter für Rechtsanwalts- und Steuerberaterkanzleien
Legal Tech für Einsteiger - Wie Anwaltskanzleien die neuen Märkte, Tools und Kanäle nutzen
DSGVO: Sofortmaßnahmen für Anwaltskanzleien
DSGVO: Die zehn wichtigsten To-dos für Steuerkanzleien
30 Tage – 30 Mandatsanfragen
Suchmaschinenoptimierung für Rechtsanwälte: Wie "Anwalts-SEO" funktioniert und was Suchdienste dazu beitragen.
Die Sanierung von Mandanten-Unternehmen: Krisen bewältigen, Mandanten halten
Die Wahl der passenden juristischen Datenbank
Die Wahl der richtigen Krankenversicherung für Steuerberater
Der Beruf des Steuerberaters
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten
Kanzleimarketing kompakt
Wie Steuerberatungskanzleien Honorare sichern und liquide bleiben
eBroschüre Wie Rechtsanwaltskanzleien Honorare sichern und liquide bleiben
Die Wahl der richtigen Krankenversicherung für Rechtsanwälte
Anwaltssuche im Internet
Daten- und Aktenvernichtung in der Anwaltskanzlei
Daten- und Aktenvernichtung in der Steuerberatungskanzlei
Daten- und Aktenvernichtung in Krankenhäusern und Arztpraxen
Datenschutz in der Zahnarztpraxis
Anwaltssuche und Rechtsberatung im Internet

Freie Fachinformationen GmbH
Leyboldstraße 12 / 50354 Hürth
Tel.: 02233 80575-14
E-Mail: info@ffi-verlag.de
Deutschland


© 2016 by Freie Fachinformationen GmbH