Aufrufe
vor 1 Woche

MkG-Spezial: Cyberschutz in der Anwaltskanzlei

  • Text
  • Dsgvo
  • Versicherung
  • Cyberangriff
  • Recht
  • Anwaltskanzlei
  • Datenschutz
  • Cyberschutz
Anwält*Innen sind schon immer zur Verschwiegenheit und Geheimhaltung verpflichtet. Doch im digitalen Zeitalter steigt die Häufigkeit von Cyber-Angriffen auch in Anwaltskanzleien. Genau hier setzt die Sonderausgabe des MkG-Fachinfo-Magazins (Mit kollegialen Grüßen) „Cyberschutz in der Anwaltskanzlei“ an. Der kompakte Leitfaden klärt sowohl über die wichtigsten Vorsichtsmaßnahmen als auch über die technischen Mindeststandards von IT-Sicherheit und Datenschutz in der Anwaltskanzlei auf: • Welche rechtlichen Pflichten haben Anwält*Innen in Sachen IT-Sicherheit? • Was sind die technischen Mindeststandards von IT-Sicherheit und Datenschutz? • Wann müssen Anwält*Innen haften? • Welche Rolle spielt hierbei die DSGVO? • Wann macht eine Cyberschutzversicherung Sinn? Eine praktische Checkliste der wichtigsten Sicherheits-vorkehrungen am Ende der Sonderausgabe hilft zusätzlich, die Empfehlungen zeitnah umzusetzen.

IT-SICHERHEIT

IT-SICHERHEIT ................................................................................................................................................................................................................... 4. RECHTLICHE VERPFLICHTUNGEN ZUR IT-SICHERHEIT: ANWALT IST IN DER PFLICHT Doch sind deshalb Anwälte dazu verpflichtet, besondere IT-Sicherheitsmaßnahmen zu treffen? Ansatzpunkte hierzu finden sich in ganz unterschiedlichen Rechtsgebieten: a. M M b. M c. M d. M e. M § 203 StGB Für das unbefugte Offenlegen fremder Geheimnisse, die einem Rechtsanwalt in dieser Funktion anvertraut wurden, droht eine Freiheitsstrafe von bis zu einem Jahr oder Geldstrafe. Eine Strafbarkeit kann auch durch das Unterlassen von notwendigen IT-Sicherheitsmaßnahmen bestehen. § 2 BORA Detailliertere Regelungen zur Verschwiegenheitspflicht von Rechtanwälten. Unter anderem enthält § 2 Abs. 7 BORA die Verpflichtung, die zum Schutze des Mandantengeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu schaffen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. § 43a Abs. 2 BRAO Hier wird die Verschwiegenheitspflicht als eine der Grundverpflichtungen des Rechtsanwalts definiert. Art. 32 DSGVO Art. 32 DSGVO verpflichtet jeden, der personenbezogene Daten verarbeitet, zur Vornahme von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung. Es ist zu beachten, dass der Anwendungsbereich der DSGVO äußerst schnell eröffnet ist, da mittlerweile fast alle Daten einen Personenbezug haben. Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies wird insbesondere auch von der Rechtsprechung sehr weit ausgelegt. Es spielt dabei keine Rolle, ob die Daten einen sensiblen Charakter haben oder völlig trivial erscheinen. § 13 Abs. 4, 7 TMG Anbieter von Telemedien haben auch in Bezug auf die angebotenen Dienste technische und organisatorische Vorkehrungen zu treffen, welche die Sicherheit der Dienste garantieren. Dies ist vor allem für den Betrieb der Kanzleiwebseite relevant. 5. DIE DSGVO ALS TREIBER DER AKTUELLEN DEBATTE UM IT-SICHERHEIT Die Digitalisierung gibt es nicht erst seit gestern und die Debatten um die Verschlüsselung von E-Mails vor dem Hintergrund von § 203 StGB und § 43a Abs. 2 BRAO reichen bis zum Jahr 2001 zurück. Die Ursache dafür, dass diese Thematik gerade jetzt hochkocht, liegt vorwiegend daran, dass seit dem 25.05.2018 die DSGVO anwendbar ist. Damit verbunden sind hohe Sanktionsmöglichkeiten durch die Datenschutzaufsichtsbehörden, die theoretisch Bußgelder von bis zu EUR 10.000 im Falle eines Verstoßes 6 // SONDERAUSGABE gegen Art. 32 DSGVO erlassen können. In der Praxis liegen die Bußgelder allerdings weit darunter. Soweit ersichtlich wurde in 2018 für einen Verstoß gegen Art. 32 DSGVO nur ein Bußgeld erlassen. Dieses betrug EUR 20.000 und wurde gegen das Soziale Netzwerk „Knuddels“ erlassen, da diesem eine Vielzahl unverschlüsselter Kundendaten abhandengekommen sind. Ein weiterer Faktor sind wettbewerbsrechtliche Abmahnungen von Konkurrenten: Es ist nach Einführung der DSGVO bereits vorgekommen, dass Anwaltskanzleien von anderen Anwälten aufgrund vermeintlich mangelhafter Datenschutzerklärungen abgemahnt wurden. Es ist durchaus denkbar, dass sich auch diese Fälle häufen und auch auf Fragen der IT-Sicherheit beziehen werden, wenngleich hierzu einschränkend anzumerken ist, dass die Abmahnfähigkeit von Verstößen gegen die DSGVO umstritten ist. Vor diesem Hintergrund beschäftigt sich diese Spezialausgabe im Folgenden hauptsächlich mit den IT-Sicherheitsanforderungen nach der DSGVO.

ANFORDERUNGEN ................................................................................................................................................................................................................... 6. WELCHE ANFORDERUNGEN BESTEHEN NACH ART. 32 DSGVO KONKRET? Einleitend ist festzuhalten, dass es keine Liste mit vorgegebenen, pauschalen Maßnahmen zur Erfüllung von Art. 32 DSGVO gibt, ebenso wie es keine Checkliste zur Erfüllung des § 242 BGB im Rahmen von Verträgen geben kann. In beiden Fällen liegt dies an der generalklauselartigen Gestaltung der Norm. Der hier wesentlich relevante Art. 32 DSGVO lautet in seinem maßgeblichen Text wie folgt: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Dem Normtext können keine konkreten obligatorischen Maßnahmen entnommen werden. Wenngleich Art. 32 Abs. 1 lit. a)–d) DSGVO Regelbeispiele für bestimmte Maßnahmen nennt, wie z. B. die Verschlüsselung und Pseudonymisierung, lassen sich hieraus dennoch keine nach Art und Umfang konkrete Maßnahmen ableiten. Dabei dürfte man sich Fragen stellen wie: M Welches Verschlüsselungsverfahren soll in welchem Fall angewendet werden? M Genügt die Verschlüsselung der Kommunikation oder müssen alle gespeicherten Daten verschlüsselt werden? Stattdessen muss im Einzelfall geprüft werden, welche konkreten Maßnahmen erforderlich und sinnvoll sind. Dies hängt insbesondere von der jeweils genutzten IT-Infrastruktur, der Sensibilität der verarbeiteten Daten und der diesbezüglichen Risikobewertung ab. In einem ersten Schritt müssen Kanzleien überprüfen, welche konkreten IT-Systeme in der Kanzlei genutzt werden. Im nächsten Schritt muss evaluiert werden, welches Sicherheitsniveau dabei gewährleistet wird. Das bedeutet, dass geprüft werden muss, welche Sicherheitsmaßnahmen bereits etabliert sind und an welchen Stellen keine oder nur schwache Maßnahmen bestehen. Die Evaluierung der individuell erforderlichen Maßnahmen kann von Kanzlei zu Kanzlei zu sehr unterschiedlichen Ergebnissen führen. Von besonderer Bedeutung ist hierbei u. a. der Tätigkeitsschwerpunkt der jeweiligen Kanzlei. Eine Kanzlei für Strafrecht oder Familienrecht wird aufgrund der Sensibilität der gespeicherten Daten regelmäßig ein höheres Sicherheitsniveau gewährleisten müssen als z. B. eine Baurechtsboutique. A BEISPIELMAßNAHMEN FÜR KLEINE KANZLEIEN OHNE SENSIBLE DATEN Es ist daher denkbar, dass eine Kanzlei, die nur mit weniger sensiblen Daten arbeitet, lediglich allgemeine technische und organisatorische Maßnahmen treffen muss. Zu denken wäre in diesem Fall z. B. an: M regelmäßige Updates sämtlicher verwendeter Software. M Verwendung ausreichend komplexer Passwörter (in größeren Kanzleien sichergestellt durch eine „Passwortrichtlinie“). M einmalige Schulung und Sensibilisierung der Mitarbeiter. M Verschlüsselung von E-Mails per TLS (Bei TLS handelt es sich um eine selbständig ablaufende Verschlüsselung des Transportweges der E-Mail; weit über 95 % der heute in Deutschland gängigen E-Mail-Accounts sind so eingerichtet, dass sie E-Mails automatisch verschlüsseln. Die Abkürzung steht für „Transport Layer Security“). M regelmäßige Backups wichtiger Daten auf externen Festplatten und M Verschlüsselung gespeicherter Daten bzgl. ganzer Festplatten. 7 // SONDERAUSGABE

Online-Kiosk

MkG-Spezial: Cyberschutz in der Anwaltskanzlei
Modernes Recruiting in der Anwaltskanzlei - Praktischer Leitfaden für die Mitarbeitersuche
Fachinfo-Magazin MkG 02/2019
MkG-Spezial: Cyberschutz in der Anwaltskanzlei
Fachinfo-Magazin MkG 02/2019
Fachinfo-Magazin MkG 01/2019
Fachinfo-Magazin MkG Ausgabe 06/18
MkG-Fachinfomagazin Ausgabe 05/18
MkG-Fachinfomagazin Ausgabe 04/18
MkG Spezial Kanzleigründung leicht gemacht
Fachinfo-Magazin MkG - Ausgabe 03/2018
Fachinfo-Magazin MkG - Ausgabe 02/2018
MKG-Fachinfo-Magazin Ausgabe 1/18
InfoBrief MkG 06/2017
Wegweiser zur Fachanwaltschaft
Infobrief MkG Ausgabe 05/2017
Infobrief-MkG 04/2017
MkG-Infobrief Ausgabe 3/2017
MkG-Sonderausgabe: Die Wahl der ersten Anwaltssoftware
Infobrief MkG Ausgabe 02/2017
Infobrief MkG Ausgabe 2017/01
Infobrief MkG, Ausgabe 2016/06
Infobrief MkG 5/2016
Infobrief MkG 03/2015
Infobrief MkG 04/2016
Infobrief MkG Ausgabe 01/2016
Infobrief MkG Ausgabe 02/2016
Infobrief MkG Ausgabe 03/2016
Kanzleimarketingverzeichnis 2019 - Spezialisierte Anbieter für Rechtsanwalts- und Steuerberaterkanzleien
eMagazin kanzleimarketing.de 04/2018
eMagazin kanzleimarketing.de 03/2018
eMagazin kanzleimarketing.de: Sonderausgabe "Erfolgsrezept Mandantenbindung"
eMagazin kanzleimarketing.de 02/2018
eMagazin kanzleimarketing.de 01/2018
Magazin kanzleimarketing.de 04/2017
kanzleimarketing.de Ausgabe 03/2017
eMagazin kanzleimarketing.de "Legal Tech als Chance"
eMagazin kanzleimarketing.de 2/2017
eMagazin kanzleimarketing.de
Fachinfo-Magazin HSB 1/19
Fachinfo-Magazin HSB - Ausgabe 3/18
Fachinfo-Magazin HSB - Ausgabe 2/18
Fachinfo-Magazin HSB - Ausgabe 1/18
Infobrief Hohe Schmerzensgeldbeträge 03/2017
Infobrief Hohe Schmerzensgeldbetraege Ausgabe 2/2017
Infobrief Hohe Schmerzensgeldbeträge 1/2017
Infobrief Hohe Schmerzensgeldbeträge 3/2016
Infobrief Hohe Schmerzensgeldbeträge 01/2015
Infobrief Hohe Schmerzensgeldbeträge 01/2016
Infobrief Hohe Schmerzensgeldbeträge 02/2016

Sammlung

Modernes Recruiting in der Anwaltskanzlei - Praktischer Leitfaden für die Mitarbeitersuche
Legal Tech 2019: 100 Angebote für Rechtsanwälte
Fachinfo-Tabelle Gerichtsbezirke 2019
Kanzleimarketingverzeichnis 2019 - Spezialisierte Anbieter für Rechtsanwalts- und Steuerberaterkanzleien
Legal Tech für Einsteiger - Wie Anwaltskanzleien die neuen Märkte, Tools und Kanäle nutzen
DSGVO: Sofortmaßnahmen für Anwaltskanzleien
DSGVO: Die zehn wichtigsten To-dos für Steuerkanzleien
30 Tage – 30 Mandatsanfragen
Suchmaschinenoptimierung für Rechtsanwälte: Wie "Anwalts-SEO" funktioniert und was Suchdienste dazu beitragen.
Die Sanierung von Mandanten-Unternehmen: Krisen bewältigen, Mandanten halten
Die Wahl der passenden juristischen Datenbank
Die Wahl der richtigen Krankenversicherung für Steuerberater
Der Beruf des Steuerberaters
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten
Kanzleimarketing kompakt
Wie Steuerberatungskanzleien Honorare sichern und liquide bleiben
eBroschüre Wie Rechtsanwaltskanzleien Honorare sichern und liquide bleiben
Die Wahl der richtigen Krankenversicherung für Rechtsanwälte
Anwaltssuche im Internet
Daten- und Aktenvernichtung in der Anwaltskanzlei
Daten- und Aktenvernichtung in der Steuerberatungskanzlei
Daten- und Aktenvernichtung in Krankenhäusern und Arztpraxen
Datenschutz in der Zahnarztpraxis
Anwaltssuche und Rechtsberatung im Internet

Freie Fachinformationen GmbH
Leyboldstraße 12 / 50354 Hürth
Tel.: 02233 80575-14
E-Mail: info@ffi-verlag.de
Deutschland


© 2016 by Freie Fachinformationen GmbH