Im Blickpunkt: Anwälte in der Cloud – Nutzung in der Praxis

Beitrag als PDF (Download)

Viele Anwälte sind verunsichert, ob und wie sie Clouddienste nutzen dürfen. Der Beitrag soll zur Klärung beitragen.

Begriff und Funktion
Clouddienste werden bereits von etwa zwei Dritteln der deutschen Unternehmen verwendet und sind ein fester Bestandteil des Alltags vieler Anwälte. Entmystifiziert man den Begriff, geht es immer um Daten eines Anwalts auf einem fremden Server, sei es nur zur Speicherung von Dokumenten, oder um mit ihnen dort zu arbeiten. Viele Programme laufen am effizientesten, wenn sie direkt vom Cloudbetreiber gepflegt werden, der sich um die Integration der verschiedenen Programmpakete kümmert. Die Sicherheitsstandards professioneller Anbieter sind zudem denen der meisten Kanzleien überlegen.

Rechtliche Rahmenbedingungen
Für die Cloudnutzung gelten relativ neue Normen, welche aufgrund unterschiedlicher Schutzzwecke nicht deckungsgleich sind.

§ 203 StGB
Das Berufsgeheimnisschutzgesetz von Ende 2017 hat die rechtssichere Einbeziehung von externen Dienstleistern wie Cloudbetreibern in die Abläufe der Kanzlei ermöglicht. Die Organisationsentscheidung (das Ob) steht im Ermessen des Rechtsanwalts. Jedoch dürfen Geheimnisse nur nach dem Need-to-know-Prinzip offenbart werden, „soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist“, § 203 StGB und § 43e BRAO.

§ 43e BRAO
Die Auswahlkriterien für die Dienstleister sind nicht konkretisiert, es gilt zunächst der gesunde Menschenverstand. Die im Markt etablierten Anbieter können in aller Regel Prüfberichte und Zertifikate zur Verfügung stellen, aus denen sich die Sicherstellung der Vertraulichkeit und die Umsetzung der datenschutzrechtlichen technischen und organisatorischen Maßnahmen ergeben sowie ihre Überprüfung und Fortschreibung. Wenn kleinere Anbieter den Aufwand externer Prüfungen nicht tragen können, gibt es noch weitere Informationsquellen wie die Recherche im Internet, Selbstauskünfte des Dienstleisters oder Referenzen. Publikationen des BSI erläutern relevante Kriterien, und der Prüfaufwand darf zum Risikopotential der Dienstleistung in einem vernünftigen Verhältnis bleiben.
Der Rechtsanwalt ist verpflichtet, den Dienstleister über seine Verschwiegenheitspflicht und deren Strafbewehrung zu belehren. Die unverzügliche Beendigung der Zusammenarbeit ist notwendig, sobald die Vorgaben nach § 43e Abs. 3 BRAO nicht mehr gewährleistet sind, das heißt also die Beachtung des Need-to-know-Prinzips und die Wahrung der Verschwiegenheitsvereinbarung. Subunternehmer dürfen nur im vereinbarten Ausmaß eingesetzt werden, die Belehrung und Verpflichtung zur Verschwiegenheit ist an sie jedenfalls in Textform weiterzugeben. Steht der Cloudserver im Ausland, ist dort ein vergleichbares Schutzniveau gefordert, sofern nicht die Ausnahmeregelung des § 43e Abs. 4 BRAO gilt. Ein vergleichbares Schutzniveau wird für EU-Mitgliedsstaaten unterstellt. Bei Beachtung dieser Maßgaben ist die Zustimmung des Mandanten zur Cloudnutzung nicht erforderlich, es sei denn, der Mandatsvertrag sieht das vor, oder die Dienstleistung dient „unmittelbar einem einzelnen Mandat“, § 43e Abs. 5 BRAO. Das heißt, die Dienstleistung wird also nicht generell wie etwa ein Office-Programm in der Mandatsbearbeitung eingesetzt. Der Mandant kann außerdem von einzelnen Pflichten dispensieren.

§ 2 BORA
Die Norm verlangt zum Schutz der Vertraulichkeit risikoadäquate und für den Anwaltsberuf zumutbare organisatorische und technische Maßnahmen. Die Beachtung der Vorgaben des Datenschutzes genügt insoweit. Bei der Kommunikation mit dem Mandanten ist der Rechtsanwalt regelmäßig auf dessen Mitwirkung bei der Wahrung des Sicherheitsstandards angewiesen. Verweigert sich dieser, kann der Anwalt den neugeschaffenen sicheren Hafen des § 2 Abs. 2 Satz 5 BORA nutzen. Bei der Übermittlung von Daten an den „eigenen“ Cloudserver ist der Anwalt aber allein für die Sicherheit verantwortlich. Daten sollten also verschlüsselt übermittelt werden, und der Übertragungsweg sollte abgesichert sein, was die meisten Provider von sich aus anbieten.

DSGVO
DSGVO und BDSG gelten auch für Anwälte, soweit Spezifika des Berufsrechts wie die Verschwiegenheit nicht entgegenstehen. Insoweit sind auch die Untersuchungsbefugnisse der Aufsichtsbehörden eingeschränkt, § 29 Abs. 3 BDSG. Im Detail ist noch vieles offen. Bei der Inanspruchnahme externer Dienstleister sind die Anforderungen des Art. 28 DSGVO zu beachten. Bei der Entscheidung sollen und können gemäß Art. 32 DSGVO u.a. der Stand der Technik, die Implementierungskosten und der laufende Aufwand sowie Art, Umfang, Umstände sowie Eintrittswahrscheinlichkeit und Schwere der Folgen berücksichtigt werden (vgl. auch § 2 Abs. 2 BORA). Als mögliche technische und organisatorische Maßnahmen werden die Pseudonymisierung in Art. 32 DSGVO sowie Erwägungsgrund 78 und die Verschlüsselung in Erwägungsgrund 83 zur DSGVO genannt. Weitere Maßnahmen ergeben sich aus der Anlage zu dem früheren § 9 BDSG. Beispielsweise muss nicht jeder Angehörige der Kanzlei Zugriff auf alle Mandantendaten in der Cloud haben.

Herausforderungen und aktuelle Diskussionen

Aktuelle Diskussionen sind unter anderem:

Unterschiedliche Wertungen im Datenschutz und Berufsrecht
Die berufsrechtliche Verschwiegenheit dient dem Mandanten als Herrn des Geheimnisses. Im Datenschutzrecht gilt dieses Menschenbild nicht zwingend, die (berufsrechtlich entscheidende) Zustimmung des Mandanten kann hier ­unbeachtlich sein. Auch wenn viele Anforderungen den berufsrechtlichen sehr ähnlich sind, bleiben die Rechtsauf­fassungen der zuständigen Datenschutzbeauftragten zu prüfen.

Feststellung des vergleichbaren Schutzniveaus außerhalb der EU
Für die Inanspruchnahme von Dienstleistern aus dem Ausland wird ein dem deutschen vergleichbares Schutzniveau im Ausland verlangt. Dabei kommt es nicht auf identische Gesetze an, sondern auf dortige Schutzmechanismen im Fall von Vertraulichkeitsverletzungen (funktionale Äquivalenz). Für Staaten außerhalb der EU ist es positiv zu ermitteln, was wegen des erheblichen Aufwands und verbleibenden Risikos für die meisten Rechtsanwälte keine Option ist.
Entscheidend ist, wo die Cloudserver (auch Back-up-Server) stehen. Die großen amerikanischen Anbieter arbeiten regelmäßig über Tochtergesellschaften in Irland, also einem EU-Mitgliedsstaat mit vergleichbarem Schutzniveau.

Der „US Cloud Act“
Der „US Cloud Act“ ermächtigt US-Behörden, die Herausgabe von Daten von US-Unternehmen anzufordern, auch wenn die Server im (EU-)Ausland oder bei dortigen Konzerngesellschaften stehen. Das alleine steht der Zusammenarbeit zum Beispiel mit einer irischen Konzerngesellschaft nicht entgegen, die sich gegen einen Durchgriff nach örtlichem Recht wehren muss und faktisch mindestens vorübergehend wehren kann. Wenn bei der Verschlüsselung der Daten die Schlüssel nicht vom Betreiber verwahrt werden (Client-Side-Encryption), ist das eine sichere Lösung. Sie führt jedoch bei Schlüsselverlust zu wohl unzumutbaren Risiken und hat sich daher noch nicht durchgesetzt. Auf die technische Weiterentwicklung ist zu hoffen.
„Für die Inanspruchnahme von Dienstleistern aus dem Ausland wird ein dem deutschen vergleichbares Schutzniveau im Ausland verlangt.“

Verwaltungsabkommen und E-Evidence-Verordnung
Der „US Cloud Act“ sieht Verwaltungsabkommen über die Datenherausgabe mit anderen Staaten vor, nach denen die rechtliche Überprüfung nur einem US-Richter unterliegt. Ein Entwurf liegt im UK bereits vor. Parallel dazu wird die E-Evidence-Verordnung zwischen EU-Kommission und Parlament beraten. Sie sieht ebenfalls eine Übermittlung von Daten ohne Einschaltung eines inländischen Gerichts als Freigabeinstanz vor. Aktuelle Verhandlungen sollen die Brücke zwischen dem „US Cloud Act“ und der E-Evidence-Verordnung schlagen. Die Datenschutzkonferenz (DSK) sowie der Deutsche Anwaltverein (DAV) haben sich sehr kritisch geäußert, insbesondere aufgrund des Eingriffs in die Grundrechte und des Verstoßes gegen die DSGVO. Bei Verabschiedung würde das inländische Schutzniveau gesenkt, was äußerst bedauerlich wäre, aber die Bedenken wegen des „US Cloud Acts“ weiter relativieren würde.

Maßnahmen nach dem Datenschutzrecht
Das Datenschutzrecht setzt entsprechende Anforderungen voraus, denn auch hier muss der Rechtsanwalt prüfen, ob in dem Drittland ein vergleichbares Schutzniveau besteht oder festgestellt ist. Andernfalls stehen u.a. EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) zur Verfügung.

Fazit
Die Nutzung von Cloud-Computing ist rechtssicher und mit zumutbarem Aufwand möglich. Zwischen Berufsrecht und Datenschutzrecht sind die unterschiedlichen Wertungen zu beachten. Besonderheiten gelten für Dienstleistungen aus dem Ausland, insbesondere aus Sicht des Datenschutzes.

Eva.saeljemar@clifford.chance.com

Thomas.gasteyer@cliffordchance.com

Aktuelle Beiträge