Ein Interview mit der Datenschutzexpertin Daniela Schreck
(shg) – Es ist erst wenige Tage her, da wurde Mitte Juli 2018 eine Datenpanne bei einem der großen Internet- und E-Mail-Provider Deutschlands offenbar. Kundendaten standen im Risiko, durch eine Unachtsamkeit des Anbieters und den Zugriff eines Unberechtigten potentiell öffentlich zu werden. Am Ende ist wohl glücklicherweise kein größerer Schaden entstanden. Dieses Ereignis möchten wir zum Anlass nehmen, das Thema sichere elektronische Kommunikation für Anwälte als Mandatsgeheimnisträger aufzugreifen. Wir haben dazu mit der Datenschutzbeauftragten Daniela Schreck gesprochen. Denn eines hat auch der beschriebene Angriff wieder gezeigt: E-Mails, die Ende-zu-Ende verschlüsselt sind, wären auch dann sicher geblieben.
Wenn es zu einer Kompromittierung persönlicher Daten kommt, steht die Schuldfrage im Raum. Hat das Unternehmen – oder auch die Kanzlei – die notwendigen und zumutbaren technischen und organisatorischen Maßnahmen getroffen, um die Daten von Kunden oder Mandanten mit hoher Sicherheit zu schützen? Große Rechenzentren, die Unmengen an Daten verwalten und verarbeiten sind naturgemäß am ehesten Ziele von Angriffen, daher ist es notwendig, dass diese entsprechende Datenschutzmanagementsysteme einsetzen. In diesen wird genau der Ablauf zur Bewertung von Risiken beschrieben und es werden auch potenzielle Risiken mit entsprechenden Reaktionen benannt. Solche Maßnahmen zur Qualitätssicherung sollte auch jede Kanzlei einleiten.
kanzleiLIFE: Was kann man aus den Angriff auf die Domainfactory lernen?
Daniela Schreck: Wir haben für einige Kunden, die ich als Datenschutzbeauftragter betreue, im Vorfeld sehr strenge Prüfungen der eingesetzten Technologien und des Datenmanagementsystems vorgenommen, um sicherzustellen, dass mit hoher Wahrscheinlichkeit keine Daten in unbefugte Hände gelangen. Das aktuelle Beispiel zeigt aber, dass es – wie in anderen Lebensbereichen auch – zu einem vernünftigen Kosten-Nutzen-Verhältnis niemals 100-prozentige Sicherheit geben wird.
kanzleiLIFE: Bleiben wir bei dem Beispiel. Was kann man dennoch tun, um die Sicherheit vertraulicher Informationen sicherzustellen?
Die E-Mail ist auch im anwaltlichen Bereich das bevorzugte Kommunikationsmedium. Und dabei ist sie gar nicht so schlecht und unsicher, wie immer noch häufig kolportiert wird. Seit sich die verschlüsselte Übertragung – also der Transport – durchweg durchgesetzt hat, sollte man die Analogie mit der Postkarte nicht mehr ziehen. Nun könnte man fragen, wo denn dann das Problem liegt. Ganz einfach: Es wird in der überwiegenden Mehrzahl der Fälle eben nur der Transport verschlüsselt. Dies ist jedoch keine Ende-zu-Ende-Verschlüsselung!
kanzleiLIFE: Wo genau liegt denn da der Unterschied?
Die Transportverschlüsselung bezeichnet ein Verfahren, das eine E-Mail vom Rechner des Absenders zu seinem (auch externen) Mailserver sowie dann auf dem weiteren Weg über den Mailserver des Empfängers bis zu seinem Endgerät verschlüsselt überträgt. Klingt gut. Die Achillesferse dieses Vorgehens ist jedoch, dass die E-Mail auf den Client-Systemen an den Enden und – das ist besonders wichtig – auf den Mailservern unverschlüsselt vorliegen. Die E-Mails sind also nur während des Transports vor einer unberechtigten Kenntnisnahme geschützt.
kanzleiLIFE: Und wie sieht das im Gegensatz dazu bei einer Ende-zu-Ende-Verschlüsselung aus?
Wie der Name schon sagt: Bereits auf dem Rechner des Absenders (ein Ende) wird der komplette Inhalt einer E-Mail verschlüsselt. Und die Entschlüsselung findet erst beim Empfänger (anderes Ende) auf dessen System statt. In der gesamten Zwischenzeit und über alle Server hinweg bleibt die Mail verschlüsselt. Dies gilt auch dann noch, wenn ein Rechenzentrum auf dem Transportweg gehackt wird.
kanzleiLIFE: Aber muss denn der E-Mailverkehr eines Anwalts überhaupt verschlüsselt werden?
Auch wenn es darüber sicher noch den einen oder anderen akademischen Streit geben wird, darf man m.E. durchaus bejahen, dass der E-Mailverkehr eines Anwalts – sofern er ein Mandantenverhältnis betrifft – verschlüsselt werden muss. Warum? Ein Anwalt verarbeitet typischerweise „besondere Kategorien personenbezogener Daten“ gem. Art. 9 DSGVO. Der Rechtsanwalt hat gegenüber seinem Mandanten eine gesteigerte Verschwiegenheitsverpflichtung. Und zieht man dementsprechend die Schutzstufen heran, die unter anderem die Landesbeauftragte für Datenschutz und Informationsfreiheit des Saarlandes herausgegeben hat, so fällt das Mandantengeheimnis unter die Kategorie „Hoher Schutzbedarf“, ähnlich wie etwa Patientendaten.
Unlängst hat die Datenschutzkonferenz, bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, die umfangreiche Verarbeitung von Daten, die einem Berufsgeheimnis unterliegen, auf ihre Liste für Auftragsverarbeitungstätigkeiten gesetzt, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies betrifft explizit große Anwaltssozietäten und -kanzleien mit z.B. dem Schwerpunkt Familienrecht.
kanzleiLIFE: Aber die Ende-zu-Ende-Verschlüsselung bedeutet doch einen hohen technischen und finanziellen Aufwand, oder?
Die vordergründig höchste Hürde stellt der Austausch der benötigten Schlüssel zwischen den Beteiligten dar. Während bei der Transportverschlüsselung automatisch Einmalschlüssel generiert werden, muss der Mandant bei einer Ende-zu-Ende-Verschlüsselung selbst tätig werden, nachdem die Kanzlei ihm einen Schlüssel übermittelt hat. Dies ist insbesondere dann eine Herausforderung, wenn es sich nicht um wiederkehrende Dauermandate handelt. Bei jedem neuen Mandanten müsste also zunächst der Schlüssel getauscht werden.
kanzleiLIFE: Ist das nicht ein enormes (Geschäfts-)Hindernis in der täglichen Kommunikation mit neuen Mandanten?
Macht man das auf die klassische Weise, gebe ich Ihnen Recht. Bei Dauermandaten ist der einmalige Aufwand vertretbar. Bei kleineren Mandaten von kurzer Dauer scheuen sich immer noch viele Kanzleien davor, ihren neu gewonnenen oder potenziellen Mandanten mit „solch einem hohen Aufwand“ zu belästigen und damit ggf. das Mandatsverhältnis zu beeinträchtigen.
kanzleiLIFE: Gibt es denn keine einfachen, praktikablen und kostengünstigen Lösungen, um E-Mails nach Bedarf zu verschlüsseln?
Doch, die gibt es am Markt und es wundert mich, dass sie bisher keine größere Beachtung finden. So empfiehlt beispielsweise ReNoStar seinen Kunden aus dem Anwaltsmarkt eine E-Mail-Verschlüsselungslösung auf Basis von Fideas Mail des deutschen IT-Sicherheitsunternehmen Apsec. Integriert in ein herkömmliches E-Mail-System wie Outlook oder andere kann der Anwender bei jeder einzelnen Mail entscheiden, welcher Sicherheitslevel nötig ist. Der Rest läuft automatisch im Hintergrund ab – wenn ein Schlüsselaustausch einmal vollzogen wurde. Der Mandant kann über einen gesicherten externen Zugang zum Server von Apsec die E-Mail lesen und beantworten oder die E-Mail per Zertifikatseinstellung Ende-zu-Ende-verschlüsselt direkt auf seinem System empfangen.
Eine andere Möglichkeit stellt die Nutzung der Cloudlösung WebAkte dar. Dabei sendet die Kanzlei wichtige Dokumente verschlüsselt an einen abgesicherten Bereich im DATEV-Rechenzentrum. Der Mandant erhält auf anderem Weg die Zugangsdaten, um sich – ebenfalls verschlüsselt – die Informationen dort abzuholen.
kanzleiLIFE: Soll das heißen, dass eine Ende-zu-Ende-Verschlüsselung von E-Mails gar nicht so schwierig ist?
Genau! Jede Kanzlei muss sich nur einmal mit dem Thema beschäftigen. Ist eine solche Lösung erst implementiert, arbeiten alle Beteiligten quasi wie zuvor. Es gibt also keinen Grund, das potenzielle Risiko einer Datenpanne einzugehen.
kanzleiLIFE: Wie gehen Sie beim Aufsetzen eines Datenschutzmanagementsystems vor?
Mir ist an dieser Stelle wichtig nochmals darauf hin zu weisen, dass es für die Umsetzung der DSGVO nicht reicht, rein technische Maßnahmen wie Verschlüsselung einzuführen. Vielmehr verlangt die neue Verordnung, von den Verantwortlichen, sprich Kanzleiinhabern, dass sie die Einhaltung des Datenschutzes nachweisen können. D.h. man kommt – wenn man es aus meiner Sicht richtigmachen will – nicht um ein dokumentiertes und von den Beteiligten „gelebtes“ Datenschutzmanagementsystem herum.
Als Datenschutzbeauftragter im Dienste vieler Kanzleien und Unternehmen unterstütze ich meine Kunden bei der Einführung von Datenschutzmanagementsystemen und bei der Implementierung der notwendigen technischen und organisatorischen Maßnahmen, um alle Verantwortlichen optimal abzusichern.
Bei meiner Beratung und Betreuung gehe ich wie folgt vor: Zunächst erfolgt eine Analyse des derzeitigen Ist-Zustands vor Ort in der Kanzlei: Wie sehen die Prozesse aus? Welche Mandats- und Lieferantenbeziehungen pflegt die Kanzlei? Gibt es bereits Dokumente und Nachweise zum Datenschutz?
Im Anschluss gleiche ich meine gesammelten Erkenntnisse mit dem rechtlichen und organisatorischen Soll-Zustand ab und entwickle auf dieser Grundlage eine auf die Erfordernisse in der Kanzlei angepasste Datenschutzmanagement-Dokumentation. Ist dies geschehen ist, stelle ich das System den Verantwortlichen in die Kanzlei vor, unterweise die Mitarbeiter und lege gemeinsam mit der Kanzlei die erforderlichen weiteren Schritte fest.
Gerade in den ersten Wochen nach der Einführung arbeite ich eng mit den Kanzleien zusammen und unterstütze bei der Umsetzung der festgelegten Verfahren. Oft tauchen dann noch weitere fachliche Fragen auf, für deren Beantwortung bzw. Einschätzung ich zur Verfügung stehe.
kanzleiLIFE: Welche Folgen kann eine Datenpanne haben?
Kommt es zu einer Datenpanne bei personenbezogenen Daten, muss dies innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Besteht durch die Datenschutzverletzung aller Voraussicht nach ein hohes Risiko für die betroffene Person, muss der Verstoß nicht nur der Aufsichtsbehörde, sondern unter bestimmten Umständen auch den Betroffenen ohne unangemessene Verzögerung gemeldet werden.
Hier braucht es ein straffes Management, dokumentierte Verfahren und im Vorfeld geschulte Beteiligte, damit eine Organisation geeignet reagiert.
Jede Kanzlei sollte zudem immer im Hinterkopf behalten, dass ein Datenschutzverstoß bei Bekanntwerden auch einen großen Imageverlust verursachen kann, der im schlimmsten Fall bis zur Gefährdung der Kanzleiexistenz reicht.
kanzleiLIFE: Wir danken für das Gespräch.
Daniela Schreck ist als externe Datenschutzbeauftragte für Kanzleien tätig.
RSS