IT-Sicherheits-Workshop für Rechtsanwältinnen und Rechtsanwälte

Am 12.12.2013 fand in Köln der IT-Sicherheits-Workshop für Rechtsanwälte statt. Unter der Überschrift der sicheren Kommunikation in der Kanzlei wurde gemeinsam von „Deutschland sicher im Netz e.V.“ (DsiN), ,,Nationale Initiative für Informations- und Internet-Sicherheit“ (NIFIS) und dem „Deutschen Anwalt Verein“ (DAV)  zu einem rund vierstündigen Seminar eingeladen. Darin erhielten die Teilnehmer Informationen über IT-Sicherheit in der Kanzlei und bei der Kommunikation mit Mandanten. Die Teilnahme war aufgrund der Förderung durch das Bundesministerium des Innern kostenfrei.

Die Veranstaltung hatte überwiegend die Sensibilisierung der Teilnehmer über bestehende Risiken hinsichtlich des Schutzes sensibler Daten im Mandantenverhältnisses zum Ziel, bot aber auch Gelegenheit, Fragen aus den eigenen Erfahrungen mit den Referenten zu erörtern. Eine praxisnahe Darstellung  wurde erreicht, da die Referenten Herr Dr. Thomas Lapp (Rechtsanwalt und Mediator) sowie Mathias Gärtner (öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationstechnologie für den Bereich Netzwerktechnik) sowohl die rechtlichen als auch technischen Besonderheiten der IT-Sicherheit beleuchteten.

Inhalte der Veranstaltung

Zunächst erfolgte eine generelle Einführung über die maßgeblichen Bestimmungen aus dem Bundesdatenschutzgesetz (BDSG), insbesondere § 9 nebst Anlage BDSG.  Hierzu wurden entsprechende Vorschläge eingebracht, wie z.B. der Zutrittskontrolle  i.S.d. Anlage zu § 9 S. 1 Nr. 1 BDSG genüge getan werden kann. Dabei wurde insbesondere festgestellt, dass häufig erhebliche Investitionen für entsprechende Schutzmechanismen getätigt werden, obwohl zumeist verhältnismäßig günstige organisatorische Maßnahmen getroffen werden können, die den Anforderungen des Gesetzes im Einzelfall hinreichend genügen können.

Ein weiterer Schwerpunkt lag auf der Kommunikation per E-Mail zwischen Anwalt und Mandant. Dieses Kommunikationsmittel hat sich in der vergangenen Zeit zur etablierten Möglichkeit entwickelt, Kontakt mit den Mandanten aufzunehmen, birgt jedoch besondere Gefahren, sofern keine ausreichende Verschlüsselungstechnik verwendet wird. Oft ist nur ein geringer Aufwand erforderlich, um dem entgegenzutreten. Aber auch die leicht umgehbare Authentizität des E-Mail-Absenders durch Dritte, sorgte für Aufmerksamkeit bei den Teilnehmern, weshalb empfohlen wurde, sich im Zweifel den Inhalt der E-Mail beim Mandanten telefonisch bestätigen zu lassen.

Des Weiteren gingen die Referenten auf die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) gemäß § 4f BDSG ein. Dabei wurden neben den Voraussetzungen für die Bestellungspflicht und den Aufgaben auch die Vorzüge eines externen DSB herausgestellt. Denn nach § 4f Abs. 2 S. 1 BDSG darf nur zum DSB bestellt werden, wer die erforderliche Fachkunde und Zuverlässlichkeit besitzt. Neben der i.d.R. gegebenen Expertise habe der externe DSB aber auch weniger Hemmungen, auf den Datenschutz hinzuwirken, als ein intern bestellter DSB.

Schließlich wurde ein Appell an die Teilnehmer ausgesprochen, dass neben den Risiken durch Dritte bedingt auch ein nicht zu vernachlässigender Faktor der eigene Umgang mit den Daten sei. Somit müsse eigenes Handeln überdacht werden. Als Beispiel wurde das Arbeiten mit dem Notebook im öffentlichen Bereich genannt, in dem auch andere Personen Einsicht auf den Bildschirm haben könnten oder der Verlust von Speichermedien mit vertraulichen Daten.

Fazit zur Veranstaltung

Insofern gab die Veranstaltung dem Teilnehmer einen Einblick in die IT-Sicherheit. Soweit sich der Anwalt bewusst Gedanken hierüber und die Sicherstellung der datenschutzrechtlichen Bestimmungen, macht wird zum einem dem Mandanten vermittelt, dass seine (personenbezogenen) Daten in der Kommunikation mit seinem Anwalt vertraulich behandelt werden und nicht in unbefugte Hände geraten. Das schafft eine höhere Vertrauensbasis und eine bessere Zusammenarbeit. Zum anderen besteht auch für den Anwalt vor dem Hintergrund des § 203 Abs. 1 Nr. 3 StGB und den weiteren berufsrechtlichen Vorschriften ein eigenes Interesse, den Datenschutz ernst zu nehmen. Dies erfordert jedoch eine aktive Handlung mit geeigneten Maßnahmen, welche nicht beiläufig erledigt werden sollte.

Zur näheren Information über die Veranstaltung dienen die Folien der Präsentation, welche auf der Internetseite der DsiN zur Verfügung gestellt werden (siehe hier).