Niko Härting ist Rechtsanwalt, Lehrbeauftragter an der FU Berlin und Honorarprofessor an der Hochschule für Wirtschaft und Recht
Aber welche Bedrohung stellen Angriffe für Kanzleien über- haupt dar? „Kanzleien sind interessant für Hacker, weil die Daten, die dort gespeichert werden, sehr sensitiv sind. Es geht eben um geheimhaltungspflichtige Daten“, sagt der IT-Rechtsanwalt Karsten U. Bartels. Also Daten, die, wenn sie veröffentlicht werden, häufig Positionen, Interessen, Strate- gien und Taktiken verraten; Daten, die vertraulich sind. Sie unterliegen dem Anwaltsgeheimnis: Alles, was ein/e Anwäl- tIn im Zusammenhang mit dem/der MandantIn erfährt, ist vertraulich zu behandeln. Ein Verstoß gegen diesen Grund- satz ist gemäß § 203 StGB strafrechtlich zu ahnden. Die An- forderungen an den Datenschutz sind also hoch. „Wahr- scheinlich machen sich zu wenige Kanzleien über das Thema Sorgen“, so Bartels. „Das Phänomen Hackerangriffe ist allge- mein bekannt. Aber ich glaube, dass es viel zu viele Kanzleien gibt, die der Meinung sind, dass es sie nicht treffen wird“.
Besonders die Datenschutzgrundverordnung (DSGVO) lässt sich allerdings nicht immer mit den Anforderungen an die anwaltliche Verschwiegenheitspflicht in Einklang bringen.
Bevor sie 2018 in Kraft trat, gab es lange Diskussionen, ob die Regelungen auch in Kanzleien Anwendung finden sollen. Genauer: Verletzt die DSGVO die berufliche Verschwiegen- heitspflicht von AnwältInnen? Sollten Kanzleien deshalb von den Bestimmungen der DSGVO ausgenommen werden? Die Antwort lautet – fragt man Datenschutz-ExpertInnen – nein: „Wie viele andere Unternehmen auch, mussten alle Anwaltskanzleien schauen, dass sie der DSGVO gerecht wer- den“, erklärt IT-Rechtsanwalt Niko Härting. Er betont jedoch auch, dass es Einschränkungen gibt. So ist eine Kanzlei nicht verpflichtet, Auskunft zu erteilen – der Geheimnisschutz überwiegt in diesem Fall.
Konkret zeigen sich die Auswirkungen der DSGVO auf Kanz- leien in der verpflichtenden Bestellung eines/einer externen Datenschutzbeauftragten, wenn eine Kanzlei mehr als 20 MitarbeiterInnen hat. Das Problem: Diese Person unterliegt nicht dem anwaltlichen Berufsgeheimnis. Prof. Dr. Thomas Gasteyer und Eva Säljemar sehen in ihren Ausführungen zur „Vertraulichkeit im Wandel digitaler Kommunikationswege“ an dieser Stelle keine Schwierigkeiten: „Seit der umfassenden Reform des Berufsgeheimnisschutzgesetzes Ende 2017 ist die rechtssichere Einbeziehung von sogenannten Outsour- cing-Dienstleistern in die Abläufe der Kanzlei möglich.“ Somit ist auch ein/e externe/r Datenschutzbeauftragte/r wohl rechtens.
Daneben gibt es weitere Anforderungen und Maßnahmen, die Kanzleien laut DSGVO befolgen müssen. Konkrete Mittel gegen Cyberkriminalität schreibt die Verordnung zwar nicht vor, doch müssen Kanzleien gemäß Artikel 32 geeignete technische und organisatorische Vorkehrungen treffen, um ein angemessenes Schutzniveau zu gewährleisten. Anwält- Innen können laut Karsten Bartels Viren-Schutzprogramme, Firewalls, eine Kanalverschlüsselung für die Kommunikation und verschlüsselte Festplatten nutzen. Unter die organi- satorischen Maßnahmen fallen unter anderem Mitarbeiten- den-Schulungen und Notfallpläne für den akuten Fall eines Hackingangriffs.
Außerdem kann die Kommunikation per E-Mail zur Sicher- heitslücke werden. Die DSGVO schreibt keine expliziten Maß- nahmen vor, wie und ob E-Mails verschlüsselt werden müs- sen. Bartels betont, dass die Art der E-Mail-Verschlüsselung in der Kommunikation mit MandantInnen von der Schutzwürdigkeit der ausgetauschten Inhalte abhängt. Auch eine unverschlüsselte Kommunikation soll rechtlich zulässig sein, sofern der/die MandatIn zustimmt. Somit ist die Kanzlei auch im Fall eines Hackingangriffs auf den Inhalt der E-Mails rechtlich geschützt.
„Die größte Sorge, die eine Kanzlei im Fall eines Hacking- angriffs hat, dreht sich um die Wirkung“, sagt IT-Anwalt Niko Härting. „Wenn Informationen einer Kanzlei in falsche Hände geraten, ist das das Peinlichste und Unangenehmste, was einem Anwalt passieren kann.“ Die Reputation der Kanzlei leidet stark unter einem erfolgreichen Angriff. Denn der An- waltsberuf basiert auf Vertrauen. „Und nichts ist vertrauen- zerstörendender, als wenn durch Hacking Informationen veröffentlicht werden“, so Härting.
Schutzmaßnahmen gibt es also einige. Gründe, diese zu befolgen, ebenfalls. Vor allem auch im Interesse der Man- dantInnen. Denn was passiert im Ernstfall? Eine Kanzlei wird erfolgreich gehackt und strafrechtlich relevante Daten ge- langen an die Öffentlichkeit. Sind diese Informationen etwa in einem Strafverfahren verwertbar?
„Es gibt nicht den Grundsatz, dass Informationen, die illegal beschaffen worden sind, vor Gericht nicht verwendbar sind“, so Härting. Wie so oft in der Welt der JuristInnen ist die Ver- wertung schlicht eine Abwägungssache: „Je gravierender der Vorgang ist, um den es geht, also etwa Straftaten oder Kapitalverbrechen, desto leichter lassen sich auch illegal er- langte Beweismittel verwerten.“ Nicht nur die Schwere der Tat spielt vor Gericht eine Rolle, sondern auch die Art der erlangten Informationen. „Je sensibler die beschafften Infor- mationen sind, desto höher sind die Hürden für die Verwen- dung vor Gericht.“ So sei ein illegal erlangtes Tagebuch in der Regel nicht zu verwerten, geschäftliche Informationen hin- gegen schon. Auch das dürfte ein Argument sein, warum Kanzleien IT-Sicherheit erst nehmen sollten. Unterlassen kann hier sonst nicht nur bei Fußball-Stars als Mandant- Innen die Vorlage für ein Eigentor werden.
 von Jana Niehoff und Anastasia Zejneli
 24
Nomos STUD.Jur. 1 | 2021
© privat
Datenschutz