Cloud-Dienste und Geheimnisträger – Voraussetzungen für die Nutzung (Gastbeitrag im eBook des Deutschen AnwaltVerlags)
Cloud-Dienste verlocken auch Angehörige von Berufsgruppen, die einer strafrechtlich sanktionierten Schweigepflicht nach § 203 StGB unterliegen. Sie lagern IT-Dienstleistungen an externe Spezialisten aus, zunehmend auch an innovative IT-Angebote im Internet (Cloud-Dienste).Wenn sie dies planen, muss hinreichender Datenschutz gewährleistet sein. Falls eine Anwaltskanzlei, die einen Dienst verwenden will, diesen im Rahmen einer Auftragsdatenverarbeitung beauftragt, ist sie als Auftraggeber nämlich gesetzlich verpflichtet, sich von der Ordnungsgemäßheit der technischen und organisatorischen Maßnahmen des Cloud-Anbieters zu überzeugen. Eine sinnvolle Überprüfung der technischen Systeme erfordert jedoch Qualifikation wie auch zusätzliche Ressourcen.
Datenschutz-Zertifizierung – berücksichtigt die DSGVO
Eine Kanzlei kann mithilfe der Datenschutz-Zertifizierung nach dem Trusted Cloud Datenschutzprofil (TCDP) Aufwand vermeiden: Das TCDP entwickelten im Auftrag des Bundes-ministeriums für Wirtschaft und Energie die maßgeblichen Interessenvertreter, z. B. Datenschutzaufsichtsbehörden, Vertreter der Privatwirtschaft, Verbände und Normungsstellen mit Erfahrung im IT-Bereich. Es umfasst die datenschutzrechtlichen Anforderungen des BDSG, außerdem wurden bereits die Anforderungen der DS-GVO berücksichtigt.
Da die Anforderungen an die technisch-organisatorischen Maßnahmen ein individueller Maßstab sind und sich nach dem Schutzbedarf richten, liegt im Kern des TCDP ein Schutzklassenkonzept: Der Schutzbedarf wird aus den verwendeten Datenarten und dem Verwendungskontext ermittelt. Wenn eine Kanzlei einen IT-Dienst auswählt, der gemäß der Anforderungen einer Schutzklasse zertifiziert wurde, die dem Schutzbedarf der Daten entspricht, darf sie die gesetzliche Kontrollpflicht als erfüllt erachten. Rechtsanwaltskanzleien können durchgängig von der Schutzbedarfsklasse 3 ausgehen.
Cloud-Dienste benötigen Geheimnisschutz für Inhalte UND Metadaten
Die Beauftragung externer Dienstleister kann als eine unbefugte Offenbarung von Berufsgeheimnissen angesehen werden, die nach § 203 StGB strafbar ist, sofern der Dienstleister Zugriff auf die Berufsgeheimnisse erlangen kann. Eine Ende-zu-Ende-Verschlüsselung der Geheimnisse kann dies weitgehend verhindern, sofern die Verbindungsdaten keine Berufsgeheimnisse preisgeben können. Bei einem für Anwaltskanzleien typischen Datenaustausch mit der Mandantschaft stellen die Verbindungsdaten mitunter Berufsgeheimnisse dar. Sie müssen vor dem Zugriff durch den Dienstleister bewahrt werden (Metadatenschutz).
Cloud-Dienst idgard erfüllt die Anforderungen der Schutzklasse 3
Der IT-Security Spezialist Uniscon GmbH aus München bietet den Cloud-Dienst idgard zum vertraulichen Austausch von Dokumente und Nachrichten für Anwälte an. Der Dienst wurde bereits in der Schutzklasse 3 nach TCDP zertifiziert, schützt Inhalte und Metadaten und ist somit für den Einsatz in Kanzleien geeignet.
- Sicherer Dokumentenversand
- Zugriff vom PC und auch von mobilen Geräten – auch bei Gericht
- Hinzufügen und Entfernen von Mandanten ohne über IT-Kenntnisse verfügen zu müssen
- Rückstandsfreies Löschen von Dokumenten
- Hohe Sicherheit bei der Anmeldung durch 2-Faktor-Authentifizierung
- Zusätzlicher Verbreitungsschutz durch Wasserzeichen, Journal, etc.
Fanden Sie diesen Beitrag interessant? Sind Sie an weiteren Artikeln rund um die Themen Datenschutz und Datensicherheit interessiert?
Dann melden Sie sich jetzt kostenlos und unverbindlich zu unserem privacyblog-Newsletter an! Wir informieren Sie per Mail über neue Blogbeiträge. Hier geht es zur Anmeldung.