Von Rainer Robbel
Fand der Kontakt zwischen Rechtsanwältinnen und Rechtsanwälten zu ihrer Mandantschaft vor nicht allzu langer Zeit noch überwiegend in analogen Räumen und von Angesicht zu Angesicht statt, sind Wartezimmer und Besprechungsräume heutzutage zumeist verwaist. Spätestens seit der Pandemie setzt auch die Anwaltschaft abseits von Telefax und E-Mail zunehmend auf moderne digitale Technologien zur Mandantenkommunikation und zum Datenaustausch mit ihrer Mandantschaft, wie z. B. Videokonferenzen, Messaging-Apps oder digitale Datenräume. Allerdings stellt ihre Nutzung die Verantwortlichen vor allem im Hinblick auf den Datenschutz vor einige Herausforderungen.
Das liegt im Wesentlichen daran, dass die meisten der angebotenen Dienste cloudbasiert sind. Bei deren Nutzung werden personenbezogene Daten über die IT-Struktur von Drittanbietern übertragen. Die Verarbeitung der Daten an bzw. durch diese Drittanbieter muss den geltenden Datenschutzbestimmungen, also vor allem der Europäischen Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) entsprechen.
1. Software von Anbietern aus den USA
Eine Sonderstellung kommt in diesem Zusammenhang den US-Anbietern zu, denn ein Großteil der Marktführer von digitalen Kommunikationslösungen und Business-Webanwendungen hat ihren Hauptsitz in den Vereinigten Staaten: Man denke an Microsoft, Google, Amazon, Meta oder Zoom, um nur die bekanntesten zu nennen. Aus diesem Grund gehe ich zunächst auf die damit verbundenen datenschutzrechtlichen Probleme ein.
Personenbezogene Daten genießen in den USA nämlich nicht den gleichen Schutz wie in Europa, weshalb man bislang bei der Nutzung solcher Dienste mögliche Datenschutzverstöße in Kauf nehmen musste. Ungeachtet dessen gibt es zu vielen der US-Dienste im Hinblick auf deren Performance und Funktionalität keine echten Alternativen.
Die gute Nachricht vorweg: Waren unlängst Datenübermittlungen in die USA aufgrund der Unwirksamkeit des Privacy Shield Abkommens überwiegend unzulässig, ist die Nutzung der zahlreichen cloudbasierten US-Tools nun grundsätzlich wieder möglich, nachdem die EU-Kommission am 10.07.2023 den Angemessenheitsbeschluss für den Privacy Shield Nachfolger, das „EU-U.S. Data Privacy Framework“ („DPF“) angenommen hat. Dennoch lauern auch weiterhin einige datenschutzrechtliche Fallstricke, die ich im Folgenden kurz erläutere:
a) Ist das DPF anwendbar?
Eine Berufung auf das DPF zur Übermittlung personenbezogener Daten in die USA ist nur dann möglich, wenn das in den USA ansässige Unternehmen unter dem DPF auch zertifiziert ist. Dies ist vorab zu überprüfen. Die International Trade Administration (ITA) des U.S. Department of Commerce hat hierzu unter eine Suchfunktion veröffentlicht, mit der ermittelt werden kann, ob das betreffende Unternehmen dem DPF beigetreten ist. Auf die meisten der großen und bekannten Unternehmen trifft das jedoch mittlerweile zu.
b) Was, wenn nicht?
Ist das Unternehmen hingegen nicht unter dem DPF zertifiziert, hilft nur der Abschluss einer Vereinbarung auf Basis der Standard-Vertragsklauseln zwischen Verantwortlichem und Auftragsverarbeiter („standard data protection clauses between controller and processor“) der Europäischen Kommission sowie in der Regel zusätzliche Garantien und Sicherheiten. Ob solche tatsächlich erforderlich sind, muss ggf. vorab mittels eines Transfer Impact Assessment (Risikobewertung für Datenübermittlungen in unsichere Drittländer) ermittelt werden. Kommt man zu dem Ergebnis, dass zusätzliche Garantien und Sicherheiten erforderlich sind, wird es meistens schwierig, denn diese sind – von einer vorherigen sicheren Verschlüsselung der Daten vor der Übermittlung einmal abgesehen – zumindest im Hinblick auf die auch heute noch bestehenden weitreichenden Zugriffsbefugnisse der Sicherheitsbehörden in den USA zumeist wirkungslos.
Ob die vertragliche Zusicherung, die Daten nur auf Servern in der EU zu verarbeiten, als zusätzliche Sicherheit ausreicht, ist bislang umstritten und noch nicht höchstrichterlich geklärt.
2. Was sollten Anwältinnen und Anwälte sonst noch beachten?
a) Auftragsverarbeitungsvertrag
Die Verarbeitung personenbezogener Daten durch Clouddienstleister stellt in der Regel eine Auftragsverarbeitung dar, über die gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag abzuschließen ist. Die großen US-Dienstleister fügen diesen Vertrag häufig als weiteren Bestandteil der Nutzungsvereinbarung an, so z. B. bei Microsoft als „Microsoft Online Services Data Protection Addendum“ (DPA). In Einzelfällen muss der Vertrag aber auch ausgedruckt und sodann unterzeichnet an den Dienstleister zurückgesendet werden. Wichtig ist, in jedem Fall zu klären, ob ein solcher Auftragsverarbeitungsvertrag überhaupt angeboten wird und ggf. auf welchem Wege dieser zustande kommt.
Die schlechte Nachricht ist: Nicht alles, was von den jeweiligen Unternehmen als Auftragsverarbeitung angesehen wird, stellt auch eine solche dar. Insbesondere dort, wo personenbezogene Daten von den Dienstleistern zu eigenen Zwecken verarbeitet werden, bedarf es sowohl für die Übermittlung, als auch für die Verarbeitung durch den Dienstleister eigener Rechtsgrundlagen, wobei hier praktisch nur die Einwilligung durch die betroffene Person in Betracht kommt. Da die Einwilligung aber die umfassende Informiertheit des Einwilligenden voraussetzt, scheidet diese in den meisten Fällen schon deshalb aus, weil Anbieter wie Microsoft oder Meta nicht wirklich transparent preisgeben, welche Daten sie zu welchem Zweck sammeln und was mit den Daten geschieht. Letztlich dürfte die Einholung von Einwilligungen der jeweils betroffenen Personen in der Praxis kaum durchführbar sein. So bleibt die Nutzung dieser Tools trotz Auftragsverarbeitungsvertrag in vielen Fällen aus datenschutzrechtlicher Sicht kritisch.
b) Verschlüsselung
Bei der Nutzung von Videomeeting-Tools wie Zoom oder Microsoft Teams sollte zumindest die Übertragung der Daten verschlüsselt erfolgen. Werden hingegen Dokumente oder ganze Akten in einer Cloud gespeichert oder in einem virtuellen Datenraum für die an einem Rechtsfall oder Projekt Beteiligten bereitgehalten, ist die vorherige Verschlüsselung der Daten neben der Übermittlung auch bei der Speicherung essenziell, um Vertraulichkeit und Integrität der Mandanteninformationen zu gewährleisten. Dabei sollte (vertraglich) sichergestellt sein, dass der Cloudanbieter über keine Möglichkeit der Entschlüsselung verfügt.
c) Zugriffsregelungen
Mittels eines entsprechenden Rollen- und Rechtekonzepts sollten Kanzleien sicherstellen, dass nur die Personen Zugriff auf die Daten nehmen können, die hierzu berechtigt sind und dies zur Erfüllung ihrer Aufgaben müssen.
d) Datenschutz durch Voreinstellung
Bei der eingesetzten Software sollte durch die Vornahme entsprechender Einstellungen dafür gesorgt werden, dass nur die für den Zweck unbedingt erforderlichen Daten verarbeitet werden. Am Beispiel von Videomeetings können solche datenschutzfreundlichen Einstellungen wie folgt aussehen:
- Verwendung von Passwörtern oder Warteräumen, um sicherzustellen, dass nur berechtigte Teilnehmerinnen und Teilnehmer am Meeting teilnehmen können.
- Beschränkung der Freigabe persönlicher Informationen und Abschaltung aller Funktionen, die unnötig personenbezogene Daten sammeln könnten (z. B. Aufmerksamkeits-Tracking).
- Deaktivierung von Funktionen zur Übermittlung von Nutzungsdaten an den Plattformanbieter.
- Den Teilnehmenden sollte ermöglicht werden, anonym oder unter Pseudonymen teilzunehmen, wenn deren Identität für das Meeting nicht relevant ist.
- Es sollte durch regelmäßige Software-Updates sichergestellt werden, dass die verwendete Software stets auf dem neuesten Stand ist, um Sicherheitslücken zu schließen.
- Vorsicht bei der Bildschirmfreigabe! Immer wieder kommt es vor, dass bei Bildschirmfreigaben unbeabsichtigt Informationen geteilt werden, die nicht für die anderen Teilnehmenden bestimmt sind. Es sollte daher immer darauf geachtet werden, nur die relevanten Inhalte freizugeben.
- Achtung! Die Anfertigung von Bild- und/oder Tonaufnahmen eines Videomeetings bedarf der vorherigen Einwilligung aller Teilnehmenden. Liegen Einwilligungen vor, sollte sichergestellt werden, dass die Aufzeichnungen sicher gespeichert und nach Bedarf gelöscht werden.
e) Datenschutzinformation
Die betroffenen Personen sind bei Erhebung der Daten gemäß Art. 13 DSGVO zu informieren.
3. Was kann man schon vor der Implementierung neuer Software, Tools und Apps tun?
Bevor eine neue Software oder ein neues Tool eingeführt wird, sollten folgende Fragen geklärt werden:
- Welche, insbesondere personenbezogenen Daten werden durch das Tool verarbeitet?
- Wo werden die Daten gespeichert? Werden die Daten in einem sicheren, möglicherweise lokal begrenzten Bereich gespeichert?
- Werden die Regelungen zur Datenübermittlung in Drittländer beachtet?
Sitzt der Datenempfänger in einem Land außerhalb der EU / des EWR und liegt für das betreffende Land kein Angemessenheitsbeschluss der EU-Kommission vor [derzeit: Andorra, Argentinien, Färöer, Großbritannien (vorerst bis zum 28.06.2025), Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (nur kommerzielle Organisationen), Neuseeland, Schweiz, Südkorea, Uruguay, USA (nur wenn Empfänger nach EU-U.S. Data Privacy Framework zertifiziert sind – siehe auch Ziff. 1)], bedarf es neben der Vereinbarung der Standard-Vertragsklauseln eines Transfer Impact Assessment und ggf. zusätzlicher Garantien und Sicherheiten. - Gibt es ggf. gleichwertige Lösungen von in der EU ansässigen Unternehmen?
- Wie sicher ist das Tool? Wurde die Sicherheitsmerkmale der Software, einschließlich Verschlüsselung, Zugriffskontrollen und mögliche Schwachstellen evaluiert?
- Erfüllt das Tool die Datenschutzanforderungen? Ist sichergestellt, dass die Software mit der DSGVO und dem BDSG konform ist?
- Sind ggf. Schulungen erforderlich? Müssen Mitarbeitende im effizienten, sicheren und datenschutzkonformen Umgang mit der Software geschult werden?
- Wie wird die Einhaltung des Datenschutzes überwacht? Gibt es Prozesse zur kontinuierlichen Überprüfung der Datenschutzkonformität der Software?
4. Fazit: Herausforderungen und Lösungsansätze in der Mandantenkommunikation
Die digitale Mandantenkommunikation bietet viele Vorteile, erfordert aber auch ein hohes Maß an Verantwortung im Hinblick auf den Datenschutz. Rechtsanwälte und Rechtsanwältinnen sind als Berufsgeheimnisträgerinnen und Berufsgeheimnisträger und vor allem wegen der besonderen Bedeutung der von ihnen verarbeiteten Daten im besonderen Maße dem Datenschutz verpflichtet. Sie müssen sich dabei der Risiken bewusst sein und geeignete Maßnahmen ergreifen, um die Sicherheit und Vertraulichkeit der Mandanteninformationen zu gewährleisten. Dabei helfen eine sorgfältige Auswahl und Überwachung der verwendeten Technologien, ggf. auch unter Zuhilfenahme externer Spezialisten, um den datenschutzrechtlichen Verpflichtungen nachkommen, aber gleichzeitig die Kommunikationsprozesse deutlich effizienter zu gestalten zu können.
In kleineren und mittleren Kanzleien können interne Speicherlösungen, sogenannte Network Arrange Storages (NAS) eine sichere und kostengünstige Alternative zu einem externen Clouddienst sein.
Mehr zum Thema Legal Tech im Legal Tech-Magazin Spezial
„Mandantenkommunikation digital“
Bild: Adobe Stock/©Aoodstocker12
Rainer Robbel ist Rechtsanwalt in der Kanzlei ETL-Rechtsanwälte GmbH, Niederlassung Köln. Er ist als externer Datenschutzbeauftragter (DSB-TÜV) für zahlreiche verschiedene Unternehmen tätig.