Datenschutzanforderungen an das Anwalt-Homeoffice: Was darf ich? Was nicht?

Die anwaltliche Arbeit im Homeoffice stellt Anwaltskanzleien jeglicher Art und Größe vor verschiedene rechtliche Herausforderungen. Hierbei geht es vor allem darum, wie die Sicherheit und Integrität aller Datenverarbeitungen zu jedem Zeitpunkt gewährleistet werden können. Um sich als Anwältin/Anwalt im Homeoffice in Zeiten der Coronakrise datenschutzkonform zu verhalten, ist es sehr empfehlenswert, sich mit diesem Thema auseinanderzusetzen. Dieser Beitrag soll Anwaltskanzleien in dieser Situation „Erste Hilfe“ leisten und einen groben Überblick über die aktuelle Rechtslage geben sowie in Form einer Checkliste Kurztipps zu den wesentlichen Aspekten der Sicherung von Daten im Homeoffice bieten.

Letztendlich dient die erforderliche Umsetzung der Vorgaben des Datenschutzes auch dazu, den standesrechtlichen Verschwiegenheitsvorgaben für Anwältinnen und Anwälte zu genügen.

Typische Risiken für den Datenschutz/die Vertraulichkeit im Homeoffice

Die Arbeit im Homeoffice bringt zwangsläufig Risiken für die Vertraulichkeit, Integrität und für die Verfügbarkeit von personenbezogenen Daten mit sich. Die Daten von Mandanten, welche im Rahmen der typischen anwaltlichen Tätigkeit verarbeitet werden, sind häufig sensibler als bei anderen Berufen. Werden die Daten in physischen Akten gespeichert, so besteht das Risiko, dass diese beim Transport ins Homeoffice verloren gehen oder von unbefugten Dritten im Homeoffice gelesen werden. Im Haushalt selbst leben häufig mehrere Personen, sodass eine Kenntniserlangung der Inhalte von Akten, E-Mails mit Mandanten o.Ä. durch Dritte deutlich leichter möglich ist.

Schnell werden personenbezogene Daten von Mandanten im Homeoffice „mal eben“ auf einem privaten Laptop gespeichert und dort vergessen.

Zudem bieten private Laptops häufig nicht die erforderliche Sicherheit der Daten vor Viren und haben keine spezialisierten Programme installiert, um Schadsoftware erkennen zu können. Wird ein Virus über das private E-Mail-Konto auf den Laptop „eingeschleust“, so ist dieser unter Umständen in der Lage, die gesamten Daten auf der Festplatte auszulesen oder gar irreversibel zu verändern.

Zuletzt ist darauf hinzuweisen, dass die aufgezählten Risiken bei sämtlichen Kanzleimitarbeiterinnen und -mitarbeitern bestehen, die im Homeoffice arbeiten. Gedacht sei auch an das Sekretariat oder an Rechtsreferendare. Die Überprüfung, dass sich diese datenschutzkonform verhalten, obliegt der Kanzlei als datenschutzrechtlich Verantwortliche. Dies bringt ein gewisses Risiko mit sich, da man die Mitarbeiterinnen und Mitarbeiter in ihrer eigenen Wohnung nur schwerlich kontrollieren kann.

Gesetzliche Vorgaben

Weder die DSGVO noch das BDSG oder das anwaltliche Berufsrecht kennen explizite Vorgaben zum Schutz von Daten im Homeoffice.

Die DSGVO ordnet diesbezüglich in Art 32 abstrakt an, dass die „angemessenen“ technischen und organisatorische Maßnahmen (so genannte „TOMs“) zum Schutz der personenbezogenen Daten zu treffen sind. Mangels detaillierter Rechtsprechung steht dem Verantwortlichen bzw. der Verantwortlichen ein Spielraum bei der Umsetzung zu.

Unabhängig von datenschutzrechtlichen Normen kennt auch das anwaltliche Berufsrecht ähnliche Vorgaben für die Sicherheit von Mandantendaten. Unter anderem enthält § 2 Abs. 7 BORA die Verpflichtung zur Schaffung von zum Schutze des Mandantengeheimnisses erforderlichen organisatorischen und technischen Maßnahmen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. Die berufsrechtlich geforderten Maßnahmen sind im Ergebnis identisch zu denjenigen TOMs, die Art. 32 DSGVO erfordert.

Auch wenn die rechtlichen Anforderungen sehr abstrakt sind, können die Folgen bei einem Verstoß gravierend sein. Neben potenziellen Millionenbußgeldern nach der DSGVO sei an den strafrechtlichen Schutz des Mandantengeheimnisses gemäß § 203 StGB erinnert. Damit ist klar: Es kann für keine Anwältin und keinen Anwalt richtig sein, sich und seine Mitarbeiter/innen „einfach so“ ins Homeoffice zu schicken, ohne jegliche Schutzmaßnahmen zu treffen.

Dokumentationspflicht und das richtige Maß an Maßnahmen

Aber welches Maß an technischen und organisatorischen Sicherheitsmaßnahmen ist richtig für die jeweilige Kanzlei? Mangels Rechtsprechung zu den oben genannten rechtlichen Vorgaben kann dies niemand zu 100 Prozent beantworten. Im nächsten Abschnitt werden „Best-Practice“-Beispiele gegeben. Letztlich kommt es vor allem auf folgenden Punkt an: Jeder muss für sich selbst überlegen, wie sensibel die im Homeoffice verarbeiteten Daten sind bzw. welcher Schaden für Betroffene entstehen kann, wenn deren Daten im Homeoffice abhandenkommen oder ein unautorisierter Zugriff erfolgt. Diese Kernfrage der sogenannten „Schutzbedarfsanalyse“ sollte jede Anwältin und jeder Anwalt für sich selbst beantworten und – darauf kommt es vor allem an – dokumentieren. Denn die DSGVO verlangt, dass jeder Verantwortliche einen Nachweis darüber erbringen kann, dass er die Anforderungen an die Datensicherheit erfüllt. Ohne Dokumentation ist dies schlichtweg unmöglich.

Es ist daher wichtig, zum einen den Schutzbedarf zu dokumentieren und zum anderen – darauf aufbauend – passende Sicherheitsmaßnahmen auszuwählen, um die personenbezogenen Daten im Homeoffice ausreichend zu schützen. Noch mal: Einerseits kann niemand vorhersehen, was das „ausreichende Maß“ ist. Andererseits: Wer für sich schlüssig dokumentiert, weshalb er die eigenen Maßnahmen für ausreichend hält, dem wird – angesichts fehlender Rechtsprechung – kein Vorwurf gemacht werden können.

Konkrete Empfehlungen zum Datenschutz im Homeoffice

Im Folgenden werden in Form einer Checkliste Sicherheitsempfehlungen aufgezählt, die sich im Wesentlichen an die Herangehensweisen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI[1]) und des Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI[2]) orientieren.

Allgemeine Empfehlungen:

• Einmalige Sensibilisierung und Schulung der Mitarbeiterinnen und Mitarbeiter. In diesem Zusammenhang sollten sie verpflichtet werden, die Einhaltung der TOMs zu protokollieren und dem Verantwortlichen zur Verfügung zu stellen, damit dieser im Falle der Kontaktaufnahme durch eine Aufsichtsbehörde schriftlich vorlegen kann, wie das Kanzleiteam die Daten gesichert hat.
• Verschlüsselung von tragbaren IT-Systemen und Datenträgern wie USB-Sticks oder Festplatten; generell möglichst umfangreiche Verschlüsselung der Daten
• Zutritts- und Zugriffsschutz des Homeoffice-Arbeitsplatzes, beispielsweise durch Abschließen der Tür zum Arbeitszimmer und Nutzung eines passwortgeschützten Endgerätes sowie Bildschirmschoners
• Vernichtung von Ausdrucken, Briefen und Notizen auf Papier nur mittels Aktenvernichter
• Virenschutz, Firewall und Bootschutz sollten stets aktiv und auf dem neuesten Update-Stand sein
• Nutzung privater Geräte  für  die  berufliche  Tätigkeit  ist  nur  dann  zu empfehlen,  wenn  eine  geeignete  technische  Lösung  auf  dem  Gerät  implementiert werden  kann,  die  die  privaten  und  die  beruflichen  Daten  effektiv  trennt;
• Regelmäßige Sicherung der lokal gespeicherten Daten zum Schutz vor Verlust oder Beschädigung der Datenträger;

Darüber hinausgehende Maßnahmen dürften regelmäßig nur erforderlich sein, wenn besonders sensible Daten im Homeoffice verarbeitet werden. Es macht eben einen großen Unterschied, ob eine einfache zivilrechtliche Zahlungsklage oder eine Akte aus dem Bereich des Minderjährigenstrafrechts mit zahlreichen Details zum Werdegang und Hintergrund eines minderjährigen Angeklagten im Homeoffice bearbeitet werden. Die oben genannten Maßnahmen passen vor allem für Fälle mit weniger sensiblen Daten.

[1] Vgl. BSI, Tipps für sicheres mobiles Arbeiten, abrufbar hier.

[2] Vgl. BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser.             

Foto: Adobe Stock/©putilov_denis