Sichere Kommunikation Pflicht für Anwälte

Transkript

1 Sichere Kommunikation Pflicht für Anwälte RAin Sabine Ecker, DATEV eg, Nürnberg DATEV eg

4 Welche Gefährdungen ergeben sich aus der nutzung? RAin Sabine Ecker DATEV eg Seite 4

5 Rechtsgrundlagen Berufsordnung ( BORA) Bundesrechtsanwaltsordnung ( BRAO ) Bundesdatenschutzgesetz ( BDSG ) Neu mit Wirkung zum Datenschutzgrundverordnung ( DSGVO ) RAin Sabine Ecker DATEV eg Seite 5

6 DSGVO was ist das? Datenschutzgrundverordnung Die EU Datenschutzgrundverordnung (EU-DSGVO) ist eine neue EU-Verordnung - also eine Vorschrift, die in der ganzen EU gilt. Die Vorschrift regelt das Datenschutzrecht - also den Umgang von Unternehmen mit personenbezogenen Daten - einheitlich europaweit. Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten dann nicht mehr bzw. das BDSG wurde zeitgleich neu gefasst. Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt Trifft jedes Unternehmen, also jede Anwaltskanzlei RAin Sabine Ecker DATEV eg Seite 6

7 Schon deutsches Recht? Die DSGVO trat schon am 25. Mai 2016 in Kraft. ABER: Die EU-Mitgliedstaaten müssen die Datenschutzgrundverordnung erst ab dem 25. Mai 2018 anwenden. Muss Deutschland die EU- Gesetze nicht noch im nationalen Recht umsetzen? NEIN: Die Datenschutzgrundverordnung ist eine Verordnung. Verordnungen müssen die Mitgliedstaaten nicht extra umsetzen. Sie gelten direkt. Das BSDG ist bereits angepasst, insbesondere die Einführung von Ordnungswidrigkeiten RAin Sabine Ecker DATEV eg Seite 7

8 Berufsrecht vs Datenschutzrecht Grundsatz: BRAO ist lex specialis zum BDSG Aber : Die BRAO regelt nur die Verschwiegenheitspflicht, nicht aber den Umgang mit personenbezogenen Daten bei der Versendung von s und vor allem nicht die erforderlichen technischen und organisatorischen Maßnahmen Daher greift dort das BDSG, insbesondere 9 BDSG Rechtsanwälte gelten als nicht-öffentliche Stelle isd 9 BDSG RAin Sabine Ecker DATEV eg Seite 8

9 Art. 32 DS-GVO: Sicherheit der Verarbeitung Grundsätzliche Festlegung von technisch-organisatorischen Maßnahmen für die Verarbeitung personenbezogener Daten Abs. 1: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten; die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Abs. 2: Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden verbunden sind [... ] RAin Sabine Ecker DATEV eg Seite 9

10 9 BDSG Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht RAin Sabine Ecker DATEV eg Seite 10

11 Anlage zu 9 Satz 1 Nr. 4 BDSG zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle) RAin Sabine Ecker DATEV eg Seite 11

12 Folgen für Berufsgeheimnisträger Verschlüsselung Soweit möglich sind die Daten zu schützen, z.b. durch Pseudonymisierung und Verschlüsselung. Die Art und Anzahl der personenbezogenen Daten machen es zwar wahrscheinlich, dass Berufsgeheimnisträger z.b. ihre -Kommunikation grundsätzlich immer verschlüsseln müssen, eine allgemeine Verschlüsselungspflicht statuiert Art. 32 DS-GVO jedoch nicht. Sensible und besonders schützenswerte Datenkategorien bestimmen sich nach Art. 9 DS-GVO. Dies sind vor allem Gesundheits- Sexual- und Ethniendaten. Die DS-GVO stellt an Berufsgeheimnisdaten unterliegen grundsätzlich dieselben Anforderungen wie an alle anderen personenbezogenen Daten. Eine Sonderkategorie Berufsgeheimnisdaten existiert in der DS-GVO nicht. Dennoch positionieren sich einzelne Datenschutzaufsichtsbehörden, z.b. Hamburg, konkret: Die Versendung von unverschlüsselten s, die personenbezogene Daten enthalten, insbesondere für Angehörige von Berufsgruppen, die auch einer strafrechtlich sanktionierten Schweigepflicht nach 203 StGB unterliegen, ist nach alledem nicht nur bedenklich, sondern stellt auch ein ungeeignetes Kommunikationsmittel dar., HBfDI v Zu beachten ist jedoch: Die Hamburger Datenschutzaufsicht wählt den Begriff ungeeignet, nicht jedoch rechtswidrig. Rechtlich eindeutige Aussagen zu diesem Themenkomplex stehen jedoch noch aus. Es droht immer die Gefahr eines Bußgeldes seitens der Datenschutzaufsicht RAin Sabine Ecker DATEV eg Seite 12

13 Rechtsfolgen bei Verstößen Nach alten Recht lag keine Ordnungswidrigkeit vor. aber : am tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft ab diesem Datum sind Verstöße gegen 9 BDSG und die DSGVO Ordnungswidrigkeiten mit drastischen Sanktionen: bis zu 20 Mio. EUR oder bis zu 4% Ihres Umsatzes können die Bußgelder betragen technische Vorsorge treffen, Mitarbeiter schulen! RAin Sabine Ecker DATEV eg Seite 13

14 Herrschende Meinung der Datenschutzbehörden Die Einhaltung der technischen und organisatorischen Maßnahmen wird grundsätzlich für nicht abdingbar gehalten. Betroffene können auch nicht darin einwilligen, dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der Technik verarbeitet werden. Daher scheidet auch die elektronische Übertragung sensibler personenbezogener Daten ohne Verschlüsselung etwa per Mail aus, auch wenn der Betroffene explizit um die Übersendung per Mail bittet. Folge: Die Einwilligung in den Mandatsbedingungen, per normaler versenden zu dürfen, beseitigt nicht die gesetzliche Verpflichtung und den Gesetzesverstoß! RAin Sabine Ecker DATEV eg Seite 14

15 Technische Möglichkeiten Programme zur verschlüsselung Unbedingt den Anbieter der Anwaltssoftware kontaktieren, da teilweise integrierte Lösungen vorhanden Darauf achten, dass einfache Möglichkeiten zur Entschlüsselung beim Mandanten vorhanden sind RAin Sabine Ecker DATEV eg Seite 15

16 RAin Sabine Ecker DATEV eg Seite 16

17 Funktionsweise der DATEV -Verschlüsselung (DEMV) Zertifikatsbasiert s verschlüsseln und versenden Absender DEMV-Kunde DATEV-Rechenzentrum Empfänger Öffentliches Verschlüsselungszertifikat des Empfängers vorhanden 1 2 Verschlüsselungswunsch Gesicherte Verbindung via DATEVnet Automatische Verschlüsselung Verschlüsselter Versand per Entschlüsselung Verschlüsselungszertifikate: S/MIME (DATEV midentity/smartcard), PGP DATEV eg Seite 17

18 Funktionsweise der DATEV -Verschlüsselung (DEMV) Zertifikatsbasiert verschlüsselte s entschlüsseln und sicher empfangen Empfänger DEMV-Kunde DATEV-Rechenzentrum Absender Öffentliches Verschlüsselungszertifikat des Empfängers vorhanden 2 1 Entschlüsselte über gesicherte Verbindung via DATEVnet Automatische Entschlüsselung Verschlüsselter Versand per Verschlüsselung Verschlüsselungszertifikate: S/MIME (DATEV midentity/smartcard) DATEV eg Seite 18

19 Funktionsweise der DATEV -Verschlüsselung (DEMV) Alternative Portal-Lösung, wenn kein Verschlüsselungszertifikat des Empfängers vorhanden Absender DEMV-Kunde DATEV-Rechenzentrum Empfänger 1 Kein öffentliches Verschlüsselungszertifikat des Empfängers vorhanden 2 3 Einmalige Registrierung am Portal Verschlüsselungswunsch 1 Gesicherte Verbindung via DATEVnet 2 Versand einer Trägermail mit verschlüsselter Ursprungsmail an den Empfänger 3 Authentifizierung und Entschlüsselung im Portal DATEV eg Seite 19

20 Funktionsweise der DATEV -Verschlüsselung (DEMV) Sichere Antwort aus dem Portal Empfänger DEMV-Kunde DATEV-Rechenzentrum Absender 2 1 Entschlüsselte über gesicherte Verbindung via DATEVnet Sicher antworten im Portal DATEV eg Seite 20

21 Technische Möglichkeiten Webakte von der Fa. e.consult Zeitlich begrenzter elektronischer Briefkasten Siehe Teamdrive ivm Deutschen Anwaltverein Cloud-Lösung für die Kommunikation Siehe RAin Sabine Ecker DATEV eg Seite 21

23 DATEV eg