Bei aller Flexibilität, die moderne Arbeitsmittel ermöglichen, darf ein wichtiger Aspekt keinesfalls zu kurz kommen – die Rede ist hier von der IT-Sicherheit. Denn alle Daten, die sich nicht in den ohnehin ebenfalls gut zu sichernden Kanzleiräumlichkeiten befinden, sondern auf externen Endgeräten bzw. Datenträgern oder in einer Cloud, stellen ein potenzielles Sicherheitsrisiko dar. Daher verlangen – neben dem gesunden Menschenverstand – gleich mehrere Vorschriften eine entsprechende Absicherung. Am deutlichsten formuliert es das Datenschutzrecht, denn schon das alte BDSG sprach von geeigneten technischen und organisatorischen Maßnahmen, oder kurz: TOMs. Das hat sich auch mit dem Inkrafttreten der DSGVO und der neuen Fassung des BDSG nicht geändert. Das am 26.4.2019 in Kraft getretene Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) erwähnt ebenfalls TOMs, wenn auch nicht in Bezug auf personenbezogene Daten, sondern auf Geschäftsgeheimnisse. Allerdings ist die Zielrichtung in beiden Fällen die gleiche: Die im Unternehmen bzw. in der Anwaltskanzlei existierenden Daten müssen u.a. vor dem Verlust, vor ungewollter Veränderung oder vor dem Zugriff durch unbefugte Dritte geschützt werden.
Die DSGVO spricht in diesem Kontext acht konkrete Punkte an:
- Gewährleistung der Vertraulichkeit (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Trennungsgebot, Auftragskontrolle);
- Gewährleistung der Integrität von Daten (Eingabekontrolle, Weitergabekontrolle);
- Gewährleistung der Verfügbarkeit von Daten,
- Gewährleistung der Belastbarkeit der Daten-Systeme;
- Wiederherstellung der Verfügbarkeit der Daten,
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM;
- Daten-Verschlüsselung;
- Pseudonymisierung von Daten.
In Bezug auf die Vertraulichkeit (1.) ist etwa an die folgenden Punkte zu denken:
- Alarmanlage,
- mechanische Fenstersicherungen,
- Schließsystem mit Sicherheitsschlössern,
- Videoüberwachung,
- Bewegungsmelder,
- Schlüsselregelung für Beschäftigte,
- Personenkontrolle am Empfang,
- Verschließen der Türen bei Abwesenheit,
- Erstellen von Benutzerprofilen mit unterschiedlichen Berechtigungen,
- Pflicht zur Passwortnutzung,
- Einsatz von VPN-Technologie bei Zugriff von außen auf die internen Systeme,
- Sperren von externen Schnittstellen (USB, CD-Rom usw.),
- Einsatz von Intrusion-Detection-Systemen,
- Nutzer-Berechtigungskonzept,
- Verwenden einer Passwortrichtlinie,
- Protokollierung von Zugriffen auf Anwendungen,
- ordnungsgemäße Vernichtung von Datenträgern und Papierakten oder Inanspruchnahme von Dienstleistern zur Aktenvernichtung (z.B. Reißwolf),
- Aufbewahrung von Datenträgern und Akten in abschließbaren Schränken,
- logische Mandantentrennung
- Datensätze mit Zweckattributen/Datenfeldern,
- Trennung von Produktiv- und Testsystem,
- sorgfältige Auswahl von Dienstleistern und schriftliche Vereinbarung (Verschwiegenheitsverpflichtung),
- vertraglich festgelegte Kontrollrechte gegenüber dem Auftragnehmer und
- vertraglich festgelegte Vertragsstrafen bei Verstößen.
Die Integrität (2.) von Daten erfordert bspw. Maßnahmen wie:
- Protokollierung der Eingabe, Änderung und Löschung von Daten im System,
- individuelle Benutzernamen für Nutzer,
- Weitergabe von Daten in anonymisierter oder pseudonymisierter Form (wenn möglich),
- Verschlüsselung der E-Mail-Übertragung und -Inhalte (falls möglich),
- Festlegung von Löschfristen und
- Nutzung von mobilen Datenträgern mit Verschlüsselungsfunktion.
Um die Verfügbarkeit (3.) von Daten zu gewährleisten, kommt u.a. das Folgende in Betracht:
- Server mit unterbrechungsfreier Stromversorgung (USV),
- Alarmanlage im Serverraum,
- Klimaanlage im Serverraum,
- Überwachung von Temperatur und Feuchtigkeit im Serverraum,
- Schutzsteckdosenleisten für EDV-Geräte,
- Feuer- bzw. Rauchmeldeanlagen,
- Feuerlöschgeräte,
- Datensicherungskonzept und regelmäßiges Testen der Funktionsweise der Datensicherung,
- Notfallkonzept,
- Aufbewahrung von Datensicherung an sicherem, ausgelagertem Ort,
- Serverräume nicht unterhalb von sanitären Anlagen gelegen,
- keine Wasserleitungen in Serverräumen bzw. über den Server-Rechnern sowie
- Serverräume nicht in Hochwasser-gefährdeten Kellerräumen.
Der Aspekt der Belastbarkeit (4.) der Systeme erfordert z.B. folgende Maßnahmen:
- Antiviren-Software,
- Hardware- und/oder Software-Firewall,
- sorgfältige Auswahl des externen IT-Dienstleisters sowie
- Einspielen von Updates/Upgrades für Betriebssystem und Anwendungssoftware.
Bei der Wiederherstellung der Verfügbarkeit (5.) geht es etwa um:
- einen sorgfältig ausgewählten IT-Dienstleister,
- einen sorgfältig ausgewählten internen System-Administrator und
- die Vorhaltung von Ersatz-Hardware (Server und Arbeitsplätze).
Um auf dem aktuellen Stand der Technik zu sein und auch zu bleiben, bedarf es eines Systems zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der eigenen TOMs (6.). Da hilft schon mal ein entsprechender Eintrag im Kalender weiter, der einen mindestens zwei bis drei Mal pro Jahr daran erinnert, sich und seine Sicherungsmaßnahmen selbst zu üb...