• Startseite
• Intentionen
• Projekt
• Dokumentation
• Forderungs-
  berechnung
• RVG
• Download
• Lizenzen
• Tools
• Datenschutz-
  erklärung

Und was ist mit der Cloud?

Unabhängigkeit und Softwarevielfalt sowie die Verwendung Offener Standards bieten nach Expertenmeinung im Falle Freier Software eine gute Basis für IT-Sicherheit. Da Sicherheit jedoch ein Prozess und kein Produkt ist, muss man das System genau kennen, regelmäßig warten und Sicherheitslücken schnell beheben, um "auf der sicheren Seite zu sein".

Zwar bietet der Einsatz Freier Software in diesem Prozess bedeutende strategische Vorteile, wie dargelegt worden ist, aber er bietet allein noch keine Gewähr für ein sicheres System. Dies haben Beispiele in der Vergangenheit eindrucksvoll vor Augen geführt.

Für "Cloud Computing" wird nicht nur mit geringeren Kosten, höherer Flexibilität, sondern auch mit minimalen Administrationsaufwand geworben. Da der Cloud-Anbieter selbst beispielsweise die Updates für die Software bereitstellt, entfällt der Administrations-Aufwand für den Betrieb der IT-Lösung. Das ist gerade für kleine und mittlere Unternehmen verlockend, die keine eigene oder nur eine kleine IT-Abteilung haben oder ihre IT-Expertise eher auf die Verbesserung der Geschäftsprozesse konzentrieren wollen.

Gefahren der Cloud

Bei geschäftskritischen Anwendungen bietet allerdings die Cloud für kleinere und mittlere Unternehmen mehr Risiken als Vorteile.

Mit dem Gang in die Cloud vertrauen nämlich Unternehmen ihre Daten komplett dem externen Cloud-Provider an. Sie werden also von einem externen Dienstleister abhängig! Die Unternehmen müssen dann nämlich darauf vertrauen, dass der Cloud-Provider ihre Daten ausreichend schützt und in seinem Rechenzentrum ausgereifte Backup- und Recovery-Technologien einsetzt. Denn nur so kann er garantieren, dass auch bei einem Systemausfall der Zugriff auf die Cloud-Anwendungen und -Daten möglich bleibt. Zudem ist die Verfügbarkeit des Internets nicht immer und überall gewährleistet. Die Unternehmen, die ihre Daten einer externen Cloud anvertrauen, verlieren somit die Hoheit über ihre Daten. Außerdem können sich Compliance-Probleme ergeben.

Oder wie es die Free Software Foundation Europe auf Sticker, Turnbeutel und T-Shirts druckt: "There is NO CLOUD, just other's people computers"

Insgesamt ist also dringend davon abzuraten, wichtige und geschäftskritische Daten und Anwendungen der Cloud anzuvertrauen. Allerdings sind bei Rechtsanwälten und Rechtsanwältinnen auch die Anwendungen zur Zusammenarbeit und Kommunikation, die man normalerweise vielleicht als "einfacher und wenig kritisch" qualifizieren kann, aufgrund der anwaltlichen Verschwiegensheitspflicht sehr kritisch. Die Gefahren des Abhörens und von Datenleaks stehen hier sogar ganz besonders im Vordergrund.

Hände weg von der Cloud!

Hände weg von der Cloud" gilt also bei Rechtsanwältinnen und Rechtsanwälten somit nicht nur für beispielsweise ERP-Systeme oder Kanzleiprogramme, sondern für nahezu alle Anwendungen.

Eine mögliche Lösung: Die eigene Cloud

Für die eingangs angesprochenen Probleme bei der Sicherstellung der IT-Sicherheit ist die "Flucht in die Cloud" also keine wirkliche Lösung. Wer als Anwältin oder Anwalt aber dennoch die sonstigen Vorteile einer Cloud-Lösung nutzen will, dem bleibt nur der Ausweg einer eigenen und selbstkontrollierten Cloud. Auch hierfür gibt es Freie Software.

Nachtrag: Mandatendaten in die Cloud?

Dr. Daniel Schmid vertritt in seinem Beitrag "Mandantendaten in der Cloud" (NJW-aktuell 9/2017, S. 19) die Auffassung, bei der Auslagerung von Mandantendaten an einen Cloud-Anbieter sei der Tatbestand von § 203 des Strafgesetzbuches (StGB) in der Regel erfüllt. Denn die Daten über die Mandanten seien fremde Geheimnisse. Lagere die Kanzlei die Mandantendaten an einen Cloud-Anbieter aus, habe dieser die Möglichkeit, sie zur Kenntnis zu nehmen. Ein Cloud-Anbieter könne auch nicht unter den Gehilfenbegriff des § 203 Absatz 3 Satz 2 StGB gefasst werden.

Eine Strafbarkeit könne bei der Entbindung des Rechtsanwalts von seiner Schweigepflicht gegenüber dem Cloud-Anbieter und bei einer Verschlüsselung der Daten durch die Kanzlei entfallen. Eine Entbindung von der Schweigepflicht setze aber das Vertrauen des Mandanten "in den rechtskonformen Umgang" des Cloud-Anbieters mit den Daten voraus. Hierzu ist kritisch anzumerken, dass im Falle der Schweigepflichtsentbindungserklärung der Schutz durch § 203 StGB bezüglich der Mandantendaten entfällt, da der Cloud-Anbieter und seine Mitarbeiter eben keine Gehilfen des Rechtsanwalts im Sinne des § 203 Absatz 3 Satz 2 StGB sind.

Geprüft wird abschließend noch, ob § 2 Absatz 3 c der Berufsordnung für Rechtsanwälte (BORA) zu einem anderen Ergebnis führen kann.

Nach dieser Vorschrift ist ein Verstoß gegen die anwaltliche Verschwiegenheitspflicht nicht gegeben, soweit das Verhalten des Rechtsanwalts "im Rahmen der Arbeitsabläufe der Kanzlei einschließlich der Inanspruchnahme von Leistungen Dritter erfolgt und objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht (Sozialadäquanz)".

Abgesehen davon, dass es fraglich erscheint, ob die tatbestandlichen Voraussetzungen dieser Norm im vorliegenden Fall des Auslagerns der Mandatendaten in die Cloud vorliegen, vertritt Dr. Daniel Schmid die Auffassung, diese Norm sei keine Befugnisnorm und könne daher keine Straffreiheit begründen, die nur durch eine Änderung des § 203 StGB "unter Einbeziehung von Cloud-Anbietern in den Kreis der Gehilfen" zu erreichen sei.

Auch unter diesem (straf-)rechtlichen Aspekt bleibt also dem vorsichtig agierenden Anwalt allenfalls der Ausweg einer eigenen und selbstkontrollierten Cloud.