Eine Enthüllung treibt derzeit die britische Juristenszene um. 2014 wurden 173 britische Anwaltskanzleien in insgesamt 187 Fällen zum Ziel von Ermittlungen der britischen Datenschutzaufsicht (ICO). Diese Zahlen veröffentlichte die Sicherheitsfirma Egress, welche sie von der Aufsichtsbehörde im Wege eines Auskunftsersuchens nach dem Freedom of Information Act erlangt hat. Wie britische Portale berichten, waren in 29% aller Fälle mangelnde Datensicherheitsmaßnahmen und in 26% die unerlaubte Weitergabe von Daten Gegenstand der Ermittlungen.
Die erschreckenden Zahlen offenbaren einen gefährlich laxen Umgang vieler britischer Kanzleien mit personenbezogenen Daten und Mandantengeheimnissen. Sie decken sich mit jüngeren Berichten aus den USA, wonach von den dortigen 100 führenden Kanzleien schon 80% Opfer von IT-Sicherheitslücken geworden sind.
Datenaustausch mit Mandanten per Dropbox
Ein Grund für die hohen Fallzahlen ist oftmals ein naiver Einsatz unsicherer Cloud-Angebote durch anglo-amerikanischer Kanzleien. In einer Studie vom März 2014 wurden hierzu knapp 300 US-Kanzleien befragt. Über die Hälfte (52,5%) gab an, bereits vom Anwaltsgeheimnis geschützte Daten mit Mandanten über kostenlose File-Sharing-Dienste wir Dropbox ausgetauscht zu haben. Schuld sind allerdings nicht allein die Kanzleien. Denn diese sehen sich auch einer enorm großen Nachfrage seitens der (US-)Mandanten nach einfachen Kollaborations-Tools für die Rechtsberatung ausgesetzt:
“Law firms are caught in a bit of a bind because their clients demand a simple way to collaborate, but the risks, as this survey found, are exceptionally high.” (Christopher T. Anderson, LexisNexis).
Der unbefangene Umgang mit Cloud-Angeboten lässt sich zum Teil auch dadurch erklären, dass heutzutage auch im Anwalts-Mandantenverhältnis unverschlüsselte E-Mails die gängigste Kommunikationsform sind. Laut der genannten Studie kommunizieren 89% der US-Kanzleien auf diesem Weg mit ihren Mandanten. Die Kanzleien verlassen sich zumeist auf die bekannten “confidentiality statements”, die mittlerweile auch in Deutschland unter vielen Anwalts-E-Mails hängen. Dass solche Statements aber keinen Ersatz für technische Sicherheitsmaßnahmen darstellen und Datendiebe eher anziehen als abschrecken, liegt auf der Hand. Jedenfalls sollten deutsche Anwälte Mandatsgeheimnisse mit Blick auf § 203 StGB nur dann unverschlüsselt per E-Mail versenden, wenn die Mandanten hierin ausdrücklich eingewilligt haben.
Britische Aufsichtsbehörde warnte schon im August – hohe Bußgelder drohen
Die britische Aufsichtsbehörde hatte aufgrund der unhaltbaren Zustände und des drohenden Reputationsverlustes schon im August 2014 die dortigen Barristers und Solicitors gewarnt, Akten sorgsam und vertraulich zu behandeln. Bereits im April hatte die britische Law Society Praxishinweise zum Einsatz von Cloud Computing gegeben.
Das ICO kann bei Datenschutzverstößen Bußgelder von bis zu 500.000 Pfund verhängen – und damit mehr als die deutschen Aufsichtsbehörden. Hierzulande beträgt endet der Bußgeldrahmen grundsätzlich bei 300.000 € (§ 43 Abs. 3 BDSG; höhere Bußgelder sind aber möglich, wenn der Verstoß zu höheren Gewinnen geführt hat oder mehrere Fälle vorliegen). Man darf gespannt sein, ob die nun bekannt gewordene hohe Zahl der Verfahren auch tatsächlich in der Verhängung von Bußgeldern durch das ICO gegen britische Kanzleien mündet. Denn nur das wäre letztlich eine wirksame Abschreckung.
Lehren für deutsche Kanzleien
Deutsche Kanzleien sollten aus der Entwicklung in den USA und UK schon jetzt die richtigen Schlüsse ziehen. Es wäre für den Schutz der Mandantengeheimnisse fatal, wenn auch diesmal die IT-Trends unreflektiert übernommen werden. Es gibt bereits mehr als genug Anbieter, die deutlich sicherere Dienste zum Datenaustausch bereitstellen als Dropbox. Und wenn dadurch der Vertrauensverlust für einen ganzen Berufsstand abgewehrt werden kann, sind ein paar Euro hierfür gut angelegt. In Deutschland gelten beim Einsatz von IT-Dienstleistern allerdings ohnehin hohe gesetzliche Anforderungen. Denn neben dem BDSG ist auch das strafrechtlich geschützte Mandatsgeheimnis zu beachten (§ 203 StGB). Unter welchen Umständen danach ein Einsatz von Dienstleistern ohne Einwilligung der Mandanten überhaupt möglich ist, ist Gegenstand einer eigenen juristischen Debatte.
Bildquellennachweis zu den Perücken: (c) Oxfordian Kissuth, CC-BY-SA3.0