Digitale Kommunikation und Datenschutz im Homeoffice ‒ alles auf Impro?

| Wo Mandanten hemdsärmelig und pragmatisch Lösungen finden können, wenn Mitarbeiter kurzfristig ins Homeoffice müssen oder wollen, gelten für die Anwaltsbranche deutlich schärfere Regeln. Bislang hat die Politik zwar eine ganze Reihe von Maßnahmen verabschiedet, um die Wirtschaft zu unterstützen. Explizite Erleichterungen durch die Lockerung einzelner Regelungen ‒ etwa zum Datenschutz ‒ fehlen aber bislang. Was tun? |

beA im Aufwind

So wie manchem Künstler erst nach seinem Tod die schuldige Würdigung zuteil wird, offenbaren auch andere Dinge ihre Qualitäten erst nach einer bestimmten Zeit. Ein überraschender Rising Star ist gerade das viel gescholtene besondere elektronische Anwaltspostfach (beA). Als digitale Kommunikationsschnittstelle ist es ein wichtiger Baustein hin zum vollständigen virtuellen Arbeiten im Bedarfsfall.

Doch anders als bei der Kommunikation mit den Gerichten selbst wurde die Digitalisierung in den vergangenen Jahren im Anwaltsmarkt nicht nur nicht flächendeckend, sondern vor allem nicht in alle Richtungen gleichmäßig betrieben. So arbeiteten zuletzt eher wenige Mitarbeiter von Zuhause aus, kompliziert ist die Einhaltung sämtlicher Standards aus DS-GVO und Berufsrecht.

Keine Erleichterung beim Datenschutz

Was in normalen Zeiten noch eine Wahlmöglichkeit darstellte, wird jetzt zur Notwendigkeit: Wenn Kanzleien ihren Betrieb dauerhaft aufrechterhalten wollen (nach allem was derzeit bekannt ist, soll es ja keine flächendeckenden Betriebsschließungen in Deutschland geben), bleibt ihnen nichts anderes übrig, als ganz unmittelbar Mitarbeiter ins Homeoffice zu schicken. Dort lässt sie der Gesetzgeber derzeit allein: Denn während es für viele Aspekte und Bereiche bereits Notfall-Pakete und Erleichterungsregelungen gibt, beschäftigt sich offenbar niemand mit Fragen des Datenschutzes, der Datensicherheit und der Verschwiegenheitspflicht. Das mag angesichts der drohenden Probleme auch lässlich erscheinen, stellt Anwälte aber trotzdem vor Probleme.

Eine Anfrage des IWW Instituts, inwiefern einzelne Vorgaben des Datenschutzes für Verbindungen ins Homeoffice oder auch zu Kunden und Lieferanten gegenwärtig als lässlich betrachtet werden könnten, spielte das Bundeswirtschaftsministerium mit Verweis auf das Innenministerium zurück. Dieses wollte die Anfrage ans Bundesjustizministerium gerichtet sehen, das schließlich seinerseits das Finanzministerium als zuständige Stelle ins Spiel brachte.

Was für alle machbar ist

Dieses Kompetenzwirrwarr entbindet aber weder Anwälte noch Mandanten von ihren Pflichten. Das Dilemma bleibt bestehen: Entweder mit Datenschutz- und Sicherheits-Abstrichen elektronisch arbeiten und dabei riskieren, dass Pflichtverletzungen entstehen, die empfindliche Konsequenzen haben könnten, oder sich akribisch an die ‒ unverändert geltenden ‒ Vorgaben halten und dabei die eigene Existenz riskieren. Diese Entscheidung muss letztlich jeder Anwalt in der gegenwärtigen Situation selbst treffen. Sie ist nicht einfach abzutun, denn es muss jedem klar sein, dass bei der raschen und ungeplanten Einrichtung von Heimarbeitsplätzen, wie sie derzeit geschieht, z. B. nicht überall ein Datenschutzbeauftragter frühzeitig mit einbezogen werden kann.

Unproblematisch möglich sind aber dagegen eine Reihe von Dingen, etwa:

• Einem Berufsträger oder Mitarbeiter, der mit einem Zertifikat ausgestattet ist, ein Kartenlesegerät und die beA-Karte Zuhause zur Verfügung zu stellen

• Per Fax oder Computer-Fax von extern Schriftsätze verschicken

• Wirklich sichere und individuelle Passwörter verwenden ‒ die aber bei Bedarf fernmündlich weitergegeben werden, wenn jemand ausfällt

• Neu-Homeoffice-Mitarbeiter darauf hinweisen, dass die DS-GVO vorsieht, dass der Arbeitsplatz sich in einem separaten, abschließbaren Zimmer befindet

• Privatnutzung von Firmengeräten unterlassen

• Papierunterlagen und Akten wegsperren

• Verschlüsselungstechnik nutzen, Passwörter am Home-Router ändern, Sicherheitseinstellungen des Heimnetzwerks überprüfen

Einsatz von privaten Geräten

Ein besonders heikles Thema ist in diesem Zusammenhang der Einsatz von privaten Geräten für den Gebrauch im Homeoffice. Dass ist bereits tausendfach geschehen, wenn z. B. Mails mit dem Privathandy abgerufen wurden oder das private iPad für die Korrektur von Schriftsätzen verwendet wurde. Dass das so ohne Weiteres nicht rechtens ist, wissen alle. Doch es ist schwer, in der derzeitigen Ausnahmesituation rasch Firmengeräte anzuschaffen und diese entsprechend zu konfigurieren, ehe sie eingesetzt werden können. Daher wird massenhaft auf Privatgeräte zurückgegriffen, was grundsätzlich ja erlaubt und unter dem Schlagwort BYOD seit etlichen Jahren diskutiert wird. Als risikobehaftet und missbrauchsanfällig verbot sich diese Praxis bisher für die Anwaltschaft. Nun werden aber viele nicht mehr darauf verzichten können.

Generell gilt für den Einsatz von Privatgeräten im betrieblichen Gebrauch:

• Der Zugriff vom Homeoffice auf die Kanzleidaten muss via sicherer VPN-Verbindung mit Authentifizierung erfolgen.

• Mitarbeiter müssen separate und eingeschränkte Benutzerkonten für die berufliche Nutzung ihrer Geräte einrichten.

• Private und geschäftliche Inhalte sollten auf allen Ebenen der Benutzung ‒ z. B. auch bei der Speicherung von Anruflisten oder Kontakten, die etwa Google oder WhatsApp automatisiert auf dem gesamten Gerät abgreifen ‒ getrennt werden.

• Auf den privaten Geräten sollte so wenig wie irgend möglich gespeichert werden, ideal ist nichts.

• Verschlüsselung wäre Pflicht, kann aber sicherlich von den wenigsten im Alleingang bewerkstelligt werden. Nicht unbedingt rechtssicher, aber besser als nichts, ist eine Verschlüsselung der Dokumente und E-Mails etwa über 7zip oder andere kostenfreie Programme.