Illustration: Absmeier, Sulox32
Wenn es um Datenschutz und Datensicherheit geht, stehen Anwaltskanzleien und Einrichtungen im juristischen Bereich vor besonderen Herausforderungen. Der Umgang mit sensiblen Informationen über Mandanten gehört zum Tagesgeschäft – egal, ob es sich dabei um Daten zu persönlichen Besitzverhältnissen von Privatpersonen oder Patentanträge von Unternehmen handelt. Denn genau die sind in höchstem Maße schützenswert. Doch wie lassen sich diese Daten in kleineren und mittelständischen Anwaltsbüros oder Großunternehmen aus dem juristischen Bereich am besten schützen? Hat eine Kanzlei mehrere Standorte, müssen diese auf sichere Weise miteinander vernetzt sein. Dabei muss der Datenaustausch mit Mandanten, Behörden und anderen Institutionen nicht nur höchsten Sicherheitsanforderungen genügen, sondern dabei auch reibungslos funktionieren. Ein Vorstoß zur Vereinheitlichung ist das sogenannte beA, das besondere Anwaltspostfach. Die ersten Erfahrungen mit dem System lassen allerdings große Zweifel daran aufkommen, ob die technische Umsetzung tatsächlich ausreichend durchdacht wurde.
Zum Hintergrund: der gesetzliche Rahmen
Das besondere elektronische Anwaltspostfach (beA) ist ein elektronisches Postfach, das in Zukunft für alle in Deutschland zugelassenen Rechtsanwälte rechtlich verpflichtend sein soll. Das Ziel ist es, die sichere digitale Kommunikation untereinander, mit Behörden und der Justiz zu ermöglichen. Die passive Nutzungspflicht gilt seit dem 1. Januar 2018, geregelt ist die Nutzung formal in § 31 a Abs. 6 BRAO (Bundesrechtsanwaltsordnung). Der Paragraph besagt, dass der Inhaber des beA verpflichtet ist, alle technischen Einrichtungen zur Nutzung des Postfaches bereitzuhalten. Außerdem ist jeder Rechtsanwalt dazu verpflichtet, regelmäßig zu überprüfen, ob Nachrichten in das System eingegangen sind. Zurzeit ist die Nutzung noch freiwillig, aber die aktive Nutzungspflicht tritt – je nach Bundesland – 2020, spätestens jedoch am 1. Januar 2022 in Kraft. Spätestens ab dann sind Anwälte zur elektronischen Übermittlung von Dokumenten an Gerichte verpflichtet. Kurz vor dem Start im Dezember 2017 wurden gravierende Sicherheitslücken entdeckt, die dazu führten, dass das Postfach bis zum September 2018 wieder abgeschaltet wurde. beA und das ähnlich aufgebaute beN (besonderes elektronisches Notarpostfach) sollen das bisherige elektronische Gerichts- und Verwaltungspostfach (EGVP) ablösen, mit dem bereits Schriftsätze und ähnliche Dokumente mit Gerichten und Behörden ausgetauscht werden konnten. In der Praxis kam es durch die sehr unterschiedliche Handhabung innerhalb der einzelnen Bundesländer allerdings zu massiven Problemen. Mit Einführung des beA wurde die Rechtslage im gesamten Bundesgebiet nun stark vereinheitlicht.
Aufgaben und technische Voraussetzungen
Konkret soll das besondere elektronische Anwaltspostfach nach dem vollständigen Inkrafttreten einige grundsätzliche Aufgaben erfüllen. Zu den Hauptpunkten zählt hier, dass die Erreichbarkeit aller deutschen Gerichte gewährleistet ist und die Teilnahme am elektronischen Rechtsverkehr sichergestellt ist. Außerdem soll es möglich sein, dass alle Gerichte und sonstigen Behörden ihre Postzustellungen über das beA abwickeln können und Schriftsätze an Rechtsanwälte senden können. In der Phase der passiven Nutzungspflicht müssen Anwälte die Zustellung zur Kenntnis nehmen, mit Wirksamwerden der aktiven Nutzungspflicht sind sie auch gezwungen, ihre eigenen Dokumente elektronisch zu übermitteln. Zuletzt soll beA außerdem dem Austausch von Dokumenten innerhalb der Anwaltschaft dienen.
Die technische Vorbereitung in der Praxis ist relativ unkompliziert, denn das Postfach kann ohne weitere Installation über einen Browser aufgerufen werden oder alternativ durch eine Schnittstelle in der Kanzleisoftware. Dabei erfolgt die Anmeldung via PIN und einer Sicherheitskarte. Außerdem benötigt der Anwender ein passendes Kartenlesegerät mit einem Nummernblock, das über eine Zulassung für die Erstellung einer qualifizierten elektronischen Signatur verfügt. beA ersetzt jedoch keine Kanzleisoftware.
Postfach führt bis heute zu massiven Beeinträchtigungen im Tagesgeschäft
Seit der Einführung des Kommunikationssystems 2018 kommt es jedoch immer wieder zu Störungen und Einschränkungen. Oft ist die Erreichbarkeit nicht gewährleistet, seit April 2019 werden jedoch auch alte Nachrichten gelöscht. Die BRAK (Bundesrechtsanwaltskammer) riet deswegen dazu, Nachrichten, die noch benötigt werden zu exportieren und anschließend in der Akte des Mandanten zu speichern. Gleichzeitig warnte sie jedoch davor, die Sicherung über die Kanzleisoftware vorzunehmen. Wer diesen Weg wählt, könne aktuell unter Umständen den Versand oder Zugang der Nachrichten nicht mehr nachweisen. Dieser Missstand sollte mit einem Update im Sommer 2019 behoben werden.
Betroffen von der Löschung sind nur Nachrichten, die sich im Papierkorb befinden. 10 Tage vor Löschung erhält der Nutzer an die hinterlegte Mailadresse eine Nachricht, dass demnächst eine Löschung erfolgt. Befinden sich jedoch im Postein- oder -ausgang, aber auch in einem angelegten Unterordner Nachrichten, die älter als 90 Tage sind, werden diese ebenfalls in den Papierkorb verschoben und nach weiteren 30 Tagen automatisiert gelöscht.
Fehler im System mit massiven Konsequenzen
Im August 2019 stellte sich außerdem heraus, dass beA scheinbar kein Deutsch kann. Hinter der leicht provozierenden Meldung, die auf golem.de veröffentlicht wurde, verbirgt sich jedoch die traurige Nachricht, dass eine E-Mail, die über beA von einem Anwalt versendet wurde, zwar rechtzeitig verschickt wurde, die Frist aber trotzdem versäumt wurde, weil beA nicht mit deutschen Umlauten und Sonderzeichen umgehen kann. Die Auswirkungen können für Nutzer gravierend sein: So kann es passieren, dass die Zustellung einer Nachricht zwar bestätigt wird, sie aber tatsächlich gar nicht zugestellt wurde.
In diesem Fall ging es konkret um eine versäumte Frist. Hier hatte ein Kläger vorschriftsgemäß und pünktlich eine Begründung an den Bundesfinanzhof versandt, die Frist galt dennoch als versäumt, weil das Schriftstück nie beim Bundesfinanzhof ankam. Und dies, obwohl der Kläger vom System eine Nachricht über eine erfolgreiche Zustellung erhalten hatte. Weitere Untersuchungen zeigten, dass die Nachricht an den Bundesfinanzhof zwar zugestellt wurde, aber das EGVP (elektronische Gerichts- und Verwaltungspostfach) diese Nachricht aufgrund der Umlaute und Sonderzeichen als nicht korrekt empfand. Die Folge war, dass sie sofort in einen Ordner für korrupte Nachrichten aussortiert wurde, auf den das System keinen Zugriff für den Anwender vorsieht. Den örtlichen Anwaltskammern scheint das Problem zwar bekannt zu sein, denn sie wiesen Anwälte in der Vergangenheit bereits darauf hin – allerdings war scheinbar niemandem klar, zu welch drastischen Auswirkungen dies im Einzelfall führen könne. Der einzige Trost: Im Falle einer nicht verschuldeten Fristversäumung ist eine Wiedereinsetzung möglich.
Aufgrund der vielfältigen Probleme, wie der massiven Schwierigkeiten in der Handhabung, aber auch der Verspätungen bei der Inbetriebnahme des Postfaches durch Atos (das IT-Unternehmen, das mit der Umsetzung von beA betraut war) wurde das Anwaltspostfach von der BRAK inzwischen neu ausgeschrieben.
Diskussion um Ende-zu-Ende-Verschlüsselung
In den Medien war das Postfach auch durch das öffentliche Vorgehen eines Rechtsanwalts sehr präsent: Dieser forderte eine Ende-zu-Ende-Verschlüsselung für das Postfach, die eigentlich Pflicht sein sollte, um Daten sicher zu übermitteln. Bei beA sucht man diese bis heute jedoch vergeblich. Auf Initiative der Gesellschaft für Freiheitsrechte (GFF) hatte außerdem eine Gruppe von Anwälten die Bundesrechtsanwaltskammer verklagt. Sie fordern gemeinschaftlich eine Beseitigung der Sicherheitsmängel und vor allem die Einführung einer Ende-zu-Ende-Verschlüsselung. Nina Diercks, Rechtsanwältin und anerkannte Sachverständige für IT-Produkte beim Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein kritisierte öffentlich, dass ihrer Auffassung nach die BRAK die aufgetretenen Fehler scheinbar ignoriert habe und beim beA überhaupt nicht an die EU-DSGVO gedacht wurde.
Im Zuge des Verfahrens erreichte die Klägerschaft, dass ein Gutachten, in dem noch vor dem eigentlichen Start die Funktionalitäten von beA technisch analysiert wurden und das von der Secunet Security Networks AG – einem beauftragten IT-Sicherheitsexperten – erstellt wurde, offengelegt werden musste. Die Untersuchungsergebnisse der Secunet waren jedoch so katastrophal, dass das Postfach bis September 2018 sofort wieder offline gehen musste. Durch die erneute Ausschreibung der Bundesrechtsanwaltskammer nach einem IT-Dienstleister für das beA legt nahe, dass die Suche nach einer sicheren Datenübertragung von vorne losgeht.
Wie können Anwälte Daten sicher empfangen und übermitteln?
Sensible und personenbezogene Daten – und dazu zählen natürlich auch Daten aus Rechtsprozessen – unterliegen einem besonderen Schutz. Spätestens seit Inkrafttreten der EU-DSGVO spielen Datenschutz und Datensicherheit in Deutschland und Europa eine große Rolle. Das besondere elektronische Anwaltspostfach bietet aktuell keine wirkliche Alternative zur Datenübermittlung, weil unter anderem keine Ende-zu-Ende-Verschlüsselung integriert ist. Nur mit dieser Form der Datenverschlüsselung lässt sich sicherstellen, dass Dritte nicht auf gespeicherte Informationen zugreifen können.
Moderne Enterprise File Services sind die bessere Alternative
Moderne Enterprise File Services bieten jedoch die Möglichkeit, Daten sicher zu speichern und mit berechtigten Personen zu teilen. Gerade deutsche Anbieter unterliegen den strengen deutschen Datenschutzgesetzen und erfüllen deswegen zeitgleich auch die Regularien der EU-Datenschutzgrundverordnung und verfügen über Testate, Zertifizierungen und Prüfsiegel wie BSI C5, ISO27001 und EuroPriSe.
Nachdem ein Versand von personenbezogenen Daten ohnehin seit geraumer Zeit per E-Mail rechtlich untersagt ist, können sensible Daten über Plattformen für Enterprise File Services per Freigabe-Link sicher versenden. Hier kann der Absender meist nicht nur wählen, wie lange der Inhalt verfügbar sein soll, sondern er kann ihn auch zusätzlich mit einem Passwort schützen oder in der Anzahl der Downloads begrenzen lassen. Durch ein Outlook-Add-In wird hier ein Anhang auch gleich in einen sicheren Freigabe-Link umgewandelt. Auch der Datei-Upload wird via Link enorm vereinfacht. Sobald eine neue Datei hochgeladen wurde, wird der Empfänger bei entsprechender Aktivierung per Mail über den Eingang verständigt.
Arbeiten externe Beteiligte an einem Projekt / Fall längerfristig zusammen, empfiehlt sich dafür ein eigener Datenraum. Hier können festgelegte Nutzer zeitgleich am selben Datenbestand arbeiten. Dabei kann jedem Nutzer ein passendes Rollenprofil zugeteilt werden, so dass gewisse Personen beispielsweise Daten nur lesen können, während andere auch wiederum die Rechte besitzen, Daten zu löschen oder zu teilen. Bei guten Lösungen kann man genau diese Anforderungen durch festgelegte Zugriffsrechte abbilden.
Ein Reportingtool gibt autorisierten Usern außerdem Aufschluss darüber, welche Daten von wem zuletzt bearbeitet wurden. Hat ein Fall eine vorhersehbare Laufzeit, können alle Nutzer auf Wunsch auch so angelegt werden, dass ihre Zugriffsmöglichkeiten zum Stichtag X enden.
Das Herzstück einer jeden Lösung sollte jedoch eine Ende-zu-Ende-Verschlüsselung sein. Nur sie stellt sicher, dass geteilte Daten maximal geschützt werden, denn mit ihr werden alle Daten bereits sicher am Endgerät verschlüsselt. Auch auf dem Server selbst gibt es keine Möglichkeit, die Daten zu entschlüsseln, da sich das Schlüsselmaterial auf dem Client befindet. Auf diese Art und Weise haben weder Dritte noch der Plattformbetreiber selbst die Chance auf gespeicherte Daten zuzugreifen.
Bei ausgereiften Services wurde außerdem darauf geachtet, dass die Grundsätze »Privacy by Design« und »Privacy by Default« befolgt werden. Sie unterstützen eine datenschutzfreundliche Technikgestaltung (das versteckt sich hinter dem Begriff »Privacy by Design«) und beinhalten außerdem eine datenschutzfreundliche Voreinstellung (»Privacy by Default«). So müssen Benutzer nicht großartig überlegen, welche Schritte sie einhalten müssen, um datenschutzkonform zu handeln.
Fazit
So sehr man sich auch in der Vergangenheit darum bemüht hat, beA zu etablieren, muss man heute festhalten, dass es in seiner derzeitigen Form technisch zu kurz greift. Aktuell ist eine sichere und unkomplizierte Kommunikation von Kanzleien untereinander, beziehungsweise mit Behörden und anderen Akteuren über das Postfach nicht möglich. Solange dieser Zustand anhält und man hier nicht nachjustiert, stellt beA keine Alternative zu einer zukunftssicheren Enterprise-File-Service-Plattform dar.
Arved Graf von Stackelberg, CSO von DRACOON
Foto: Petra_Homeier_Fotografie111
Rechtssicherer Dokumentenaustausch mit NGDX – Sanfte Migration in die digitale Zukunft
Die Digitalisierung schreitet rasend schnell voran und mit demselben Tempo verändern sich auch die Anforderungen, denen Unternehmen, Organisationen und Behörden gegenüberstehen. Sie alle müssen sicherstellen, dass sensible Dokumente auf dem digitalen Weg rechts- und manipulationssicher ausgetauscht werden. Möglich wird dies durch den Einsatz von Dokumentenaustauschverfahren, anhand derer sich die bereits vorhandene Infrastruktur kosteneffizient, unkompliziert und sanft in die digitale Welt migrieren lässt.
Es steht außer Frage: Für ein zukunfts- und wettbewerbsfähiges Agieren ist die Digitalisierung der Unternehmensprozesse Pflicht. Ein Großteil der Unternehmen hat dies bereits erkannt und sich die digitale Transformation auf die Fahne geschrieben: 71 Prozent der befragten Unternehmen aus der DACH-Region verfügen über eine digitale Agenda, um sich auf die neuen Anforderungen einzustellen. Das zeigt eine im Juli 2019 veröffentlichte Studie des IT-Beratungs- und Dienstleistungsunternehmens DXC Technology [1].
Doch wo sollte die Digitalisierung der Unternehmensprozesse ihren Anfang nehmen? Eine zentrale Stellschraube ist der Umgang mit Dokumenten – sowohl im Unternehmen selbst als auch im Austausch mit externen Partnern. Die Kommunikation ist eine der Grundvoraussetzungen für den Erfolg von Unternehmen, zudem diese heute mehr denn je auf einen nachvollziehbaren und verifizierten Austausch von Dokumenten angewiesen sind.
Manipulationssicherer Dokumentenaustausch. Möglich werden digitale Kommunikationslösungen durch den Einsatz moderner Dokumentenaustauschverfahren wie »Next Generation Document Exchange« (NGDX) des Berliner Unified-Communications-Experten Ferrari electronic. Sie legen die Basis für einen manipulations- und rechtssicheren Dokumentenaustausch in IP-Umgebungen und ermöglichen die Automatisierung zeitraubender manueller Tätigkeiten bis hin zu komplexen Geschäftsprozessen.
Mit NGDX verfolgt Ferrari electronic das Ziel, einen neuen Standard für den schnellen und rechtssicheren Dokumentenaustausch zwischen Unternehmen zu etablieren. Dokumente werden unabhängig von Device und Format im Original als revisionssicheres PDF versendet und End-to-End an den Empfänger übertragen. Verlustfrei, nachweisbar und unter Einsatz der Blockchain sogar revisionssicher. Sämtliche Formatierungen und selbst hohe Auflösungen bleiben erhalten. Potenziell schädliche, aktive Inhalte wie Hyperlinks oder Applikationen sind vom Transfer ausgeschlossen.
Die Übertragung hybrider – von Mensch und Maschine lesbarer – Dateiformate wie PDF/A und das Rechnungsformat ZUGFeRD 2.0 sind ebenfalls möglich. Werden hybride Dokumente mit NGDX versendet und empfangen, lassen sich diese anschließend zur weiteren Bearbeitung in ein BPM überführen und zeitintensive Routineaufgaben stark reduzieren.
NGDX kann schnell und unkompliziert in bereits bestehende IT-Infrastrukturen eingebunden werden; zusätzliche Investitionen in Hard- und Software sind nicht nötig. Insellösungen sind damit obsolet, denn der Standard zum rechtssicheren Dokumentenaustausch funktioniert branchenübergreifend. Damit vereint NGDX sämtliche Vorteile von E-Mail und Fax und ermöglicht Unternehmen eine sanfte Migration in die digitale Zukunft.
Stephan Leschke, Vorstandsvorsitzender,
Ferrari electronic AG
[1] http://bit.ly/DXC-Technology-Study-2019
Illustration: © alphaspirit/shutterstock.com
Besonderes elektronisches Anwaltspostfach – beA: Wege aus dem Rechtsvakuum
Mit dem »besonderen elektronischen Anwaltspostfach (beA)« sollte für Anwälte eine Möglichkeit geschaffen werden, Akten und Schriftsätze vertraulich und rechtssicher über das Internet zu transportieren. Fax und Briefpost wären damit in der Kommunikation zwischen Anwalt und Gericht überholt. Kurz vor dem Start des beA am 01. Januar 2018 allerdings entdecken unabhängige IT-Experten eine fatale Sicherheitslücke: Die…
Besonderes elektronisches Anwaltspostfach – beA: Braucht man wirklich diese Insellösungen?
Statements zum besonderen elektronischen Anwaltspostfach – beA. Stephan Leschke, CEO, Ferrari electronic Braucht man wirklich diese Insellösungen? »Digital. Einfach. Sicher« war der Slogan der Bundesrechtsanwaltskammer zur Einführung des besonderen elektronischen Anwaltspostfachs, kurz beA. Das beA, das ab dem 1.1.2018 von jedem Anwalt zumindest passiv genutzt werden sollte, wurde aufgrund technischer Probleme zurückgezogen. Für die…
Bundestag verabschiedet Neuerungen beim Datenschutz: Was Unternehmen nun beachten müssen
Am 27. April 2017 hat der Bundestag ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet. Damit setzt der Gesetzgeber die Vorgaben der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) um, die ein einheitlich hohes Datenschutzniveau in den Mitgliedsländern der Europäischen Union schaffen soll. Die neuen Regelungen treten am 25. Mai 2018 in Kraft. Trotz der gleichlautenden Bezeichnung und dem Bemühen des Gesetzgebers…
Studie »Datenschutzpraxis 2015«: Plädoyer zur Einführung des Datenschutzbeauftragten in ganz Europa
Die Datenschutzbeauftragten deutscher Unternehmen sehen dringenden politischen Handlungsbedarf. 69 Prozent halten die bestehenden Datenschutzgesetze, insbesondere in den Bereichen Cloud Computing, internationale Datenverarbeitung und Social Media, für nicht umsetzbar. 77 Prozent befürchten eine Verschlechterung des Datenschutzniveaus durch die Datenschutzgrundverordnung. Andererseits beurteilen 79 Prozent ihre Unterstützung durch die Geschäftsführung als ausreichend oder besser, 86 Prozent sehen die…
Die häufigsten Irrtümer über elektronische Signaturen
Obwohl elektronische Signaturen spätestens seit der eIDAS-Verordnung von 2016 in jedem Unternehmen bekannt sein sollten, herrschen noch immer viele Irrglauben vor. Vor allem die Aspekte Datensicherheit und Rechtssicherheit bereiten einigen Unternehmen Sorgen, jedoch sind diese meist unberechtigt. Ina Gellner, Partnermanagerin und Expertin für alle Fragen der Rechts- und Datensicherheit elektronischer Signaturen bei FP Sign, nennt…
Schutz vor Internetbetrug
Mit zunehmender Anzahl der Internetnutzer steigt die Anzahl der Betrüger, die versuchen, illegal Geld zu verdienen. Ein interessantes Merkmal von Online-Betrug ist, dass viele Methoden eigentlich keine Gesetzesverletzung darstellen und die Staatsanwaltschaft somit keine Betrüger strafrechtlich verfolgen kann, deswegen haben viele Internetnutzer auch Angst, ihr Glück zu versuchen, wenn Sie lukrative Boni oder die besten…
Outsourcing als Chance begreifen: Erfolgreiche Umstrukturierung mithilfe von rollenbasierten Methoden
Im deutschsprachigen Raum erfreut sich die Auslagerung der IT-Abteilung immer größerer Beliebtheit. Für viele Mitarbeiter und Führungskräfte ist der Begriff »Outsourcing« jedoch auch in Zeiten digitaler Transformation immer noch ein Schreckgespenst. Denn das Auslagern von Aufgaben einer internen IT-Abteilung ruft zum einen Risiken für die Organisation hervor und sorgt zum anderen für Ängste bei den…
Testament per Videobotschaft – besser nicht
Auch wenn der lateinische Ausdruck »memento mori« (sei dir der Sterblichkeit bewusst) vielen bekannt ist, mag man sich nicht so wirklich mit dem Thema Tod auseinandersetzen. Allerdings fragt das Schicksal vorher nicht und plötzlich steht man vor einem Erbfall. Die zertifizierte Testamentsvollstreckerin Dipl.-Finw. Bettina M. Rau-Franz, Steuerberaterin und Partnerin in der Steuerberatungs- und Rechtsanwaltskanzlei Roland…
Hard Skills oder Soft Skills – ist das die Frage?
HR braucht eine neue innovative Rollendiskussion. Digitale Transformation und New Work sind die Buzzwords dieser Tage. Die Digitalisierung und Globalisierung hat und wird unsere Arbeitsweise radikal verändern – daran besteht kein Zweifel. Veraltete klassische Arbeitsstrukturen werden einer zeitlich, räumlich und organisatorisch flexiblen Arbeitsweise weichen, die den Mitarbeitern neue Freiräume für Kreativität und die Entfaltung der…
Der Faktor Mensch: Die Vorteile persönlicher Zusammenarbeit in Zeiten digitaler Kollaborationstools
Unternehmen investieren bereits seit Jahren massiv in Technologien, wie Kollaborationstools, für die digitale Zusammenarbeit. So erlauben zum Beispiel G-Suite-Apps Teammitgliedern auf der ganzen Welt dasselbe Dokument zu bearbeiten, während der Instant-Messenger-Dienst Slack interne Silos beseitigt und mit seiner Suchfunktion Informationen für andere Abteilungen und Teams leicht zugänglich macht. Und dies sind nur zwei der zahlreichen…