Sicher und effizient arbeiten in der Cloud
Microsoft Office ist aus Anwaltskanzleien nicht wegzudenken und ist die führende Software zur Umsetzung der anwaltlichen Arbeit. Dennoch tun sich Kanzleien teilweise schwer, den nächsten Schritt zu gehen und Microsoft 365 (M365) in der Cloud zu nutzen. Dieser Artikel zeigt auf, wie M365 funktioniert, welche Vorteile die Nutzung bietet und welche Punkte von Berufsgeheimnisträgern zu beachten sind, um M365 rechtskonform einzusetzen.
Was ist M365 und welche Vorteile bietet es?
M365 ist die Cloud-Variante der bekannten Microsoft-Produkte wie Outlook, Word, Excel und PowerPoint. Ergänzt wird die Produktreihe in M365 insbesondere durch SharePoint (bzw. OneDrive) und Teams.
Die Vorteile der Nutzung von M365 sind vielseitig:
- Keine eigenen wartungsintensiven physischen Server mehr und keine Notwendigkeit manueller Backups, sondern digitaler Speicherplatz;
- Sicherheit der Daten und Wartung der streng geschützten Rechenzentren gewährleistet Microsoft.
- Ortsunabhängiges Arbeiten durch Cloud-Zugriff und dauerhafte Verfügbarkeit der Daten.
- Verbesserte Zusammenarbeit im Team durch Parallelbearbeitung von Dokumenten dank SharePoint und schnellem Austausch via Teams.
- Automatische und nachvollziehbare Versionierung von Dokumenten.
- Daten liegen in dezentralen Rechenzentren und nicht lokal auf etwaigen Endgeräten und sind bei deren Verlust gefährdet.
Welche Anforderungen müssen Berufsgeheimnisträger beachten?
1. Einhaltung strafrechtlicher und standesrechtlicher Vorschriften durch Unterzeichnung einer Zusatzvereinbarung
Als Berufsgeheimnisträger werden an Rechtsanwälte besondere Verschwiegenheitsanforderungen gestellt, wie insbesondere die strafrechtliche Vorschrift des § 203 StGB verdeutlicht. Diese wurde in der Vergangenheit als Hindernis gesehen, um Cloud-Lösungen als Berufsgeheimnisträger zu nutzen.
Die Anpassung der Gesetzeslage zum 9. November 2017 hat den Weg für Geheimnisträger geebnet, Dienstleistungen durch Dritte zu beziehen, wobei der Gesetzgeber gerade auch Cloud-Lösungen im Blick hatte.
Dementsprechend wurden auch die Regelungen in der Bundesrechtsanwaltsordnung (§ 43a Abs. 2 und § 43e BRAO) angepasst, die die Anforderungen an die Nutzung solcher Dienstleister näher ausgestalten. Zur Sicherstellung dieser Anforderungen bietet Microsoft den Abschluss einer Zusatzvereinbarung für Berufsgeheimnisträger an, die hier eingesehen werden kann.
Wichtig: Wie der Name es schon andeutet, wird die Zusatzvereinbarung nicht automatisch Bestandteil des Vertrags mit Microsoft, sondern muss aktiv mit Microsoft abgeschlossen werden.
Derzeit bietet Microsoft zumindest in Deutschland nur eine Möglichkeit an, um diese Zusatzvereinbarung wirksam abzuschließen. Hierzu müssen die Microsoft-Lizenzen über einen offiziellen Partner von Microsoft erworben werden, damit die Zusatzvereinbarung Vertragsbestandteil werden kann. Konkret bedeutet dies, dass Berufsgeheimnisträger, die ihre Microsoft-Lizenzen über einen Partner beziehen, die Zusatzvereinbarung bei diesem aktiv einfordern müssen.
Sofern Sie bereits einen IT-Dienstleister nutzen, können Sie diesen direkt auf die Zusatzvereinbarung ansprechen.
2. Einhaltung der allgemeinen datenschutzrechtlichen Anforderungen
Neben dieser strafrechtlichen und standesrechtlichen Komponente müssen auch die allgemeinen datenschutzrechtlichen Anforderungen bei der Nutzung von M365 eingehalten werden. Dabei gilt dem Grunde nach nichts anderes als bei der Inanspruchnahme sonstiger Dienstleister. Im Falle von M365 soll jedoch ein besonderes Augenmerk darauf gelegt werden, ob sichergestellt ist, dass die Daten nur im Auftrag der Kanzlei verarbeitet werden. Ferner ist wichtig, wo die Daten verarbeitet werden, da es sich hierbei um die typischen Kritikpunkte handelt, die beim Stichwort „M365“ fallen.
Datenverarbeitung im Auftrag
Immer wieder wurde kritisiert, dass der Auftragsverarbeitungsvertrag von Microsoft aus dem Jahre 2021 nicht hinreichend gewährleiste, dass Microsoft die Daten ausschließlich im Auftrag des Verantwortlichen (der Kanzlei) verarbeitet. Seitdem hat Microsoft sich aber die Kritik zu Herzen genommen und mehrfach an dem Vertrag gearbeitet, um genau diese Bedenken auszuräumen. Ergänzend kann zugunsten der Kanzleien die Zusatzvereinbarung ins Feld geführt werden, da sich Microsoft hier auch noch einmal explizit dazu verpflichtet, Daten nur insoweit zu verarbeiten, wie es die Vertragserfüllung erforderlich macht.
Datenverarbeitung in der EU
Um der Sorge Rechnung zu tragen, dass Daten in der Cloud überall auf der Welt verarbeitet werden und damit ein hinreichender Datenschutz nicht gewährleistet werden könnte (Stichwort: Verarbeitung in Drittländern), arbeitet Microsoft schon seit einigen Jahren an der sogenannten “EU-Datengrenze”, damit keine personenbezogenen Daten außerhalb der EU transferiert werden; auch nicht durch etwaige Geschwisterunternehmen.
Alle Kunden, die in einem Land oder einer Region der EU mit Microsoft einen Vertrag abschließen, fallen automatisch in den Geltungsbereich der EU-Datengrenze, und Microsoft verpflichtet sich zur entsprechenden Datenverarbeitung in europäischen Rechenzentren. Wem das nicht genügt, der kann die Datenverarbeitung beispielsweise auch auf den Standort Deutschland beschränken (auch wenn dies aus datenschutzrechtlicher Sicht nicht erforderlich ist).
Allerdings behält sich Microsoft vor, in einem begrenzten Umfang und nur unter besonderen Umständen weiterhin gewisse Daten außerhalb der EU zu transferieren.
Für folgende Zwecke behält Microsoft sich laut der veröffentlichen Datenschutz- und Sicherheitsbestimmungen einen Transfer außerhalb der EU vor:
- Remotezugriff. Microsoft-Mitarbeiter, die sich außerhalb der EU-Datengrenze befinden, können bei Bedarf per Remotezugriff auf Datenverarbeitungssysteme in der EU-Datengrenze zugreifen, um die EU-Datengrenzen-Dienste zu betreiben, zu sichern und Troubleshooting durchzuführen.
- Vom Kunden initiierte Übermittlungen. Kunden können Übermittlungen außerhalb der EU-Datengrenze initiieren, z.B. indem sie von Orten außerhalb der EU-Datengrenze auf EU-Datengrenzen-Dienste zugreifen, eine E-Mail an einen Empfänger außerhalb der EU-Datengrenze senden oder EU-Datengrenzen-Dienste in Kombination mit anderen Diensten außerhalb der EU-Datengrenze nutzen.
- Schutz der Kunden. Microsoft übermittelt nach Bedarf begrenzte Daten außerhalb der EU-Datengrenze, um Sicherheitsbedrohungen zu erkennen und Kunden davor zu schützen.
- Verzeichnisdaten. Microsoft kann Microsoft Entra-Verzeichnisdaten aus Microsoft Entra ID (einschließlich Benutzername und E-Mail-Adresse) in begrenztem Umfang außerhalb der EU-Datengrenze replizieren, um den Dienst bereitzustellen.
- Netzwerktransit. Um die Routinglatenz zu verringern und die Ausfallsicherheit des Routings aufrechtzuerhalten, verwendet Microsoft variable Netzwerkpfade, die gelegentlich dazu führen können, dass Daten außerhalb der EU-Datengrenze übermittelt werden.
- Service- und Plattformqualität und -management. Wenn es zur Überwachung und Aufrechterhaltung der Servicequalität oder zur Sicherstellung der Genauigkeit statistischer Messungen der Servicenutzung oder -leistung erforderlich ist, können anonymisierte personenbezogene Daten außerhalb der EU-Datengrenzen übertragen werden.
- Dienstspezifische Übermittlungen. Informationen zu Übermittlungen, die für bestimmte EU-Datengrenzen-Dienste gelten, finden Sie in der oben genannten Transparenzdokumentation.
Die gesamten Datenschutz- und Sicherheitsbestimmungen können Sie hier abrufen.
Die vorbehaltenen Datentransfers stehen – mit Ausnahme des „Remotezugriffs“ durch Microsoft-Mitarbeiter – einer Nutzung durch Berufsgeheimnisträger allerdings nicht entgegen.
Denn bei genauerer Betrachtung stellt man fest, dass diese Transfers sich zum Teil auf durch den Kunden selbst initiierte Handlungen (z.B. E-Mail-Versand) oder systemimmanente Transfers bei Nutzung des Internets (Netzwerktransit) beziehen, und somit bei jeder anderen Cloud-Software oder internetbasierten Kommunikation ebenfalls stattfinden würden.
Darüber hinaus gibt es eine Reihe von Datentransfers, die sich im Kern auf die Qualitätssicherung der Plattform beziehen. Auch wenn Microsoft die dafür notwendigen Daten nicht weiter spezifiziert, ist davon auszugehen, dass es sich hierbei um Metadaten des Kunden – also der Kanzlei – und dessen Nutzung handelt, nicht um Daten der Mandanten, die bspw. in Word-Dokumenten abgelegt sind.
Customer Support als Datenschutzherausforderung
Aus Datenschutzgesichtspunkten bleibt der Customer Support allerdings eine Herausforderung für Kanzleien.
Microsoft setzt, wie viele global agierende Unternehmen, auf das sogenannte “Follow the Sun”-Prinzip im Customer Support. Das bedeutet, dass Mitarbeitende auf der ganzen Welt verteilt sind.
Stellen Sie beispielsweise als Kunde eine Support-Anfrage, zu deren Lösung der Zugriff auf Ihre Daten notwendig ist, könnte folglich ein Mitarbeitender außerhalb der EU auf diese zugreifen und somit verarbeiten.
Um dieses Risiko zu abzuschwächen, bietet Microsoft die “Kunden-Lockbox” an. Ist diese aktiviert, können Mitarbeitende aus dem Customer Support nicht ohne Ihre vorherige Freigabe auf Ihre Daten zugreifen. Sie als Kunde können jede Zugriffsanfrage entweder freigeben und mit einem Zeitfenster versehen oder ablehnen. Zusätzlich wird jeder Zugriff durch den Customer Support gelogged, sodass ein Audit-Trail zur Verfügung steht.
Diese Funktion steht allerdings nur den Enterprise-Lizenzen zur Verfügung.
Welche Microsoft-Lizenz ist nun die passende für Berufsgeheimnisträger?
Für Geschäftskunden bietet Microsoft die folgenden Lizenztypen an:
Die Business- und Enterprise-Lizenzen unterscheiden sich im Wesentlichen durch die zusätzlichen Sicherheits- und Compliance-Funktionen, die bei Enterprise-Lizenzen angeboten werden.
Im Bereich der Enterprise-Lizenzen können umfangreiche Einstellungen für die Sicherheit von Daten aber auch den verwendeten Endgeräten vorgenommen werden. So kann beispielsweise sichergestellt werden, dass Mitarbeitende ausschließlich über die in Microsoft Intune registrierten Endgeräte auf M365 zugreifen können oder der Zugriff auf einen bestimmten Standort beschränkt ist.
Von diesen Vorteilen können auch kleinere Einheiten profitieren, da es entgegen einer verbreiteten Annahme für die Enterprise-Lizenzen keine Mindestabnahmemenge gibt.
Ausschlaggebend für unsere Empfehlung der Enterprise-Lizenzen ist schlussendlich die weiter oben beschriebene Kunden-Lockbox. Diese Funktion steht nur den Enterprise-Lizenzen zur Verfügung. In der Enterprise-Lizenz “E5” ist die Kunden-Lockbox inkludiert, bei den übrigen Enterprise-Lizenzen kann diese Funktionalität hinzugebucht werden.
Zusätzliche technische und organisatorische Maßnahmen
Diese Microsoft-seitigen Sicherungsvorkehrungen allein, führen jedoch nicht zwangsläufig zu einer sicheren Nutzung im Arbeitsalltag. Denn wie so häufig kommt es auf die richtige Nutzung der Software durch ihre Anwender an.
Daher sollten Kanzleien technische und organisatorische Maßnahmen treffen, um dieses “Anwender-Risiko” zu minimieren.
Zu diesen Maßnahmen gehören unter anderen die:
- Aktivierung von Multi-Faktor-Authentifizierung (MFA) für alle Benutzer
- Nutzung eines Mobile Device Managements (bei Geräteverlust)
- Konfiguration von Standort-Zugriffen und Verschlüsselungen
- Durchführung regelmäßiger Schulungen
Insbesondere für die passende technische Konfiguration empfehlen wir die Beratung mit einem IT-Dienstleister.
Fazit
Microsoft 365 kann in Anwaltskanzleien sicher eingesetzt werden, wenn die notwendigen Sicherheitsmaßnahmen implementiert und regelmäßig überprüft werden. Der Schlüssel liegt in der richtigen Auswahl der Lizenzen, Konfiguration der Sicherheitseinstellungen und der kontinuierlichen Sensibilisierung der Mitarbeitenden.
Aufgrund der Customer Support-Thematik empfehlen wir unseren Kunden die Nutzung von Enterprise-Lizenzen mit Aktivierung der Kunden-Lockbox. Dieses Setup finden wir ebenfalls bei größeren Kanzleien vor, die Microsoft bereits erfolgreich in der Cloud nutzen.
___
Über den Co-Autor Fabian Stößer:
Fabian Stößer, LL.M. (UCT), LL.M. (UoC) ist Rechtsanwalt in der Hamburger Tech- und Medienkanzlei ARTANA, die in den Bereichen Software, Marken, Games, Daten, Medien, Werbung und den Schutz innovativer Business Modelle pragmatisch und lösungsorientiert berät. Fabian berät Start-Ups und innovative Unternehmen der Medien- und Digital-Branche zu Fragen des KI-, Daten-, IT-, Medien- und Vertragsrechts.
