View
220
Download
0
Category
Preview:
Citation preview
Elektronische Akte, elektronisches
Archiv, Cloud?
Chancen und Risiken
Rechtsanwalt Christoph Sandkühler
christoph.sandkuehler@westfaelische-notarkammer.de
Frankfurt, 20. September 2013
Grundsätze I
Stellungnahme des DAV 2011 zur „Cloud-Initiative“ der EU-Kommission: Cloud Computing mit Dienstleistern außerhalb der EU
/ des EWR ist der Anwaltschaft derzeit nicht erlaubt
§ 4b Abs. 2 BDSG
Wegen der strengen deutschen Regeln zur Auftragsdatenverarbeitung ist Cloud Computing in der Regel selbst dann unzulässig, wenn die Datenverarbeitung in solchen nicht EU-Ländern stattfindet, die nach Ansicht der EU ein geeignetes Datenschutzniveau aufweisen
Schweiz, Israel etc.
Grundsätze II
Die Nutzung einer europäischen public cloud wäre dann zulässig, wenn der Dienstleister nicht mit einem amerikanischen
(China, Russland pp.) Unternehmen verwandt ist
überprüfbar sichergestellt wäre, dass auch die Subunternehmen, deren sich der Dienstleister bedient, den strengen Regeln des deutschen Datenschutzrechts unterliegen
die RA‘in / der RA die Herrschaft über die gespeicherten Daten behält
physikalische Identifizierbarkeit auf dem Speichermedium
derzeit wohl praktisch ausgeschlossen
Grundsätze II
die Regeln zur Auftragsdatenverarbeitung
eingehalten werden
incl. Vertragsabschluss
die Pflicht zur Verschwiegenheit gewahrt wird
Kryptographie
Grundsätze III
Die Auslagerung jeglicher Dienstleistungen kann die anwaltliche Kernpflicht zur Verschwiegenheit wie auch das Datenschutzrecht betreffen Inanspruchnahme von Büroservices
Factoring der anwaltlichen Gebührenforderung an anwaltliche Verrechnungsstellen § 49b Abs. 4 BRAO
BDSG?
Digitalisierung von Akten durch Scan-Unternehmen Auftragsdatenverarbeitung gem. § 11 BDSG
NJW 2013, 1570
Fernwartung der Fachsoftware
Auslagerung sonstiger IT-Dienstleistungen Betrieb eines Rechenzentrums
Schlussfolgerung
Die Diskrepanz zwischen Anspruch und
Wirklichkeit in der anwaltlichen
Berufsausübung ist
evident und
gravierend, nicht zuletzt wegen der
Strafandrohung in § 203 StGB
Es besteht Regelungsbedarf
auf nationaler Ebene
auf europäischer Ebene
Warum Outsourcing?
Effizienz der Aufgabenerledigung Fokussierung auf das Kerngeschäft
Auslagerung sogar von Rechtsdienstleistungen durch amerikanische law firms
Effizienzsteigerung und Gewinnung von Expertise
Kostenersparnis
große IT-Netze lassen sich billiger betreiben als kleine Netze
Vereinfachung des Markteintritts für junge Kolleginnen und Kollegen
Bequemlichkeit
Visionen
vollständige Digitalisierung der anwaltlichen Arbeit
vollständige Mobilität der anwaltlichen Arbeit
vollständig digitale Aktenführung
ausschließlich digitale Kommunikation mit der Justiz
Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten
mit den Mandanten
mit sonstigen Dritten
Radikale Alternative?
Die Globalisierung frisst ihre Kinder
Modern, weil sicher, ist nicht die
Digitalisierung der Welt, sonder die
Rückbesinnung auf die „Urkunde“, also das
Papierdokument
Das digitale „Höher, Schneller, Weiter“ hat
ausgedient
EDV-Outsourcing in der Praxis
Serviceorientierte
Softwarearchitektur (SOA)
Orientierung an Geschäftsprozessen
Höhere Flexibilität und Geschwindigkeit
Skalierbarkeit und Wiederverwendbarkeit
Die Hauptlast der Anwendungen läuft nicht
mehr beim Benutzer sondern
„in der Cloud / im Internet“
Elektronische Akte
In der Kanzlei
Dokumentenmanagement-Systeme
Externes Scannen ist Auftragsdatenverarbeitung
Bereitstellung auf dem Server
für die lokale Nutzung im Büro
unproblematisch
für die bürogebundene überörtliche Nutzung
problematisch, wenn nicht abgesichert
für die mobile Nutzung auf Tablet oder Smartphone
sehr problematisch, wenn nicht abgesichert
Elektronische Akte
Idee: einheitliche vernetzte (elektronische) Aktenstruktur auf Anwalts- und Gerichtsseite
Abteilung „Kosten“ auf Gerichtsseite durch RA einsehbar
Gericht prüft terminliche Verfügbarkeit auf Anwaltsseite
Berufungsakte kann „online“ gelesen werden
Akte kann in einem digitalen „Datenraum“ zur Verfügung stehen
Wollen wir das wirklich??
Elektronische Akte
Voraussetzung: Justiz führt elektronische Akten als führende Akte
Ersetzung der (führenden) Papierakte durch die elektronische Akte
tut sie aber nicht und wird sie auch in Zukunft nicht verbindlich führen müssen
vielleicht mit Ausnahme der Strafjustiz
„Change Management“
in der Justiz
in der Anwaltschaft
was machen die Kolleginnen und Kollegen, die über keine Fachsoftware verfügen
e-Akte in Strafsachen
Referentenentwurf eines Gesetzes zur
Einführung der elektronischen Akte in
Strafsachen
Kernsatz in § 32 Abs. 1 StPO-E:
„Die Akten werden elektronisch geführt“
Das bedeutet, dass auch die Schriftsätze pp.
elektronisch eingereicht werden müssen
Wie wird dem Untersuchungshäftling
Akteneinsicht gewährt?
Cloud Computing
Suche bei Google verzeichnet 194.000
Ergebnisse
Definition
Cloud Computing
Viele Server.
Zuverlässige Betriebsbedingungen
• zuverlässige Stromversorgung
• zuverlässige und breitbandige Internetanbindung • Klimatisierung
• Brandschutzmaßnahmen
• strikte Zutrittsbeschränkungen
Verfügbarkeit…
…auch unter extremen Bedingungen.
N+1 Redundanz • unabhängige Stromkreise • redundante Upstreams • redundante Netzwerkhardware • pro Brandabschnitt
Und die Server-Hardware?
N+1 Redundanz als Lösung
• Redundante Hardware (z.B. 2 Netzteile, RAID-Mirror)
• Ersatzteillager zum schnellen Austausch defekter Komponenten
• …und direkt noch ein paar Server auf Reserve gegen Leistungsengpässe (Hot Stand-By)
Kosten
• Standardserver: 2000,- € Anschaffungskosten
• ca. 35,- € / Server / Monat technische Betriebskosten (Strom, Basisinfrastruktur & Co.) • 150 Projekte = 600 Server • insgesamt 1.200.000,00 € Anschaffungskosten • insgesamt 21.000,00 € / Monat Betriebskosten
Outsourcing
• 59,- € / Monat / Server
• Rundum sorglos (Infrastruktur, Hardware, Organisation)
• 24 / 7 / 365 Support (keine Hotline, sondern direkter Kontakt ins Rechenzentrum)
Cloud Computing
Public Cloud bietet Zugang zu abstrahierten IT-Infrastrukturen für die
breite Öffentlichkeit über das Internet.
Public-Cloud-Diensteanbieter erlauben ihren Kunden, IT-Infrastruktur zu mieten auf einer flexiblen Basis des Bezahlens für den tatsächlichen Nutzungsgrad bzw. Verbrauch (pay-as-you-go), ohne Kapital in Rechner- und Datenzentrumsinfrastruktur investieren zu müssen.
folgt dem Lauf der Sonne: Rechenzentren stehen auf allen Kontinenten
Private Cloud bietet Zugang zu abstrahierten IT-Infrastrukturen innerhalb
der eigenen Organisation (Behörde, Firma, Verein) „Intranet“ der Sozietät
Cloud Computing
Hybrid Cloud bietet kombinierten Zugang zu abstrahierten IT-
Infrastrukturen aus den Bereichen von "Public Clouds" und "Private Clouds", nach den Bedürfnissen ihrer Nutzer.
Community Cloud bietet Zugang zu abstrahierten IT-Infrastrukturen wie
bei der "Public Cloud" – jedoch für einen kleineren Nutzerkreis, der sich, meist örtlich verteilt, die Kosten teilt (z. B. mehrere städtische Behörden, Universitäten, Betriebe oder Firmen mit ähnlichen Interessen, Forschungsgemeinschaften) Beispiel: Notarnetz
Organisatorische Einordnung
Private
Public (Öffentlich)
Hybrid
Internet Firmennetz
Privat
e
Privat
e
Public Public
Hybrid Hybrid
Cloud Computing
große Public Cloud Anbieter in Amerika Google
Google Mail
Google Drive
Apple
iCloud
Microsoft Office 365
Dropbox
Amazon
Cloud Drive
etc.
Dropbox
Dropbox wurde 2007 gegründet und hat nach
eigenen Angaben 25 Millionen Benutzer mit
200 Millionen Dateien am Tag
Dropbox unterstützt auch eine Vielzahl von
Mobilen Endgeräten
Die starke Verbreitung von Dropbox hängt
mit der einfachen Installation und Nutzbarkeit
sowie mit dem großen Spektrum an
unterstützten Betriebssystemen zusammen
Cloud Computing
Das Speichern von Daten in externen Rechenzentren („Clouds“) ist extrem praktisch Verfügbarkeit an jedem Ort zu jeder Zeit unter der
Voraussetzung eines Netzzugangs für viele Geräte (Desktop, Laptop, Tablet, Smartphone)
oft kostenlos
sehr einfache Distributierbarkeit der Daten Freigabe von Ordnern und Dokumenten im Netz
Verringerung des Verlustrisikos kein Festplattencrash
kein Verlust von Datenträgern
leichte Auffindbarkeit von Dateien Bsp. Google Mail
Rechtliche Rahmenbedingungen
§ 203 StGB
Anregung der anwaltlichen Berufsverbände, externe (IT-)Dienstleister in den Anwendungsbereich der Norm aufzunehmen
§ 43a Abs. 2 BRAO
§ 18 BNotO
BDSG für die Anwaltschaft
insbes. § 11
Landesdatenschutzgesetze für das Notariat
Rechtliche Rahmenbedingungen
Die Berufsverschwiegenheit und das
Datenschutzrecht sind nur teilweise
deckungsgleich
Pflicht zur Verschwiegenheit erfasst nicht nur
personenbezogene Daten, sondern alle
Geheimnisse
Datenschutzrecht ist nicht auf den Schutz der
Daten des Mandanten beschränkt
die Einwilligung nur des Mandanten zur
Datenverarbeitung hilft also nicht weiter
Rechtliche Rahmenbedingungen
in Europa
Richtlinie 95/46/EG (Datenschutzrichtlinie)
personenbezogene Daten aus EU-Mitgliedsstaaten
dürfen nicht in Staaten übertragen werden, die über
kein dem EU-Recht vergleichbares
Datenschutzniveau verfügen
Das trifft auf die USA zu
Hilft das Safe-Harbor-Verfahren weiter?
Nein!!!
Beschluss der obersten Aufsichtsbehörden aus dem Jahr 2010
Patriots Act / NSA / PRISM
Reaktion z. B. von SAP
Rechtliche Rahmenbedingungen
Die strengen Anforderungen des § 11 BDSG
ist selbst dann nicht trivial, wenn der
Datenexport in eine deutsche Cloud erfolgt
Rechtliche Rahmenbedingungen
Wer die Daten unverschlüsselt in einer public
cloud oder in einer hybrid cloud speichert,
verstößt gegen die Verpflichtung zur
Verschwiegenheit
Verschlüsselung
unpraktisch
ein Buch mit sieben Siegeln
www.truecrypt.org
www.boxcryptor.com
Schlussfolgerungen
Der Export von anwaltlichen oder notariellen Daten in virtuelle Speicher ist unzulässig das gilt auch für E-Mails im IMAP
der Verschwiegenheitspflicht unterfallende E-Mails sind zu verschlüsseln
Die Nutzung von private clouds (Intranet) ist zulässig wenn eine Zugriffschutz durch eine Firewall besteht
unzulässig ist wiederum der „ungeschützte“ Zugriff auf die private cloud mit Hilfe mobiler Geräte
Abhilfe schafft eine VPN-Verbindung
Was ist ein VPN
Virtuell
Das Netz verhält sich wie ein „Verlängerungskabel“
Die Kommunikation fließt durch das Internet, aber in einem geschlossenen Tunnel
Privat
Alle Daten sind verschlüsselt
Kein Zugriff von außen möglich
Netzwerk
Verhält sich wie das lokale Netzwerk
VPN
Internet
VPN Tunnel
Kanzlei Heimarbeitsplat
z
Smartphone
Firewall Firewall
Elektronische Archive
Am Beispiel eines zukünftigen
Urkundenarchivs des Notariats
Elektronisches Urkundsarchiv
Elektronisches
Urkundenarchiv
Einstellen sämtlicher Urkunden (100 Jahre)
Urkundensammlung
in Papierform
Papier-Verwahrung
7 Jahre;
Erbverträge:
100 Jahre
Amtsnachfolger
Übernahme
der
Verwahrung
Notarkammer
• Einscannen der Papierurkunde
• PDF-/TIFF-Rendering
1. Fachliche Anforderungen
Zu verwahrende Dokumente -
Urschriften
2. Sicherheit und Berechtigung
Sicherheitsaspekte und Berechtigungsmanagement
Authentizität des Notars
Authentizität des Notars
Benutzer Authentifizierung
und Autorisierung
Benutzer Authentifizierung
und Autorisierung
Integrität der Daten
Integrität der Daten
Kommunikations-sicherheit
Kommunikations-sicherheit
Rechenzentrums-sicherheit
Rechenzentrums-sicherheit
Gebäudeschutz, Zertifizierung nach BSI Grundschutz, Kryptokonzept, Datensicherheit, Logging, u.v.m.
Notarnetz, DOI, SSL / HTTPS, kryptographisch abgesicherte Dokumente
Signatur mit PKI, Archivsignatur, Verschlüsselte Speicherung, Kein administrativer Zugriff auf Inhalte
Konsistente Notar- und Benutzerverwaltung NV, (Erst-)Identifikation über Notarkammer und BNotK Signaturkarte
Hierarchische Administration (techn., organisatorisch, notariell)Kopplung von Benutzer und Amt (Notar), SAFE und TD Justiz für Gerichte, Vier-Augen-Prinzip für Berechtigungserteilung
Technische Administration
BNotK
Organisatorische Administration
RNK
Notarielle Administration
Notar/Verwahrer
• Notar
• Notariatsverwalter
• Amtsnachfolger
• hilfsweise Notar- vertreter
Bundesnotarkammer bedient sich vom
Präsidenten zu bestellender (besonders
vertrauenswürdiger) Notare
Notarvertreter
• Mitarbeiter (Einstellen ins Archiv)
• Mitarbeiter (Abruf aus dem Archiv)
Mitarbeiter hilfsweise
Zugangsberechtigung
Hierarchie der Zugangsberechtigung
Vier- Augen- Prinzip
2. Sicherheit und Berechtigung
Welche Internetanbindung
brauche ich in Zukunft ?
95 % der privaten DSL Anschlüsse in
Deutschland sind asynchron
Bisher fand fast nur Konsum von Inhalten
statt
Internet
100 M/Bit
1000M/Bit
2–16 M/bit
0,1 – 0,5 M/bit
Welche Internetanbindung brauche
ich in Zukunft ?
Synchron
Immer mehr Daten werden ins Netz geschickt
Internet
100 M/Bit
1000M/Bit
2–20 M/bit
2–20 M/bit
Welche Internetanbindung
brauche ich in Zukunft ?
Eine Firewall ist Pflicht! Gemäß Anlage zu §
9 BDSG ist eine Zugriffskontrolle zu
gewährleisten.
Firewall
Internet
Wie wird es weitergehen
Regelungsbedarf ist erkannt
„IT-Outsourcing für die Justiz“ als ein Thema des
diesjährigen „Nationalen IT-Gipfels“
dabei soll auch das Thema „Benutzung von Clouds
bei Amts- und Berufsgeheimnisträgern“ erörtert
werden
Ausschuss der Satzungsversammlung
Verschwiegenheitspflicht und Datenschutz
Wie wird es weitergehen
Kompetenzzentrum „Trusted Cloud“ beim
BMWi
Arbeitsgruppe „Rechtsrahmen des Cloud-
Computing“
Thesenpapier zu datenschutzrechtlichen Lösungen
Wie wird es weitergehen
Strategiepapier der EU-Kommission
„Freisetzung des Cloud-Computing-Potentials in
Europa“
Harmonisierung technischer Normen
Zertifizierung vertrauenswürdiger Cloud-Anbieter
Entwicklung fairer und sicherer Muster-
Vertragsbedingungen
sog. Servic-Level-Agreements
race to the bottom?
Vielen Dank für Ihre Zeit!
Recommended