Was ist zu beachten?

Rechtsanwälte und Steuerberater unterliegen einer berufsrechtlichen Verschwiegenheitspflicht, die jegliche Information umfasst, die dem Berufsträger in Ausübung seines Berufs oder bei Gelegenheit der Berufstätigkeit anvertraut oder bekannt wird. Sie verdrängt innerhalb ihres Anwendungs­bereichs die Vorschriften des Bundesdatenschutzgesetzes (BDSG). Allerdings findet der Ausschluss des BDSG nur statt, wenn die berufsrechtliche Verschwiegenheitspflicht eine Regelung für den exakt gleichen Sachverhalt enthält. Das BDSG bleibt deshalb in Teilen anwendbar. In Kanzleien findet das Datenschutzrecht deshalb unstreitig auf Personaldaten der eigenen Mitarbeiter Anwendung, auch werbliche Maßnahmen, ­sofern berufsrechtlich zulässig, unterliegen den Regelungen des BDSG. Darüber hinaus sind die Bestimmungen des BDSG über technische und organisatorische Maßnahmen zu beachten. Die häufigste Ursache für Datenschutzverstöße in Kanzleien ist menschliches Fehlverhalten. Datenskandale werden ­sowohl durch den unachtsamen Umgang der Mitarbeiter mit den personenbezogenen Daten als auch durch externe Angriffe von Social Engineers oder Hackern auf die Daten einzelner ­Mitarbeiter beziehungsweise deren Arbeitscomputer ausgelöst.

Die Autofill-Funktion von Outlook

So unterschätzen Mitarbeiter vor allem das Ausmaß von Flüchtigkeitsfehlern. Entstehen können diese zum Beispiel bei der Eingabe von E-Mail-Adressen. Ein falsches Zeichen genügt, ­damit sensible oder vertrauliche Daten, wie etwa Gesundheits- oder Bankdaten von Betroffenen an unbeteiligte Dritte gelangen. Das verärgert nicht nur die Kanzleileitung und zieht Imageschäden nach sich, sondern verstößt auch gegen die rechtlichen Vorgaben. Die Übermittlung von personenbezogenen Daten an Dritte ist nämlich nur aufgrund eines Erlaubnistatbestands oder einer Einwilligung des Betroffenen zulässig. Nutzer des E-Mail-Programms Microsoft Outlook sind in dieser Hinsicht besonders fehleranfällig. Das Programm verfügt über die sogenannte Autofill-Funktion. Sie unterbreitet bereits bei Beginn der Eingabe einer E-Mail-Adresse automatisch Adressvorschläge. Dabei nutzt sie einen temporären Speicher für E-Mail-Adressen, die bereits genutzt wurden. Nach der Eingabe des ersten Zeichens schlägt die Funktion bereits die gespeicherten Adressen als Zieladressen vor. Dabei kann es natürlich verstärkt zu Verwechslungen kommen, insbesondere wenn sich die E-Mail-Adressen scheinbar optisch gleichen.Der unachtsame Klick eines Mitarbeiters auf den falschen Adressvorschlag genügt, um die E-Mail an die falsche Zielperson zu senden.

Versendung von offenen E-Mail-Verteilern

Viele Kanzleien versenden E-Mails zu Werbezwecken. Für den zuständigen Mitarbeiter ist das eine Routinetätigkeit, die er beiläufig erledigt. Dabei kann es schon einmal vorkommen, dass er die E-Mail-Adressen versehentlich in das An- oder CC-Adressfeld einträgt und die E-Mails dann verschickt. Was zunächst wie ein kleines Versehen erscheint, kann aber weitreichende Folgen haben. Trägt der Mitarbeiter die E-Mail-Adressen in das falsche Adressfeld ein, können diese nämlich von ­allen Empfängern offen eingesehen werden. Diese ungewollte, auch berufsrechtlich unzulässige Offenlegung kann einer bestehenden Mandantenbeziehung erheblich schaden und aufgebautes Vertrauen zerstören. Zudem können sich auch die Adressaten diese unfrei­willige Enthüllung zunutze machen und unzulässigerweise ­eigene Werbe-E-Mails an die E-Mail-Adressen der Mandanten verschicken. Datenschutzrechtlich ist eine E-Mail-Adresse ein personenbezogenes Datum. Wer also E-Mail-Adressen ohne Einwilligung oder entsprechende Rechtsgrundlage an Dritte verschickt, verstößt ­gegen das BDSG. Beide Rechtfertigungsgründe liegen bei der Eintragung einer Vielzahl von Empfängeradressen in das An- oder CC-Adressfeld nicht vor. Hat die Kanzlei den Mitarbeiter zuvor nicht entsprechend angewiesen oder überwacht, droht ihr selbst ein Bußgeldbescheid von der Aufsichtsbehörde.

Weitergabe von Passwörtern

Forscher der Universität Luxemburg und der International School of Management Stuttgart (ISM) bewiesen erst kürzlich im Rahmen einer Studie, dass Menschen eher dazu geneigt sind, ihr Passwort zu verraten, wenn sie zuvor eine Tafel Schokolade bekommen haben. Dieser Test gibt Aufschluss darüber, wie Social Engineering funktioniert. Die sogenannten Social Engineers manipulieren ihre Zielperson auf zwischenmenschlicher Ebene, um unberechtigten Zugang zu vertraulichen Informationen oder IT-Systemen zu bekommen. Oft nutzen sie dazu Kommunikationsmittel, wie etwa E-Mail, Telefon oder Briefe. Die geläufigsten Methoden sind dabei gefälschte ­E-Mails, wie zum Beispiel Phishing-Mails oder Scareware. Aber auch über das Telefon versucht man, die Opfer unter Vorspiegelung falscher Tatsachen zu täuschen. Per Post vers­chicken die Social Engineers vermeintliche Werbegeschenke, wie etwa CDs oder USB-Sticks. Selbst beim einfachen Surfen im Internet können Nutzer auf die gefälschten Homepages von Social Engineers gelangen. Ihre Methoden sind vielseitig, dienen aber alle nur dem einen Zweck, nämlich die Passwörter der Zielpersonen zu erhalten und einen finanziellen Vorteil daraus zu schlagen.

Abhören von Funktastaturen mittels Keysniffer

Funktastaturen erfreuen sich einer zunehmenden Beliebtheit, nicht nur Privatpersonen, sondern auch Kanzleien setzen sie vermehrt ein. Sie sind praktisch und verursachen keinen Kabelsalat auf dem Schreibtisch. Werden sie nicht mehr benötigt, kann man sie einfach wegstellen. Leider stellen Funktastaturen ein erhebliches Sicherheitsrisiko für Kanzleien dar. Sensible Informationen, wie Benutzernamen, Passwörter, Bank- oder Gesundheitsdaten, die zum Beispiel ein Personalsachbearbeiter über seine Funktastatur eingibt, kann ein Hacker mit einer sogenannten Sniffing-Attacke abhören. Dazu muss er sich in ­einem Umkreis von ungefähr 70 Metern Entfernung zum Zielobjekt befinden und einen Laptop sowie einen USB-Empfänger mit Antenne mit sich führen. Hat er sich entsprechend positioniert, muss er nur noch das sogenannte Reverse Engineering einsetzen, um das herstellerspezifische Protokoll zur Datenübertragung zu ermitteln. Nun kann der Hacker alle Zeichen, die der Kanzleimitarbeiter eingibt, auf seinem Laptop-Bildschirm mitlesen und entsprechend ab­speichern.

Handlungsempfehlungen

Was können Kanzleien tun, um ihre Daten vor den voranstehend skizzierten Risiken zu schützen? Bei der Verarbeitung sensibler personenbezogener Daten sollte man in den Kanzleien ganz auf den Einsatz von Funk­tastaturen verzichten und wieder auf kabelgebundene Tastaturen zurückgreifen. Falls man dies nicht will, sollte man Bluetooth-Tastaturen als sicherere­ Alternative verwenden, da diese Tastaturen Verschlüsselungsverfahren nutzen beziehungsweise höhere Sicherheitsanfor­derungen haben. Um Datenschutzverstöße auszuschließen, ist es ratsam, im Falle werblicher E-Mails oder Einladungen zu Events die Nachricht an externe Empfänger nur als Blindkopie (BCC) zu verschicken. Zudem bietet es sich an, die Autofill-Funktion in Microsoft Outlook dauerhaft zu deaktivieren. Um sich ­gegen Angriffe von Social Engineers zu wappnen, sollten die Kanzleien technische Lösungen, wie etwa die Zweifaktor­authentifizierung, beschränkte Zugangsrechte oder Geo-­Blocking nutzen. Schließlich ist es unabdingbar, die Mitarbeiter verstärkt über alle Risiken aufzuklären. Das kann durch Schulungen oder auch mittels eines Sicherheitsleitfadens erfolgen.