Seit der Coronapandemie ersetzen Videokonferenzen viele persönliche Termine und sogar Gerichtsverhandlungen per Videokonferenz sind möglich. Damit bei der Kommunikation mit Mandant:innen Vertraulichkeit und Datensicherheit gewahrt sind, brauchen Sie die richtige Technik.

Auch für den sicheren Austausch von vertraulichen Dokumenten, Nachrichten oder Rechnungen gibt es passende Tools. BRAO und DSGVO-Konformität sind dabei oberstes Gebot, denn der Schutz des Mandatsgeheimnisses erfordert passende technische Maßnahmen.  

Generelle Richtlinien für die vertrauliche Kommunikation mit Mandant:innen

Wir stellen Ihnen einige grundlegende Richtlinien und Lösungen vor, die Sie beachten und verwenden können, um die Datensicherheit bei der Kommunikation mit Mandant:innen zu gewährleisten.

Verschlüsselung

Wenn Sie öffentliche WLAN-Verbindungen nutzen, beispielsweise in Hotels, auf Konferenzen oder bei Mandant:innen, laufen Sie immer Gefahr, dass andere Personen Ihre Daten mitlesen. Während der Datenübertragung erfolgt deshalb häufig eine Transportverschlüsselung: Einzelne Abschnitte im Versandkanal werden verschlüsselt, unter anderem die Verbindung zwischen dem E-Mail-Programm und dem Server.

Die Transportverschlüsselung (auch SSL- beziehungsweise TLS-Verschlüsselung genannt) ist eine relativ einfache Methode und gehört inzwischen weitgehend zum Standard in der Online-Kommunikation. Viele E-Mail-Provider bieten die Transportverschlüsselung in der kostenpflichtigen Version automatisch an. Bei einem Webmailer im Browser sollten Sie den Zugang per https wählen und bei einem Mail-Programm in der grundlegenden Konfiguration den Mailtransfer per SSL oder TLS einstellen sowie eine dazu passende Authentifizierungsmethode, zum Beispiel das Log-in per Passwort.

Der eigentliche Inhalt der Mail ist bei der Transportverschlüsselung allerdings nicht verschlüsselt und an jedem Knotenpunkt lesbar wie eine Postkarte. Für einen sicheren Datenaustausch ist diese Methode also nur bedingt geeignet.

Bei der End-to-End-Verschlüsselung  (oder auch Ende-zu-Ende-Verschlüsselung) hingegen, wird die Nachricht selbst verschlüsselt und kann nicht an den Knotenpunkten der Verbindung abgefangen werden. Nicht einmal die Provider können die E-Mail lesen, sondern nur Sendende und Empfangende.

Ende-zu-Ende-Verschlüsselung erfolgt in der Regel mit dem Kryptographiesystem GnuPG. Es ist unabhängig von Providern und funktioniert wie ein Briefumschlag für die Postkarte. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt als Tool zur verschlüsselten Dateiübertragung beispielsweise die Software Gpg4win.

Sicher einloggen

Vergeben Sie zum Log-In bei Online-Konten starke Passwörter. Nutzen Sie komplexe und unterschiedliche Passwörter für Ihre Kommunikationsplattformen und empfehlen Sie Ihren Mandant:innen, das auch zu tun.

Achten Sie dabei auf eine mehrstufige Authentifizierung: Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung (2FA) für zusätzliche Sicherheit beim Zugriff auf Online-Dienste. Viele Zwei-Faktor-Systeme greifen als zusätzliche Schranke auf externe Systeme zu, bei denen Nutzer:innen beispielsweise einen Code auf ihrem Smartphone erhalten. Zur Identitätsbestätigung können auch biometrische Systeme dienen, zum Beispiel der Fingerabdruck auf einem Sensor oder die Face-ID. Andere gängige Systeme arbeiten mit TAN-Generatoren oder Tokens.

Phishing-Bewusstsein

Eine sichere Verschlüsselungslösung für den E-Mail-Verkehr allein reicht allerdings nicht, um vertrauliche Informationen vor unbefugtem Zugriff zu schützen. Achten Sie auf Phishing-Angriffe und sensibilisieren Sie auch Ihre Mandant:innen für diese Bedrohung. Geben Sie Ihren Mandant:innen Hilfestellung zur Identifizierung und Vermeidung verdächtiger E-Mails:

Häufig sind solche E-Mails gespickt mit Rechtschreib- oder Grammatikfehlern, Ihr Name fehlt in der Anrede oder Sie werden zu einer Handlung aufgefordert: Sie sollen persönliche Daten preisgeben, Dateien öffnen, Formulare ausfüllen oder Links anklicken. Wenn Sie in einer Geschäftsbeziehung zum vermeintlichen Absender stehen, aber noch nie E-Mails mit vergleichbarem Inhalt bekommen haben, sollten Sie ebenfalls misstrauisch werden. 

Tools für den Austausch sicherer Daten und verschlüsselte Videokonferenzen

Um sensible Daten während der Übertragung zu schützen, verwenden Sie möglichst eine End-to-End-Verschlüsselung für alle Kommunikationskanäle, also auch für Messaging-Dienste und Cloud-Speicher.

Bieten Sie Ihren Mandant:innen eine sichere Möglichkeit, auf relevante Dokumente zuzugreifen, indem Sie beispielsweise passwortgeschützte Cloud-Speicher verwenden oder Ihre Cloud mit Hilfe eines zusätzlichen Tresors verschlüsseln. Die Software eines solchen Tresors benötigen natürlich auch Ihre Mandanten, falls Sie Daten nicht nur speichern, sondern austauschen möchten. Bei Dropbox beispielsweise können Sie für diesen Zweck auch Freigabelinks zu Dateien erstellen und verschicken. Ihre Mandant:innen benötigen keine Tresor-Software, sondern können die Links mit Hilfe eines Passworts öffnen.

Falls Sie Ihren Mandant:innen virtuelle Datenräume bereitstellen möchten, beispielsweise im Rahmen der Due Diligence, ist die Auswahl groß. Intralinks, Drooms oder Brainloop sind Beispiele für Anbieter, deren Server unter anderem in Deutschland, Österreich oder der Schweiz stehen und deren Lösungen den DSGVO-Anforderungen der Europäischen Union entsprechen. Diese Plattformen haben den Anspruch, sichere Online-Räume für den Austausch vertraulicher Dokumente zwischen Anwältin oder Anwalt und Mandant:in anzubieten.

Videokonferenz-Tools mit Verschlüsselung

Plattformen wie Zoom, Microsoft Teams und Cisco Webex zählen zu den bekanntesten Anbietern für Videokonferenz-Software. Sie bieten Ende-zu-Ende-Verschlüsselung für sichere Videokonferenzen und oft diverse weitere Funktionen wie zum Beispiel:

• Chats
• Umfrageoptionen
• Senden und Speichern von Dateien
• Automatische Untertitel
• Aufzeichnungen
• Echtzeit-Zusammenarbeit in Office-Apps
• Kalenderintegration

Sicherlich benötigen Sie nicht alle dieser Features für die Zusammenarbeit mit Mandant:innen. Relevant ist allerdings auch hier wieder die Sicherheit der Kommunikation. Neben der End-to-End-Verschlüsselung setzt Microsoft Teams unter anderem auf eine mehrstufige Authentifizierung und Cisco Webex verspricht Nutzer:innen eine sichere Zusammenarbeit mit Schutz von Daten und Privatsphäre durch diverse Sicherheits- und Datenschutzzertifizierungen sowie DSGVO-Konformität.

Für Besprechungen durch Videokonferenzen gibt es natürlich noch weitere Tools, unter anderem GoToMeeting, Skype, Google Meet und viele mehr. Prüfen Sie unbedingt die Datenschutzinformationen der Anbieter, bevor Sie sich für ein Tool entscheiden.

Messaging-Dienste und E-Mail-Anbieter

Absolute Datensicherheit gibt es nicht und auch keinen Standard für sichere E-Mails. Doch E-Mail-Anbieter wie ProtonMail, Tutanota, Posteo oder Mailbox.org bieten zumindest die End-to-End-Verschlüsselung und auch bei Thunderbird können Sie E-Mails verschlüsseln.

Bei Messaging-Diensten ist diese Verschlüsselungsmethode ebenfalls verfügbar: Unter anderem bei Signal, WhatsApp, Wickr oder Threema. Bei WhatsApp können Sie neben der Verschlüsselung auch die Zwei-Faktor-Authentifizierung aktivieren.

Zusätzliche Sicherheit durch VPN-Verbindung

Ein VPN (Virtual Private Network) kann die Sicherheit zusätzlich erhöhen, indem es die Internetverbindung verschlüsselt und die Identität der Nutzer:innen verbirgt, wodurch auch das Surfverhalten schwieriger nachverfolgbar ist. In einem virtuellen Netzwerk sind die Endgeräte nicht physisch miteinander verbunden. Stattdessen wird zum Beispiel von Ihrem Rechner eine Verbindung zu einem VPN-Server aufgebaut und alle übertragenen Daten werden durch Verschlüsselung, wie in einem Tunnel, vom restlichen Internet abgeschottet. Ein VPN kann bei mobiler Arbeit die Risiken öffentlicher WLAN-Hotspots reduzieren.

Einrichten können Sie ein VPN beispielsweise direkt über den Router Ihres Heimnetzwerks, sofern der Hersteller dies zulässt. Anleitungen zur Aktivierung des Routers als VPN-Server finden Sie in der Regel auf der Website des Herstellers.

Für Windows und Android, iOS und Linux gibt es Apps, die Sie auf Ihrem Endgerät installieren können. Für die verschlüsselte Verbindung zum VPN-Server müssen Sie in der App die IP-Adresse oder den Domainnamen des VPN-Servers und die Zugangsdaten eingeben.

Falls Ihr Router nicht als Server in Frage kommt, können Sie einen externen VPN-Anbieter wählen. Auch hier sollten Sie bei der Auswahl auf Datensicherheit achten. Schließlich laufen alle Ihre Daten über diesen Server und für den Fall, dass die Serverstandorte der Betreiber sich nicht in Deutschland befinden, gilt auch kein deutsches Datenschutzrecht. Bei kostenlosen Angeboten kann die schlechte Verbindungsqualität möglicherweise ein Manko sein oder die Verwendung Ihrer Daten zu Marketingzwecken.

Doch auch hier gilt: Keine Sicherheitslösung ist perfekt. Zwar können Sie mittels VPN die Datensicherheit erhöhen, indem Sie Ihren Internetverkehr zum VPN-Server verschlüsseln. Doch die weitere Übertragung von dort bleibt unverschlüsselt.

Virtual Private Networks sind übrigens nicht überall legal: In China beispielsweise sind viele VPN-Dienste verboten.

Natürlich entwickeln sich die Technologie und empfohlenen Tools zur Datensicherheit ständig weiter. Sie sollten deshalb regelmäßig überprüfen, ob Ihre Tools noch dem neuesten Stand entsprechen. Außerdem sollten Sie sicherstellen, dass Sie die aktuell geltenden gesetzlichen Bestimmungen und Vorschriften bezüglich des Datenschutzes in Deutschland einhalten.