Daten sind die wertvollste Ressource moderner Unternehmen. In Rechtsanwaltskanzleien gilt das in besonderem Maß: Mandant:innen vertrauen ihrer Kanzlei hochsensible Informationen an. Die Verschwiegenheitspflicht der Jurist:innen umfasst dabei nicht nur Diskretion, sondern auch die Pflicht, diese Daten vor unbefugtem Zugriff technisch zu schützen. Wer seine Kanzleidaten in der Cloud ablegt, ohne zu wissen, wer die Infrastruktur dahinter tatsächlich kontrolliert, riskiert eine Schutzlücke, die keine Mandatsvereinbarung schließen kann.
Datensouveränität – was wirklich dahintersteckt
Datensouveränität ist in aller Munde. Die Europäische Kommission diskutiert Maßnahmen für die digitale Sicherheit und Souveränität Europas. Auch in der österreichischen Rechtsanwaltsbranche taucht der Begriff immer öfter auf.
Nur: Was bedeutet Datensouveränität eigentlich?
Reinhard Felgenhauer, Chief Information Security Officer bei bds, bricht es auf drei Kernfragen herunter: Wo sind meine Daten gespeichert? Wer hat Zugriff darauf? Und wie kann ich sicherstellen, dass sie nicht ohne mein Wissen manipuliert werden?
Datenstandort und Datensouveränität sind nicht dasselbe
Ein weit verbreitetes Missverständnis: Wenn meine Daten auf einem Server in Österreich gespeichert sind, sind sie sicher unter meiner Kontrolle und vor Zugriffen aus dem Ausland geschützt. Das stimmt so aber nicht.
Der Datenstandort – also die geografische Region, in der ein Server physisch steht – ist nur eine von mehreren relevanten Dimensionen. Mindestens genauso wichtig sind die Fragen, unter welcher Rechtsprechung der Betreiber dieses Servers steht. Wer ist der eigentliche Eigentümer der Infrastruktur? Welche gesetzlichen Verpflichtungen hat dieser Betreiber gegenüber Behörden?
Datensouveränität hat drei Dimensionen, die zusammenspielen:
– die technische Dimension (Verschlüsselung, Zugriffskontrollen, Integrität der Daten),
– die rechtliche Dimension (Jurisdiktion des Anbieters, DSGVO-Konformität, ÖRAK-Anforderungen)
– und die organisatorische Dimension (Erreichbarkeit, Transparenz, Kontrollmöglichkeiten über den Anbieter).
Nur wer alle drei Dimensionen im Blick hat, kann wirklich beurteilen, ob seine Kanzleidaten souverän – also unter eigener Kontrolle – verwaltet werden.
Der US Cloud Act: Ein konkretes Risikoszenario für Kanzleien
Im Jahr 2018 trat in den USA der Clarifying Lawful Overseas Use of Data Act in Kraft, bekannt als US Cloud Act. Das Gesetz verpflichtet US-amerikanische Technologieunternehmen zur Herausgabe von Daten an US-Behörden, und zwar unabhängig davon, wo diese Daten physisch gespeichert sind.
Was das für Rechtsanwaltskanzleien bedeuten kann, lässt sich an einem Beispiel verdeutlichen:
Eine österreichische Kanzlei betreut einen Mandanten in einem internationalen Handelsstreit. Die Kanzleidaten – Schriftsätze, Korrespondenz, Gutachten – liegen auf einem Server in Österreich, betrieben von einem US-amerikanischen Cloud-Anbieter.
Die Gegenseite des Rechtsstreits ist ein US-Unternehmen. Dieses beantragt bei einer US-Behörde Zugriff auf relevante Daten. Der Cloud-Anbieter ist gesetzlich verpflichtet, diesem Ersuchen nachzukommen, die Kanzlei wird darüber nicht zwingend informiert.
Kanzleien, die Mandanten mit internationalem Geschäft betreuen, sind also potenziell exponiert. Hinzu kommt, ein solcher Datenzugriff hinterlässt möglicherweise keine unmittelbaren Spuren. Die Kanzlei merkt erst in der Verhandlung, dass die Gegenseite Informationen besitzt, die sie nur aus internen Dokumenten haben kann. Der Reputationsschaden – in einem kleinen Markt wie Österreich, wo Mandanten einander kennen – kann erheblich sein.
Berufsrechtliche Dimension: Verschwiegenheitspflicht und Sorgfaltspflicht
Für Rechtsanwältinnen und Rechtsanwälte ist die Frage der Datensouveränität keine rein unternehmerische Abwägung. Sie berührt zentrale berufsrechtliche Pflichten.
Die anwaltliche Verschwiegenheitspflicht schützt das Vertrauensverhältnis zwischen Rechtsanwalt und Mandant. Wenn Kanzleidaten über einen Cloud-Dienst verarbeitet werden, dessen Betreiber einer fremden Jurisdiktion unterliegt, entsteht eine Lücke in diesem Schutz.
Hinzu kommt, dass Mandanten die Frage nach der Datensicherheit heute aktiver stellen als noch vor einigen Jahren. Größere Unternehmenskunden erwarten zunehmend belastbare Antworten: Wo sind unsere Daten gespeichert? Wer hat Zugriff? Ist Ihr Cloud-Anbieter auditierbar?
Kanzleien, die auf diese Fragen keine strukturierte Antwort geben können, laufen Gefahr, in Auswahlprozessen für Großmandate nicht mehr berücksichtigt zu werden.
Was Rechtsanwaltskanzleien konkret tun können
Der erste Schritt ist eine Bestandsaufnahme und eine Bewertung des Risikos: Welche Daten liegen wo, und bei welchem Anbieter? Welche Anwendungen verarbeiten die Daten und welche Abhängigkeiten bestehen? Für viele Kanzleien ist das überraschend schwer zu beantworten, weil über die Jahre verschiedene Dienste eingesetzt wurden, die nicht alle transparent dokumentiert sind.
Der nächste Schritt ist die Bewertung des Cloudanbieters entlang der drei Dimensionen:
– Technisch: Wie sind Zugriffskontrollen, Verschlüsselung und Datenintegrität sichergestellt?
– Rechtlich: Unter welcher Jurisdiktion operiert der Anbieter, ist er DSGVO-konform, erfüllt er die ÖRAK-Anforderungen?
– Organisatorisch: Ist der Anbieter direkt erreichbar, auditierbar, und welche Rechte hat die Kanzlei im Streitfall?
Eine Cloudlösung wie cloudANWALT, die auf österreichischer Infrastruktur von bds IT betrieben wird, ist auf genau diesen Anforderungsrahmen ausgelegt: Serverstandort ausschließlich in Österreich, keine Auftragsdatenverarbeiter aus Drittstaaten, ISO-27001-Zertifizierung, direkte Erreichbarkeit des Anbieters. Das schließt eine Exponierung gegenüber dem US Cloud Act strukturell aus.
Fazit
Datensouveränität ist ein strategisches Thema, das weit über die IT-Abteilung hinaus geht. Der US Cloud Act macht deutlich, dass der Serverstandort allein kein hinreichendes Sicherheitskriterium ist.
Die gute Nachricht: Die Fragen, die Datensouveränität aufwirft, sind beantwortbar. Es braucht hierfür den strukturierten Blick auf Technik, Recht und Organisation, und einen Partner, der diese Anforderungen nachweisbar erfüllt.
Dieser Artikel basiert auf dem cloudANWALT-Webinar „Cloud ohne Kontrollverlust: Datensouveränität und Sicherheit für österreichische Rechtsanwaltskanzleien“ mit Gerald Wondra (Key Account Manager, bds IT) und Reinhard Felgenhauer (Chief Security Officer, bds IT).
Hier können Sie die Webinar-Aufzeichnung kostenlos downloaden.