Wenn man eine Zeit lang von Anwälten, Richtern und Legal Technologists umgeben ist, werden einem einige Fakten aus dem Rechtswesen verhältnismäßig schnell klar. Eines der obersten Gebote im Anwaltswesen ist es Stunden zu leisten, die auch tatsächlich zu verrechnen sind.
Erklärt man beispielsweise einem Anwalt warum er ein Dokument verschlüsseln oder in einem bestimmten Ordner mit eingeschränkten Zugriffsrechten ablegen sollte, wäre eine mögliche Antwort: „In dieser Zeit kann ich mit meinen Klienten telefonieren und Geld für die Kanzlei verdienen.“
E-Mails, SMS-Nachrichten, Vermerke, Dokumente und digitale Akten von Anwaltskanzleien enthalten durchweg wichtige Firmengeheimnisse und andere vertrauliche Informationen. Schenkt man den Diskussionsbeiträgen auf Fachveranstaltungen wie der LegalTech Glauben, könnten Kanzleien jedoch deutlich mehr tun, um ihre Daten zu schützen.
Einerseits ermöglichen es die digitalen Technologien schneller zu arbeiten und durchaus mehr Einnahmen zu erzielen. Doch Technologie ist ein zweischneidiges Schwert. Mehr Aufträge bedeuten mehr Daten, und diese machen Kanzleien angreifbar. Anwaltskanzleien sind bereits Hacking-Angriffen zum Opfer gefallen, allerdings (bisher) nicht in einem Ausmaß, wie wir es von anderen Branchen kennen. Grund genug zur Besorgnis, denn wahrscheinlich möchte keine Kanzlei als „Sony der Rechtswelt“ in die Annalen eingehen.
Kanzleien sind sozusagen das Sahnehäubchen der Informationswirtschaft, denn sie verfügen über echte Datenschätze. Vielfach bleibt aber der Eindruck bestehen, dass die potenziell Betroffenen dem Thema Cybersicherheit nicht die verdiente Aufmerksamkeit schenken.
Der Widerspruch: Die Daten sind wertvoll, aber deren Schutz gerät mit dem Ziel in Konflikt abrechenbare Stunden zu generieren oder generieren zu müssen. Datenschutz wird so zu einer Unannehmlichkeit. Das heißt nicht, dass überhaupt keine Maßnahmen ergriffen worden sind. Allerdings beschränken sich diese meist auf den Schutz an der Netzwerkgrenze. Und das obwohl sich die meisten Branchenkenner durchaus der Tatsache bewusst sind, dass eigentlich das zählt, was sich im Inneren befindet.
Wie wir schon in einem englischsprachigen Blog geschrieben haben, unterliegen Anwälte auch ethischen Verpflichtungen – in den USA sind das die so genannten Model Rules – zum Schutz von Daten.
Unternehmensjuristen stehen häufig vor ähnlichen Konflikten wie dem beschriebenen, doch hier herrscht eine andere Dynamik vor. Eines der großen Probleme an dieser Stelle ist das Thema der Datenlöschung. Welche Daten könnten tatsächlich gelöscht werden und welche werden vielleicht noch in einem eDiscovery-Verfahren benötigt?
Sobald von einem Gerichtsverfahren ausgegangen werden kann, gilt eine Aufbewahrungspflicht für Daten. Werden diese Daten gelöscht, kann einem Unternehmen schnell die Vernichtung von Beweismitteln vorgeworfen werden, und das wiederum zieht Sanktionen nach sich.
Übertriebene Vorsicht kann aber auch zum Problem werden. Microsoft bewahrte beispielsweise aufgrund nicht abgeschlossener Rechtsstreitigkeiten 261 Terabyte an Mitarbeiterdaten auf. Bei mehreren Verfahren ein nicht ganz billiges Unterfangen. Dies betrifft insbesondere Fortune-500-Unternehmen.
Hier kommt der Grundsatz der Verhältnismäßigkeit ins Spiel. In den vergangenen Jahren wurde Unternehmen ein gewisser Spielraum bei der Löschung von Daten eingeräumt, wobei Faktoren des spezifischen Falls und die Relevanz der entsprechenden Daten abgewogen werden.
Im Prinzip handelt es sich dabei um ein Governance-Problem und inzwischen entwickelt sich ein entsprechendes Bewusstsein in der Branche. Eine Möglichkeit, das Spannungsfeld zwischen Datensicherheit, Einkommen und rechtlichen Verpflichtungen zumindest in der Unternehmenswelt zu lösen, besteht darin, Chief Legal Officers und Chief Privacy Officers bei Governance-Fragen eine größere Entscheidungsbefugnis zu geben.
Juristen wissen, welche Informationen wertvoll sind, und die IT kann die entsprechende Technologie implementieren.