Eine funktionierende IT-Infrastruktur ist heute und in Zukunft ein systemkritisches Element in der Organisation einer Anwaltskanzlei. Um einen sicheren und kosteneffizienten Betrieb der eingesetzten Hard- und Software sicherstellen zu können, müssen die Anwältinnen und Anwälte Cloudcomputing-Dienstleistungen von externen Anbietern nutzen. Der Schweizerische Anwaltsverband zeigt in der «SAV-Wegleitung für IT-Outsourcing und Cloud-Computing» auf, wie die Nutzung von externen Cloudcomputing-Dienstleistungen durch Anwältinnen und Anwälte unter Einhaltungen aller gesetzlichen Auflagen und des Anwaltsgeheimnisses möglich ist.

Die Wegleitung ist die Grundlage für den Schweizer Branchenstandard

Der Schweizerische Anwaltsverband hat die «SAV-Wegleitung für IT-Outsourcing und Cloud-Computing» mit dem Ziel veröffentlicht, technologie- und risikogerechte Verhaltensgrundsätze für IT-Outsourcing und den Einsatz von Cloudcomputing-Dienstleistungen als Branchenstandard oder «Best Practice» zu schaffen. Dadurch soll die Rechtssicherheit gestärkt und den Anwältinnen und Anwälten ermöglicht werden, im Rahmen der Digitalisierung weiterhin konkurrenzfähige, zuverlässige und qualitativ hochstehende Dienstleistungen unter Wahrung der rechtlichen Rahmenbedingungen zu erbringen.

Die Wegleitung enthält Empfehlungen, die Anwältinnen und Anwälte bei der Beschaffung und beim Einsatz von Cloudcomputing-Dienstleistungen als Hilfestellung heranziehen können. Die Wegleitung zeigt die rechtlichen Rahmenbedingungen auf und beinhaltet auch Auslegungen, welche Rechtsunsicherheiten oder fehlende Rechtsprechung für die zum Teil neuartigen Herausforderungen beim Einsatz von Cloudcomputing-Dienstleistungen schliessen sollen. Es bleibt aber wichtig, dass die Anwaltskanzleien bei der Anwendung dieser Wegleitung ihre konkreten Bedürfnisse risikobasiert und verhältnismässig berücksichtigen.

Eckpunkte des Vertrags mit dem externen Cloudcomputing-Dienstleister

Der Vertrag von Anwältinnen und Anwälten mit dem externen Cloudcomputing-Dienstleister muss laut der «SAV-Wegleitung für IT-Outsourcing und Cloud-Computing» namentlich die folgenden Punkte enthalten:

• Beizug Subunternehmer: Der Beizug von Subunternehmern durch den Cloudcomputing-Dienstleister muss vertraglich eingeschränkt sein. Dürfen Subunternehmer beigezogen werden, so sind diese namentlich aufzuführen. Auch sind ihnen die Pflichten und Zusicherungen des Cloudcomputing-Dienstleisters zu überbinden.
• Klarheit über den Ort der Datenbearbeitung und der Datenspeicherung
• Geheimhaltungspflicht: Die Wahrung des Berufsgeheimnisses durch den Cloudcomputing-Dienstleister ist vertraglich abzusichern. Der Cloudcomputing-Dienstleister ist darauf hinzuweisen, dass er als Hilfsperson dem Berufsgeheimnis unterliegt. Er ist vertraglich zur Geheimhaltung zu verpflichten.
• Datenschutz: Sicherstellung, dass die Vorgaben des anwendbaren Datenschutzrechts eingehalten werden.
• Umgang mit Daten und deren Herausgabe: Klarstellung, dass die Herrschaft über die Daten jederzeit beim Anwalt verbleibt und diese auf Verlangen an den Anwalt herausgegeben werden müssen. Regelung der Beziehung im Falle des Konkurses des Cloudcomputing-Dienstleisters, der Vertragsbeendigung wie auch der Pflichten des Cloudcomputing-Dienstleisters in Zusammenhang mit Datenherausgabebegehren von Dritten.
• Zugriff auf Daten: Klarstellung, wann, von wo, zu welchem Zweck und welche Mitarbeitenden des Cloudcomputing-Dienstleisters und allfälliger Subunternehmer auf Daten zugreifen können.
• Datensicherheit: Regelung des sicherheitstechnischen Schutzniveaus der Daten bei Übermittlung, Bearbeitung und Speicherung. Regelung der Informationspflichten des Cloudcomputing-Dienstleisters, falls Sicherheitslücken entdeckt oder von Dritten ausgenutzt wurden.
• Service Level Agreement SLA: Klare Spezifizierung der zu erbringenden Dienstleistungen und von deren Verfügbarkeit sowie Qualität. Die Zuständigkeiten des Nutzers und des Dienstleisters sind vertraglich festzulegen und abzugrenzen, insbesondere bezüglich Schnittstellen und Verantwortlichkeiten.
• Backup / Disasterrecovery / Contingencies: Der Vertrag enthält ein Sicherheitsdispositiv, das die schnelle Weiterführung der ausgelagerten Funktion, insbesondere den schnellen Zugriff auf die Daten in Notfällen erlaubt: Backup der Daten, Zugriff auf das Backup, alternative Internetverbindungen.
• Weisungs- und Kontrollrechte: Die Anwältin und der Anwalt haben sich die Weisungs- und Kontrollrechte gegenüber dem Cloudcomputing-Dienstleister vertraglich zusichern zu lassen. Sie haben das Recht, die Dienstleistungen und die Infrastruktur des Cloudcomputing-Dienstleisters einem Audit hinsichtlich Datensicherheit und Einhaltung der vertraglichen Vorgaben wie Geheimhaltungspflicht oder Datenschutzrecht zu unterziehen, respektive unterziehen zu lassen.
• Vertragsdauer: Sicherstellung, dass im Falle einer Vertragskündigung durch den Cloudcomputing-Dienstleister die Anwältin und der Anwalt ausreichend Zeit zur Eruierung von Ersatzlösungen haben.
• Unterstützungspflichten des Cloudcomputing-Dienstleisters bei Vertragsende: Regelung der Pflichten des Cloudcomputing-Dienstleisters, um den Wechsel des Anwalts zu einem anderen Cloudcomputing-Dienstleister zu ermöglichen. Auch eine geordnete Rückführung der ausgelagerten Funktion muss sichergestellt sein.

«SAV-Wegleitung für IT-Outsourcing und Cloud-Computing», Juni 2019