Als Anwaltskanzlei in die Microsoft Cloud? Diese 10 Punkte sollten Sie beachten!

In diesem Beitrag nehmen wir den Artikel „M365 in der Anwaltskanzlei: So geht es“ von David Rosenthal (lic. iur., Partner bei VISCHER, Lehrbeauftragter ETH Zürich und Universtität Basel) genauer unter die Lupe. Der Autor geht darin sehr deutlich auf die Chancen & Risiken der Microsoft Cloud ein und berücksichtigt dabei die wichtigsten Faktoren für Anwaltskanzleien. 

Wir fassen für Sie die entscheidenden Punkte zusammen, nehmen Stellung zu einzelnen Zitaten und liefern Ihnen wertvolle Inputs & Ergänzungen aus unserer Sicht.

Wichtigste Punkte, Zitate & Dinotronic Stellungnahmen

Im nachfolgenden Überblick werden zentrale Punkte, Zitate und die Stellungnahmen von Dinotronic in Bezug auf den Artikel von David Rosenthal herausgearbeitet, um Ihnen einen umfassenden Einblick in die komplexen Anforderungen und Lösungen auf dem Weg in Microsoft Cloud zu bieten.

David Rosenthal, Vischer AG | Quelle: https://www.vischer.com/team/david-rosenthal/

1. Vertragsanpassungen für Datenschutz

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• Schweizer Anwaltskanzleien haben lange Zeit Schwierigkeiten gehabt, Microsoft 365 (M365), das Office-Cloud-Angebot von Microsoft, zu verwenden.
• Vertragsanpassungen waren erforderlich, um M365 für Anwaltskanzleien und andere berufsgeheimnisgeschützte Unternehmen nutzbar zu machen.
• Diese Anpassungen wurden im April 2023 abgeschlossen und bieten Anwaltskanzleien nun eine zufriedenstellende Datenschutzabsicherung.

2. Erforderliche Verträge und Zusätze

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• Um M365 zu nutzen, sollten Anwaltskanzleien bestimmte Verträge und Zusätze abschließen:
  • Microsoft Customer Agreement (MCA): Hauptvertrag für die Nutzung der Cloud-Dienste von Microsoft.
  • Data Protection Addendum (DPA): Enthält Datenschutzbestimmungen.
  • Amendment for Switzerland regarding Microsoft Products and Services Data Protection Addendum: Anpassungen für den Schweizer Markt.
  • Professional Secrecy and Official Secrecy - Industry-Specific Terms (Switzerland): Zusatz zur Geheimhaltungspflicht und Datenschutz.

3. Vertragsabschluss über Microsoft-Vertriebspartner

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• Die oben erwähnten Vertragszusätze müssen über einen Microsoft-Vertriebspartner (CSP) angefordert werden.
• Microsoft arbeitet an einem einheitlichen Prozess für den Vertragsabschluss.

Zitat aus dem Artikel:

"Es ist daher davon auszugehen, dass gewisse der Microsoft-Partner das besser im Griff haben als andere. Klappt es mit dem Partner nicht, hat Microsoft uns angeboten, dass sich Anwaltskanzleien per E-Mail direkt an sie wenden können."¹

4. Zeitliche Befristung von Vertragszusätzen

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• Einige der genannten Vertragszusätze sind zeitlich befristet (z. B. auf 36 Monate).
• Kunden müssen die Laufzeit dieser Vereinbarungen überwachen und rechtzeitig verlängern.

Zitat aus dem Artikel:

"Zu beachten ist schliesslich, dass gewisse der genannten Vertragszusätze zeitlich befristet sind (z.B. auf 36 Monate). Microsoft scheut eine ewige Bindung, was freilich die Kunden zwingt, die Laufzeit dieser befristeten Vereinbarungen im Auge zu behalten und rechtzeitig eine Verlängerung vorzusehen. Dem sind sich viele Kunden nicht bewusst. Gelingt die Verlängerung nicht, können sie im schlimmsten Fall gezwungen sein, auf eine Alternative auszuweichen - die es für sie dann vielleicht nicht gibt oder nur mit Einbussen oder hohen Kosten."¹

5. Richtige Konfiguration ist entscheidend

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• Die sichere Konfiguration der Cloud-Installation ist entscheidend und sogar noch wichtiger als die erwähnten Verträge.
• Kunden sollten Expertenwissen oder Beratung in Anspruch nehmen, da Cloud-Umgebungen viele Einstellungsmöglichkeiten bieten und sich ständig ändern.

Zitate aus dem Artikel:

"…erfordert die richtige Konfiguration entsprechendes Expertenwissen. Wer dieses Know-how intern nicht hat, sollte sich somit beraten lassen. Der Grund liegt darin, dass Cloud-Umgebungen einerseits sehr viele Einstellungsmöglichkeiten und Funktionalitäten bieten und sich andererseits ständig ändern und erweitert werden."¹

"Wer M365 einsetzen will, muss also auch verstehen und im Auge behalten, welche Funktionen er nicht einsetzen will und sie rechtzeitig ausschalten. Und er sollte genügend Zeit in die Ausbildung seiner Mitarbeitenden im sicheren Einsatz von M365 investieren und ständig im Auge haben, was an neuen Funktionen von Microsoft aktiviert wird."¹

6. Sicherheitseinstellungen von M365

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• Die Datenschutz- und Berufsgeheimnissicherheit erfordert spezifische Sicherheitseinstellungen, darunter:
  • Datenhaltung in der Schweiz: Dies bezieht sich auf die physische Speicherung von Daten in Rechenzentren innerhalb der Schweiz. Dies kann für Schweizer Unternehmen wichtig sein, um sicherzustellen, dass ihre Daten in der Schweiz gespeichert und verarbeitet werden, um Datenschutz- und Compliance-Anforderungen zu erfüllen.
  • EU Data Boundary: Dies bezieht sich auf die Möglichkeit, Daten innerhalb der EU-Grenzen zu speichern und zu verarbeiten. Dies kann wichtig sein, um sicherzustellen, dass Daten von EU-Bürgern gemäß den Datenschutzbestimmungen der EU behandelt werden.
  • Customer Lockbox: Dies ist eine Sicherheitsfunktion, die es Kunden ermöglicht, die Freigabe von Kundendaten durch Microsoft zu kontrollieren. Kunden können Anfragen von Microsoft zur Datenfreigabe genehmigen oder ablehnen, um die Sicherheit und Kontrolle über ihre Daten zu gewährleisten.
  • Sensitivity Labels: Sensitivity Labels sind ein Werkzeug zur Klassifizierung und zum Schutz von Dokumenten und Daten in M365. Sie ermöglichen es Benutzern, den Grad der Vertraulichkeit oder Sensitivität von Informationen festzulegen und entsprechende Sicherheitsrichtlinien anzuwenden, wie beispielsweise Verschlüsselung oder Zugriffsbeschränkungen, basierend auf der Sensitivitätsstufe der Daten. Dies hilft bei der Einhaltung von Datenschutzvorschriften und Sicherheitsrichtlinien. Es schützt insbesondere auch vor der Erpressung mit Veröffentlichung von vertraulichen Daten bei einer erfolgreichen Ransomware-Attacke.

Zitat aus dem Artikel:

"Wir können hier nicht auf alle Sicherheitseinstellungen von M365 eingehen; diese sollte für eine Anwaltskanzlei jemand vornehmen oder mindestens überprüfen, der darin Erfahrung hat."¹

7. Bring Your Own Key (BYOK)

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• BYOK ist optional und erlaubt Kunden die eigene Verwaltung der Verschlüsselungsschlüssel.
• Es ist komplex und erfordert Fachwissen, wird jedoch selten verwendet.

Zitat aus dem Artikel:

"BYOK setzt aber ein entsprechend hohes Fachwissen voraus und birgt nebst höheren Kosten auch einige operative Risiken."¹

8. Identity and Access Management (IAM) & Backups

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• Unternehmen legen grossen Wert darauf, neben anderen Sicherheitsfunktionen und -einstellungen ein effektives Identity and Access Management (IAM)-Konzept zu etablieren. Dies umfasst die Kontrolle darüber, wer, wann und auf welche Ressourcen zugreifen kann, sowie die Durchsetzung dieser Zugriffskontrollen.
• Die Überwachung der Ressourcennutzung in Echtzeit ist entscheidend, um sofort auf Anomalien reagieren zu können. Cloud-Lösungen bieten hierbei mehr Optionen als rein lokale Installationen.
• Microsoft sichert keine Daten ab. Unternehmen müssen eigene Back-ups für Geschäftskontinuität und Schutz gegen Ausfälle unabhängig von Microsoft erstellen.

Zitat aus dem Artikel:

"Auch wenn Microsoft mehrere Rechenzentren betreibt, um sich für den Fall einer Katastrophe abzusichern, stellt Microsoft kein Back-up der Daten sicher. Dies muss die Anwaltskanzlei selbst machen, und sie sollte das mit einer Lösung unabhängig von Microsoft realisieren. Dies gibt ihr auch einen gewissen Schutz für den Fall, dass Microsoft nicht mehr in der Lage sein sollte, ihren Service zu erbringen - oder sie dies nicht mehr tun will."¹

9. Risikobeurteilung und Lawful Access

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• Die Nutzung von M365 birgt Risiken, aber bei richtiger Anwendung bietet sie hohe Informationssicherheit.
• Der risikobasierte Ansatz für Lawful Access ist anerkannt und sollte verwendet werden.

Zitate aus dem Artikel:

"Grundsätzlich lässt sich sagen, dass M365 bei richtiger Anwendung ein höheres Mass an Informationssicherheit bietet, als viele lokale Installationen es aufweisen (z.B. punkto Schutz des E-Mail-Servers)."¹

 "Dies bringt natürlich auch das viel zitierte erhöhte Risiko eines ausländischen Behördenzugriffs mit sich (Stichwort «US CLOUD Act», «Schrems II»). Nach Meinung vieler Experten wird dieses Risiko allerdings deutlich überbewertet."¹

 "Klar ist, dass sich ein Restrisiko eines ausländischen Lawful Access nie ausschliessen lässt, nicht einmal bei einem reinen Schweizer Angebot. Nach dem sogenannten risikobasierten Ansatz genügt es jedoch, dass dieses tief genug ist."¹

10. Datenschutzerklärung anpassen

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• Bei Cloud-Projekten müssen Datenschutzerklärungen angepasst werden, um den Einsatz von Dritten als Dienstleister zu berücksichtigen.
• Es sollte darauf hingewiesen werden, dass Personendaten möglicherweise in jedes Land der Welt gelangen können.

Fazit

Die wichtigsten Punkte aus dem Artikel kurz zusammengefasst:

• M365 ist eine leistungsfähige Lösung für Anwaltskanzleien, erfordert jedoch sorgfältige Vorbereitung, Konfiguration und Überwachung.
• Restrisiken im Zusammenhang mit Cloud-Lösungen müssen akzeptiert und aktiv gemanagt werden.

Zitate aus dem Artikel:

"Bei der Diskussion um die Risiken von Cloud-Lösungen ist allerdings zu beachten, dass auch die Alternativen dazu keineswegs risikolos sind. Der Einsatz von Cloud-Anbietern wie Microsoft führt zwar zu einer höheren Abhängigkeit von einem externen Dienstleister, der zudem im Ausland sitzt, doch ist dieser Dienstleister zugleich in der Lage, beispielsweise in die Informationssicherheit mehr zu investieren als wohl so gut wie jedes andere Unternehmen in der Schweiz. Nötig sind somit eine Gesamtbetrachtung und ein bewusster Entscheid."¹

¹ Quelle: https://www.rosenthal.ch/downloads/Rosenthal-M365-Anwaltskanzlei.pdf