Die Anforderungen an die sichere elektronische Kommunikation von Berufsgeheimnisträgern werden bereits seit längerer Zeit diskutiert. Da eine unverschlüsselte E-Mail keinen besonderen Schutz gegen die unbefugte Kenntnisnahme durch Dritte bietet, erfüllt die einfache E-Mail grundsätzlich weder die Anforderungen des technischen Datenschutzes noch die besonderen Anforderungen des Berufsgeheimnisschutzes. Vor diesem Hintergrund werden üblicherweise Transportverschlüsselungen eingesetzt, die jedenfalls eine Verschlüsselung des Transportwegs ermöglichen. Darüber hinausgehende Verschlüsselungstechnologien (z.B. PGP) sind demgegenüber weniger verbreitet und werden häufig von den Systemen der Mandanten nicht unterstützt.
Im Rahmen des elektronischen Rechtsverkehrs wurde speziell für die anwaltliche Kommunikation das „besondere elektronische Anwaltspostfach“ eingeführt, dessen Umsetzung allerdings schleppend verlaufen ist. Ab 2022 soll eine aktive Benutzungspflicht für das beA gelten.
In zwei aktuellen Entscheidungen haben sich der BGH und das VG Mainz mit Fragen der sicheren anwaltlichen Kommunikation auseinandergesetzt.
Entscheidung des BGH zur hinreichend sicheren Verschlüsselung der Korrespondenz über das beA
Der Entscheidung des Anwaltssenats des BGH (Urt. v. 22.03.2021 – AnwZ (Brfg) 2/20) lag eine Klage mehrerer Rechtsanwälte zugrunde, die die aktuell verwendete Verschlüsselungsmethode des beA für nicht ausreichend hielten.
Derzeit sieht die Sicherheitsarchitektur des beA-Systems eine Ende-zu-Ende-Verschlüsselung (E2EE) vor, d.h. die übertragene Nachricht wird erst beim Empfänger entschlüsselt. Allerdings wird der Nachrichtenschlüssel bei der implementierten Variante nicht direkt vom Sender an den Empfänger übermittelt, sondern auf einem zwischengeschalteten zentralen Hardware Security Module (HSM) der BRAK „umgeschlüsselt“. Dies sei, so die BRAK, erforderlich, damit z.B. auch der Vertreter eines Anwalts in dessen Abwesenheit auf das beA zugreifen kann.
Eben dieses HSM bildet nach Ansicht der Kläger die Schwachstelle der Verschlüsselung, die für Angriffe ausgenutzt werden könnte. Dies lasse sich durch eine andere Form der Ende-zu-Ende-Verschlüsselung vermeiden, bei der sich die Nachrichtenschlüssel ausschließlich in der Verfügungsgewalt der Postfachinhaber befinden. Ein solch hohes Sicherheitsniveau sei nicht zuletzt deshalb erforderlich, weil anwaltliche Korrespondenz regelmäßig sensible Mandantendaten enthalte.
Nachdem die Anwälte mit ihrer Klage bereits beim Anwaltsgerichtshof Berlin (Urt. v. 14.11.2019 – I AGH 6/18) unterlagen, hat der BGH nun auch die Berufung zurückgewiesen. Die Kläger hätten, so die Karlsruher Richter, weder einen einfachgesetzlichen noch einen verfassungsrechtlichen Anspruch auf die von ihnen geforderte Verschlüsselungsmethode. Zwar entspreche die aktuelle Architektur des beA nicht den Voraussetzungen einer Ende-zu-Ende-Verschlüsslung im Sinne der von den Klägern angeführten europäischen Patentschrift. Diese Anforderung werde von den einfachgesetzlichen Vorgaben in § 19 Abs. 1 und § 20 Abs. 1 RAVPV (Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer) aber auch nicht verlangt. Vielmehr habe die BRAK bei der Schaffung des beA einen gewissen technischen Spielraum, solange nur eine „im Rechtssinne sichere“ Kommunikation gewährleistet sei. Diesen Anforderungen genüge die aktuelle Verschlüsselungstechnik des beA, da sie jedenfalls keine unbehebbaren Sicherheitsmängel aufweise.
Mit Spannung abzuwarten bleibt, ob die für 2022 vorgesehene aktive Nutzungspflicht des beA nunmehr wie vorgesehen umgesetzt werden kann. Die unterlegenen Kläger haben eine Verfassungsbeschwerde angekündigt.
Entscheidung des VG Mainz zur E-Mail-Kommunikation im Allgemeinen
Zusammen mit dem Urteil des VG Mainz vom 17.12.2020 (Az. 1 K 778/19.MZ) sorgt die Entscheidung jedenfalls für mehr Rechtssicherheit in der Frage, wie man als Anwalt in Zeiten des Internets rechtskonform kommuniziert.
Das Urteil des VG Mainz betrifft die Verwendung von E-Mail-Diensten. Das VG hat entschieden, dass die Verwendung einer Transportverschlüsselung in der anwaltlichen, mandatsbezogenen E-Mail-Kommunikation datenschutzrechtlich grundsätzlich nicht zu beanstanden sei. Eine Verschlüsselung des Inhalts der Korrespondenz durch Ende-zu-Ende-Verschlüsselung sei auch bei Berufsgeheimnisträgern wie Anwälten nicht zwingend erforderlich, „sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten“. Dies beruhe schon darauf, dass die bloße Transportverschlüsselung im geschäftlichen Verkehr „sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen“ sei.
Anmerkung
Beide Urteile sind zu begrüßen. Zu beachten ist, dass das beA kein E-Mail-Dienst ist, sondern eine eigenständige Kommunikationsplattform darstellt. Der Umstand, dass bei der Umsetzung des beA eine Variante der Ende-zu-Ende-Verschlüsselung implementiert wurde, hat nicht zur Folge, dass diese technischen Anforderungen nunmehr generell auch für die Nutzung von E-Mail-Diensten in der beruflichen Kommunikation gelten.
