Ende-zu-Ende-Verschlüsselung - aber mit "Umschlüsselung"
Das Sicherheitskonzept des beA sieht für die über das System versandten Nachrichten eine besondere Verschlüsselungstechnik vor. Laut der Bundesrechtsanwaltskammer (BRAK), die auf Grundlage von § 31a Abs. 1 BRAO die digitalen Postfächer einrichtet, handelt es sich dabei um eine sogenannte Ende-zu-Ende-Verschlüsselung (E2EE), bei der die übertragenen Daten erst beim Empfänger entschlüsselt werden. Tatsächlich ist zwischen Absender und Empfänger aber ein zentrales Hardware Security Module (HSM) geschaltet, auf dem die Nachrichten auf einem Server der BRAK "umgeschlüsselt" werden. Laut der Kammer ist diese Architektur erforderlich, um unterschiedliche Berechtigungsregeln innerhalb von Kanzleien und Fälle von Vertretungen abzubilden. Das HSM setze verschiedene Verfahren ein, um die Daten vor unberechtigtem Zugriff zu schützen.
Anwälte klagen gegen BRAK
Mehrere Anwälte halten dieses Verschlüsselungskonzept für nicht ausreichend. Sie haben daher die BRAK verklagt mit dem Ziel, diese zur Einführung einer E2EE zu verpflichten. Ohne konsequente Verschlüsselung sei das beA unter Berücksichtigung der Bedeutung von Vertraulichkeit und Geheimhaltung bei der anwaltlichen Berufsausübung kein sicherer Übermittlungsweg.
"Sicher im Rechtssinne"
Nachdem die Anwälte mit ihrer Klage bereits beim Anwaltsgerichtshof Berlin unterlagen, blieb nun auch ihre Berufung beim BGH ohne Erfolg. Die Vorsitzende des Anwaltssenats, BGH-Präsidentin Bettina Limperg, stellte zwar in der heutigen Verkündung klar, dass das beA wegen der Umschlüsselung im HSM nicht die Voraussetzungen der Ende-zu-Ende-Verschlüsselung im Sinne der europäischen Patentschrift erfüllt. Dies werde von den einfachgesetzlichen Vorgaben, insbesondere § 19 Abs. 1 und § 20 Abs. 1 RAVPV, aber auch nicht verlangt. Der BRAK stehe bei der technischen Umsetzung ein gewisser Spielraum zu, sofern eine im Rechtssinne sichere Kommunikation gewährleistet sei. Davon geht der Anwaltssenat, wie schon der AGH in der Vorinstanz, aus. Damit beeinträchtigt die Verschlüsselungsmethode aus Sicht der Karlsruher Richter weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zum Mandanten. Auch aus verfassungsrechtlichen Gründen ergebe sich kein Anspruch der Kläger auf Verwendung der von ihnen geforderten Verschlüsselungsmethode. Das Verfahren habe nicht ergeben, dass die erforderliche Sicherheit nur hierdurch gewährleistet werden könnte.
Auch Regierung hält Risiko für akzeptabel
Die Gesellschaft für Freiheitsrechte, die die Klage gegen die BRAK unterstützt hat, sieht jetzt den Gesetzgeber gefordert. "Ende-zu-Ende-Verschlüsselung ist inzwischen der anerkannte Mindeststandard in der elektronischen Kommunikation. Der Gesetzgeber muss sicherstellen, dass dieser Mindeststandard bei der vertraulichen anwaltlichen Kommunikation nicht unterschritten wird", so Ulf Buermeyer, Vorsitzender der GFF, in einer ersten Reaktion. Die BRAK begrüßte das Urteil des BGH. Ihr Präsident Ulrich Wessels freut sich, "dass wir nun die Rechtssicherheit haben, die wir benötigen, um unser beA weiterzuentwickeln." Systemsicherheit und Wahrung des Mandatsgeheimnisses stünden dabei besonders im Fokus. Die Anwaltschaft habe nun Rechtssicherheit dahingehend, dass sie unbelastet von rechtlichen Auseinandersetzungen in die ausschließlich elektronische Kommunikation mit den Gerichten eintreten könne. Wessels wies noch darauf hin, dass der BGH mit seinem Urteil die Rechtsauffassung der Bundesregierung bestätigt hat. Sie hatte auf eine Kleine Anfrage mehrerer FDP-Abgeordneter Anfang des Jahres geantwortet, dass sie das "aus der Konzeption des beA folgende Risiko einer Entschlüsselung als akzeptabel" ansieht (BT-Drs. 19/25999).
Datenschutzrechtliche Anforderungen
Die Verschlüsselung der Anwaltskommunikation hat kürzlich auch das Verwaltungsgericht Mainz beschäftigt. Mit Urteil vom 17.12.2020 befand es, dass die Verwendung einer Transportverschlüsselung in der anwaltlichen, mandatsbezogenen E-Mail-Kommunikation datenschutzrechtlich grundsätzlich nicht zu beanstanden ist. Eine Ende-zu-Ende-Verschlüsselung sei auch bei Berufsgeheimnisträgern nicht zwingend erforderlich, "sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten", so das Gericht. Vielmehr sei "die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen", heißt es im Urteil unter Bezugnahme auf einen Beitrag von Gasteyer/ Säljemar aus der NJW.
