Mandantenmails: Bremens Anwälte wehren sich gegen maximale Verschlüsselungspflicht
© Rawf8/stock.adobe.com

Wenn es nach der Bremer Datenschutzbehörde geht, dürfen Anwälte mit Mandanten künftig nur noch Ende-zu-Ende verschlüsselt per E-Mail kommunizieren. Nur noch bis Ende des Jahres würden Übergangslösungen akzeptiert. Die Bremer RAK versucht zu vermitteln – bislang ohne Erfolg.

Die Diskussion, ob Mandantenkommunikation via E-Mail unter Umständen gegen die anwaltliche Verschwiegenheit verstößt, wird bereits seit Jahrzehnten geführt. Verschärft hat sich der Konflikt im Lichte der seit 2018 geltenden Datenschutzgrundverordnung (DSGVO) und 2020 neu eingeführten Regelungen in der Berufsordnung für Rechtsanwälte (BORA). In Bremen hat der Clinch zwischen Datenschützern und der Anwaltschaft nun ein neues Niveau erreicht.

In der vergangenen Woche hat die dortige Rechtsanwaltskammer in einem Schreiben, das beck-aktuell vorliegt, ihre Mitglieder über ihre Versuche informiert, gegenüber der Landesdatenschutzbeauftragten zu vermitteln. Die Behörde vertritt die Auffassung, dass Anwältinnen und Anwälte verpflichtet seien, den E-Mail-Verkehr mit Mandantschaft, Gegnern und Kolleginnen nur per Ende-zu-Ende-Verschlüsselung (englisch: end-to-end encryption, "E2EE") zu führen.

Nicht nur bei der Bremer Anwaltschaft stößt die harte Linie auf Unverständnis. Die Forderung der Datenschutzbehörde sei "rechtlich unhaltbar" und "abwegig", wettern Anwältinnen und Anwälte in sozialen Medien. Die RAK Bremen kündigte in ihrem Schreiben zwar an, die Auseinandersetzung mit der Landesdatenschutzbeauftragten weiterzuführen. Nach derzeitigem Stand jedoch laufen Bremer Anwältinnen und Anwälte, die bis Ende des Jahres keine E2EE gewährleisten können, Gefahr, sanktioniert und mit Bußgeldern belegt zu werden.

Datenschutzbehörde: Schon die Mailadresse schützenswert

Gemäß § 2 BORA haben Anwältinnen und Anwälte "die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind". Die technischen Maßnahmen definiert die Vorschrift als ausreichend, "soweit sie im Falle der Anwendbarkeit der Vorschriften zum Schutz personenbezogener Daten deren Anforderungen entsprechen". Gestritten wird in Bremen nun darüber, was das für die anwaltliche Kommunikation mit Mandanten heißt.

Die Bremer Datenschützer halten eine E2EE für erforderlich. Hierbei wird die E-Mail samt Inhalt vor dem Versand verschlüsselt und nur ein berechtigter Empfänger kann den Inhalt entschlüsseln und somit lesen. Eine solche Pflicht ergebe sich (auch) für Anwältinnen aus Art. 32 DSGVO, so die Behörde. Die Vorschrift sieht vor, dass Verantwortliche im Sinne der DSGVO geeignete technische und organisatorische Maßnahmen treffen müssen, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Die Sicherheit der Verarbeitung ist demnach insbesondere durch "Verschlüsselung personenbezogener Daten" sicherzustellen.

Von einer Verpflichtung für ein bestimmtes Schutzniveau, etwa einer E2EE, ist in Art. 32 DSGVO zwar nicht die Rede. Vielmehr hat der Verantwortliche das angemessene Schutzniveau selbst zu beurteilen und hierbei die mit der Verarbeitung verbundenen Risiken abzuwägen. Laut den Bremer Datenschützern würden aber schon durch die Nennung von Namen bzw. Verwendung einer Mailadresse, die auf Absender/Adressat schließen lasse, im Rahmen der anwaltlichen Kommunikation besonders schützenswerte personenbezogene Daten kommuniziert, die einer E2EE bedürften. Dies gelte umso mehr, als die von Anwältinnen und Anwälten verbreiteten personenbezogenen Daten bereits durch den Geheimnisschutz aus § 203 StGB und das Berufsgeheimnis besonders geschützt seien.

Anwaltschaft: Transportverschlüsselung reicht

Der Anwaltschaft geht das zu weit. Die E2EE sei "nicht das Maß aller Dinge", so die Bremer RAK in ihrem Rundschreiben. Für den Schutz personenbezogener Daten reiche die sogenannte Transportverschlüsselung aus, bei der der Kanal verschlüsselt wird, über den die E-Mail versendet wird, nicht aber deren Inhalt selbst. Ein höheres Schutzniveau könne allenfalls bei besonders sensiblen Daten gerechtfertigt sein. Auch die Datenschutzkonferenz – die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – habe 2021 die Transportverschlüsselung als Basisschutz für ausreichend erklärt.

Auch Rechtsanwalt Niko Härting hält die Anforderungen für überzogen. Der Berliner Datenschutzrechtler ist zugleich Mitglied des Berufsrechtsausschuss des Deutschen Anwaltvereins. Mit dem Thema ist er seit langem vertraut, aktuell vertritt die Kanzlei Härting eine Bremer Anwaltssozietät in einem Verfahren gegen die Datenschutzbehörde, in dem es am Rande auch um die Verschlüsselungsfrage gehen könnte (VG Bremen, 4 V 1018/23). "Die Transportverschlüsselung hat sich unter Anwältinnen und Anwälten schon seit Jahren als wirksamer Schutz für personenbezogene Daten etabliert", erklärte Härting gegenüber beck-aktuell. Die darüberhinausgehende Forderung der Bremer Datenschutzbeauftragten nach einer E2EE hält er für eine "übergriffige Bevormundung".

Härting zieht einen Erst-Recht-Schluss aus dem beA-Urteil des BGH. Der hatte 2021 entschieden, die im besonderen elektronischen Anwaltspostfach (beA) vorgesehene Verschlüsselungstechnik entspreche zwar nicht einer E2EE im Sinne der europäischen Vorschriften, das sei aber auch nicht nötig. Für Härting ist klar, dass man diese dann in der Mandantenkommunikation erst recht nicht erwarten könne. Das VG Mainz befand im Jahr 2020 ebenfalls, dass eine E2EE auch bei Berufsgeheimnisträgern nicht zwingend erforderlich sei, "sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten".

Der Bremer Datenschutzbeauftragten gehe "es nicht mehr um den Schutz personenbezogener Daten", meint Härting. "Die Datenschützer in Bremen wollen vorschreiben, wie das Mandantengeheimnis geschützt werden soll – das hat aber nichts mit Datenschutzrecht zu tun und ist deshalb auch nicht deren Aufgabe". Die Ausgestaltung der Verschwiegenheitspflicht falle vielmehr in die Satzungsautonomie der Anwaltschaft.

Können Mandanten in weniger Schutz einwilligen?

Die hat bisher den Grad der Verschlüsselung im Rahmen der E-Mail-Kommunikation ausdrücklich zur Disposition des Mandanten gestellt: Gemäß dem im Jahr 2020 neu geschaffenen § 2 Abs. 2 Satz 5 BORA ist die Nutzung eines mit Risiken für die Vertraulichkeit verbundenen elektronischen Kommunikationsweges "jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt". Von einer Zustimmung ist gemäß § 2 Abs. 2 Satz 6 BORA auszugehen, "wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt".

Datenschützer lassen das nicht gelten. Die Bremer Behörde argumentiert, dass die Verpflichtung zur E2EE, die sie aus Art. 32 DSGVO ableitet, nicht abbedungen werden könne. Die Einwilligung des Mandanten in ein niedrigeres Schutzniveau sei unmöglich: Eine wirksame Einwilligungserklärung erfordere einen Informationsstand, der angesichts der Komplexität der Materie schon beim Berufsträger und erst recht beim Mandanten auszuschließen sei.

Mit dieser Auffassung ist sie nicht allein. Auch die Datenschutzkonferenz hat 2021 in einem Beschluss zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO klargestellt, dass die vom Verantwortlichen vorzuhaltenden Maßnahmen nicht zur Disposition der Beteiligten stünden. Ein Verzicht oder die Absenkung des gesetzlich vorgeschriebenen Standards seien – außer in wenigen Ausnahmefällen - nicht zulässig.

Zum Verhältnis zwischen Art. 32 DSGVO und § 2 BORA schweigt die Datenschutzkonferenz.

Der Hamburger Datenschutzbeauftragte hat sich jedoch Anfang 2022 in einem öffentlichen Vermerk dahingehend positioniert, dass die nach § 2 BORA vorgesehene Einwilligungsmöglichkeit nicht datenschutzkonform sei. § 2 Abs. 2 Satz 5 BORA könne diese Form der Kommunikation nur berufsrechtlich legitimieren, ändere an der datenschutzrechtlichen (Un-)Zulässigkeit aber nichts.

Datenschutzkatastrophe oder Sturm im Wasserglas?

Die Bremer Datenschutzbeauftragte will den dortigen Anwältinnen und Anwälten nach aktuellem Stand eine Übergangsfrist bis zum Ende des Jahres zugestehen. Bis dahin dürften sich diese mit transportverschlüsseltem E-Mail-Versand oder passwortgeschützten PDF-Dateien behelfen. Ab 2024 sei damit aber Schluss.

Die RAK rät ihren Mitgliedern, Kontakt zu deren IT-Dienstleister aufzunehmen, um die Möglichkeiten einer E2EE zu prüfen und einrichten zu lassen. Eine darüberhinausgehende "Handreichung" könne man derzeit leider nicht anbieten.

Wird die Bremer Anwaltschaft also bald mit horrenden Bußgeldforderungen überzogen? Datenschützer Härting sieht das eher gelassen, er hält die Auseinandersetzung für einen "Sturm im Wasserglas". Die Diskussion um Datenschutz via E-Mail-Kommunikation gebe es seit 25 Jahren. Dass sich eine einzige Behörde nun fast die gesamte Anwaltschaft ihres Bundeslandes vorknöpfen werde, hält er für unwahrscheinlich. Die Landesbeauftragte selbst hat sich auf Anfrage von beck-aktuell bis zur Veröffentlichung dieses Artikels nicht geäußert. Auch die Datenschutzbeauftragten anderer Bundesländer wollten den Vorstoß der Bremer Kollegin gegenüber beck-aktuell nicht kommentieren. Der Bundesbeauftragte für Datenschutz teilte auf Anfrage mit, dass ähnliche Konflikte aus anderen Bundesländern nicht bekannt seien.

Redaktion beck-aktuell, Miriam Montag, 23. August 2023.