Der folgende Beitrag beschäftigt sich mit der Frage, ob die Kommunikation zwischen Anwälten und ihren Mandanten verschlüsselt werden muss. Der Geschäftsführer eines Unternehmens hatte zur Klärung eine Anfrage an die zuständige Aufsichtsbehörde gestellt. Wir gehen näher auf den zugrundliegenden Sachverhalt und die Antwort der Behörde ein.
Der Inhalt im Überblick
Zum Sachverhalt
Die eBlocker GmbH beauftragte eine Anwaltskanzlei zur Klärung verschiedener Rechtsfragen. Da im Rahmen der Beratung sensible Informationen zwischen der Kanzlei und dem Unternehmen ausgetauscht werden sollten, bat der Geschäftsführer den beauftragten Rechtsanwalt mehrfach um den Einsatz von verschlüsselter Kommunikation. Von Seiten der Kanzlei gab es auf die Bitten des Geschäftsführers keinerlei Reaktion. Zu einem späteren Zeitpunkt verwies der beauftragte Rechtsanwalt auf einen Passus in der Mandatsvereinbarung wonach der Mandant einer unverschlüsselten Kommunikation zugestimmt hätte.
Daraufhin wandte sich der Geschäftsführer an die zuständige Aufsichtsbehörde und bat um Klärung. Insbesondere wollte er von der Aufsichtsbehörde wissen, ob eine Pflicht für Berufsgeheimnisträger zur Verschlüsselung besteht, welchen Standpunkt die zuständige Aufsichtsbehörde in diesem Zusammenhang vertritt und welche Lösungsansätze es für die Anwaltschaft gibt.
Antwort der Aufsichtsbehörde
Die Aufsichtsbehörde führte in der Beantwortung der Anfrage zunächst aus, dass die berufsrechtlichen Vorschriften, die Berufsordnung für Rechtsanwälte (BORA) und die Bundesrechtsanwaltsordnung (BRAO), keine spezialgesetzlichen Regelungen zum Umgang mit personenbezogenen Daten bei der Versendung von E-Mails enthalten. Zwar sei die Verschwiegenheitspflicht der Rechtsanwaltschaft in diesen Vorschriften normiert, ausdrückliche Regelungen zu technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit gebe es jedoch nicht.
Anwendbarkeit des BDSG
Die Aufsichtsbehörde stellt klar, dass es sich bei Rechtsanwälten um nicht-öffentliche Stellen handelt und damit das Bundesdatenschutzgesetz (BDSG) Anwendung findet.
Rechtsanwälte müssen als nicht-öffentliche Stelle insbesondere die Vorgaben gem. § 9 BDSG beachten:
„Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“
Die Anlage zu § 9 Satz 1 BDSG konkretisiert die zu treffenden Maßnahmen. In der Anlage zu § 9 Satz 1 Nr.4 BDSG heißt es:
„zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)“
Die Behörde führt aus, dass für die Auswahl der zu treffenden Maßnahmen eine Abwägung zwischen dem Schutzbedarf der Daten und dem Aufwand auf der anderen Seite zu treffen ist. Je höher der Schutzbedarf der Daten sei, desto höher müsse auch der Aufwand sein, um die Daten vor Zugriffen Dritter zu schützen.
Verschlüsselung zwingend erforderlich
Zu der Frage, ob die gesetzlich geforderten technischen und organisatorischen Maßnahmen z.B. durch eine Mandatsvereinbarung ausgeschlossen werden kann, äußert sich die Behörde wie folgt:
„Die Einhaltung der technischen und organisatorischen Maßnahmen wird grundsätzlich für nicht abdingbar gehalten. Betroffene können auch nicht darin einwilligen, dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der Technik verarbeitet werden. […] Daher scheidet auch die elektronische Übertragung sensibler personenbezogener Daten ohne Verschlüsselung etwa per Mail aus, auch wenn der Betroffene explizit um die Übersendung per Mail bittet.“
Die Behörde kommt in der Beantwortung der Anfrage deshalb zu dem Schluss, dass die Versendung von unverschlüsselten E-Mails, die personenbezogene Daten enthalten, insbesondere bei Berufsgeheimnisträgern, nicht nur bedenklich sei, sondern auch ein ungeeignetes Kommunikationsmittel darstelle.
Berufsgeheimnisträger aufgepasst
Aktuell stellt ein Verstoß gegen § 9 BDSG keine Ordnungswidrigkeit i.S.d. § 43 BDSG dar. Durch die Datenschutz-Grundverordnung ändert sich das. Die Pflicht für Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, ist zukünftig in Art. 32 DSGVO normiert. Wird gegen diese Pflicht verstoßen, drohen ab dem 25. Mai 2018 empfindliche Geldbußen.
Dieser Sachverhalt und die schulbuchartige Antwort der Aufsichtsbehörde zeigen einmal mehr, dass vielen Berufsgeheimnisträgern (z.B. Rechtsanwälte, Apotheker und Ärzte) noch das nötige Verständnis dafür fehlt, was Datenschutz und Datensicherheit für ihren Arbeitsalltag bedeuten. Die Verschwiegenheitspflicht ist dabei nur ein wichtiger Teil, um zu verhindern, dass unbefugte Dritte an sensible Informationen gelangen. Daneben ist insbesondere den Maßnahmen zur Gewährleistung der Datensicherheit hinreichende Beachtung zu schenken. Berufsgeheimnisträger sollten dabei nicht primär an drohende Geldbußen denken, sie sollten tätig werden, weil ihnen das besondere Vertrauensverhältnis mit ihren Mandanten, Kunden oder Patienten am Herzen liegt und sie dieses nicht gefährden wollen.
Daneben gibt es aber auch die andere Seite der Medaille, welche sich in den Kommentaren zu unserem Beitrag E-Mail-Verschlüsselung: Pflicht für Apotheker, Ärzte und Rechtsanwälte abzeichnete. Da es noch an weit verbreiteten und benutzerfreundlichen Methoden der E-Mail-Verschlüsselung fehlt, wollen oder können einige Mandanten diese Form der Kommunikation nicht. Dieser Umstand könnte Rechtsanwälte in der Praxis vor neue Schwierigkeiten stellen, da die gesetzlich zu treffenden technischen und organisatorischen Maßnahmen nach Auffassung der Behörde vertraglich nicht abbedingt werden können.
Update 01.02.2018:
Der Sachverhalt und das Schreiben der Behörde sind echt. Beides liegt uns vor. Der Mandant hatte ein Interesse an der Klärung der Rechtsfrage und hat deshalb eine Anfrage gestellt. Die Behörde ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.
Update 06.02.2018:
Hier finden Sie das Schreiben der Aufsichtsbehörde (PDF). Das Fazit der Aufsichtsbehörde finden Sie im letzten Absatz des Schreibens. Wir möchten ausdrücklich darauf hinweisen, dass dieser Artikel nur die Ansicht der Aufsichtsbehörde wiedergibt. Es gibt – wie die vielen Kommentare zeigen – auch zahlreiche Argumente, die gegen die Auffassung der Behörde sprechen. Das Statement der Behörde sollte deshalb kontrovers diskutiert werden. Wir freuen uns auf weitere Kommentare zu diesem Thema.
Update 07.02.2018:
Das Thema hat große Wellen geschlagen. Vereinzelt wurde uns unterstellt, dass der geschilderte Sachverhalt konstruiert sei. Daher verweisen wir zur Klarstellung auf das Statement von Herrn Christian Bennefeld, Geschäftsführer der eBlocker GmbH.
Sollte man sich nicht zunächst einmal die Frage stellen, ob die hier geäußerte Rechtsansicht nicht „ein wenig“ zu weit geht? Der Artikel geht mit dieser Frage sehr unkritisch um.
Sie haben recht. Die Auffassung der Behörde sollte kritisch hinterfragt werden. Die im Artikel vertretene Ansicht betont die Bedeutung der Datensicherheit bei der Übertragung von sensiblen Daten. Demgegenüber stehen Schwierigkeiten bei der technischen Umsetzung der Verschlüsselung zwischen Mandanten und Anwälten. Auch die Frage inwieweit bestimmte Regelung abdingbar sind, kann kontrovers beurteilt werden.
Zwei Fragen drängen sich mir auf:
1. Ist der Sachverhalt echt oder gestellt, um eine Stellungnahme einer „Aufsichtsbehörde“ zu provozieren?
Ich habe Zweifel am Sachverhalt, weil er mir nicht glaubwürdig erscheint. Wenn der Mandant etwas will, was der Anwalt nicht macht, dann sucht sich der Mandant einfach einen neuen Anwalt anstatt seine Zeit mit Behörden zu verplämpern.
2. Der Beitrag würde deutlich an Glaubwürdigkeit gewinnen, wenn die „Aufsichtsbehörde“ auch benannt worden wäre. Zumindest, ob es sich um Datenschutzbehörde oder um Rechtsanwaltskammer handelte. Kann man die nachreichen?
Gruß, RA Roman Pusep
Wir haben nun ein Update unter dem Artikel formuliert. Damit sollten Ihre Fragen beantwortet sein.
Ganz ehrlich, ich frage mich, wo ist das Problem bei der Verschlüsselung von Mail’s und Anhängen? Um ein *.zip-File zu erzeugen und mit einem Passwort zu versehen ist kein Atomphysik-Studium notwendig.
Frage an die RA: Würden sie Mandantenunterlagen in einem offenen und durchsichtigen Umschlag mit der Post versenden?? Wenn nicht, warum machen sie es dann per Mail?
Aus meiner Sicht ist die zentrale Frage hier nicht beantwortet worden:
Wieso sind mandatsbezogene Emails im Sinne des Datenschutzrechts besonders schutzwürdig?
Die Schutzwürdigkeit im Sinne des Datenschutzrechts folgt ja entweder aus dem Datum selbst (besondere Arten personenbezogener Daten) oder aus Zweck und Verwendungskontext. Der Kontakt mit meinem Anwalt dürfte in aller Regel besonders geringe Risiken für die informationelle Selbstbestimmung mit sich bringen. Das folgt insbesondere daraus, dass der Anwalt berufsrechtlich und strafrechtlich zu Verschwiegenheit verpflichtet ist. Diese Pflicht schützt den betroffenen ja zusätzlich zum Datenschutzrecht. Die Behörde zieht meines Erachtens den genau falschen Gegenschluss.
Im Übrigen kann der Betroffene auf Schutz durch Verschwiegenheitsverpflichtungen verzichten und das sogar durch konkludente oder ggf. mutmaßliche Einwilligungen.
Emailkommunikation mit einem Anwalt kann sensible personenbezogene Daten enthalten. Sie muss es aber nicht. Aus dem höheren rechtlichen Schutz ein größeres Risiko abzuleiten dürfte indes fehlgehen.
Im Übrigen wäre in der Tat die Frage zu stellen, wieso die Versendung per Post oder Fax zulässig sein soll, während das bei Emails nicht der Fall ist. Einen Brief zu öffnen dürfte keinen erheblichen Aufwand sein. Ein argumentativer Rückgriff auf das Brief-
und Postgeheimnis erscheint mir unzureichend, denn der Emailversand unterliegt ja seinerseits dem Fernmeldegeheimnis. Diese Erwägungen finden sich in der Antwort der Aufsichtsbehörde allem Anschein nach nicht wieder.
Im Gegensatz zur E-Mail sieht man es einem Umschlag an, ob er unberechtigterweise geöffnet wurde.
Das geht aus meiner Sicher ebenfalls am Kern des Problems vorbei.
Für die Frage, ob ein Brief ein Medium ist, dass als sicher gelten kann, ist es nur nachrangig interessant, ob man – nachdem das Kind in den Brunnen gefallen ist – den unberechtigten Zugriff feststellen kann. Die Erkenntnis bleibt ja ohne Konsequenz, weil man nicht weiß, wer unberechtigt geöffnet hat und man nicht vorhersagen kann ob dies bei der nächsten Versendung abermals passiert. (Der Empfänger wird es auch nur merken, falls der beschädigte Umschlag nach der Öffnung weiterverwendet wird.) Aber wie gesagt, das ist nicht die eigentliche Frage.
Ich möchte wirklich nicht respektlos erscheinen, aber ich habe den Eindruck, dass sie einige Wissenslücken im Bereich „wie funktioniert das Internet“ und „IT Sicherheit“ haben.
Der Inhalt eines Briefes kann, wenn er in einem verschlossenen, zugeklebten Umschlag ist, auf dem Transportweg, vom Sender zum Empfänger, NICHT gelesen werden.
Gleicher Brief in einem unverschlossenen durchsichtigen Umschlag kann auf dem Transportweg von jedem, ohne den Aufwand krimineller Energie, gelesen werden. Ähnlich wie eine Postkarte.
Übertragen in die digitale Welt heißt das:
-normale E-Mail: vergleichbar mit dem Versand einer Postkarte, oder im offenen durchsichtigen Umschlag (nicht sicher)
-einfach verschlüsselte E-Mail (mit trivialen Passwort verschlüsselten Anhang): vergleichbar mit dem Versand in einem normalen Umschlag (normale Sicherheit)
-hochwertig verschlüsselte Mail (mit Zertifikat und langen Passwort verschlüsselt): ist im Prinzip vergleichbar mit einem versiegelten reißfesten Umschlag in dem ihr Name eingeprägt ist (hohe Sicherheit)
ich hoffe, ich konnte mit dem Vergleich ein wenig Licht ins Dunkle bringen.
Ich entnehme Ihrer Antwort zunächst einmal, dass Sie mir in Bezug auf den Versand eines Fax vermutlich zustimmen, da Sie darauf nicht eingehen.
Das Abfangen und Auslesen von Emailkommunikation ist aber ebenso wie das Abfangen und Öffnen eines Briefumschlags nicht ohne kriminelle Energie möglich. Das unbefugte Verschaffen von nicht für eine gewisse Person bestimmten Daten ist strafbar nach § 202b StGB.
Der Vergleich der Sicherheitsstufen hinkt leider. Denn eine Sicherung, die von jedermann umgangen werden kann (ob nun ein Umschlag mit oder ohne Siegel) ist eben kein wirksamer Schutz. Das wäre eine Verschlüsselung, bei der der Key jedermann bekannt ist. Ein Siegel schützt ja nicht vor Kenntnisnahme sondern hilft nur beim Nachweis, dass unbefugter Zugriff erfolgt ist. Das ist eine Funktion, die die Verschlüsselung nicht mit sich bringt.
Für den Versand von Emails liegt die Verantwortung für eine angemessene Transportverschlüsselung aus meiner Sicht beim Emailprovider.
Selbstverständlich reicht eine Transportverschlüsselung nur soweit wie der Transport reicht. Für diesen wird sie jedoch in aller Regel ein höheres Schutzniveau aufweisen als ein Umschlag.
Wie bereits mehrfach erwähnt geht es aber vorliegend nicht darum Briefumschlagsanalogien zu bilden, sondern die rechtliche Argumentation der Behörde zu hinterfragen, die anscheinend aus der Schweigepflicht eine besondere Schutzbedürftigkeit ableitet. Das halte ich für falsch und jedenfalls inkonsequent.
Dass sogar der Mandant selbst von der Verschlüsselungspflicht nicht befreien könne, halte ich für haarsträubenden Unsinn. Der Mandant kann mich ja schließlich auch von der Schweigepflicht als solcher entbinden, wenn er dies im Einzelfall wünscht, darf ich seine Daten (etwa in Form einer Stellungnahme zu einem im Fokus des Publikumsinteresses stehenden Verfahren) sogar in der Zeitung veröffentlichen lassen. Dann wird mir ein Privatkunde, der keine Lust hat, sich mit Verschlüsselungstechnik rumzuärgern oder alternativ alle Nachrichten nur per Briefpost drei Tage später zu kriegen, ja doch auch wohl erlauben dürfen, meine Sicherheitsstandards zu senken und unverschlüsselte E-Mails zu schicken. Nicht abdingbar dürfte allerdings das Recht sein, diese Einwilligung in unverschlüsselte Kommunikation jederzeit mit Wirkung für die Zukunft wieder zu widerrufen, vor allem nicht in AGB.
Vielen Dank für die Veröffentlichung des Schreibens. Mich macht folgende Formulierung stutzig: „Daher scheidet auch die elektronische Übertragung sensibler personenbezogener Daten ohne Verschlüsselung etwa per Mail aus, auch wenn der Betroffene explizit um die Übersendung per Mail bittet (vgl. Hamburgisches Datenschutzgesetz, Gesetzestext und Erläuterungen, HmbBfDI, 1. Aufl.,
2013, S. 78). Man unterscheidet dabei zwischen der Transportverschlüsselung (z.B. TLS) sowie der Ende-zu-Ende Verschlüsselung (z.B. S/MIME oder PGP). Aus datenschutztechnischer Sicht ist eine Ende-zu-Ende Verschlüsselung zu bevorzugen.“
Bedeutet das nicht, dass TLS zwar nicht zu bevorzugen ist, aber gleichwohl als ausreichend angesehen wird? Eine derartige Anforderung wäre wesentlich leichter zu erfüllen. Die meisten E-Mail-Provider erlauben ohnehin nur noch die Kommunikation über TLS.
TSL bedeutet aber, wie sie schon sagten Transportverschlüsselung.Das heißt in jeder Zwischenstation liegt die Mail wieder in Klartext vor. In der analogen Welt wäre es so, als würde ein verschlossener Briefumschlag immer dann, wenn er nicht mit dem Auto transportiert wird, für jeden zum lesen geöffnet wird.
Ich empfehle der Aufsicht VG Berlin, Urteil vom 24.5.2001, 1 K 133.10, zur Lektüre. Die Einwilligung in den unsicheren Übermittlungsweg seitens des Empfängers ist danach möglich. Es kann niemandem über § 9 BDSG größerer Schutz aufgezwungen werden, als er selbst begehrt. Im Rahmen von Art. 32 DSGVO kann insofern nichts anderes gelten.
Danke!
Das ist auch richtig entschieden.
Unser Fall ist aber genau umgekehrt: Der Mandant will den Schutz, der gesetzlich vorgesehen ist und der Anwalt macht nicht mit.
Absolut, ich darf aber aus dem Schreiben des HBfDI zitieren:
„Die Einhaltung der technischen und organisatorischen Maßnahmen wird grundsätzlich für nicht abdingbar gehalten. Betroffene können auch nicht darin einwilligen, dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der Technik verarbeitet werden.“
Das trifft so in dieser Pauschalität nach Auffassung des zitierten Gerichts nicht zu. Dies nochmal deutlich zu machen, war mein Anliegen.
Kann man nach beA überhaupt davon ausgehen, dass die Ende-zu-Ende Verschlüsselung eine technisch, organisatorische Maßnahme nach Stand der Technik für die Kommunikation der Anwaltschaft darstellt? Nach Ansicht der BRAK anscheinend nicht.
Das ist ein berechtigter Einwand. Allerdings ist fraglich, ob man sich an diesem Projekt orientieren sollte. Es handelt sich dabei leider nicht um ein Vorzeigeprojekt was Datenschutz und Datensicherheit betrifft.
Herzlichen Dank für den Upload der Stellungnahme der Aufsichtsbehörde.
Aus dem letzten Absatz des Schreibens ergibt sich ja unmittelbar, dass Berufsgeheimnisträger nur beispielhaft herangezogen werden („insbesondere“). Nach dieser Stellungnahme darf also fast niemand mehr unverschlüsselte Emails versenden, denn personenbezogene Daten sind ja in nahezu jeder Email enthalten. Der Artikel könnte also auch lauten: „Emailversand in Zukunft für jedermann bußgeldbewährt“.
Jede Bestellbestätigung beim Internetkauf, jede Reservierung eines Tisches zum Abendessen, jeder Kontakt mit der Hausverwaltung und jede Werbeemail muss also verschlüsselt sein. Das ist schon deshalb absurd, weil ja nicht nur die Inhalte einer Email sondern auch die Emailadresse selbst in aller Regel personenbezogen ist. Es würde nur wenige Ausnahmen geben, etwa bei rein persönlicher / familiärer Kommunikation oder bei nicht-personenbezogenen Inhalten und gleichzeitig nur unternehmens- oder behördenbezogenen Emailadressen.
Im Schreiben der Behörde liegt also erheblich mehr Sprengkraft…
Die Behörde macht in den Absätzen davor deutlich, dass die technischen und organisatorischen Maßnahmen am Schutzbedarf der übermittelten Daten auszurichten sind. Man sollte den letzten Absatz also im Gesamtkontext sehen. Gerade („insbesondere“) bei Berufsgeheimnisträgern ist der Schutzbedarf (oft) sehr hoch und deshalb sind auch hohe Anforderungen an die technischen und organisatorischen Maßnahmen zu stellen. Die Behörde nennt die Kommunikation von Berufsgeheimnisträgern als ein Beispiel, bei dem eine Versendung von E-Mails eine ungeeignetes Kommunikationsmittel darstellt. Aus der Verwendung des Wortes „insbesondere“ folgt nur, dass es auch noch andere Konstellationen gibt, bei denen sensible Daten übertragen werden und eine verschlüsselte Kommunikation angezeigt ist. Eine umfassende Verschlüsselungspflicht für jede Kommunikation folgt daraus aber nicht.
Guten Tag,
zunächst herzlichen Dank an RA Schmidt-Seil für den sehr interessanten Hinweis auf VG Berlin, Urteil vom 24.5.2001, 1 K 133.10. Allerdings geht es hier um personenbezogene Daten, genauer Adressdaten, nicht um besonders sensible personenbezogene Daten. Findet sich in der DSGVO eine Regelung, aus der abgeleitet werden könnte, dass hier die möglichst sichere Verschlüsselung unabdingbar ist?