Immer wieder stellt sich die Frage, ob Berufsgeheimnisträger eine Pflicht zur Verschlüsselung bei der Kommunikation trifft. Dies wird vor allem für diejenigen Berufsgruppen diskutiert, die mit besonders sensiblen Inhalten konfrontiert sind, wie etwa Ärzte und Rechtsanwälte. Letztere sollen künftig in vielen Fällen unverschlüsselt per E-Mail mit Mandanten kommunizieren können, ohne gegen die Pflicht zur Verschwiegenheit nach § 2 der Berufsordnung der Rechtsanwälte (BORA) zu verstoßen. Aber ist das überhaupt mit der DSGVO vereinbar?
Der Inhalt im Überblick
Die Neufassung des § 2 BORA
Wie einem Bericht des Kollegen Dr. Nicolas Lührig im Anwaltsblatt des Deutscher Anwalt e.V. zu entnehmen ist, soll der § 2 BORA neu gefasst werden und in Absatz 2 auch die (elektronische) Kommunikation mit dem Mandanten näher regeln.
Der Wortlaut des § 2 Abs. 2 soll wie folgt lauten:
„(2) Die Verschwiegenheitspflicht gebietet es dem Rechtsanwalt, die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. Technische Maßnahmen sind hierzu ausreichend, soweit sie im Falle der Anwendbarkeit der Vorschriften zum Schutz personenbezogener Daten deren Anforderungen entsprechen. Sonstige technische Maßnahmen müssen ebenfalls dem Stand der Technik entsprechen. Abs. 4 lit. c) bleibt hiervon unberührt.
Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.“
Grundsätzliche Pflicht einer Ende-zu-Ende-Verschlüsselung bei sensiblen Daten
Positiv erscheint die Tatsache, dass die Nutzung eines elektronischen Kommunikationsweges als für die Vertraulichkeit risikobehaftet angesehen wird. Damit wird deutlich, dass eine unverschlüsselte E-Mail-Kommunikation zwischen Rechtsanwalt und Mandant zunächst als unsicher anzusehen ist und es deshalb (zumindest bei sensiblen Inhalten) einer Verschlüsselung bedarf. Dies deckt sich mit den Aussagen der Aufsichtsbehörden zu Berufsgeheimnisträgern.
So äußert sich beispielsweise das BayLDA in seinem jüngst veröffentlichten Tätigkeitsbericht 2017/2018 zur E-Mail-Kommunikation zwischen Patient und Arzt wie folgt:
„Nach Art. 32 DS-GVO haben Verantwortliche, wie z. B. Ärzte, technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies spielt auch bei der E-Mail-Kommunikation eine wesentliche Rolle. Unverschlüsselte E-Mails können viele datenschutzrechtliche Anforderungen nicht erfüllen, z. B. die Vertraulichkeit und die Integrität der Daten.“
[Update: Mitllerweile hat die Datenschutzkonferenz eine Orientierungshilfe zum Schutz personenbezogener Datenbei der Übermittlung per E-Mail veröffentlicht, in der für E-Mail-Nachrichten bei denen der Bruch der Vertraulichkeit ein hohes Risiko darstellt, eine Ende-zu-Ende Verschlüsselung gefordert wird. Zudem hat sich auch ein Urteil des VG Mainz mit der Frage befasst. Man kam zu dem Ergebnis, dass pauschal nicht allein deshalb von einer besonderen Schutzbedürftigkeit ausgegangen werden kann, weil eine mandatsbezogene Kommunikation erfolgt.]
Nichts Anderes kann aber bei der anwaltlichen Kommunikation mit dem Mandanten gelten. Insofern sind hier Sicherheitsmaßnahmen nach dem Stand der Technik und der Schutzwürdigkeit der Daten zu treffen. Dies lässt sich auch dem § 2 Abs. 2 BORA (neu) entnehmen und stellt keine Neuerung zur aktuellen Rechtslage dar, wie ein Vergleich mit dem inhaltsgleichen § 2 Abs. 7 BORA zeigt.
Dies ist auch der Grund, warum Berufsgeheimnisträger besondere Sorgfalt bei der Entsorgung von Unterlagen walten lassen müssen. So wird es sich bei Akten von Berufsgeheimnisträgern häufig um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO oder sensible Daten i.S.d. Art. 10 DSGVO handeln, die darüber hinaus einem strafrechtlich sanktionierten Berufsgeheimnis unterliegen. Der Schutzbedarf dieser Daten ist deshalb als sehr hoch anzusehen.
Handelt es sich also bei der Kommunikation zwischen Anwalt und Mandant um sensible Daten – wovon bei einem Großteil der Kommunikation im Mandantenverhältnis auszugehen ist, wenn es nicht nur um so etws wie z.B. die Vereinbarung eines Termins geht – erscheint allein die Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) als angemessen, um dem Schutzbedarf gerecht zu werden.
Abdingbarkeit des Art. 32 DSGVO
Wie wir bereits berichtet haben, sieht es der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ähnlich und geht sogar noch weiter. Lässt das BayLDA eine Einwilligung zum unverschlüsselten Versand sensibler Daten unter bestimmten Voraussetzungen zu, äußert sich die Hamburger Behörde dahingehend, dass die Einhaltung der technischen und organisatorischen Maßnahmen grundsätzlich für nicht abdingbar gehalten wird und eine Einwilligung somit bereits von vornherein nicht in Frage kommt. Damit steht der HmbBfDI nicht allein dar. Auch die österreichische Datenschutzaufsicht äußerte sich für Gesundheitsdaten dahingehend.
Der bescheidenen Ansicht des Autors nach, schießt dies etwas über das Ziel hinaus. Die DSGVO schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten gem. Art. 1 Abs. 2 DSGVO. So ist nicht nur der Schutz personenbezogener Daten gem. Artikel 8 GRCh Ziel der Regelungen, sondern auch der Schutz anderer Grundrechte und Grundfreiheiten, worunter auch die Autonomie des Einzelnen fällt. Sie soll diese in einen Ausgleich bringen.
Denn schon das Grundrecht auf Schutz personenbezogener Daten ist nicht grenzenlos gewährleistetet. Der Abs. 2 nennt die Voraussetzungen unter denen eine Verarbeitung von personenbezogenen Daten möglich ist. Dabei stellt der äußerste Rahmen einer jeden Datenverarbeitung nach Art. 8 Abs. 2 GrCh Treu und Glauben dar. Zudem legt der Wortlaut des Abs. 2, der einen Eingriff aufgrund einer Einwilligung zulässt, es nahe, dass der Gesetzgeber schon bei Grundrechtseinräumung den Willen des Grundrechtsträger berücksichtigt hat. Daher gebietet es Treu und Glaube dem Betroffenen stets die aktive Grundrechtsausübung durch eine Einwilligung oder umgekehrt den Einwilligungsverzicht zu ermöglichen. Der Art. 6 Abs. 1 lit. a DSGVO ist deshalb über seinen Wortlaut dahingehend grundrechtskonform auszulegen, dass der Betroffenen nicht nur über die Verarbeitung, sondern auch auch über deren Modalitäten nach Art. 32 DSGVO informiert entscheiden kann. Mithin erscheint eine Einwilligung in den unverschlüsselten Versand von sensiblen Daten zumindest als möglich.
[Achtung: Dies ist eine stark komprimierte Argumentation auf einem sehr unbehandelten Gebiet mit vielen offenen Fragen, zu denen Gerichte noch nicht entschieden haben. Update: Der HmbBfDI hat seine Auffassung zu dem Thema unter der DSGVO aktualisiert und dazu einen Vermerk veröffentlicht.]
Voraussetzungen der Einwilligung
Allerdings wird man dann nach Treu und Glauben zumindest verlangen müssen, dass dem Betroffenen umfassende Information zur Verfügung gestellt werden, sodass die Einwilligung voller Kenntnis der Sachlage erfolgt. Dabei sollte man als Maßstab nicht nur die Anforderungen der DSGVO an eine informierte Einwilligung anlegen, sondern auch die spezifischen zusätzlichen Elemente der EDSA zur Einwilligung in die Datenübermittlung nach Art. 49 Abs. 1 lit a).
Insofern ist, unabhängig davon, ob man eine Ende-zu-Ende-Verschlüsselung als stets notwendig erachtet, zumindest in den Fällen, in denen sensible Daten versandt werden, umfassend über die Risiken einer unverschlüsselten Kommunikation zu informieren. Auch heutzutage wird man von einem durchschnittlichen Verbraucher nicht erwarten können, dieser wisse über die Sicherheit der verwendeten Kommunikation Bescheid. Schon an Hand des ersten Maßstabs ergeben sich erhebliche Bedenken.
Denn grundsätzlich ist zwar eine konkludente Einwilligung denkbar. Jedoch ist fraglich, ob dies bereits dann angenommen werden kann, wenn seitens des Rechtsanwalts lediglich „pauschal und ohne technische Details auf die Risiken hingewiesen“ wird.
Jedenfalls muss der Mandant sich der Konsequenzen bewusst sein, dass die E-Mail-Kommunikation als nicht ausreichend sicher angesehen wird und auf diesem Weg nur ausnahmsweise kommuniziert wird, wenn der Mandant (in Kenntnis dieser Information) es wünscht.
Möchte der Anwalt von sich aus unverschlüsselt kommunizieren, wird man aus datenschutzrechtlicher Sicht kaum eine pauschale Einwilligung in der allgemeinen Mandatsvereinbarung einholen können, sofern nicht wenigstens eine besondere Hervorhebung der Erklärung erfolgt. Zudem muss stets auch eine andere Alternative angeboten werden, um die Freiwilligkeit zu gewährleisten.
Kann die BORA als Konkretisierung der DSGVO gesehen werden?
Abschließend stellt sich die Frage, ob die BORA überhaupt die in der DSGVO geregelten Rechte und Pflichten konkretisieren kann. Dies ist zu verneinen, da es hierfür an einer Öffnungsklausel in der DSGVO fehlt. Mithin kann die BORA also nicht als eine europarechtskonforme, spezialgesetzliche Norm zur Verarbeitung personenbezogener Daten angesehen werden. Im Ergebnis führt dies dazu, dass im Mandantenverhältnis stets auch die Voraussetzungen der DSGVO heranzuziehen sind und die BORA somit womöglich einen Verstoß gegen das Berufsgeheimnis ausschließen kann, ein Verstoß gegen die DSGVO aber unter Umständen weiterhin in Betracht kommt und entsprechend geahndet werden kann. Damit ist der Wortlaut des neuen § 2 BORA mehr als ungünstig. Insbesondere durch die im Vergleich zur DSGVO niedrigeren Anforderungen an eine wirksame Einwilligung sind durchaus Konstellationen denkbar, in denen Anwälte dazu verleitet werden zu denken, sie würde aufgrund der konkreten Regelung mit ihren Mandanten gesetzeskonform kommunizieren, während sie tatsächlich gegen die abstrakteren Vorschriften der DSGVO zur Kommunikation verstoßen.
Um sicherzugehen, sollte jeder Anwalt, der sich mit seinen Mandanten per E-Mail austauschen möchte, zumindest in der Lage sein, eine gängige inhaltsverschlüsselte Kommunikation anzubieten und auf die Risiken unverschlüsselter Nachrichten ausreichend deutlich hinzuweisen und bestenfalls zu dokumentieren. Dies sollte bereits im Eigeninteresse eines jeden Berufsgeheimnisträgers sein und nicht als Bürde angesehen werden.
Soweit seitens des Mandanten dann eine (konkludente) Einwilligung vorliegt, die auch in der Fortführung der unverschlüsselten Kommunikation nach entsprechendem Hinweis gesehen werden kann, dürfte man auch nach DSGVO die Voraussetzungen erfüllt haben, sofern man nicht der strengen Ansicht folgt, dass eine Abdingbarkeit des Art. 32 DSGVO nicht möglich ist und die unverschlüsselte Kommunikation daher per se unzulässig ist.
Selbst wenn man sich der Meinung einer Abdingbarkeit des Art. 32 DSGVO anschließen sollte, dann wartet in der Praxis direkt die nächste (unüberwindbare) Hürde: Andere Beteiligte, die in den zu verschickenden Dokumenten vorkommen, sind ebenfalls Betroffene iSd DSGVO. Dementsprechend müsste man auch von diesen wirksame Einwilligungen einholen, was nicht nur unpraktikabel sein dürfte, sondern sich auch schwer mit dem Berufsgeheimnis vereinbaren ließe. Oder soll ein Anwalt bspw. einen Verfahrensgegner um Einwilligung bitten, dass er Dokumente mit dessen Daten mit seinem Mandanten austauschen darf?
Fazit: Man kann sich darüber streiten, an welcher Hürde man stürzen möchte, aber ins scheinbar ersehnte Ziel „unverschlüsselte E-Mail“ kommt keiner.
Dem ist nicht viel hinzuzufügen. Sobald (sensible) personenbezogene Daten Dritter betroffen sind, scheidet eine Einwilligung in die Verletzung deren Rechte von vornherein aus.
Wie im Artikel angedeutet, stellt sich dann die Frage, ob der Anwalt sich in so einem Fall auf die BORA berufen kann, um eine etwaige Verletzung des Schutzes personenbezogener Daten auszuschließen. In Bezug auf datenschutzrechtliche Verletzungen ist die BORA m.E. jedenfalls nicht dazu geeignet, einen Verstoß gegen die DSGVO auszuschließen.
Daneben ist interessant, ob auch eine Verletzung durch den Mandanten selbst in Betracht kommt. Von einer Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO wird man nicht ausgehen können, weil die Verarbeitung ersichtlich nicht zur „Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ erfolgt. Kommt man zu einer möglichen Verletzung durch den Mandanten, sind Überlegungen dahingehend, ob auch hierüber eine Aufklärungspflicht besteht, zumindest nicht völlig abwegig.
In der Regel wird der Dritte aber über die Art und Weise der Kommunikation zwischen gegnerischem Anwalt und Mandant ohnehin nicht viel erfahren, so dass es wohl nur in Ausnahmefällen zu einer entsprechenden Auseinandersetzung kommen dürfte, wenn nicht die Behörden von sich aus Informationen einholen oder eine Überprüfung anstreben.
Ich habe eine allgemeine Frage zu dem Thema.
Scheinbar ist nicht nur die elektronische Kommunikation risikobehaftet. Die Vertraulichkeit und Integrität kann überall gefährdet sein. Was ist die „sicherer“ Alternative? Theoretisch können E-Mails abgefangen werden, Smartphones als Wanzen genutzt werden etc. Die Verbreitung von verschlüsselter E-Mail Kommunikation stagniert bzw. „nur“ die TLS Verschlüsselung ist verbreitet. Mit anderen Worten es ist noch nicht der sozial-adäquate Stand der Technik, geschweige, dass eine Bereitstellung oder Umsetzung meist nicht wirtschaftlich ist. Als Alternative wir immer wieder der Postweg genannt? Im Ernst, warum soll dieser Weg weniger risikobehaftet sein. Insbesondere da die Postverteilung innerhalb der Unternehmen durch viele Hände geht. Die Integrität eines Briefkastens bzw. eines Briefumschlages ist schneller überwunden, als eine E-Mail abzufangen. Daher, wie kann man eine unverschlüsselte E-Mail (ohne senible Daten (Art. 9 DSGVO) datenschutzkonform darstellen. Bzw. ab wann wird ein E-Mail-Versand im Sinne der DSGVO rechtswidrig.
Eine allgemeingültige Antwort ist hier kaum möglich. Insbesondere, da die DSGVO einen risikobasierten Ansatz verfolgt. D.h. je nach Art der Daten und Prozesse sind unterschiedliche Anforderungen an die technischen und organisatorischen Maßnahmen zu stellen. 100%ige Sicherheit kann es nicht geben. Der Versand von E-Mails mit personenbezogenen Daten ist auch nicht per se verboten. Einfache E-Mail Korrespondenzen wird man deshalb nicht als Verstoß gegen die DSGVO werten können.
Nichtsdestotrotz, sollte man sich insbesondere außerhalb rein privater Korrespondenz stets fragen, ob und welche Informationen per E-Mail geteilt werden sollen. Oftmals werden bei dem Argument und Vergleich einer E-Mail mit dem Postweg viele Aspekte unberücksichtigt gelassen. Ein wesentlicher Faktor ist bspw. die einfache und unbemerkte Reproduktion bzw. Zugriff. Natürlich ist es für den Einzelnen möglich, gelegentlich Briefe abzufangen – schlimm genug. Aber ein dauerhaftes Abfangen wird nicht lange unbemerkt bleiben, sofern man nicht unverhältnismäßig hohen Aufwand betreibt. Wird etwas als „persönlich“ adressiert, sollte dies bei der Postverteilung im Unternehmen ebenfalls berücksichtigt werden. Ist das nicht der Fall, liegt es nicht an dem unsicheren Transportmittel „Brief“, sondern an den Prozessen. Auch der normale Briefkasten kann überwunden werden. Aber nur, weil man physischen Zugriff auf die Briefe hat, bedeutet nicht, dass man ohne Weiteres Einsicht in den Inhalt erhält, insbesondere nicht über einen längeren Zeitraum und unbemerkt. Der Briefkasten wird – im Gegensatz zu einem E-Mail-Postfach – regelmäßig geleert. Ich kenne zumindest keinen Briefkasten, der mehrere tausend Briefe beinhaltet.
Anders sieht es hingegen bei der elektronischen Kommunikation aus. Hat man sich einmal den Zugriff verschafft, erhält man Einsicht in den kompletten Inhalt. Zudem ist es ungleich schwerer, dies nachzuvollziehen. Daneben können Dateien verlustfrei und unbemerkt reproduziert und geteilt werden. Ein Zugriff ist meist von überall möglich, ohne dass es der physischen Nähe bedarf. Allein diese Tatsachen erweitert den potentiellen Täterkreis und Risiken um ein Vielfaches. Mit genügend krimineller Energie, Ressourcen und Kapital kann man sicher auch unbemerkt den Inhalt eines Briefkastens „kontrollieren“. Dies wird aber wahrscheinlich keinem Teenager mit zu viel Zeit, etwas Langeweile und genügend IT-Wissen massenhaft gelingen.
Ansonsten gibt es auch andere „sichere“ Alternative. Bei der Frage der Sicherheit geht es in erster Linie nicht darum, ob eine Vertraulichkeit und Integrität immer gewährleistet werden kann, sondern um die Wahrscheinlichkeit eines Angriffs und dessen Aufwand. Niemand erwartet, dass Sie bspw. die Kommunikation mit einem Mandanten zum Vorwurf einer Körperverletzung so absichern, dass es der NSA nicht möglich ist diese zu erlangen, wenn sie es darauf anlegt.
Sicher wäre hier ein kommerzieller Business-Messenger mit Ende-zu-Ende Verschlüsselung. Es könnte aber auch eine eigene sichere Plattform (wie sie das beA hätte sein können …) oder ein gesicherter Bereich zum Mandantenaustausch auf der eigenen Website geschaffen werden. Unschön, aber besser als nichts, um die Sicherheit bei der E-Mail Korrespondenz mit sensiblen Daten zu erhöhen, ist beispielsweise die Nutzung eines verschlüsselten ZIP-Ordners bzw. passwort-geschützten pdf-Dateien. Dabei sollte das Passwort selbstverständlich auf einem anderen Kanal übermittelt werden. Für die alltägliche Kommunikation ist auch dies sicher zu viel verlangt, aber bei gelegentlichem Austausch großer Datenmengen oder geheimnisbedürftiger Informationen überlegenswert. Auch hier gilt der Risikobasierte Ansatz.
Ansonsten bin ich ein Freund des gesunden Menschenverstands und denke, die Aufsichtsbehörden sehen das ähnlich.
Vielen Dank für Ihre Mühe und viel gewonnenes Verständnis. Kurze Nachfrage: Die große Gefahr ist nicht der Transportweg, da zumindest die Kommunikation deutscher Web-Server über TLS erfolgt, sondern eher der Server an sich und darauf sollte sich zumindest die IT-Sicherheit kümmern.
§ 2 Abs. 8 BORA sagt doch ausdrücklich, dass Bestimmungen des Datenschutzrechts zum Schutz personenbezogener Daten unberührt bleiben. Deshalb stellt sich doch die Frage schon gar nicht, ob der neue Abs. 2 eine Öffnungsklausel darstellen könnte. Dieser betrifft nur die Verschwiegenheit, nicht jedoch das Datenschutzrecht.
Dieses Argument lässt sich durchaus hören. Die Konsequenz wäre, dass eine nicht ausreichend verschlüsselte Kommunikation gegebenenfalls keinen Verstoß gegen die Verschwiegenheit darstellt, aber aus datenschutzrechtlicher Sicht als Verstoß gegen die DSGVO geahndet werden und Bußgelder sowie sonstige aufsichtsrechtliche Maßnahmen nach sich ziehen kann. Ob eine solche Regelung zielführend ist, sei mal dahingestellt.