BGH: Kein Anspruch auf Ende-zu-Ende-Verschlüsselung beim Anwaltspostfach beA​

Die Bundesrechtsanwaltskammer (BRAK) ist nicht verpflichtet, das besondere elektronische Anwaltspostfach (beA) ausschließlich mit einer Ende-zu-Ende-Verschlüsselung zu betreiben. Dies entschied der Bundesgerichtshof (BGH) am Montag und bestätigte damit ein Urteil des Berliner Anwaltsgerichtshofs von 2019. Laut BGH steht der BRAK ein gewisser Spielraum zu, solange beim beA prinzipiell eine "sichere Kommunikation" gewährleistet ist (Az.: AnwZ (Brfg) 2/20).

Stein des Anstoßes in dem Fall ist die Besonderheit bei dem Anwaltspostfach, dass sich die darüber laufende Kommunikation unterwegs auf einem BRAK-Server mit einem Hardware-Sicherheitsmodul (HSM) "umschlüsseln" lässt. Damit wird die durchgehende Vertraulichkeitskette durchbrochen: Mit der Option zum zeitweiligen Ent- und späteren Wiederverschlüsseln ist ein Zugriff auf sensible Nachrichten innerhalb des HSM zumindest technisch prinzipiell möglich.

Verschlüsselung ausreichend

Mehrere zugelassene Rechtsanwälte klagten zusammen mit der Gesellschaft für Freiheitsrechte (GFF) gegen diesen Ansatz. Sie drängten auf größere Sicherheit mithilfe einer durchgehenden Verschlüsselung. Ihre Berufung gegen die Entscheidung des Berliner Anwaltsgerichtshofs hatte nun vor dem BGH aber keinen Erfolg. Die Karlsruher Richter erkannten zwar an, dass das beA nicht die Voraussetzungen einer Ende-zu-Ende-Verschlüsselung erfülle. Das ändere aber nichts daran, dass die Nachrichten selbst zumindest während der Übertragung durchgehend verschlüsselt seien.

Es gebe keinen Anspruch auf eine noch weitergehende Sicherheitslösung, da die zuständige Verordnung nicht ausschließlich eine Ende-zu-Ende-Verschlüsselung vorschreibe, urteilte der BGH. Es sei davon auszugehen, dass die gewählte Methode eine hinreichende Sicherheit gewährleisten könne. Die gesetzlichen Vorschriften seien mit einem zweistufigen Sicherheitscontainer erfüllt.

Die BRAK muss die elektronischen Anwaltspostfächer laut der entsprechenden Verordnung auf Grundlage des Protokollstandards Online Services Computer Interface (OSCI) betreiben. Das beA sei als Drittprodukt am OSCI-Rechtsverkehr akzeptiert, konstatierte der BGH. Es verstoße auch nicht gegen die Grundrechte der Bürger, dass die Beklagte keine Ende-zu-Ende-Verschlüsselung verwendet. Das anwaltliche Vertrauensverhältnis sei nicht gefährdet. Dem Beschluss zufolge gibt es auch keinen verfassungsrechtlichen Anspruch auf eine durchgehende Verschlüsselung. Die gewählte beA-Architektur sei sicher im Rechtssinne.

"Von Anfang an ein Desaster"

Die GFF zeigte sich enttäuscht von dem Urteil und sieht nun den Gesetzgeber gefordert. Dieser müsse eine Ende-zu-Ende-Verschlüsselung eindeutig vorschreiben. Das gebiete auch der verfassungsrechtliche Schutz des Mandatsgeheimnisses. Von der BRAK fordert die GFF einen Neustart: "Das beA war von Anfang an ein Sicherheits-Desaster", beklagte der GFF-Vorsitzende Ulf Buermeyer. "Außerdem ist das System sehr unkomfortabel und quälend langsam. Die BRAK sollte umgehend ein Update des Systems in Auftrag geben, das keine Hintertüren enthält und sich flüssig bedienen lässt."

Der Mindeststandard einer Ende-zu-Ende-Verschlüsselung für sichere Kommunikation dürfe nicht ausgerechnet bei Anwälten unterschritten werden, meint die GFF. Die Bundesregierung hält das Entschlüsselungsrisiko indes "in Anbetracht der im Übrigen getroffenen Sicherheitsmaßnahmen" für akzeptabel. Eine Entschlüsselung von Nachrichten im laufenden Betrieb würde ein Zusammenspiel mehrerer Personen erfordern, da jeweils mehrere Mitarbeitende des Servicepartners und der BRAK beim Zusammenführen von Schlüssel und Botschaften gemeinsam agieren müssten.

Das beA startete 2018 mit vielen sicherheitstechnischen Pannen, die Server mussten zeitweilig abgeschaltet werden. Eine Analyse der IT-Sicherheitsfirma Secunet verwies auf viele Sicherheitslücken, die laut der BRAK inzwischen abgedichtet sein sollen. Die Anwaltskammer hatte vor Kurzem nach einer Klage auf Basis des Informationsfreiheitsgesetzes von FragDenStaat und der GFF Dutzende Dokumente zum beA herausgegeben, die Sicherheitsaudits, Resultate zu Penetrationstests und Verträge der Institution mit dem früheren Servicepartner Atos einschließen. (vbr)