Bremer Datenschutzbehörde: Anwälte müssen E-Mail Ende-zu-Ende verschlüsseln
Bis Ende des Jahres sollen Bremer Rechtsanwälte Kommunikation mit Mandanten durchgehend verschlüsseln. Für Kritiker eine "übergriffige Bevormundung".
(Bild: peterschreiber.media/Shutterstock.com)
Auf stärkeren Schutz des Austauschs zwischen Rechtsanwälten und ihren Mandanten drängt die Bremer Datenschutzbeauftragte Imke Sommer. Einschlägige E-Mails, auch mit Prozessgegnern und Kollegen, sollen spätestens Anfang 2024 mit Ende-zu-Ende-Verschlüsselung (E2EE) abgesichert werden, berichtet der Fachverlag Beck. Nicht ausreichend sei Transportverschlüsselung, bei der der Übertragungskanal kryptografisch geschützt wird, nicht jedoch der übertragene Inhalt, der dann unverschlüsselt auf E-Mail-Servern liegt. Sommer stützt ihre Forderung laut Bericht auf Artikel 32 Datenschutz-Grundverordnung (DSGVO). Verantwortliche müssen demnach "geeignete technische und organisatorische Maßnahmen treffen" wie "Verschlüsselung personenbezogener Daten".
Ein bestimmtes Verfahren oder E2EE an sich schreibt die DSGVO zwar nicht vor. Laut Bremer Datenschutzbehörde werden im Anwaltsverkehr aber schon durch das Nennen von Namen beziehungsweise den Einsatz von Mailadressen, die auf Absender beziehungsweise Adressat schließen lassen, besonders schützenswerte personenbezogene Daten kommuniziert, heißt es in dem Artikel. Daher sei E2EE erforderlich. Dies gelte umso mehr, als die von Anwälten verbreiteten personenbezogenen Daten unter den Geheimnisschutz des Paragrafen 203 Strafgesetzbuch (StGB) sowie das Berufsgeheimnis fallen. E-Mail-Adressen bleiben allerdings auch bei E2EE unverschlüsselt, schließlich müssen die Router wissen, wo sie die Nachricht hinschicken sollen.
Der Bremer Rechtsanwaltskammer (RAK) hält nichts von Sommers Rechtsauslegung. E2EE sei "nicht das Maß aller Dinge", zitiert Beck aus einem Rundschreiben der Organisation. Transportverschlüsselung genüge den rechtlichen Anforderungen. Ein höheres Schutzniveau könne allenfalls bei besonders sensiblen Daten gerechtfertigt sein. Auch die Konferenz der Datenschutzbehörden des Bundes und der Länder habe 2021 Verschlüsselung auf Transportebene als Basisschutz für ausreichend erklärt.
Zurück zum Fax
Die gleiche Ansicht vertritt der Berliner Anwalt Niko Härting, der aktuell eine Bremer Anwaltssozietät in einem Verfahren gegen die Datenschutzbehörde vertritt. Die Forderung, nur noch etwa PGP für durchgängige Verschlüsselung zu nutzen, versteht er als "übergriffige Bevormundung". Der Jurist verweist darauf, dass auch beim besonderen elektronischen Anwaltspostfach (beA), mit dem die Anwälte mit der Justiz und Behörden korrespondieren, keine Ende-zu-Ende-Verschlüsselung verlangt wird. Der Bundesgerichtshof hat bei diesem System ausdrücklich gebilligt, dass die Daten im Rechenzentrum auf dem Transportweg ent- und dann wieder verschlüsselt werden.
Die Bremer RAK rät ihren Mitgliedern, Kontakt zu ihren IT-Dienstleistern aufzunehmen, um die Möglichkeiten von E2EE zu prüfen und solche gegebenenfalls einrichten zu lassen. "Zurück ans Faxgerät", titelt der Rechts-Blogger Udo Vetter in einem Beitrag zu dem Thema. Diese etwas angestaubte Kommunikationsform halten Datenschützer inklusive Sommer allerdings ebenfalls für nicht DSGVO-konform, jedenfalls sofern es sich nicht um selten genutzte verschlüsselte Fax-Übertragungen handelt.
Mit Bußgeldforderungen bei Verstößen im nächsten Jahr rechnet Härting trotzdem nicht. Für ihn ist der Streit ein "Sturm im Wasserglas". Die Debatte über angemessene Datensicherheit bei E-Mails gebe es seit 25 Jahren. Die Bundesdatenschutzbehörde lässt durchblicken, dass ihr ähnliche Konflikte aus anderen Bundesländern nicht bekannt sind.
(ds)