Die Landesdatenschutzbeauftragte Bremens will Anwälte zwingen, ihren E-Mail-Verkehr grundsätzlich nur noch per Ende-zu-Ende-Verschlüsselung zu führen. Verstöße sollen ab 2024 mit einem Bußgeld sanktioniert werden.
Die Bremer Anwaltschaft läuft inzwischen Sturm gegen die Pläne der Landesschutzbeauftragten, die Kommunikation zwischen Anwalt und Mandant über E-Mail nur noch per Ende-zu-Ende-Verschlüsselung zuzulassen. Eine solche in keinem anderen Bundesland geltende Regelung verstößt nach Auffassung der Bremer Rechtsanwälte gegen geltendes Recht.
Datenschutzbeauftragte pocht auf End-zu-Ende-Verschlüsselung (E2EE)
Die Bremer Datenschutzbeauftragte hält Anwälte rechtlich für verpflichtet, ihre E-Mail-Kommunikation sowohl mit den Mandanten als auch mit anderen Personen Ende-zu-Ende zu verschlüsseln. Als Rechtsgrundlage verweist die Datenschutzbeauftragte auf Art. 32 DSGVO. Danach müssen Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um die Rechte und Freiheiten beteiligter Personen zu schützen. Dies ist nach Auffassung der Bremer Datenschutzbehörde in der Regel durch eine Ende-zu Ende-Verschlüsselung personenbezogener Daten zu gewährleisten.
Bremer Anwälte setzen auf Transportverschlüsselung
Die Bremer Anwälte halten dagegen, dass der Wortlaut des Art. 32 DSGO keinesfalls eine Ende-zu-Ende-Verschlüsselung vorschreibe. Der Schutz personenbezogener Daten sei auch durch die übliche Transportverschlüsselung gewährleistet. Bei der Transportverschlüsselung wird der Versendungskanal der E-Mail verschlüsselt, nicht aber deren Inhalt. Die Anwaltschaft hält die Pläne der Bremer Datenschutzbeauftragten für eine Bevormundung der Anwälte und auch deren Mandanten.
BORA stellt auf Zustimmung des Mandanten ab
Die Positionen zwischen Anwaltschaft und Bremer Datenschutzbehörde stehen zur Zeit unversöhnlich nebeneinander. Die Anwälte können zur Untermauerung ihrer Position auf § 2 Abs. 2 Satz 5 BORA verweisen. Diese Vorschrift berücksichtigt den Grundsatz, dass der Mandant, der dem Anwalt einen Auftrag erteilt hat, grundsätzlich Herr des Verfahrens bleibt. Dies gilt nach der BORA auch für die Kommunikation mit dem Mandanten. Gemäß § 2 Abs. 2 Satz 5 BORA ist die Nutzung eines elektronischen Kommunikationsweges grundsätzlich erlaubt, wenn der Mandant ihr zustimmt. Gemäß § 2 Abs. 2 Satz 6 BORA ist von einer Zustimmung auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt oder fortsetzt, nachdem der Rechtsanwalt auf mögliche Risiken hingewiesen hat.
DSGVO-Standards sind nicht abdingbar
Die Bremer Datenschützer verweisen darauf, dass das von Art. 32 DSGVO vorgegebene Schutzniveau nicht durch ein deutsches Gesetz unterminiert werden könne. Der von der BRORA vorgesehene Einwilligungsvorbehalt sei insoweit auch nicht sinnvoll, da die Materie so komplex sei, dass weder Anwälte noch ihre Mandanten in der Regel in der Lage sein, die Risiken einer lediglich mit einer Transportverschlüsselung versehenen Kommunikation sachgerecht zu beurteilen. Nach dem Willen der DSGVO stünden deshalb die nach dieser Verordnung vorgeschriebenen Sicherheitsstandards aus gutem Grund nicht zur Disposition der Betroffenen.
Übergangsfrist für Bremer Anwälte nur noch bis Ende 2023?
Die Bremer Datenschutzbeauftragte will den Bedenken der Anwaltschaft nur insoweit Rechnung tragen, als der Versandtransport verschlüsselter E-Mails noch bis Ende des Jahres geduldet wird. Ab 1.1.2024 will die Datenschutzbehörde gegen Verstöße mit Bußgeldern vorgehen. Die Bremer Anwaltschaft ist allerdings entschlossen, sich nicht bevormunden zu lassen.
Erhebliche Veränderungen der Kommunikationswege
Das Vorgehen der Bremer Datenschutzbeauftragten wirft ein Schlaglicht auf einen zentralen Wesenskern der anwaltlichen Tätigkeit, nämlich die Kommunikation mit dem Mandanten. Bildete vor nicht allzu langer Zeit das persönliche Gespräch in physischer Anwesenheit von Anwalt und Mandant in geschützter Umgebung in den Kanzleiräumen häufig die Grundlage eines Anwaltsvertrags, so ist nicht zuletzt infolge der Corona-Pandemie das persönliche Treffen von Anwalt und Mandant mehr und mehr in den Hintergrund gerückt. Neben der fernmündlichen Kommunikation, Post und Telefax sind heute die Kommunikation per E-Mail, per Videokonferenz oder sogar über soziale Netzwerke wie Facebook, WhatsApp & Co häufig die Mittel der Wahl. Letztere beinhalten im Hinblick auf die gebotene Vertraulichkeit allerdings besondere Risiken.
Risiko Videokonferenz
Die Durchführung von Besprechungen virtuell per Videokonferenz hat einen regelrechten Boom erlebt. Die Videokonferenztechnik wird online von unterschiedlichen Anbietern zur Verfügung gestellt, die teilweise sehr unterschiedliche Sicherheitsstandards verwenden. Die Beteiligung Unbefugter an virtuellen Meetings ist je nach Art der verwendeten Verschlüsselungstechniken nicht immer auszuschließen. Im Hinblick auf die gebotene Vertraulichkeit sollten Anwälten in diesen Fällen die Sicherheitsrisiken bei jeder Videokonferenz zu Beginn ansprechen und die Zustimmung der Beteiligten zu dieser Art der Kommunikation einholen. Selbst mit Zustimmung der Beteiligten bleibt auch hier im Einzelfall die Frage offen, ob diese Art der Kommunikation in jeder Hinsicht DSGVO-konform ist.
Kommunikation per E-Mail nur mit Transportverschlüsselung
Dies gilt – wie die Initiative der Bremer Datenschutzbeauftragten zeigt – auch für die Kommunikation per E-Mail. Die Transportverschlüsselung ist hierbei in jedem Fall ein Muss, wird nach dem derzeitigen Stand von den Datenschutzbeauftragten der anderen Bundesländer auch bisher als ausreichend akzeptiert. Vorsicht sollten Anwälte aber bei der Verwendung von Sonderfunktionen ihrer E-Mail-Programme walten lassen. So ist bei der im Fall der Vertretung mehrerer Mandanten in der gleichen Sache häufig verwendeten Funktion „an alle versenden“ besondere Sorgfalt geboten, um eine versehentliche Versendung an nicht berechtigte Empfänger zu vermeiden.
Soziale Netzwerke als Kommunikationsmittel
Besonders gefährlich wird es bei der Verwendung sozialer Netzwerke für die Kommunikation. In der anwaltlichen Praxis werden neuerdings häufig Dokumente und Fotos über „WhatsApp“ versendet. Auch hier ist die Einwilligung des Mandanten in jedem Fall vorher einzuholen. Das Risiko eines DSGVO-Verstoßes ist hier besonders hoch.
Umsicht bei der Wahl der Kommunikationsmittel
Insgesamt ist die Kommunikation zwischen Anwalt und Mandant durch die heutigen technischen Möglichkeiten einerseits leichter, rechtlich aber nicht unkomplizierter geworden. Wichtig für Anwälte ist die richtige individuelle Einschätzung der jeweiligen Interessen und der Persönlichkeit des Mandanten. An diesen Kriterien sollte der Anwalt die Wahl der jeweils angemessenen Kommunikationsmittel ausrichten.