Rz. 6

Werden E-Mails vom Absender zum Empfänger versendet, geschieht dies im Internet ohne besondere Vorkehrung, sofern also keine eigene Verschlüsselung erfolgt, grundsätzlich unverschlüsselt. Dabei werden sie von Server zu Server weitergeleitet und können auf diesen Servern durchsucht, evtl. verändert und nach beliebigen Stichworten ausgewertet werden.

 

Rz. 7

Um dies zu verhindern, muss die E-Mail verschlüsselt werden, indem eine Verschlüsselungs-Software eingebunden wird. Dies kann z.B. mit PGP (Pretty Good Privacy) oder mit dem freien Programm GPG, auch unter GnuPG (Gnu Privacy Guard) erfolgen. Diese Programme können als Add-Ons oder Plug-Ins in den E-Mail-Programmen installiert werden. Bei dieser Verschlüsselungsmethode kommt ein Schlüsselpaar, die sog. "asymmetrische Verschlüsselung" zum Einsatz. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel wird geheim gehalten und ist nur dem Schlüsselinhaber bekannt. Dieser wird in der Regel durch ein Passwort oder eine PIN geschützt.

 

Rz. 8

An den öffentlichen Schlüssel des Empfängers gelangt der Absender dadurch, dass ihm der Empfänger diesen öffentlichen Schlüssel zur Verfügung gestellt hat, oder der Absender den öffentlichen Schlüssel des Empfängers von einem öffentlichen Schlüsselserver herunterlädt. Um die Echtheit des öffentlichen Schlüssels zu prüfen, um Manipulationen möglichst ausschließen zu können, sollten der Absender und der Empfänger den Fingerabdruck des öffentlichen Schlüssels über ein sicheres Medium, z.B. das Telefon, überprüfen. Nur wenn die Werte des Fingerabdrucks (sogenannter Hash-Wert) bei Empfänger und Absender übereinstimmen, kann davon ausgegangen werden, dass keine Manipulation am öffentlichen Schlüssel durchgeführt worden ist.

 

Rz. 9

Die zu sendende E-Mail wird vom Absender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Das kann man sich bildlich so vorstellen, dass ein Vorhängeschloss an die vom Absender zu sendende E-Mail gehängt wird und somit niemand mehr Zugang zu dieser E-Mail bekommen kann. Nur der Besitzer des privaten Schlüssels ist in der Lage, dieses Vorhängeschloss mit diesem privaten Schlüssel zu öffnen.

 

Rz. 10

Alternativ könnte auch die S/MIME-Verschlüsselung angewendet werden. Diese hat den Vorteil, dass bei der Nutzung dieser Verschlüsselungsart Zertifikate verschiedener Klassen vorausgesetzt werden, was eine erhöhte Sicherheit in der Verwendung darstellt.

 

Rz. 11

Zur Problematik des Versendens via E-Mail, selbst wenn hier eine Verschlüsselung genutzt wird, führt Sorge aus.[1]

 

Rz. 12

Selbst der Zusammenschluss einiger deutscher Provider unter der Initiative "E-Mail made in Germany" wird von Sorge problematisch betrachtet.[2]

 

Rz. 13

Zur Beschlagnahme von E-Mails ist die Entscheidung des BVerfG aus 2009 lesenswert:

Zitat

"Die Sicherstellung und Beschlagnahme von E-Mails auf dem Mailserver des Providers sind am Grundrecht auf Gewährleistung des Fernmeldegeheimnisses aus Art. 10 I GG zu messen. §§ 94 ff. StPO genügen den verfassungsrechtlichen Anforderungen, die an eine gesetzliche Ermächtigung für solche Eingriffe in das Fernmeldegeheimnis zu stellen sind."[3]

 

Rz. 14

Der Versand von E-Mails ohne Ende-zu-Ende-Verschlüsselung ist in Anwaltskanzleien gebräuchlich und mit Einwilligung der Mandanten wohl rechtlich nicht zu beanstanden.[4] Sorge empfiehlt, zumindest besonders vertrauliche Dokumente, die per E-Mail verschickt werden müssen, als Zip-Archiv zu versenden und dem Mandanten telefonisch ein ausreichend langes und komplexes Password zur Entschlüsselung des Zip-Archivs mitzuteilen. Zur Verschlüsselung von E-Mails siehe auch unter Rdn 30.

[1] Sorge, "Sicherheit der Kommunikation zwischen Rechtsanwalt und Mandant", NJW-Beil. 2016, 101.
[2] Sorge, "Sicherheit der Kommunikation zwischen Rechtsanwalt und Mandant", NJW-Beil. 2016, 101.
[3] BVerfGE 124, 43 = NJW 2009, 2431.
[4] So jedenfalls Sorge, "Sicherheit der Kommunikation zwischen Rechtsanwalt und Mandant", NJW-Beil. 2016, 101 unter Verweis auf Feuerich/Weyland/Träger, BRAO, 9. Aufl. 2016, § 43a Rn 25b.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge