BRAK zur Offenlegung des Secunet-beA-Gutachtens gezwungen

Die BRAK wurde auf die Klage eines Rechtsanwalts hin verpflichtet, das zurückgezogene beA-Gutachten der Security Networks AG offenzulegen und zwar in seiner ursprünglichen, von der BRAK nicht veröffentlichten Version. Gegenargumente wie Geheimhaltungpflichten überzeugten das Gericht nicht. 

Ein Berliner Rechtsanwalt gab sich nicht damit zufrieden, den nicht veröffentlichten ursprünglichen Abschlussbericht der von der BRAK beauftragten IT-Sicherheitsexperten der Secunet Security Networks AG zum beA nicht einsehen zu dürfen. Er vertrat die Auffassung, dass ihm auch dieser Bericht über die technische Analyse und Konzeptprüfung des beA zugänglich gemacht werden muss.

Missglückter Start des beA

Hintergrund des Unmutes des Berliner Rechtsanwalts war der missglückte Start des beA, das im Dezember 2017 wegen erheblicher von Außenstehenden aufgedeckter Sicherheitsmängel vorläufig gestoppt werden musste, obwohl die Rechtsanwaltschaft gemäß § 31 a BRAO mit Beginn 2018 verpflichtet war, über das beA erreichbar zu sein.

Aufgedeckten Sicherheitsmängel erzwangen online-Stopp des beA

Anlass für das Debakel um das beA war der Abschlussbericht des von der BRAK beauftragten IT-Sicherheitsunternehmens Secunet. Die Ergebnisse der Secunet waren hinsichtlich einiger entdeckter Sicherheitslücken so desaströs, dass das Postfach sofort wieder offline gehen müsste. Erst Anfang September 2018 ging das beA wieder online.

BRAK hält Erstgutachten zurück

Die BRAK veröffentlichte den im Mai 2018 vorliegenden Abschlussbericht entgegen ihrer Ankündigung zunächst nicht und bemängelte das Gutachten als schwer verständlich, wenig konkret und erkannte in dem Gutachten auch gravierende handwerkliche Mängel.

Nach einem Disput zwischen den Verantwortlichen erklärte sich die Secunet zu einer Überarbeitung ihres ursprünglichen Berichts bereit. Lediglich diesen überarbeiteten Bericht veröffentlichte die BRAK mit einigen Wochen Verzug.

Hat die BRAK Angst vor einer Blamage?

Kritiker warfen der BRAK darauf Intransparenz und Vertuschungstaktik vor. Den ursprünglichen Bericht habe die BRAK nur deshalb nicht zur Veröffentlichung freigegeben, um eine Bloßstellung wegen der entdeckten gravierenden Sicherheitslücken im beA zu vermeiden.

Demgegenüber verwies die BRAK darauf, man habe mit der Secunet Vertraulichkeit vereinbart, da der ursprüngliche Bericht Betriebs- und Geschäftsgeheimnisse des Unternehmens offenbare. Auch wegen der offensichtlichen handwerklichen Mängel des Gutachtens sei die Veröffentlichung des ursprünglichen Berichts unterblieben. Mit Intransparenz habe dies nichts tun.

VG bejaht Anspruch auf Offenlegung des Erstgutachtens

Das Berliner Verwaltunggericht ließ sich von der Verweigerungshaltung der BRAK nicht überzeugen. Das VG kam zu dem Schluss, dass dem Kläger gemäß § 1 Abs. 1 Satz 1 IFG ein Anspruch auf Offenlegung des Gutachtens zusteht. Nach § 1 IFG habe jedermann gegenüber den Behörden des Bundes einen Anspruch auf Zugang zu amtlichen Informationen.

  • Die BRAK sei eine Bundesbehörde im Sinne dieser Vorschrift (OVG Berlin-Brandenburg, Beschluss v. 24. 5. 2017, 12 N 72.16).
  • Der Abschlussbericht sei auch eine amtliche Information im Sinne des Gesetzes.
  • Dieser Begriff umfasse jede amtlichen Zwecken dienende Aufzeichnung. Der Abschlussbericht gehöre dazu.

Ausschlussgründe nicht stichhaltig

Das VG ließ die von der BRAK vorgetragenen Einwände nicht gelten und monierte,

  • die BRAK habe keinerlei Unterlagen vorgelegt, aus denen die behauptete Vertraulichkeitsvereinbarung mit Secunet hervorgehe,
  • auch eine konkludente Vereinbarung von Vertraulichkeit sei nicht erkennbar, zumal die BRAK schon vor Vorlage des Gutachtens erklärt habe, dieses veröffentlichen zu wollen.

Eine besondere Vertraulichkeit stehen dem Anspruch auf Einsichtnahme daher gemäß § 3 Nr. 7 IFG nicht entgegen.

Schützenswertes Geheimhaltungsinteresse nicht erkennbar

Geschäfts- und Betriebsgeheimnisse von Secunet enthält das Gutachten nach Auffassung des VG ebenfalls nicht, insbesondere sei die Erkennbarkeit der Methodik und Arbeitsweise von Secunet kein Geschäftsgeheimnis im eigentlichen Sinne, ebensowenig die von der BRAK behaupteten handwerklichen Fehler, denn sonst dürften fehlerhafte Gutachten grundsätzlich nicht veröffentlicht werden. Ein objektiv schützenswertes Interesse an der Wahrung der Geheimhaltung bestehe daher in einem solchen Fall nicht (BVerwG, Urteil v. 30.3. 2017, 7 C 19.15).  

Keine entgegenstehenden Urheberrechte

Auch der Schutz geistigen Eigentums steht nach Auffassung des VG einer Veröffentlichung gemäß § 6 IFG nicht entgegen. Die Nutzungsrechte an einem gegen Entgelt erstellten Gutachten gingen nämlich regelmäßig gemäß § 31 Abs. 5 Satz 2 UrhG auf den Auftraggeber über, zumal zwischen den Parteien bereits ursprünglich die Veröffentlichung des Gutachtens vereinbart worden war.

Verweigerungshaltung der BRAK nicht gerechtfertigt

Im Ergebnis war die Verweigerung der Offenlegung durch die BRAK nach Auffassung des VG durch keines der seitens der BRAK vorgetragenen Argumente gerechtfertigt. Das VG gab der Klage daher statt.

Das Urteil ist noch nicht rechtskräftig

(VG Berlin, Urteil v. 26.6. 2019, 2 K 179/18).

Weitere News zum Thema:

Ende der Postfach-Pause - Beginn der passiven Nutzungspflicht

Verfassungsbeschwerde gegen beA abgewiesen

Hinweise:

Sonderumlage: 

Auf die von den Rechtsanwälten für das beA für das Jahr 2018 erhobene Sonderumlage in Höhe von 58 Euro dürfte das Urteil keine Auswirkungen haben, auch wenn die Offenlegung des Erstgutachtens zu neuen Erkenntnissen hinsichtlich möglicher Fehler bei der Einrichtung des beA führen sollte. Die Sonderumlage wurde inzwischen vom BGH für rechtens erklärt (BGH, Beschluss v. 23 2019, AnwZ 15/19 → Sonderumlage zum beA ist rechtens).

Verschlüsselung:

Die von Externen entdeckten beA-Sicherheitsprobleme, die nach dem Abhängen des Anwaltspostfachs auch schon dazu führten, dass das dem beA angegliederte Anwaltsregister vorübergehend vom Netz musste, hatten den Argwohn in der Anwaltschaft geweckt. Eine Gruppe von Anwälten hatte deshalb April über die Gesellschaft für Freiheitsrechte ein Crowdfunding für eine Klage gegen die BRAK zur Durchsetzung einer E2EE-Verschlüsselung angestoßen.

Schlagworte zum Thema:  BeA, Gutachten