Laut BGH ist beA auch ohne Ende-zu-Ende-Verschlüsselung  sicher

Mit dem Zirkelschluss "sicher ist sicher" hat der BGH die Klage mehrerer Rechtsanwälte auf Einführung einer echten Ende-zu-Ende-Verschlüsselung (E2EE) für die Kommunikation über das beA abgewiesen. Der BGH bewertet das besondere elektronische Anwaltspostfach in seiner jetzigen Form als sicher im Rechtssinne.

Seit Beginn der Einführung des beA wurden nicht nur aus der Anwaltschaft massive Bedenken hinsichtlich der Sicherheit des Systems geäußert. Die wiederholte Bewerbung des beA seitens der BRAK mit der Aussage, das beA sei sicher, denn es sei Ende-zu-Ende verschlüsselt, stellte sich schon früh als falsch heraus.

Rechtsanwälte klagten auf Ende-zu-Ende-Verschlüsselung

Dies nahmen sieben Rechtsanwälte zum Anlass, beim AGH Berlin eine Klage einzureichen mit dem Antrag, es der BRAK zu untersagen, das beA ohne eine echte Ende-zu-Ende-Verschlüsselung (E2EE) zu betreiben. Zur Begründung führten sie aus,

  • die Sicherheitsarchitektur des beA sei mangelhaft und verstoße gegen Sicherheitsanforderungen u.a. des § 20 RAVPV, wonach die BRAK eine sichere Kommunikation entsprechend dem Stand der Technik zu gewährleisten habe.
  • Die von der BRAK verwendeten Hardware-Security-Module (HSM) entsprächen nicht dem aktuell möglichen Sicherheitsstandard, da sie - anders als bei der E2EE-Verschlüsselung die die Nachricht verschlüsselnden Nachrichtenschlüssel nicht direkt an den Empfänger übermitteln.
  •  Die Inhalte sind zwar verschlüsselt, werden aber im Rechenzentrum umgeschlüsselt. 
  • Hier liege eine echte Sollbruchstelle für Angriffe durch kriminelle oder staatliche Stellen sowohl aus dem In- wie auch aus dem Ausland.

Klage auf E2EE-Verschlüsselung für beA über zwei Instanzen erfolglos

Der AGH sah entgegen der Auffassung der Kläger keine Lücken in der Sicherheitsarchitektur des beA und wies die Klage ab (VGH Berlin, Urteil v. 14.11.2019, I AGH 6/18). Der BGH bestätigte nun die Berliner Entscheidung.

Kein Anspruch auf Wahl einer bestimmten Verschlüsselungstechnik

Wie schon der AGH bewertete auch der BGH die derzeitige Sicherheitsarchitektur des beA als sicher im Rechtssinne. Gemäß §§ 31a BRAO, 19, 20 RAVPV habe die BRAK eine sichere Nutzung des beA durch die Anwaltschaft und die weiteren Berechtigten sicherzustellen. Bei der Auswahl und der technischen Umsetzung der verwendeten Sicherheitstechnik, stehe der BRAK ein gewisser Spielraum bei der Auswahl zwischen verschiedenen, im Rechtssinne sicheren Kommunikationsmöglichkeiten zu. Einen Anspruch auf die Wahl einer bestimmten Sicherheits- und Verschlüsselungstechnik bestehe innerhalb dieses Auswahlrahmens seitens der Anwaltschaft nicht.

Eventuelle Sicherheitsrisiken beim HSM sind behebbar

Die Anwaltschaft hat nach der Entscheidung des BGH allerdings einen Anspruch auf die Wahl einer im Rechtssinne sicheren Verschlüsselungstechnik. Insofern hat das Verfahren nach Auffassung des BGH aber ergeben, dass die von den Klägern geforderte Ende-zu-Ende-Verschlüsselung im Sinne der europäischen Patentschrift EP 0 877 507 B1 nicht die alleinige, im Rechtssinne sichere Technik zur Verschlüsselung der Kommunikation über das beA darstellt. Vielmehr sei die von der BRAK gewählte Methode eine im Rechtssinne sichere Alternative, die keine nicht behebbaren Sicherheitsrisiken aufweise. Soweit Sicherheitsrisiken bei der jetzigen Ausführung nicht völlig auszuschließen seien, seien diese technisch kurzfristig behebbar.

Ende-zu-Ende Verschlüsselung auch verfassungsrechtlich nicht geboten

Da die von der BRAK gewählte Sicherheitstechnik im Rechtssinne sicher ist, ist die von den Klägern geforderte Ende-zu-Ende- Verschlüsselung nach Auffassung des BGH auch nicht aus verfassungsrechtlichen Gründen geboten. Die derzeit installierte Verschlüsselungsmethode beeinträchtige weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zu den Mandanten, denn die Verschlüsselungstechnik sei im Rechtssinne nicht zu beanstanden.

Mit diesen Erwägungen, die IT-Sicherheit durch Rechtssicherheit ersetzt  bestätigte der BGH die Entscheidung der Vorinstanz.

(BGH, Urteil vom 22.3.2021, AnwZ (Brfg) 2/20)

Hintergrund:

Nicht nur die Sicherheitsarchitektur des beA, sondern auch der störungsfreie Betrieb machen immer noch Probleme. Hinweise auf aktuelle Störungen sind im Netz unter https://portal.beasupport.de/external/c/aktuelles abrufbar.

Weitere News zum Thema:

Nicht zugestellter Schriftsatz wegen unzulässiger Dateibezeichnung im beA

Heilung anwaltlicher Formfehler im elektronischen Rechtsverkehr

Der elektronische Rechtsverkehr mit der Justiz steht durch "eBO" bald jedem offen