Pflicht zur E-Mail-Verschlüsselung in Rechtsanwaltskanzleien | Recht

Haufe Online Redaktion

Schloss Digital — Bild: Yuichiro Chino Für die E-Mail-Kommunikation mit der Mandantschaft trifft Anwälte eine Verschlüsselungspflicht.

In vielen Anwaltskanzleien wird die Kommunikation mit der Mandantschaft noch immer mittels unverschlüsselter E-Mails durchgeführt. Diese Praxis verstößt jedoch gegen die DSGVO, insbesondere Art. 32.

In seinem 7. Jahresbericht beschäftigt sich der Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit (BLfDI) auch mit dem Thema E-Mail-Verschlüsselung bei Rechtsanwälten. Der Landesbeauftragte weist ausdrücklich darauf hin, dass die Einholung von Erklärungen von Kommunikationspartnern, dass sie mit der Übersendung per E-Mail einverstanden seien, nicht zu einer Rechtmäßigkeit einer unverschlüsselten E-Mail-Kommunikation führt. Er benennt aber auch datenschutzkonforme Alternativen.

Einverständniserklärungen entbinden Rechtsanwälte nicht von der Verschlüsselungspflicht

Aufgrund zahlreicher kritischer Nachfragen äußert sich der Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit (BLfDI) in seinem 7. Jahresbericht erneut zum Thema der E-Mail-Verschlüsselung bei Rechtsanwälten. Darin bekräftigt er die Pflicht zur Verschlüsselung der gesamten E-Mail-Kommunikation mit Mandanten. Vorsorglich weist er dabei darauf hin, dass die oft geübte Praxis, bei der Mandantschaft Einverständnisklärungen für die Übersendung von E-Mails einzuholen, Rechtsanwälte nicht von der Verschlüsselungspflicht entbindet. Die Einverständniserklärungen führen ausdrücklich nicht „zu einer datenschutzrechtlichen Rechtmäßigkeit einer unverschlüsselten oder transportverschlüsselten E-Mail-Kommunikation“. Der BLfDI begründet dies damit, dass es sich bei der Verschlüsselung von E-Mails um technisch-organisatorische Maßnahmen handelt, „die gerade nicht zur Disposition des Einzelnen stehen“ und verweist auf einen Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO.

Alternativen Kanzleisoftware oder Ende-zu-Verschlüsselung von E-Mails

Als datenschutzrechtlich einwandfreie Alternative zur reinen E-Mail-Kommunikation nennt der BLfDI die Portal-Varianten, die von vielen Kanzleisoftware-Produkten angeboten werden. Dabei richten die Rechtsanwälte über die Kanzleisoftware ein Aktenportal ein, in das sie Nachrichten oder Dokumente einstellen, die den Mandanten übermittelt werden sollen. Die Mandanten erhalten Zugangsdaten, mit denen sie sich in das Portal einloggen und die Inhalte einsehen und herunterladen können. Die Unterrichtung über Nachrichten oder Dokumente, die im Portal abgelegt wurden, erfolgt über E-Mails, die allerdings außer dem Hinweis, dass neue Inhalte hinterlegt wurden, keine weiteren Angaben enthalten. Umgekehrt haben auch die Mandanten die Möglichkeit, über das Portal Nachrichten und Dokumente mit ihren Rechtsanwälten auszutauschen. Die Portal-Kommunikation erfolgt in jedem Fall verschlüsselt.

Soll die Kanzlei-Kommunikation weiter per E-Mail erfolgen, weist der BLfDI darauf hin, dass eine Ende-Zu-Ende-Verschlüsselung von E-Mails, insbesondere via Secure / Multipurpose Internet Mail Extensions (S/MIME) oder Pretty Good Privacy (PGP), akzeptabel ist.

Weiterführende Informationen:

7. Jahresbericht des Bremer Landesbeauftragten für Datenschutz nach der Europäischen Datenschutzgrundverordnung vom 28. März 2025

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen vom 24. November 2021