Aktuell in CR

Warum Anwälte nach der DSGVO nicht (zwingend) Ende-zu-Ende verschlüsselt kommunizieren müssen (Keppeler, CR 2019, 18)

Wie müssen Anwälte, andere verkammerte Berufsträger und Unternehmen ihre E‑Mails nach der DSGVO verschlüsseln? Diese Frage wird von unterschiedlichen Seiten (Datenschutzaufsichtsbehörden wie etwa LDI NRW; Softwareanbietern, Vereinen und Verbänden) derzeit mit einem Fokus auf Anwälte auf die Agenda gesetzt. Die DSGVO mit ihrer Androhung von Millionenbußgeldern führt zu einer neuen Aktualität in der bereits seit fast 20 Jahren geführten Debatte.
Die Verschlüsselung von E‑Mails isoliert (also unabhängig von sonstigen Sicherheitsmaßnahmen und ohne Analyse des konkreten Schutzbedarfes) zu bewerten und dabei nur die Grobeinteilung „Transportverschlüsselung“ und „Ende-zu-Ende“ zu verwenden, ist nicht zielführend.
Der Beitrag zeigt, dass bei einem ausreichenden Sicherheitsniveau sowohl im Kanzlei- als auch im Mandantennetzwerk eine Transportverschlüsselung einer E‑Mail auch bei der Versendung sensibler Daten ausreicht. Nebenher hat der Beitrag die Funktion, die angesichts der sehr abstrakten Formulierung von Art. 32 DSGVO bestehenden Subsumtionsschwierigkeiten anhand eines Praxisbeispiels durchzuspielen.

Praxisprobleme in der Anwendung von Art. 32 DSGVO

Inhaltsverzeichnis:

I. Aktuelle Treiber der Debatte

II. Unterschied zwischen Transport und Ende-zu-Ende Verschlüsselung

1. Transportverschlüsselung

2. Ende-zu-Ende Verschlüsselung

3. Wertungen des Gesetzgebers

4. Keine Verschlüsselung beim beA

III. Ansatz der Datenschutzaufsicht und berufliches Echo

1. Strenger Ansatz der Datenschutz-Aufsichtsbehörden

2. Reaktionen on Anwaltskammern und Anwaltsverein

IV. Praxisprobleme der Prüfung von Art. 32 DSGVO

1. Schutzbedarfsanalyse

a) Welche Risiken sind relevant
b) Um welche Daten geht es - Subsumtion nur im konkreten Einzelfall mögliich
c) Bewertung der Risiken und der Schwere möglicher Schäden
d) Einteilung der Risiken

2. Abwägungs- und Wertungsaufgabe angesichts der Technikneutralität - der schwere Stand der Technik

3. (IT-)Sicherheit kann nur ganzheitlich berachtet werden

a) Welches Sicherheitsniveau?
b) Für welche Daten?

V. Fazit


I. Aktuelle Treiber der Debatte

[1] Die Frage, ob eine EMail aus datenschutzrechtlichen Vorgaben (vormals vor allem § 9 BDSG) aufgrund strafrechtlicher Normen (vor allem § 203 StGB) oder berufsrechtlichen Gründen (bei Anwälten etwa § 43a Abs. 2 BRAO, § 2 BORA) verschlüsselt werden muss, wird spätestens seit 2001 diskutiert. 1  Getrieben durch verschiedene Entwicklungen, wird die Diskussion derzeit besonders intensiv belebt: Die immer weiter voranschreitende Digitalisierung und das damit einhergehende Wachstum der Cyber-Kriminalität sind sicher ein Treiber. 2  Gerade Juristen beschäftigen sich vor dem Hintergrund der langwierigen Einführung des besonderen elektronischen Anwaltspostfaches (beA) intensiver als zuvor mit der Sicherheit digitaler Kommunikation. 3  Insgesamt widmeten viele Anwälte in den vergangenen Jahren dem Thema eher wenig Interesse, vorwiegend wohl, weil in der Praxis weder eine datenschutzrechtliche, eine berufsrechtliche noch eine strafrechtliche Rechtsverfolgung aufgrund mangelnder EMail-Verschlüsselung stattgefunden hat. Seit die DSGVO mit ihren für viele Anwälte, Steuerberater und Unternehmen existenzbedrohenden Millionenbußgeldern am Horizont erschien, wuchs das Interesse an der Frage der richtigen Verschlüsselung enorm. Einen vorläufigen Höhepunkt erreichte die Diskussion um die Verschlüsselungspflicht Anfang 2018, als die eBlocker GmbH im Zuge der Unzufriedenheit mit der (nicht) Verschlüsselung durch Anwälte 4  eine Anfrage an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit stellte (hierzu Rz. 7 ff. unten). Neben zahlreichen Diskussionen im Internet, 5  wurde das Thema dankbar von Anbietern von Verschlüsselungssoftware und von entsprechenden „Cyber-Versicherungen“ für Berufsgeheimnisträger werbewirksam genutzt. 6

II. Unterschied zwischen Transport und Ende-zu-Ende Verschlüsselung

1. Transportverschlüsselung

[2] Eine Transportverschlüsselung wird auf Ebene eines Servers geöffnet, bevor die entsprechende EMail von dem Server (wiederum transportverschlüsselt) an den Client (also z.B. einen Computer mit Outlook oder einem Smartphone mit einer entsprechenden EMail-Client-Software) weitergleitet wird. Eine solche Transportverschlüsslung wird heute typischerweise über das TLS-Protokoll realisiert. Der große Vorteil daran ist, dass ein Anwender keine separaten Schritte mehr für die Verschlüsslung unternehmen muss, wenn die EMail Server das TLS-Protokoll in einer aktuellen Version unterstützen. Die EMail Server vieler Anwaltskanzleien und von sehr vielen Unternehmen unterstützen dieses Protokoll. Schon im März 2014 machten die Webmail-Provider „GMX“, „Web.de“ „Freenet“ und „T-Online“ darauf aufmerksam, dass sie nur noch eine EMail Kommunikation zulassen, die TLS verschlüsselt ist. 7  Dies zeigt die enorme Verbreitung von TLS auch außerhalb der Unternehmenswelt.

2. Ende-zu-Ende Verschlüsselung

[3] In manchen Situationen erscheint eine „Transportverschlüsselung“ allerdings zu unsicher, wenn man etwa selbst nicht kontrollieren kann, ob der Server eines Kommunikationspartners gehackt ist, die Administratoren dort absichtlich Einsicht in die auf dem Server unverschlüsselt liegende Kommunikation nehmen oder auf Empfängerseite womöglich Zugriffsrechte für Personen eingerichtet sind, die keine Kenntnis von dem Inhalt erhalten sollen. Dieses Problem umgeht die Ende-zu-Ende Verschlüsselung, welche die Entschlüsselung einer EMail nur auf einem bestimmten Client (also etwa ein bestimmter PC mit Outlook oder eine EMail-Client-App auf einem Smartphone) zulässt. Hierfür sind eine manuelle Einrichtung der Schlüssel und die Verwendung derselben Technologie bzw. Software durch Versender und Empfänger notwendig (typischerweise PGP oder S/MIME).

[4] Das „mehr“ an Sicherheit der Ende-zu-Ende Verschlüsselung erkauft man sich mit praktischen Problemen, die im besten Falle unkomfortabel sind, aber in anderen Fällen zu ernstzunehmenden Schwierigkeiten führen. Um nur einige zu nennen:

  • Geringe Verbreitung: Da die Technologien nicht sehr verbreitet sind und die Erstinstallation zu Aufwand führt, ist die Akzeptanz bei vielen Mandanten (sowohl bei Unternehmen als auch bei Privatpersonen) häufig sehr gering. Eine technisch nicht affine Privatperson ist typischerweise überfordert und nicht bereit für die Hilfe eines IT-Dienstleisters Geld auszugeben.
  • Inconvenience: Der Zeitfaktor spielt bei vielen Mandaten eine entscheidende Rolle und es werden auch am Wochenende (wenn weder im Unternehmen noch in der Anwaltskanzlei ein Administrator verfügbar ist) ein Mandat begonnen oder neue Kommunikationsteilnehmer hinzugefügt.
  • Übliche zusätzliche Speicherung außerhalb der sicheren Kommunikation: Auf die Ende-zu-Ende verschlüsselte EMail, die ausschließlich im Postfach eines später aus der Sozietät ausgeschiedenen Anwalts lag, kann später niemand mehr zugreifen; zur Vermeidung späterer möglicherweise Haftungsfälle und zur Erfüllung der Aktenführungspflicht werden Daten also ausgedruckt oder (immer häufiger) in digitalen Akten gespeichert (in diesem Fall ist aber der Sicherheitsvorteil der Ende-zu-Ende Verschlüsslung gegenüber einem Angreifer, der sich Zugang zum IT-System (oder zum Gebäude) verschafft hat, vollständig aufgehoben).
  • Eingeschränkte Interoperabilität: Für manche Verschlüsselungstechnologien ist keine Client-Software für Smartphones/Tablets verfügbar, so dass das mobile Arbeiten stark eingeschränkt sein kann.

3. Wertung des Gesetzgebers

[5] Schon aus den genannten Gründen hat sich die Ende-zu-Ende Verschlüsslung bislang weder in Anwaltskanzleien, noch bei anderen Berufsgeheimnisträgern, in Unternehmen oder bei Privatpersonen flächendeckend durchgesetzt. Auch die durch den Gesetzgeber aufgrund der geringen Akzeptanz des EGVP geschaffene „De-Mail“ bietet in der Standard-Variante eine Transportverschlüsselung an, die auf TLS basiert. Dass jeder beteiligte Kommunikationsteilnehmer TLS-verschlüsselt, genügt dem Gesetzgeber, um qua Gesetz von der „Vertraulichkeit“, der „Integrität“ und der „Authentizität“ der Kommunikation auszugehen (Siehe § 1 Abs. 1 und § 5 Abs. 3 De-Mail-Gesetz). 8

4. Keine Verschlüsselung beim beA

[6] Entgegen der eigenen Aussage der Bundesrechtsanwaltskammer in 2017 9  muss man zudem feststellen, dass auch bei dem beA streng genommen keine Ende-zu-Ende Verschlüsselung besteht, da auf einem zentralen Server zumindest der Entschlüsselungskey für die verschlüsselte Nachricht entschlüsselt vorliegt (ansonsten müssten alle Teilnehmer zunächst den Schlüssel des jeweiligen Kommunikationspartners erhalten, um die Nachricht zu lesen). 10  Auch Branchenlösungen von namhaften Anbietern, wie etwa die DATEV EMail Verschlüsselung, die bei Steuerberatern umfangreich im Einsatz ist, passten die Verschlüsselung automatisch an die Möglichkeiten des Kommunikationspartners an. 11  Mit einer Vielzahl an Unternehmen und privaten Klienten von Steuerberatern ereignet sich somit in der Praxis keine Ende-zu-Ende Verschlüsselung.

III. Ansatz der Datenschutzaufsicht und berufsrechtliches Echo

1. Strenger Ansatz der Datenschutz-Aufsichtsbehörden

[7] Die jüngeren Beiträge der Aufsichtsbehörden drehen sich vor allem um die Frage, ob eine „Transportverschlüsselung“ ausreichend ist, oder eine „Ende-zu-Ende“ Verschlüsselung gefordert werden muss. 12  Dass eine EMail grundsätzlich verschlüsselt werden muss, scheint für die Behörden außer Frage zu stehen. 13  So hat etwa der Landesdatenschutzbeauftragte Hamburgs im Januar 2018 in Beantwortung der oben angesprochenen Anfrage zur Verschlüsselungspflicht bei Berufsgeheimnisträgern ausgeführt, dass eine unverschlüsselte Versendung „bedenklich“ und „ungeeignet“ sei und somit wohl einen Verstoß gegen § 9 BDSG-alt darstelle. 14  Selbst der Betroffene könne bei sensiblen personenbezogenen Daten nicht in die unverschlüsselte Kommunikation einwilligen. 15  Aus datenschutzrechtlicher Sicht sei generell eine „Ende-zu-Ende Verschlüsselung zu bevorzugen.“ 16  Empfohlen wird das De-Mail-Verfahren, das grundsätzlich eine „Transportverschlüsselung“ bietet und sich auf eine Ende-zu-Ende Verschlüsselung erweitern lässt. 17  Eine Verpflichtung zur Verwendung einer Ende-zu-Ende Verschlüsselung formulierte der Hamburgische Datenschutzbeauftragte jedoch nicht.

[8] Strenger sieht dies die Landesdatenschutzbeauftragte NRW in einer aktuellen Stellungnahme zu dem Thema speziell vor dem Hintergrund von Art. 32 DSGVO. Jedenfalls bei Daten mit sehr hohem Schutzbedarf, „insbesondere die in Art. 9 Abs. 1 DS-GVO genannten“ Daten, „ist eine Ende-zu-Ende-Verschlüsselung erforderlich“, so die Vorgabe aus Düsseldorf. 18  Besonders brisant ist diese kurze Stellungnahme weil sie sich nicht auf Berufsgeheimnisträger, sondern generell an alle nicht-öffentlichen Stellen richtet.

2. Reaktionen von Anwaltskammern und Anwaltsverein

[9] Die Anwaltskammern haben bislang keine Empfehlungen oder Vorgaben zur Verschlüsselung vorgestellt. Es findet sich aber in jüngster Zeit vermehr der Hinweis, dass die Spezialmaterie des Mandatsgeheimnisses rein berufsrechtlicher Natur ist und sich somit der Beurteilung durch die Datenschutzaufsichtsbehörden entziehe. 19  Dies, so der Hinweis der Anwaltskammern, habe auch das BVerfG bestätigt. 20

[10] Der Deutsche Anwaltverein hält eine Ende-zu-Ende Verschlüsselung für Anwälte „wichtig“, da ansonsten Daten auf „Zwischen- oder Endstationen (Servern) in entschlüsselter Form“ vorliegen können. Insofern wird auch die „De-Mail“ dann empfohlen, wenn beide Kommunikationspartner das Zusatzmodul für Ende-zu-Ende Verschlüsslung gebucht haben. 21

CR 2019, 21

IV. Praxisprobleme der Prüfung von Art. 32 DSGVO

[11] Art. 32 DSGVO stellt den Rechtsanwender vor eine komplexe Prüfungsaufgabe, die pauschale Antworten auf die Art der EMail-Sicherung (Transport oder Ende-zu-Ende) ebenso verbietet wie eine pauschal abweichende Bewertung bei besonderen Kategorien von besonderen Daten nach Art. 9 DSGVO. Insgesamt erscheint eine separate Prüfung der Kommunikationsmethode ohne eine gleichzeitige Bewertung der übrigen Sicherheitsmaßnahmen weder zielführend noch konform mit Art. 32 DSGVO.

[12] Praxisprobleme ergeben sich hier auf mindestens zwei Ebenen: Zum einen erweist sich die Handhabung der Tatbestandmerkmale von Art. 32 DSGVO als häufig zu ungenau für eine präzise Subsumtion. Große Wertungsspielräume sind die Folge. Um diese Wertungen adäquat auszufüllen, wäre ein umfangreiches Datenmaterial (über die Häufigkeit von Sicherheitsvorfällen, Hackings und anderen Datenpannen und über die Auswirkung derselben bei Betroffenen) sehr wertvoll. Gerade dies steht aber in vielen Fällen nicht zur Verfügung, so dass die Wertung vielfach „im luftleeren Raum“ stattfinden muss.

[13] Die hier aufgezeigten Praxisprobleme dürften sich so oder so ähnlich auch außerhalb der Frage nach Verschlüsselung von Kommunikation und außerhalb von Anwaltskanzleien stellen, so dass der Beitrag ab hier den Anspruch erhebt, allgemeine Probleme in der Anwendung von Art. 32 DSGVO offenzulegen.

1. Schutzbedarfsanalyse

[14] Ausgangspunkt einer Prüfung von Art. 32 DSGVO muss eine Vorstellung davon sein, vor welchen Risiken die zu implementierenden technischen und organisatorischen Maßnahmen schützen sollen. 22  (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht

Verlag Dr. Otto Schmidt vom 09.01.2019 15:41

zurück zur vorherigen Seite