04.10.2021

Compliance in den Zeiten der Cholera

Portrait von Christian Franz, LL.M.
Christian Franz, LL.M. Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz

Die Bundesrechtsanwaltskammer (BRAK) hat über Jahre falsche Angaben zur Rechtssicherheit der Nutzung des „besonderen elektronischen Anwaltspostfachs“ gemacht. Statt das Problem zu beheben, verzichtet man nun einfach auf ein wesentliches Compliance-Versprechen. Wer sich bislang auf die Angaben verließ, hatte über Jahre hinweg ein unerkanntes Haftungsrisiko.

Márquez mag mir verzeihen, aber die Anleihe an seinen berühmten Roman im Titel trifft es: Das „besondere“ „elektronische“ Anwalts-„Post-“-Fach (beA) ist eine Seuche. Die Digitalisierung der anwaltlichen Kommunikation versprach drei Dinge: Vereinfachung, erhöhte Sicherheit, Geschwindigkeit. Nichts davon hat das beA erreicht. Es ist bis heute (erheblich) einfacher, einen Schriftsatz per Briefpost einzureichen. Es ist auch sicherer, denn beim beA schaut die BRAK und ihr Dienstleister der Saison in jede einzelne Nachricht. Und der Ablauf per Post ist schneller, denn die Postausgangs- und die daran geknüpfte Fristwahrungskontrolle geschieht binnen weniger Sekunden anhand jahrhundertealter, erprobter Prozesse.

Damit verblieben im direkten Vergleich nur zwei marginale Vorteile:

Die Übertragungsgeschwindigkeit ist nominell schneller. Nominell, weil die Gerichte noch nicht so weit sind: In eiligen Angelegenheiten bitten sie bis heute um Faxversand, weil elektronische Posteingänge meist in zentralen Stellen ausgedruckt werden und damit erst mehrere Tage nach Eingang dem Gericht vorliegen.

Der andere Vorteil sei – nach bisherigen Angaben der BRAK - die im Vergleich zu bisherigen Abläufen höhere Rechtssicherheit durch elektronische Protokolle. Die BRAK schreibt (bis heute, Stand 2. Oktober 2021):

„Eine effektive Postausgangskontrolle ist das A und O, um Haftungsfälle in der Kanzlei zu vermeiden. Davon hatten wir es ja gerade… Dabei kann das beA Sie wunderbar unterstützen. Denn alle Vorgänge werden umfassend protokolliert und Eingangsbestätigungen dokumentieren rechtssicherer den fristgemäßen Versand als ein Postausgangsbuch nach herkömmlicher Art.“

Quelle: https://brak.de/zur-rechtspolitik/newsletter/bea-newsletter/2017/ausgabe-35-2017-v-31082017.news.html#hl144433

Und das gehe so:

„Es wird zu jeder Nachrichten ZIP-Datei eine Signaturdatei (p7s-Datei) erstellt. Diese Signaturdatei stellt sicher, dass der Inhalt dieser ZIP-Datei nicht mehr geändert werden kann, ohne dass eine Signaturprüfung zu einem Fehler führen würde. Sowohl ZIP-Datei als auch Signaturdatei müssen gemeinsam abgespeichert werden, um zu einem späteren Zeitpunkt einen rechtssicheren Nachweis über die Authentizität und Integrität der ZIP-Datei führen zu können. Es bietet sich daher an, die ZIP-Datei zusammen mit der Signaturdatei in einem dedizierten Ordner zur Archivierung abzulegen.“

Quelle: https://www.bea-brak.de/xwiki/bin/view/BRAK/Nachricht%20exportieren/

Und das ist falsch! Das gab die BRAK auf unsere Anfrage hin mit E-Mail vom 1. Oktober 2021 zu. Die Signaturdatei erfülle keine sinnvolle Funktion und wurde daher mit dem am 29. September 2021 eingespielten Update zur Version 3.8 ersatzlos gestrichen.

Es ist etwas technisch, aber es lohnt sich, die Abläufe einmal aus Sicht eines Praktikers zu beleuchten, dessen berufliche Existenz ja davon abhängt, dass sie das liefern, was er erwartet. Daher in ein wenig mehr Detail:

Ausgangspunkt: Was war das Versprechen?

Das beA sollte eine Digitalisierungsdividende auch für die Anwälte bringen. Dazu gehörte das Ende des Gehampels mit Fax-Sendeberichten und Wiedereinsetzungsanträgen: Künftig sollte feststehen, ob und wann wer was eingereicht hat. Zugegeben: Die Medaille hat zwei Seiten, und sicher nicht ganz zu Unrecht vermutete die Rechtsprechung, dass manch menschlicher Fehler auf „technische Probleme“ geschoben wurde, die es nicht gab. Weltweit gibt es wohl keine Berufsgruppe, die sich so intensiv mit den Feinheiten des Faxversands auseinandergesetzt hat, wie deutsche Anwälte. Aber: Oft genug waren eben doch technische Probleme Ursache für gravierende Justizgrundrechtsverkürzungen – weil Faxe nicht richtig ausgedruckt wurden, weil die Justizverwaltung im 21. Jahrhundert nicht in der Lage war, genügend offene Leitungen zu ihrem Fax-Gateway zur Verfügung zu stellen oder schlicht eine Einreichung per E-Mail zu gestatten (Faxe sind heutzutage in Sende- wie Empfangsrichtung zu 95% E-Mails – wenn das jemand einem Richter erzählt, der Wiedereinsetzungsverfahren bearbeitet, verpufft er zu einem Logikwölkchen, wie hier geschehen).

Jedenfalls: Rechtssicherheit ist ein Wert an sich; und das beA ist angetreten, sie zu gewährleisten. Daher hatte die BRAK seit dem Start des beA erklärt, dass der Nachweis der wirksamen Einreichung fristwahrender Eingaben durch Anwälte künftig dank des beA unwiderleglich möglich sei.

IT kann sowas. Die Schilderung der BRAK war daher plausibel: Wenn das von der BRAK betriebene System wie auch der empfangende Gegenpart (der sogenannte „Intermediär“) die Integrität und damit den Inhalt und den Zeitpunkt einer Einreichung durch eine signierte Zip-Datei bestätigen, stehen damit zwei Dinge fest: Dass das Sender-System den Inhalt der Zip-Datei an die Systeme der Gerichte übermittelt hat und dass diese Empfänger-Systeme den Eingang bestätigt haben.

Damit bestünde ein kaum widerleglicher Beweis, und wenn auf Gerichtsseite mal wieder der 1994er LaserJet beim Ausdrucken des Schriftsatzes in schwarz-weiß (kein Witz: das passiert) abbrennt, ist das nicht das Problem des um Rechtsschutz nachsuchenden Grundrechtsträgers (oder dessen Anwalts).

Seit Start des beA behauptete die BRAK, dass sie so verfahre. Und sie hat gelogen. Wobei man sagen muss: Mit überwiegender Wahrscheinlichkeit war sie einfach nicht schlauer als der Autor dieser Zeilen und ist einer Falschdarstellung ihres Dienstleisters auf den Leim gegangen. Denn wer überprüft denn ohne Anlass und (vor allem) die erforderliche Kenntnis des OSCI-Protokolls, ob eine Prüfung der (bislang) mitgelieferten Signatur die erforderliche Bestätigung erbringt? Man geht als Laie davon aus, dass die BRAK schon gewährleistet, was sie verspricht, und man im Streitfall irgendwie per Sachverständigem belegen kann, dass die Zustellung korrekt abgelaufen ist.

Das aber war nie möglich. Obwohl die BRAK etwas anderes behauptet hat.

Was geändert wurde

Die BRAK hat sich nach eigenen Aussagen (mit E-Mail vom 1. Oktober 2021) noch einmal der Sach- und Rechtslage gewidmet. Sie lässt die bislang mit ausgelieferte Signaturdatei künftig einfach weg. Weil sie keinen Beweiswert hatte. Fast vier Jahre lang nicht, trotz der Empfehlung, sie aus genau diesem Grund akribisch zu archivieren und die entsprechenden Prozesse zu überwachen und zu dokumentieren.

Was ist die Folge?

Nach Ansicht der BRAK gewährleistet der Export eine hinreichende Beweissicherheit. Die Zip-Datei enthalte nämlich eine „Zustellantwort“ des Gerichts (technisch: des „Intermediärs“). Die sei mit dem kryptographischen Schlüssel des Empfängers signiert, und damit sei der Eingang der Nachricht beweissicher dokumentiert.

Aber auch das stimmt nicht. Wir haben (mit sachverständiger Hilfe) die Informationen, die das beA im Rahmen des Exports zur Verfügung stellt, geprüft. Und in einem Punkt hat die BRAK Recht: Die „Zustellantwort“ belegt in der Tat, dass eine beA-Nachricht zu einem bestimmten Zeitpunkt erfolgreich an das System des Gerichts (den „Intermediär“) übermittelt wurde.

Das Problem ist allerdings: Mehr auch nicht. Und das macht den angeblichen Beweiswert zunichte.

Die „Zustellantwort“ nimmt nämlich keinerlei Bezug auf die mit Hilfe der Nachricht als Anhang eingereichten PDF-Dateien. Und nur auf die kommt es an. Damit beweist die „Zustellantwort“ bildhaft gesprochen den Eingang eines Umschlags. Ob daher ein Berufungsbegründungsschriftsatz beigefügt war und welchen Inhalt er gegebenenfalls hatte; ob er seinen Aussteller erkennen ließ: All das lässt sich mit der Zustellantwort nicht beweisen. Und das ist ein großes Problem, wenn es beim Versand oder auf Gerichtsseite zu Problemen kommt. Übrigens keineswegs nur unter Beweisgesichtspunkten: Wird eine beA-Nachricht mit Anlage versandt, kommt aber nur ohne Anlage an, ist die fristwahrende Handlung ja tatsächlich nicht ausgeführt worden, so dass der gutgläubige Anwalt und (vor allem) sein Mandant auf den risikoreichen, mit einem großen Misstrauensvorschuss gesegneten Weg eines Wiedereinsetzungsantrags verwiesen sind. Das ist ein Nicht-Zustand. Und selbst wenn das Dokument übermittelt wurde, aber justizseitig untergeht (und die Welt hat erheblich eigenartigere Dinge gesehen): Wem wird die Justiz eher glauben, wenn die Behauptung im Raum steht, es sei nur ein leerer Umschlag angekommen – einem Anwalt oder sich selbst? Und wer trägt die Beweislast? Richtig: Der Rechtssuchende.

Praktische Auswirkungen

Das alles sind keine bloß theoretischen Schreckensszenarien. Die Gerichte stellen extrem strenge Anforderungen an die Beweisführung für fehlendes Verschulden, gerade bei der Verwendung des beA. Ein ausgewachsenes Landesarbeitsgericht verstieg sich gar zur Aufstellung des Erfahrungssatzes, Software würde nach einer Funktionsstörung ohne dokumentierbare Reparaturmaßnahme nicht einfach so wieder funktionieren. Daher müsse man von einem Bedienfehler des Anwalts ausgehen. Als IT-Rechtler bleibt einem bei so etwas das gequälte Lachen im Hals stecken. Hier wird ein unter IT-Profis verbreiteter Erfahrungssatz über die durchschnittlichen EDV-Kenntnisse auf Gerichtsseite bestätigt – aber davon kann sich niemand etwas kaufen. Der Grundrechtsträger hat sein Verfahren wegen so etwas verloren. Endgültig.

Und der beschriebene Schadensfall kommt vor. Viele Leser werden aus eigener Anschauung von nicht nachvollziehbaren Rückfragen aus der Justiz berichten können. Ein Kollege berichtet aktuell von einer am 30. September 2021 fehlgeschlagenen Einlieferung, die exakt das geschilderte Problem dokumentiert. Er hatte ein eEB abgegeben. Dieses wird als „strukturierter Datensatz“ an eine beA-Nachricht angehängt, nämlich als Datei mit dem Namen „xjustiz_nachricht.xml“. Der Zugang wurde ihm wie von der BRAK beschrieben inklusive kryptographisch signierter „Zustellantwort“ bestätigt. Am nächsten Tag kam ein Anruf vom Gericht: Die Nachricht sei eingegangen, aber das eEB habe gefehlt. Aus der (hier vorliegenden) Dokumentation, also der exportierten Zip-Datei und ihrem Inhalt, war davon nichts ersichtlich: Die erfolgreiche Übermittlung wurde unzutreffenderweise durch die Systeme bestätigt.

Der Kollege kann von Glück sagen, dass es nicht um eine Fristsache ging. Er wäre für die Übersendung eines fristwahrenden Dokuments nicht etwa nur beweisfällig geblieben: Mit überwiegender Wahrscheinlichkeit ist die Datei, wie von dem Gericht angegeben, tatsächlich nicht übermittelt worden. Ohne, dass der Kollege darauf irgendeinen Hinweis erhalten hätte. Er wäre damit auf einen Wiedereinsetzungsantrag verwiesen gewesen. Damit hingen die Justizgrundrechte des Rechtssuchenden am seidenen Faden.

So etwas ist rechtsstaatlich nicht hinnehmbar.

Was muss jetzt passieren?

Die Digitalisierungsdividende ist mit Blick auf eine erhöhte Rechtssicherheit inexistent. Es gäbe die Möglichkeit, den Prozess so zu implementieren, wie die BRAK bislang dachte, dass er implementiert sei, wenn sie sich nicht vertan hätte. Das wäre ein großer Fortschritt. Aber man muss ehrlicherweise sagen: Das wäre viel zu wenig.

Das beA lässt sich nicht vernünftig nutzen, wenn man keine Anwaltssoftware einsetzt. Niemand hat Zeit, sich mit dem Export und der Archivierung von irgendwelchen kryptischen Protokolldateien, Zertifikaten und Signaturen zu belasten. Schon gar nicht ist es zumutbar, dass Rechtsanwältinnen oder Rechtsanwälte sich mit so einem Schnickschnack befassen, weil die Technik nicht in der Lage wäre, die erforderliche Information verlässlich und benutzerfreundlich zu liefern. Das Gegenteil ist der Fall: Unter der Haube kann eine Software selbstverständlich Zustellantworten nebst Signaturen prüfen und ausgeben, dass sie alles geprüft und zugunsten des versendenden oder empfangenden Anwalts rechtssicher archiviert habe. Wir leben im 21. Jahrhundert. Die ersten Menschen standen vor über 60 Jahren auf dem Mond – das ist machbar.

Die BRAK ist einerseits gehalten, das drängende Problem des fehlenden Zugangsbeweises auszuräumen, um ihr Versprechen von Rechtssicherheit einzulösen. Dazu muss in Kooperation mit der Justizverwaltung gewährleistet werden, dass nicht nur die „Zustellantwort“ elektronisch durch den Empfänger signiert wird, sondern im Mindestmaß ein Hashwert der übersandten Anlage oder gleich die digital vom Empfänger signierten Anlagen selbst. Ist ja nicht so, als wäre Speicherplatz heutzutage noch ein Problem.

Andererseits muss die BRAK dafür sorgen, dass die Überprüfung der erfolgreichen Einreichung von Schriftstücken auch durch die Schnittstelle für Drittsoftware nutzbar wird, und zwar ohne Gefummel durch den Anwender mit dem kryptographischen Unterbau. Wer ein Dokument per beA einreicht, muss eine (ja, eine) eindeutig verständliche Nachricht erhalten, dass er die Frist streichen kann.

(Es ist, das bei dieser Gelegenheit, ein Hohn, dass das beA einen erfolgreichen Versand bestätigt, ohne dass damit auch ein erfolgreicher Zugang verbunden wäre – es gibt zwei Bestätigungen, von denen die erste unzureichend ist, um von einer Fristwahrung auszugehen. Diese Form der Benutzerführung grenzt an Sabotage.)

Gibt es keine Alternativen?

Das beA dockt an die Systeme der Justiz an, die mit deutscher Gründlichkeit entworfen wurden. Das bedeutet, sie basieren auf einem veralteten Standard aus dem Jahr 2002 (!) und sind so überkomplex, dass auch nach fast 20 Jahren fortlaufend Fehler auftreten, die unverblümt als „Kinderkrankheiten“ bezeichnet werden. Ein Neuanfang täte dem Thema gut, und die Lösung ist simpel.

Es reichte aus, für jedes Gericht eine Nextcloud-Instanz einzurichten. Jeder Verfahrensbeteiligte erhält Zugangsdaten; Anwälte sind bereits im System hinterlegt und die Gerichtsakte wird fallbezogen mit ihnen geteilt. Anwälte und Parteien können Dateien zur Gerichtsakte hinzufügen und von dort herunterladen, aber nicht löschen. Bei Neueingängen gibt es eine Benachrichtigung per E-Mail oder über einen Matrix-basierten Messenger (2.0!) oder beides (4.0!). Damit erledigen die Parteien sogar die Ablage für das Gericht. Niemand bräuchte irgendwelche Signaturen, um eine fiktive „Sicherheit im Rechtssinn“ zu erzeugen: Es reichte, dass die Zugangsdaten von der Justizverwaltung oder zur Not (sic!) von der BRAK an ihre Mitglieder ausgegeben werden. Wer sich damit einloggt, ist halt Anwalt, fertig.

Ja, ich weiß. Aber ein Mann wird doch wohl noch träumen dürfen. Hoffen wir trotzdem, dass das beA-Desaster als das erkannt wird, was es ist: Unrettbar verloren und eine Verschwendung von sehr viel Zeit und Geld. Es ist Zeit für einen Neustart – im Mindestmaß aber eine Reparatur an entscheidender Stelle.

Wir haben eine Petition ins Leben gerufen, um die BRAK zu veranlassen, das Problem anzugehen. Jeder Leser ist herzlich eingeladen, sich der Petition hier anzuschließen.

Zurück