06.02.2018

Verschlüsselungspflicht für Anwälte? Intersoft sorgt für Verwirrung

Portrait von Niko Härting
Niko Härting

Dürfen Anwälte mit ihren Mandanten unverschlüsselt per E-Mail korrespondieren? Eine Veröffentlichung  der Fa. Intersoft (Dr. Datenschutz, "Aufsichtsbehörde äußert sich zur Verschlüsselungspflicht von Anwälten" v. 31.1.2018) sorgt für erhebliche Unruhe in der Anwaltschaft.

Intersoft hat den Beitrag mittlerweile durch zwei Klarstellungen ergänzt und unter anderem ein Schreiben der Hamburger Datenschutzbehörde veröffentlicht (HmbBfDI, "Versendung von unverschlüsselten E-Mails bei Berufsgeheimnisträgern" v. 8.1.2018). Dennoch bleiben zentrale Fragen offen.

Ausgangsszenario

Die Hamburger Berater erzählen eine befremdliche Geschichte:

Die eBlocker GmbH habe eine Anwaltskanzlei mandatiert und die Anwälte darum gebeten, ausschließlich per verschlüsselter E-Mail zu korrespondieren. Die Anwälte seien dieser Bitte nicht nachgekommen und hätten darauf verwiesen, dass in der Mandatsvereinbarung auf die Versendung unverschlüsselter E-Mails hingewiesen werde.

Zivilrechtliche Lösung

Wenn sich dieser Fall tatsächlich so zugetragen haben sollte, endet er eigentlich bereits im Zivilrecht, ohne dass es auf das anwaltliche Berufsrecht oder das Datenschutzrecht ankommt. Der Vorrang der Individualabrede (§ 305 b BGB) gilt auch für einseitige Erklärungen, die in Allgemeinen Geschäftsbedingungen enthalten sind. Ein Anwalt, dessen Mandant um Verschlüsselung bittet, darf sich über diese Bitte nicht hinwegsetzen.

Vorgeschichte?

Auch befremdlich: Intersoft hatte über die Produkte der eBlocker GmbH in der Vergangenheit mehrfach wohlwollend berichtet und unter anderem auf Möglichkeiten hingewiesen, eBlocker per Crowdfunding zu unterstützen (Hudy, "eBlocker: Vorserien-Gerät jetzt erhältlich" v. 20.8.2015). Daher stellt sich die Frage, ob es eine Vorgeschichte zu dem Mandat gibt, das die eBlocker GmbH angeblich einer verschlüsselungsrenitenten Anwaltskanzlei erteilt hat.

Ein gewisses Eigeninteresse wird man Intersoft unterstellen dürfen. Die Hamburger Consultants verdienen ihr Geld mit Datenschutzberatung und somit in einem Geschäftsfeld, auf dem seit langem Anwälte mit Beratern verschiedener Art und Güte konkurrieren.

Anwaltliches Berufsrecht:  Keine Verschlüsselungspflicht

Die Frage nach einer Verschlüsselungspflicht des Anwalts ist alles andere als neu. Sie wurde schon vor (fast) 20 Jahren berufsrechtlich diskutiert (vgl. Härting, "Unverschlüsselte E-Mails im anwaltlichen Geschäftsverkehr - Ein Verstoß gegen die Verschwiegenheitspflicht?" MDR 2001, 61 ff.). Berufsrechtliche Einwände gegen eine unverschlüsselte E-Mail-Kommunikation sind weitgehend verstummt. Die unverschlüsselte Kommunikation per Mail gehört schon seit langem genauso zum anwaltlichen Alltag wie das Telefonat.

Auch die Hamburger Datenschutzbehörde (die für das Berufsrecht ohnehin nicht zuständig ist) bestätigt, dass sich aus dem anwaltlichen Berufsrecht keine Verschlüsselungspflicht ableiten lässt. Zugleich bezeichnen die Hamburger Datenschützer unverschlüsselte Mails jedoch datenschutzrechtlich als „bedenklich“ und „ungeeignet“.

Man darf der Hamburger Aufsichtsbehörde unterstellen, dass sie ihre Worte mit Bedacht gewählt hat. „Ungeeignet“ heißt keineswegs „rechtswidrig“. Und längst nicht alles, was als „bedenklich“ angesehen wird, verstößt gegen geltendes Recht.

Datenschutzrecht:  Bloße Prüfungspflicht

Eine generelle Verschlüsselungspflicht lässt sich weder aus dem geltenden Datenschutzrecht noch aus der Datenschutz-Grundverordnung (DSGVO) herleiten, die ab dem 25.5.2018 gilt. Zwar gehört die Verschlüsselung zu den technischen und organisatorischen Maßnahmen, die der Anwalt nach Art. 32 DSGVO in Erwägung ziehen muss. Vorgeschrieben ist jedoch nur eine Prüfung, ob Verschlüsselungstechniken eingesetzt werden. Eine Verschlüsselungspflicht sieht Art. 32 DSGVO nicht vor.

Je sensibler die Informationen sind, die per Mail übermittelt werden, desto näher liegt es, Verschlüsselungstechniken anzuwenden. Wenn es jedoch – datenschutzrechtlich - um die Sensibilität von Informationen geht, geht es nicht um das Berufsgeheimnis, sondern um Art. 9 DSGVO und somit um die

„Verarbeitung personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Dass E-Mails Informationen enthalten, die dem besonderen Schutz des Art. 9 DSGVO unterliegen, ist – anders als bei Ärzten und Apothekern - keineswegs die Regel. Und selbst wenn Art. 9 DSGVO Anwendung findet, lässt sich aus Art. 32 DSGVO kein striktes, unabdingbares Verschlüsselungsgebot ableiten.

Fazit zu IT-Sicherheit & Vertrauen

Man möge mich nicht missverstehen: Für uns Anwälte ist das Vertrauen unserer Mandanten ein hohes Gut. Investitionen in IT-Sicherheit sollten daher selbstverständlich sein. Der Schutz von Mandanteninformationen gegen den neugierigen Zugriff Dritter sollte Chefsache sein. Wir Anwälte sollten uns jedoch weder von nicht-anwaltlicher Konkurrenz noch von Bedenken einer Datenschutzbehörde leiten lassen, wenn es um die Verschlüsselung geht, sondern vom geltenden Recht. Und das geltende Recht sieht – weder jetzt noch ab dem 25.5.2018 – eine Verschlüsselungspflicht vor.

Zurück