VG Mainz: E-Mail-Transportverschlüsselung kann ausreichen - auch bei Berufsgeheimnisträgern
Wo liegt das Problem?
Anwälte unterliegen einer Verschwiegenheitspflicht. Die is in § 2 Abs. 1 S. 1 Berufsordnung für Rechtsanwälte (BORA) bzw. in § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) so geregelt. Die Pflicht zur Verschwiegenheit gilt nicht nur für Strafverteidiger, sondern für alle Anwälte im Rahmen ihrer Mandate und sogar über das Ende eines Mandats hinaus (§ 2 Abs. 1 S. 2 BORA).
Zudem besteht eine allgemeine Pflicht, bestimmte Sicherheitsmaßnahmen bei der Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung (DSGVO) zu treffen. Art. 32 DSGVO regelt dazu folgendes:
"(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung."
Die DSGVO sieht also bestimmte Maßnahmen, wie etwa die Verschlüsselung, als sinnvolle Instrumente des Datenschutzes an. Aber wohlgemerkt besteht auch nach Art. 32 DSGVO keine Pflicht zur Verschlüsselung von Daten. Insgesamt muss jeder Verantwortliche selbst entscheiden, welche technischen und organisatorischen Maßnahmen er ergreift, um ein seinem individuellen Risiko angemessenes Schutzniveau erreichen zu können. Das ist natürlich von Branche zu Branche, von Unternehmen zu Unternehmen und im Grunde auch von Verarbeitungstätigkeit zu Verarbeitungstätigkeit unterschiedlich. Eine Arztpraxis hat beispielsweise mehr sensible Daten (z.B. Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO) als ein Handwerksbetrieb, in der Personalabteilung liegen ebenfalls deutlich mehr sensible Daten vor als etwa in der Presseabteilung. Und als Rechtsanwalt hat man tag-täglich mit vielen sensiblen Daten im Sinne von Art. 9 oder Art. 10 DSGVO zu tun - und unterliegt darüber hinaus zusätzlich auch noch der berufsrechtlich geregelten Verschwiegenheitspflicht. Ein Verstoß gegen § 2 BORA, § 43a BRAO oder Art. 32 DSGVO kann für Anwälte also nicht nur berufsrechtliche Folgen haben oder ein Bußgeld von der zuständigen Datenschutzaufsichtsbehörde nach sich ziehen, sondern ggf. auch einen Straftatbestand erfüllen. So ist z.B. in § 203 Abs. 1 Strafgesetzbuch (StGB) folgendes geregelt:
"Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
[...]
3. Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
[...]
anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft."
Die Entscheidung des VG Mainz
Generell ist bei E-Mails zu unterscheiden zwischen einer Verschlüsselung des Transportweges und einer Verschlüsselung des Mail-Inhalts. Eine Transportverschlüsselung (z.B. mittels TLS) wird mittlerweile von fast jedem größeren Mail-Provider eingesetzt und bedarf auch keiner speziellen Konfiguration oder bestimmter Hilfsmittel auf Seiten der Anwender. Dagegen ist die Inhaltsverschlüsselung, auch Ende-zu-Ende-Verschlüsselung genannt (engl. End-to-End-Encryption, kurz: E2EE) genannt, nicht ganz so trivial. Dafür müssen Absender und Empfänger sich auf eine gemeinsame Verschlüsselungsmethode einigen (z.B. S/MIME oder PGP). Wenn beide die gleiche Methode nutzen und vorab ihre Zertifikate bzw. Schlüssel austauschen, kann eine E2EE der Mail-Inhalte erfolgen. Die Praxis zeigt, dass leider kaum ein Mandant dazu bereit oder in der Lage, dies ist umzusetzen.
Das VG Mainz hat nun mit Urteil vom 17.12.2020 (Az. 1 K 778/19.MZ) entschieden, dass die Korrespondenz via E-Mails, die meiner Transport-, jedoch nicht mit einer Ende-zu-Ende-Verschlüsselung der Inhalte versehen sind, auch dann zulässig ist, wenn dies die Korrespondenz eines Berufsgeheimnisträgers (z.B. eines Rechtsanwalts) betrifft.
Das Gericht führt dazu aus:
"Auch nach Auffassung einzelner Datenschutzbeauftragter ist jedenfalls die Nutzung einer „unverschlüsselten“ E-Mail für Berufsgeheimnisträger generell ein „ungeeignetes“ Medium (so etwa Hamburgischer Beauftragter für Datenschutz und Datensicherheit, Schreiben vom 8. Januar 2018, a.a.O.) und es sei daher „in jedem Fall eine Verschlüsselung des E-Mail-Verkehrs erforderlich“ (so zur alten Rechtslage: 8. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, S. 138; abrufbar unter: https://www.saechsdsb.de/images/stories/sdb_inhalt/noeb/taetigkeitsberichte/8-TB-Endfassung-Version-5.pdf)."
Und weiter:
"Während die Transportverschlüsselung ohne weiteres als weit verbreiteter Standard anzusehen sein dürfte, trifft den Verantwortlichen bei der Implementierung einer Ende-zu-Ende-Verschlüsselung regelmäßig ein höherer Aufwand (vgl. Schöttle, Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?, BRAK-Mitteilungen 3/2018, 118 [121]). Neben der Nutzung von derartigen E-Mail-Protokollen (z.B. S/MIME oder PGP), die allerdings auch auf Absender- und Empfängerseite entsprechende Software und Kenntnisse erfordern, kommen letztlich auch einseitige Implementierungsmaßnahmen, wie z.B. Übersendung einer passwortgeschützten Datei, in Betracht (vgl. Schöttle, a.a.O.; Bethke, Technische und rechtliche Besonderheiten der EMail-Kommunikation mit Mandant und FA, DStR 2019, 1228 [1229]). Damit dürfte eine kostenschonende Implementierung zwar generell möglich und für den jeweiligen Verantwortlichen nicht von vornherein unzumutbar sein. Allerdings bedeutet dies nicht, dass dies zwingend zu einer entsprechenden Verpflichtung des Verantwortlichen führt. Schließlich können bei der Übersendung einer passwortgeschützten Datei unter Umständen (zivilrechtliche) Zugangsprobleme auftreten; auch fehlt es an einer ohne weiteres gegebenen Möglichkeit der Weiterleitung für den Empfänger (vgl. Gasteyer/Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, NJW 2020, 1768 [1771])."
Jedenfalls dann, wenn keine besonderen Kategorien von personenbezogenen Daten (Art. 9, 10 DSGVO) betroffen sind, kann die Verwendung einer Transportverschlüsselung ohne EE2E auch für Berufsgeheimnisträger ausreichend sein:
"Aus alledem folgt, dass bei Daten, die unter Art. 9 oder 10 DS-GVO fallen, in jedem Fall besondere Schutzmaßnahmen zu ergreifen sind, da insoweit schon aufgrund der allgemeinen datenschutzrechtlichen Wertung stets von einem hohen Risiko ausgegangen werden muss. Gleiches dürfte für Fälle gelten, wenn etwa ein „Interesse krimineller und ressourcenreicher Dritter“ absehbar ist (vgl. Wagner, Anwaltliches Berufsrecht und Datenschutz: Einheit, Widerspruch oder Parallelwelten?, BRAK-Mitteilungen 4/2019, 167 [172]). Auch wenn die DS-GVO Berufsgeheimnisträger nicht ausdrücklich im Normtext adressiert, kann diese Eigenschaft in der Gesamtabwägung bezüglich des „angemessenen Schutzniveaus“ eine Rolle spielen (vgl. ErwGr. 75 Satz 1 DS-GVO: „Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten“), aber muss für sich genommen noch nicht allein ausschlaggebend sein, um einen höheren Schutzbedarf zu begründen (vgl. allgemein: Piltz, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 24, Rn. 38). Daher erscheint es allenfalls sachgerecht, bei nicht von Art. 9 und 10 DS-GVO erfassten Daten im Rahmen einer mandatsbezogenen Kommunikation von Rechtsanwälten als Berufsgeheimnisträger in Zweifelsfällen eine widerlegliche Vermutung für einen besonderen Schutzbedarf der übermittelten Informationen zu sehen (vgl. zur Verschwiegenheitspflicht: Träger, in: Weyland, Bundesrechtsanwaltsordnung: BRAO, 10. Auflage 2020, § 43a, Rn. 17). Ein solcher Zweifelsfall liegt hier indes nicht vor.
Generell wird aber die Verwendung einer Transportverschlüsselung datenschutzrechtlich – auch bei Berufsgeheimnisträgern – ausreichend sein, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten. Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen (vgl. Gasteyer/Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, NJW 2020, 1768 [1771]). Ebenso gehört die etwaige (unbefugte) Kenntnisnahme Dritter von Inhalten der elektronischen Kommunikation – wie auch bei anderen (analogen) Kommunikationsformen – zum allgemeinen Lebensrisiko."
Das deckt sich im Grunde auch mit den anwaltlichen Berufspflichten aus § 2 Abs. 2-5 BORA:
"(2) Die Verschwiegenheitspflicht gebietet es dem Rechtsanwalt, die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. Technische Maßnahmen sind hierzu ausreichend, soweit sie im Falle der Anwendbarkeit der Vorschriften zum Schutz personenbezogener Daten deren Anforderungen entsprechen. Sonstige technische Maßnahmen müssen ebenfalls dem Stand der Technik entsprechen. Abs. 4 lit. c) bleibt hiervon unberührt. Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.
(3) Ein Verstoß gegen die Pflicht zur Verschwiegenheit [...] liegt nicht vor, soweit Gesetz und Recht eine Ausnahme fordern oder zulassen.
(4) Ein Verstoß ist nicht gegeben, soweit das Verhalten des Rechtsanwalts
a) mit Einwilligung erfolgt oder
b) zur Wahrnehmung berechtigter Interessen erforderlich ist, z.B. zur Durchsetzung oder Abwehr von Ansprüchen aus dem Mandatsverhältnis oder zur Verteidigung in eigener Sache, oder
c) im Rahmen der Arbeitsabläufe der Kanzlei, die außerhalb des Anwendungsbereichs des § 43e Bundesrechtsanwaltsordnung liegen, objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht (Sozialadäquanz).(5) Die Vorschriften zum Schutz personenbezogener Daten bleiben unberührt."
In puncto Rechenschaftspflicht ("Accountability") gem. Art. 5 Abs. 2 DSGVO steht das Gericht auf folgendem Standpunkt:
"Zwar ist der Kläger hier gemäß Art. 5 Abs. 2 DS-GVO für die Einhaltung der Voraussetzungen des Art. 32 Abs. 1 DS-GVO nachweispflichtig (vgl. zur Beweislast: Pötters, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 5, Rn. 34; Herbst, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 5, Rn. 80), allerdings entbindet dies die beklagte Aufsichtsbehörde nicht davon, ihre Auffassung – auf Grundlage der (nachgewiesenen) Angaben des Verantwortlichen und sonstiger Ermittlungen – nachvollziehbar darzulegen, warum im Einzelfall das angemessene Schutzniveau durch die entsprechenden Maßnahmen nicht gewahrt war."
Gleichwohl ist natürlich eine E2EE im Rahmen der elektronischen Korrespondenz mit einem Rechtsanwalt zu empfehlen, sei es per E-Mail, Messenger oder Video-Call.
