Aktuell in der CR
Warum Anwälte nach der DSGVO nicht (zwingend) Ende-zu-Ende verschlüsselt kommunizieren müssen - Praxisprobleme in der Anwendung von Art 32 DSGVO (Keppeler, CR 2019, 18)Die Verschlüsselung von E‑Mails isoliert zu bewerten und dabei nur die Grobeinteilung „Transportverschlüsselung“ und „Ende-zu-Ende“ zu verwenden, ist nicht zielführend. Der Beitrag zeigt, dass bei einem ausreichenden Sicherheitsniveau sowohl im Kanzlei- als auch im Mandantennetzwerk eine Transportverschlüsselung einer E‑Mail auch bei der Versendung sensibler Daten ausreicht. Zugleich werden die Subsumtionsschwierigkeiten beim sehr abstrakt formulierten Art. 32 DSGVO anhand eines Praxisbeispiels durchgespielt.
I. Aktuelle Treiber der Debatte
II. Unterschied zwischen Transport und Ende-zu-Ende Verschlüsselung
1. Transportverschlüsselung
2. Ende-zu-Ende Verschlüsselung
3. Wertung des Gesetzgebers
4. Keine Verschlüsselung beim beA
III. Ansatz der Datenschutzaufsicht und berufsrechtliches Echo
1. Strenger Ansatz der Datenschutz-Aufsichtsbehörden
2. Reaktionen von Anwaltskammern und Anwaltsverein
IV. Praxisprobleme der Prüfung von Art. 32 DSGVO
1. Schutzbedarfsanalyse
a) Welche Risiken sind relevant
b) Um welche Daten geht es – Subsumtion nur im konkreten Einzelfall möglich
c) Bewertung der Risiken und der Schwere möglicher Schäden
d) Einteilung der Risiken
2. Abwägungs- und Wertungsaufgabe angesichts der Technikneutralität – der schwere Stand der Technik
3. (IT-)Sicherheit kann nur ganzheitlich betrachtet werden
a) Welches Sicherheitsniveau?
b) Für welche Daten?
V. Fazit
I. Aktuelle Treiber der Debatte
Die Frage, ob eine E‑Mail aus datenschutzrechtlichen Vorgaben (vormals vor allem § 9 BDSG) aufgrund strafrechtlicher Normen (vor allem § 203 StGB) oder berufsrechtlichen Gründen (bei Anwälten etwa § 43a Abs. 2 BRAO, § 2 BORA) verschlüsselt werden muss, wird spätestens seit 2001 diskutiert. Getrieben durch verschiedene Entwicklungen, wird die Diskussion derzeit besonders intensiv belebt: Die immer weiter voranschreitende Digitalisierung und das damit einhergehende Wachstum der Cyber-Kriminalität sind sicher ein Treiber. Gerade Juristen beschäftigen sich vor dem Hintergrund der langwierigen Einführung des besonderen elektronischen Anwaltspostfaches (beA) intensiver als zuvor mit der Sicherheit digitaler Kommunikation. Insgesamt widmeten viele Anwälte in den vergangenen Jahren dem Thema eher wenig Interesse, vorwiegend wohl, weil in der Praxis weder eine datenschutzrechtliche, eine berufsrechtliche noch eine strafrechtliche Rechtsverfolgung aufgrund mangelnder E‑Mail-Verschlüsselung stattgefunden hat. Seit die DSGVO mit ihren für viele Anwälte, Steuerberater und Unternehmen existenzbedrohenden Millionenbußgeldern am Horizont erschien, wuchs das Interesse an der Frage der richtigen Verschlüsselung enorm. Einen vorläufigen Höhepunkt erreichte die Diskussion um die Verschlüsselungspflicht Anfang 2018, als die eBlocker GmbH im Zuge der Unzufriedenheit mit der (nicht) Verschlüsselung durch Anwälte eine Anfrage an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit stellte (hierzu Rz. 7 ff. unten). Neben zahlreichen Diskussionen im Internet, wurde das Thema dankbar von Anbietern von Verschlüsselungssoftware und von entsprechenden „Cyber-Versicherungen“ für Berufsgeheimnisträger werbewirksam genutzt.
II. Unterschied zwischen Transport und Ende-zu-Ende Verschlüsselung
1. Transportverschlüsselung
Eine Transportverschlüsselung wird auf Ebene eines Servers geöffnet, bevor die entsprechende E‑Mail von dem Server (wiederum transportverschlüsselt) an den Client (also z.B. einen Computer mit Outlook oder einem Smartphone mit einer entsprechenden E‑Mail-Client-Software) weitergleitet wird. Eine solche Transportverschlüsslung wird heute typischerweise über das TLS-Protokoll realisiert. Der große Vorteil daran ist, dass ein Anwender keine separaten Schritte mehr für die Verschlüsslung unternehmen muss, wenn die E‑Mail Server das TLS-Protokoll in einer aktuellen Version unterstützen. Die E‑Mail Server vieler Anwaltskanzleien und von sehr vielen Unternehmen unterstützen dieses Protokoll. Schon im März 2014 machten die Webmail-Provider „GMX“, „Web.de“ „Freenet“ und „T-Online“ darauf aufmerksam, dass sie nur noch eine E‑Mail Kommunikation zulassen, die TLS verschlüsselt ist. Dies zeigt die enorme Verbreitung von TLS auch außerhalb der Unternehmenswelt.
2. Ende-zu-Ende Verschlüsselung
In manchen Situationen erscheint eine „Transportverschlüsselung“ allerdings zu unsicher, wenn man etwa selbst nicht kontrollieren kann, ob der Server eines Kommunikationspartners gehackt ist, die Administratoren dort absichtlich Einsicht in die auf dem Server unverschlüsselt liegende Kommunikation nehmen oder auf Empfängerseite womöglich Zugriffsrechte für Personen eingerichtet sind, die keine Kenntnis von dem Inhalt erhalten sollen. Dieses Problem umgeht die Ende-zu-Ende Verschlüsselung, welche die Entschlüsselung einer E‑Mail nur auf einem bestimmten Client (also etwa ein bestimmter PC mit Outlook oder eine E‑Mail-Client-App auf einem Smartphone) zulässt. Hierfür sind eine manuelle Einrichtung der Schlüssel und ...