Dürfen Anwälte mit ihren Mandanten unverschlüsselt per E-Mail korrespondieren? Eine Veröffentlichung  der Fa. Intersoft (Dr. Datenschutz, „Aufsichtsbehörde äußert sich zur Verschlüsselungspflicht von Anwälten“ v. 31.1.2018) sorgt für erhebliche Unruhe in der Anwaltschaft.
Intersoft hat den Beitrag mittlerweile durch zwei Klarstellungen ergänzt und unter anderem ein Schreiben der Hamburger Datenschutzbehörde veröffentlicht (HmbBfDI, „Versendung von unverschlüsselten E-Mails bei Berufsgeheimnisträgern“ v. 8.1.2018). Dennoch bleiben zentrale Fragen offen.
Ausgangsszenario
Die Hamburger Berater erzählen eine befremdliche Geschichte:
Die eBlocker GmbH habe eine Anwaltskanzlei mandatiert und die Anwälte darum gebeten, ausschließlich per verschlüsselter E-Mail zu korrespondieren. Die Anwälte seien dieser Bitte nicht nachgekommen und hätten darauf verwiesen, dass in der Mandatsvereinbarung auf die Versendung unverschlüsselter E-Mails hingewiesen werde.
Zivilrechtliche Lösung
Wenn sich dieser Fall tatsächlich so zugetragen haben sollte, endet er eigentlich bereits im Zivilrecht, ohne dass es auf das anwaltliche Berufsrecht oder das Datenschutzrecht ankommt. Der Vorrang der Individualabrede (§ 305 b BGB) gilt auch für einseitige Erklärungen, die in Allgemeinen Geschäftsbedingungen enthalten sind. Ein Anwalt, dessen Mandant um Verschlüsselung bittet, darf sich über diese Bitte nicht hinwegsetzen.
Vorgeschichte?
Auch befremdlich: Intersoft hatte über die Produkte der eBlocker GmbH in der Vergangenheit mehrfach wohlwollend berichtet und unter anderem auf Möglichkeiten hingewiesen, eBlocker per Crowdfunding zu unterstützen (Hudy, „eBlocker: Vorserien-Gerät jetzt erhältlich“ v. 20.8.2015). Daher stellt sich die Frage, ob es eine Vorgeschichte zu dem Mandat gibt, das die eBlocker GmbH angeblich einer verschlüsselungsrenitenten Anwaltskanzlei erteilt hat.
Ein gewisses Eigeninteresse wird man Intersoft unterstellen dürfen. Die Hamburger Consultants verdienen ihr Geld mit Datenschutzberatung und somit in einem Geschäftsfeld, auf dem seit langem Anwälte mit Beratern verschiedener Art und Güte konkurrieren.
Anwaltliches Berufsrecht: Keine Verschlüsselungspflicht
Die Frage nach einer Verschlüsselungspflicht des Anwalts ist alles andere als neu. Sie wurde schon vor (fast) 20 Jahren berufsrechtlich diskutiert (vgl. Härting, „Unverschlüsselte E-Mails im anwaltlichen Geschäftsverkehr – Ein Verstoß gegen die Verschwiegenheitspflicht?“ MDR 2001, 61 ff.). Berufsrechtliche Einwände gegen eine unverschlüsselte E-Mail-Kommunikation sind weitgehend verstummt. Die unverschlüsselte Kommunikation per Mail gehört schon seit langem genauso zum anwaltlichen Alltag wie das Telefonat.
Auch die Hamburger Datenschutzbehörde (die für das Berufsrecht ohnehin nicht zuständig ist) bestätigt, dass sich aus dem anwaltlichen Berufsrecht keine Verschlüsselungspflicht ableiten lässt. Zugleich bezeichnen die Hamburger Datenschützer unverschlüsselte Mails jedoch datenschutzrechtlich als „bedenklich“ und „ungeeignet“.
Man darf der Hamburger Aufsichtsbehörde unterstellen, dass sie ihre Worte mit Bedacht gewählt hat. „Ungeeignet“ heißt keineswegs „rechtswidrig“. Und längst nicht alles, was als „bedenklich“ angesehen wird, verstößt gegen geltendes Recht.
Datenschutzrecht: Bloße Prüfungspflicht
Eine generelle Verschlüsselungspflicht lässt sich weder aus dem geltenden Datenschutzrecht noch aus der Datenschutz-Grundverordnung (DSGVO) herleiten, die ab dem 25.5.2018 gilt. Zwar gehört die Verschlüsselung zu den technischen und organisatorischen Maßnahmen, die der Anwalt nach Art. 32 DSGVO in Erwägung ziehen muss. Vorgeschrieben ist jedoch nur eine Prüfung, ob Verschlüsselungstechniken eingesetzt werden. Eine Verschlüsselungspflicht sieht Art. 32 DSGVO nicht vor.
Je sensibler die Informationen sind, die per Mail übermittelt werden, desto näher liegt es, Verschlüsselungstechniken anzuwenden. Wenn es jedoch – datenschutzrechtlich – um die Sensibilität von Informationen geht, geht es nicht um das Berufsgeheimnis, sondern um Art. 9 DSGVO und somit um die
„Verarbeitung personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.
Dass E-Mails Informationen enthalten, die dem besonderen Schutz des Art. 9 DSGVO unterliegen, ist – anders als bei Ärzten und Apothekern – keineswegs die Regel. Und selbst wenn Art. 9 DSGVO Anwendung findet, lässt sich aus Art. 32 DSGVO kein striktes, unabdingbares Verschlüsselungsgebot ableiten.
Fazit zu IT-Sicherheit & Vertrauen
Man möge mich nicht missverstehen: Für uns Anwälte ist das Vertrauen unserer Mandanten ein hohes Gut. Investitionen in IT-Sicherheit sollten daher selbstverständlich sein. Der Schutz von Mandanteninformationen gegen den neugierigen Zugriff Dritter sollte Chefsache sein. Wir Anwälte sollten uns jedoch weder von nicht-anwaltlicher Konkurrenz noch von Bedenken einer Datenschutzbehörde leiten lassen, wenn es um die Verschlüsselung geht, sondern vom geltenden Recht. Und das geltende Recht sieht – weder jetzt noch ab dem 25.5.2018 – eine Verschlüsselungspflicht vor.
4 Kommentare
Lieber Prof. Härting,
ich schätzte Sie bisher als sehr rechtskundigen Kommentator, der seine Quellen sauber analysiert und -sicherlich aus einer besonderen Perspektive- fundierte Ableitungen trifft.
Umso enttäuschter bin ich über Ihre aktuellen, mehr als befremdlichen Ausführungen. Statt sich mit der Quelle, nämlich uns, in Kontakt zu setzen um die Sachlage zu klären, ergießen Sie sich in wilden Spekulationen, die ich selbst in schlechter Boulevardpresse nicht erwartet hätte. Sie sollten sich schämen, derartige Unterstellungen zu verbreiten, die geeignet sind die Intersoft und uns geschäftlich zu schädigen.
Zu den Fakten:
Im Rahmen unserer Finanzierungsrunde Ende letzten Jahres empfahlen unsere Investoren für die Ausarbeitung der Beteiligungsverträge eine sehr bekannte Kanzlei mit Hauptsitz in München. Aufgrund der zeitlichen Rahmenbedingungen war die Auswahl „alternativlos“ und die Mandatierung reine Formsache.
Vor dem Hintergrund, dass die Verträge sowohl personenbezogene Daten der Privatinvestoren enthalten als auch Daten, die auf die persönlichen Verhältnisse schließen lassen, bat ich mehrfach um Verschlüsselung. Meine Bitten blieben ohne jede Reaktion und es entbrannte später ein strittiger Dialog in dem u.a. auch der folgende Satz fiel „Grundsätzlich halte ich die unverschlüsselte E-Mailkommunikation zwischen Anwalt und Mandant für unbedingt wünschenswert.“.
Da wir grundsätzlich sämtliche E-Mails mit allen Partnern, von Steuerberater über Anwälte, bis hin zur Webagentur verschlüsseln, waren wir irritiert über die Ausführungen des Berufsgeheimnisträgers. Zum abschließenden Klärung wandten wir uns daher an die Aufsichtsbehörde. Das Ergebnis ist Ihnen bekannt.
Tatsächlich ist die Firma Intersoft genauso wie wir Mitglied in der Hamburger Datenschutzgesellschaft und wir kennen uns daher. Kurz vor unserer Crowdfunding Kampagne versendeten wir Testmuster des eBlocker Prototypen nicht nur an die allgemeine Wirtschaftspresse, sondern auch an die Fachpresse – u.a. auch an Intersoft. Wenn Sie sich zwei Minuten Zeit für eine saubere Recherche genommen hätten, wäre Ihnen aufgefallen, dass seinerzeit diverse Medien sehr positiv über unser Produkt berichtet haben – so auch die Intersoft.
Die von Ihnen suggerierte Nähe zur Intersoft ist faktisch unrichtig und der von Ihnen zitierte Artikel bereits aus dem Jahr 2015. Obwohl wir seitdem viele -auch für Datenschutz-Fachleute- wichtige Funktionen ergänzt haben, kam es leider nicht zu einem erneuten Testbericht durch Intersoft – trotz mehrfacher diesbezüglicher Bitten seitens unserer PR Agentur.
Wir haben den Sachverhalt bzgl. der Verschlüsselung von E-Mails durch Berufsgeheimnisträger an die Intersoft gegeben, da der Streit mit der Kanzlei ursprünglich durch einen Artikel der Intersoft ausgelöst wurde .
Wir hielten es für wichtig, die Sichtweise der Hamburgischen Aufsichtsbehörde mit den interessierten Lesern des Intersoft-Blogs zu teilen. Nicht mehr und nicht weniger. Dass selbst Sie die Ausführungen erreicht haben, zeigt, dass wir mit der Wahl der Publikation offenbar genau den richtigen Weg gegangen sind.
Abschließen darf ich mir die Bemerkung erlauben, dass ich die entbrannte Diskussion überhaupt nicht nachvollziehen kann. Die Installation eines s/mime Verschlüsselungszertifikat dauert keine 10 Minuten, kostet 10 € pro Jahr und Arbeitsplatz und kann von jedem Informatik Studenten im ersten Semester vorgenommen werden. Warum hoch dotierte Anwälte sich lieber in rechtstheoretischen Abhandlungen verlieren, statt einfach Ihrer beruflichen Verschwiegenheitspflicht auch bei der elektronischen Kommunikation nachzukommen erschließt sich mir nicht.
Wie wäre es, wenn Anwälte einfach mal ihre IT-Hausaufgaben machen und das tun, was sicherlich jeder Mandant begrüßen würde: Medien-unabhängig Ihre beruflichen Pflichten umsetzen.
Mit besten Grüßen,
Christian Bennefeld, GF eBlocker GmbH
PS: Ihre berufliche Verschwiegenheit und Verschlüsselung vorausgesetzt, leite ich Ihnen gerne die Korrespondenz mit der betroffenen Kanzlei weiter. Vielleicht möchten Sie dann nochmal über Ihre Äußerungen nachdenken und sie entsprechend der Faktenlage korrigieren.
—
@cr-online: Vielen Dank für eine zeitnahe, ungekürzte Veröffentlichung meines Betrags.
Was an den Ausführungen des Kollegen Härting korrigiert werden müsste, entzieht sich meinem Verständnis. Er hat eben einfach Recht. Eine Rechtspflicht zur Verschlüsselung gibt es nicht.
Es bedarf auch keinerlei Belehrungen, die Anwälte müssten mal ihre IT-Hausaufgaben machen. Ich habe schon vor 20 Jahren Verschlüsselungstechnologien angeboten und keiner meiner Mandanten, egal aus welcher Brachen und aus welchem Umfeld wollte die Verschlüsselung haben.
Es ist befremdlich, wenn gerade uns Anwälten vorgehalten wird, wir würden nicht sorgsam mit unseren „Mandanteninformationen“ umgehen. Das Gegenteil ist der Fall.
Abschließend: Es wäre der Rechtsfortbildung, an der auch und gerade Prof. Härting einen großen Anteil hat, sehr dienlich, wenn nicht polemisiert, sondern sachlich und fachlich fundiert debattiert würde. Einfach nur wilde Behauptungen aufzustellen, führt nur dazu, dass die Rechtsfortbildung nicht im öffentlichen Diskurs erfolgt, sondern unter den Fachleuten hinter verschlossenen Türen. Das will auch und gerade Prof. Härting nicht. Sachlich diskutieren wir jederzeit mit jedem auf jeder Plattform.
Sehr geehrter Herr Prof. Hackenberg,
ich teile Ihre Auffassung vollständig, dass Polemisierungen mit wilden Mutmaßungen wie „Vorgeschichte?“ und „angeblich renitenten Anwaltskanzlei“ bei gleichzeitiger Unterstellung von „Eigeninteresse“ der Intersoft und uns sicher nicht zur einer sachlichen Diskussion beitragen.
Es freut es mich, dass Prof. Härting unsere Rechtsauffassung teilt, dass sich ein Anwalt nicht über die Bitte des Mandaten zur Verschlüsslung der E-Mail Kommunikation hinwegsetzen darf. Denn genau darum ging es uns in dem vorliegenden Fall: Festzustellen, ob Berufsgeheimnisträger entgegen dem ausdrücklichen Wunsch des Mandaten in Hinblick auf ihre Verschwiegenheitspflicht bei E-Mail Kommunikation agieren dürfen. Dazu hat die Hamburgische Aufsichtsbehörde aus unserer Sicht klar Stellung bezogen. Und genau diese Auffassung in die Öffentlichkeit zu bringen war unser Ziel mit der Weitergabe des Schreibens an die Intersoft.
Wenn jemand mit den Auslegungen der Intersoft nicht einverstanden ist, steht es jedem selbstverständlich frei, sich entsprechend sachlich dazu zu äußern. Die hier vorgebrachten Suggestionen und Mutmaßungen von Prof. Härting tragen sicher nicht dazu bei. Seine Unterstellungen sind vielmehr geeignet, die Intersoft und unser Unternehmen zu beschädigen und sie werden zudem seiner Rolle in der sachbezogenen Rechtslehre absolut nicht gerecht. Für mich hat es Größe, wenn man sich von unwahren Tatsachenbehauptungen distanziert und diese korrigiert, wenn die Sachlage klarer wird. Dass Sie für meine diesbezüglichen Anregungen kein „Verständnis“ zeigen, irritiert mich nachhaltig.
Dass Sie, lieber Prof. Hackenberg, seit 20 Jahren Verschlüsselung anbieten ehrt Sie und Ihre IT. Nach meiner über 25-jährigen Berufserfahrung ist dies aber nicht die Regel bei Berufsgeheimnisträgern, sondern leider die große Ausnahme. Daher mein Hinweis an die zahlreichen Kollegen, die nicht so professionell wie Sie agieren, hier endlich mal die „IT-Hausaufgaben“ zu machen.
Wie Sie selbst wissen, ist der Aufwand für E-Mail Verschlüsselung deutlich geringer als eine lange polemische Diskussion zu führen, die wenig zur Sache beiträgt und insbesondere dem Mandanten nicht hilft. Der erwartet schließlich nur, dass sich Berufsgeheimnisträger auch bei E-Mail Kommunikation an ihre Pflicht zur Verschwiegenheit halten. Danke, dass wenigstens Sie dies beherzigen und Ihren Mandanten eine entsprechende Verschlüsselung anbieten.
Mit besten Grüßen
Christian Bennefeld, GF eBlocker GmbH
PS: Leider ist nach Auskunft von Prof. Härting durch einen „technischen Fehler“ der Link aus meinem obigen Kommentar auf den Ursprungsartikel der Intersoft entfernt worden. Ich verweise daher hier nochmal auf den entsprechenden Artikel und hoffe, dass der Fehler nicht nochmal auftritt:
https://www.datenschutzbeauftragter-info.de/e-mail-verschluesselung-pflicht-fuer-apotheker-aerzte-und-rechtsanwaelte
Jeder Leser möge sich hier selbst ein Urteil bilden. Eine Stellungnahme der Fa. Intersoft, die den „Stein des Anstoßes“ verfasst hat, gibt es bislang nicht.