Bremer Rechtsanwälte vs. Bremer Datenschutzbehörde

In Bremen streitet sich die Rechtsanwaltskammer (RAK) mit der Landesdatenschutzbeauftragten. Die Datenschutz-Behörde vertritt die Auffassung, dass Anwältinnen und Anwälte verpflichtet sind, den E-Mail-Verkehr mit Mandantschaft, Gegnern oder Kolleg*innen nur per Ende-zu-Ende-Verschlüsselung (E2E) zu führen. Konflikte gab es zwischen den zwei Parteien schon seit der Einführung der DSGVO 2018. Mit der Einführung der neuen Berufsverordnung für Rechtsanwälte (BORA) flammte dieser dann wieder erneut auf.

Nach derzeitigem Stand laufen Bremer Anwält*innen, die bis Ende 2023 keine E2E umgesetzt haben, Gefahr sanktioniert und mit Bußgeldern belegt zu werden. Laut den Bremer Datenschützern führt schon die Verwendung von E-Mail-Adressen, die auf Absender/Adressat schließen lassen, zu einem besonderen Schutzbedarf, der eine E2E-Verschlüsselung erfordern soll.

Der Bremer RAK geht das zu weit – die E2E-Verschlüsselung sei "nicht das Maß aller Dinge". Die Transportverschlüsselung hätte sich unter Anwält*innen schon seit Jahren als wirksamer Schutz für personenbezogene Daten etabliert. Zum Vergleich wird das besondere elektronische Anwaltspostfach (beA) herangeführt, welches ohne E2E, aber dennoch mit einer wirksamen Transportverschlüsselung arbeitet und so ein ausreichendes Schutzniveau bereitstellt.

Technische Einordnung des Sachverhaltes

Eine E2E-Verschlüsselung – generell jede Art von Inhaltsverschlüsselung einer E-Mail – schützt nicht die E-Mail-Adressen. Der Body der E-Mail, also der eigentliche Textinhalt sowie die Anhänge, sind das Einzige, was durch die Inhaltsverschlüsselung effektiv verschlüsselt wird. Die Headerzeilen der E-Mail, also auch die Adressaten, werden nicht verschlüsselt. Auch Techniken wie S/MIME, PGP oder Methoden mit verschlüsselten Anhängen schützen nicht die E-Mail-Adressen der Adressaten.

Die Annahme, man bräuchte eine E2E-Verschlüsselung aus dem Grunde, die E-Mail-Adressen der Adressaten zu schützen, ist somit haltlos.

Die hier genannte „Transportverschlüsselung“ muss differenzierter betrachtet werden, als es bis jetzt getan wurde. Die einfache "Standard-Transportverschlüsselung" (opportunistic TLS) eines E-Mail-Servers bietet keinerlei wirksamen Schutz, weil es jederzeit passieren kann, dass z.B. durch ein Nichtvorhandensein der TLS-Funktionalität beim Empfänger-Server, sensible E-Mails unverschlüsselt übertragen werden.

Der Vergleich mit dem beA ist daher technisch nicht haltbar – denn das beA arbeitet, im Gegensatz zu einem normalen E-Mail-Server, nicht mit einer opportunistischen Standard-Transportverschlüsselung, sondern mit starker Authentifizierung der beteiligten Server untereinander – ein immenser Unterschied für die resultierende Risikominderung.

Was könnte eine Alternative sein?

Das, was im beA gut funktioniert, ließe sich mit geringem Aufwand auch für den eigenen E-Mail-Server anwenden. Wenn der eigene MTA (also der ausgehende E-Mail-Server) beim E-Mail-Versand auf die „qualifizierte“ Transportverschlüsselung – eine Technologie, die von der DSK selbst definiert wurde – als Standard-Sicherheitslevel konfiguriert wird, oder alternativ ein spezieller SMTP-Relay (also ein zusätzliches System) dafür genutzt wird, können beide Standpunkte miteinander verbunden werden. Denn die qualifizierte Transportverschlüsselung stellt sicher, dass E-Mails nur bei gegebener technischer Sicherheit die Absender-IT verlassen dürfen, indem sie eine starke Authentifizierung zwischen den E-Mail-Servern sicherstellen und moderne Kryptografie nutzen.

Somit ist es möglich den notwendigen Schutzbedarf, vergleichbar mit beA, ohne Zusatzaufwand auch mit der Mandantschaft anzuwenden.

Vorteile der qualifizierten Transportverschlüsselung

Dabei schützt die qualifizierte Transportverschlüsselung nicht nur den E-Mail-Inhalt, sondern auch die Meta-Daten, wie die E-Mail-Adressen der Kommunikationspartner. Also genau den Umstand, den die Bremer Datenschutzbehörde so dringend fordert. Für die „Standard-Kommunikation“ mit Mandanten und Gegnern ist keine weitere Verschlüsselung notwendig, für die Anwält*innen bleibt der Aufwand damit überschaubar. Bei zusätzlichem Schutzbedarf kann immer noch eine Inhaltsverschlüsselung, etwa durch passwort-verschlüsselte Anhänge, ergänzt werden.

Das richtige E-Mail-System kann dabei helfen, eine „Pflicht“ zur verschlüsselten E-Mail-Übertragung automatisiert umzusetzen. Ein sinnvoller und datenschutzrechtlich nicht zu beanstandender Lösungsweg wäre:

• Die qualifizierte Transportverschlüsselung („qTLS“) wird zum Mindest-Standard für die verschlüsselte E-Mail-Übertragung.
• Wenn beim E-Mail-Versand an Mandanten deren E-Mail-Server in der Lage sind, eine qTLS-verschlüsselte Verbindung aufzubauen (ca. 90-95 % der Fälle), erhalten die Mandanten die E-Mails ohne zusätzlichen Aufwand – denn die qTLS-Verschlüsselung sorgt für die notwendige sichere Übertragung.
• Wenn beim E-Mail-Versand an Mandanten deren E-Mail-Server die notwendigen Voraussetzungen für eine qTLS-Verschlüsselung nicht erfüllen, dürfen die betroffenen Mandanten auch keine „normalen“ E-Mails erhalten. Stattdessen muss mit Inhaltsverschlüsselung nachgeholfen werden, um die notwendige Sicherheit zu erreichen.

Automatisiert, minimalinvasiv und an den eigenen Sicherheitsbedarf angepasst

Mit der adaptiven Verschlüsselung von kanzleiSECUREMAIL erfolgt die Entscheidung für das angemessene und verfügbare Schutzniveau somit automatisch, unter Berücksichtigung Ihrer Voreinstellungen und Präferenzen.

Durch die Automatisierung entstehen für die Anwender folgende Vorteile:

• 100 % datenschutzkonform
• ohne aufwendige Schulung anwendbar
• keine Passwörter oder externe Portale
• minimalinvasive Erweiterung der bestehenden E-Mail-Systeme
• zentrale Konfiguration und Entlastung sowohl der IT-Abteilung als auch der Mitarbeiter
• bessere Kontrolle des E-Mail-Kanals und Vermeidung von „Schatten-IT“

Sie wollen mehr wissen?

Klicken Sie hier, um alle Vorteile von kanzleiSECUREMAIL zu erfahren!