Sabine Jungbauer, Dipl.-Ing. Werner Jungbauer
Rz. 6
▓ Verschlüsselung von E-Mails
Werden E-Mails vom Absender zum Empfänger versendet, geschieht dies im Internet ohne besondere Vorkehrung, sofern also keine eigene Verschlüsselung erfolgt, grundsätzlich unverschlüsselt. Dabei werden die E-Mails von Server zu Server weitergeleitet und können auf diesen Servern durchsucht, evtl. verändert und nach beliebigen Stichworten ausgewertet werden.
Rz. 7
Um dies zu verhindern, muss die E-Mail verschlüsselt werden, indem eine Verschlüsselungs-Software eingebunden wird. Dies kann z.B. mit PGP (Pretty Good Privacy) oder mit dem freien Programm easyGPG erfolgen. Diese Programme können als Add-Ons oder Plug-Ins in den E-Mail-Programmen installiert werden. Bei dieser Verschlüsselungsmethode kommt ein Schlüsselpaar, die sog. "asymmetrische Verschlüsselung" zum Einsatz. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel wird geheim gehalten und ist nur dem Schlüsselinhaber bekannt. Dieser wird in der Regel durch ein Passwort oder eine PIN geschützt.
Rz. 8
An den öffentlichen Schlüssel des Empfängers gelangt der Absender dadurch, dass ihm der Empfänger diesen öffentlichen Schlüssel zur Verfügung gestellt hat, oder der Absender den öffentlichen Schlüssel des Empfängers von einem öffentlichen Schlüsselserver herunterlädt. Um die Echtheit des öffentlichen Schlüssels zu prüfen, um Manipulationen möglichst ausschließen zu können, sollten der Absender und der Empfänger den Fingerabdruck des öffentlichen Schlüssels über ein sicheres Medium, z.B. das Telefon, überprüfen. Nur wenn die Werte des Fingerabdrucks (sog. Hash-Wert) bei Empfänger und Absender übereinstimmen, kann davon ausgegangen werden, dass keine Manipulation am öffentlichen Schlüssel durchgeführt worden ist.
Rz. 9
Die zu sendende E-Mail wird vom Absender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Das kann man sich bildlich so vorstellen, dass ein Vorhängeschloss an die vom Absender zu sendende E-Mail gehängt wird und somit niemand mehr Zugang zu dieser E-Mail bekommen kann. Nur der Besitzer des privaten Schlüssels ist in der Lage, dieses Vorhängeschloss mit diesem privaten Schlüssel zu öffnen.
Rz. 10
Alternativ könnte auch die S/MIME-Verschlüsselung angewendet werden. Diese hat den Vorteil, dass bei der Nutzung dieser Verschlüsselungsart Zertifikate verschiedener Klassen vorausgesetzt werden, was eine erhöhte Sicherheit in der Verwendung darstellt.
Rz. 11
Zur Problematik des Versendens via E-Mail, selbst wenn hier eine Verschlüsselung genutzt wird, führt Sorge aus. Selbst der Zusammenschluss einiger deutscher Provider unter der Initiative "E-Mail made in Germany" wird von Sorge problematisch betrachtet.
Rz. 12
Zur E-Mail-Verschlüsselung kann man sich über die Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) informieren.
Rz. 13
Der Versand von E-Mails ohne Ende-zu-Ende-Verschlüsselung ist in Anwaltskanzleien auch heute noch sehr gebräuchlich. § 2 Abs. 2 S. 5 u. 6 BORA regelt inzwischen, dass die Nutzung eines elektronischen oder sonstigen Kommunikationswegs, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann zwischen Rechtsanwalt und Mandant erlaubt ist, wenn der Mandant ihr zustimmt; die Zustimmung ist anzunehmen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt. Die Empfehlung von Sorge, zumindest besonders vertrauliche Dokumente, die per E-Mail verschickt werden müssen, als Zip-Archiv zu versenden und dem Mandanten telefonisch ein ausreichend langes und komplexes Password zur Entschlüsselung des Zip-Archivs mitzuteilen, kann unseres Erachtens auch heute noch gegeben werden. Vor allem entbindet die vorgenannte Regelung gem. § 2 Abs. 5 BORA nicht davon, die Vorschriften zum Schutz personengebundener Daten gleichwohl zu beachten. Man stelle sich nur einmal vor, ein in einem Umgangsverfahren erstelltes psychiatrisches Gutachten über ein minderjähriges Kind fällt dem mangelnden Datenschutz zum Opfer. Vielen Kanzleien ist hier oft nicht bewusst, dass so hoch sensible Daten im Interesse des Kindes und späteren Erwachsenen selbstverständlich entsprechend vor der Kenntnisnahme und dem Zugriff Dritter geschützt gehören. Insofern ist zu begrüßen, dass Gutachter künftig die Möglichkeit haben werden, via eBO als sicheren Übermittlungsweg derartige Gutachten an die beteiligten Anwälte per beA übermitteln zu können, zum eBO siehe auch § 2 Rdn 46 ff.