ZAP 21/2018, Praxisfalle Datenschutz: Erste Erfahrungen ... / 2. Verschlüsselungspflicht für Anwälte?

In Beantwortung einer konkreten Anfrage hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Anfang 2018 seine Auffassung zur Verschlüsselung von anwaltlichen E-Mails geäußert. Im Kern ging es hierbei um die durchaus praxisrelevante Frage, ob für Anwälte eine Pflicht zur Verschlüsselung von E-Mails besteht, die sie im beruflichen Kontext versenden. Für die Hamburger Datenschutzbehörde ist der Versand unverschlüsselter E-Mails, die personenbezogene Daten enthalten, nicht nur bedenklich, sondern stellt auch ein ungeeignetes Kommunikationsmittel dar. Eine klare Aussage in Richtung Rechtskonformität erfolgte leider nicht. Alles in allem kann aber wohl nicht von einer Verschlüsselungspflicht ausgegangen werden, denn diese wird weder von den Datenschutz-Aufsichtsbehörden noch von der DSGVO gefordert. Der europäische Gesetzgeber sieht die Verschlüsselung von Daten lediglich als ein wirksames Instrument in Sachen Datenschutz an und sagt sinngemäß: Wann immer man Daten verschlüsseln kann, ist es gut, das auch zu tun.

Praxishinweis:

Wer Windows 10 nutzt, sollte die im Betriebssystem integrierte Bitlocker-Verschlüsselung aktivieren, wer eine Website betreibt, sollte ein SSL-/TLS-Zertifikat einbinden und wer sich mit seinen Mandanten auf eine Verschlüsselungsmethode für E-Mail-Inhalte verständigen kann, der sollte auch das in die Tat umsetzen. Wohl gemerkt "sollte", nicht "muss".

Die DSGVO fordert für jedes Unternehmen und damit auch für jede Kanzlei ein "dem eigenen Risiko angemessenes Schutzniveau" (u.a. in Art. 32 DSGVO). Das bedeutet, dass zunächst eine Bewertung des eigenen Risikopotenzials erfolgen muss. In einem zweiten Schritt sind dann die bestehenden technischen und organisatorischen Maßnahmen auf ihre Tauglichkeit unter Berücksichtigung des ermittelten Risikos zu bewerten und ggf. entsprechend anzupassen oder zu erweitern. Hier gilt die Faustregel: Je sensibler die zu schützenden Daten sind, desto besser müssen die Schutzmaßnahmen sein. Dabei sind neben dem Stand der Technik u.a. auch die Zwecke der Verarbeitung sowie die Kosten der Implementierung zu berücksichtigen. Das Umsetzen von Datenschutzmaßnahmen darf also nicht zu einer Insolvenz der verantwortlichen Stelle führen, verlangt aber z.B., dass veraltete Betriebssysteme durch neue ersetzt oder dass Antiviren- bzw. Firewall-Lösungen stets up-to-date gehalten werden.

Eine Pflicht zur Verschlüsselung von E-Mails ergibt sich jedoch weder aus dem Datenschutz- noch aus dem anwaltlichen Berufsrecht. Schon rein praktisch stellt sich die Frage, wie man als Anwalt gewährleisten können soll, dass jegliche Mail-Korrespondenz verschlüsselt erfolgt. Dazu müsste man sich mit jedem Empfänger vorab auf eine gemeinsame Verschlüsselungstechnik verständigen. Die Erfahrungen der letzten Jahre aus der Praxis zeigen jedoch, dass nur ein sehr geringer Prozentsatz von Mandanten dazu bereit bzw. in der Lage ist, solche Techniken einzurichten – ganz zu schweigen von Behörden oder Gerichten. Durch das beA ist zwar zumindest im Ansatz der Grundstein für eine sichere elektronische Kommunikation zwischen Anwälten, Behörden und Gerichten gelegt, aber auch hier besteht eine gewisse Hürde für die Einbindung von Mandanten. Diese könnten zwar mittels der Nachfolge-Software des sog. Bürger-Clients am beA teilnehmen, große Verbreitung findet dieser Lösungsansatz jedoch (noch) nicht.