Rechts­an­wäl­te und Steu­er­be­ra­ter müs­sen Mails verschlüsseln

Lese­dau­er 2 Minu­ten

Mails von Rechts­an­wäl­ten und Steu­er­be­ra­tern ent­hal­ten per­so­nen­be­zo­ge­ne Daten und zudem sogar beson­ders schüt­zens­wer­te per­so­nen­be­zo­ge­ne Daten. Dabei unter­lie­gen Rechts­an­wäl­te und Steu­er­be­ra­ter einer berufs­be­zo­ge­nen Schwei­ge­pflicht (§203 StGB).

Bean­stan­det wird die E‑Mail-Kor­re­spon­denz zwi­schen den betref­fen­den Rechts­an­wäl­ten sowie Steu­er­be­ra­tern und ihren Man­dan­ten. Die­se erfolgt in den jewei­li­gen Fäl­len unver­schlüs­selt oder ledig­lich trans­port­ver­schlüs­selt (TLS). Dies ist gemäß DSGVO aller­dings nicht ausreichend.

Ver­schlüs­se­lung erforderlich

Es ist zwin­gend erfor­der­lich, E‑Mails ver­schlüs­selt zu ver­sen­den. Eine geeig­ne­te tech­nisch-orga­ni­sa­to­ri­sche Maß­nah­me (TOM) im daten­schutz­recht­li­chen Sinn ist daher nur eine beson­ders gesi­cher­te „Ende-zu-Ende-Ver­schlüs­se­lung“ (z. B. S/MIME oder PGP). Dadurch wird sicher­ge­stellt, dass nur der befug­te Emp­fän­ger die Daten ent­schlüs­seln kann. Die Kor­re­spon­denz unter Anwäl­ten erfolgt aber auch über das beson­de­re elek­tro­ni­sche Anwalts­post­fach (beA). Dies erfüllt eben­falls die Sicherheitsanforderungen.

Geht es nach der Bre­mer Daten­schutz­be­auf­trag­te Imke Som­mer, so müs­sen bis Ende des Jah­res Rechts­an­wäl­te die Kom­mu­ni­ka­ti­on mit Man­dan­ten durch­ge­hend ver­schlüs­seln. E‑Mails mit Pro­zess­geg­nern und Kol­le­gen sind dann spä­tes­tens Anfang 2024 mit Ende-zu-Ende-Ver­schlüs­se­lung (E2EE) abzu­si­chern. Eine Trans­port­ver­schlüs­se­lung, bei der der Über­tra­gungs­ka­nal kryp­to­gra­fisch geschützt wird, aber nicht der über­tra­ge­ne Inhalt, wel­cher dann unver­schlüs­selt auf E‑Mail-Ser­vern liegt, ist dem­zu­fol­ge nicht ausreichend.

Geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOMs)

Nach Arti­kel 32 der DSGVO müs­sen Ver­ant­wort­li­che geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men tref­fen, hier­zu zählt auch die Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten. Ein bestimm­tes Ver­fah­ren schreibt die DSGVO aber nicht vor.

Soll­te Ihre E‑Mail-Kor­re­spon­denz bis­her nicht aus­rei­chend ver­schlüs­selt erfol­gen und damit nicht im Ein­klang mit der DSGVO ste­hen, so ist bereist jetzt mit den jewei­li­gen IT-Dienst­leis­tern Kon­takt auf­zu­neh­men, um die Ein­rich­tung und Nut­zung von E2EE zu prü­fen und gege­be­nen­falls ein­rich­ten zu lassen.

Ein­ver­ständ­nis­er­klä­rung ist nicht ausreichend

Eini­ge Rechts­an­wäl­te und Steu­er­be­ra­ter las­sen sich eine Ein­ver­ständ­nis­er­klä­rung von ihren Man­dan­ten geben, wel­che die Kanz­lei­en von der Pflicht zur Ver­schlüs­se­lung ent­bin­den soll. Hier­bei wird erklärt, dass die Man­dan­ten mit einer unver­schlüs­sel­te oder ledig­lich trans­port­ver­schlüs­sel­te Kom­mu­ni­ka­ti­on ein­ver­stan­den sind. Doch sol­che Erklä­run­gen sind nach Ein­schät­zung der Daten­schutz­be­hör­de nicht wirk­sam, wenn es um sen­si­ble Daten geht.

Das Schutz­ni­veau der per­so­nen­be­zo­ge­nen Daten und die sich dar­aus erge­ben­den tech­nisch-orga­ni­sa­to­ri­schen Maß­nah­men sind in Arti­kel 32 der DSGVO fest­ge­legt. Ein Abwei­chen nach eige­nem Ermes­sen ist nicht vorgesehen.

Also las­sen Sie sich gut beraten.