Mails von Rechtsanwälten und Steuerberatern enthalten personenbezogene Daten und zudem sogar besonders schützenswerte personenbezogene Daten. Dabei unterliegen Rechtsanwälte und Steuerberater einer berufsbezogenen Schweigepflicht (§203 StGB).
Beanstandet wird die E‑Mail-Korrespondenz zwischen den betreffenden Rechtsanwälten sowie Steuerberatern und ihren Mandanten. Diese erfolgt in den jeweiligen Fällen unverschlüsselt oder lediglich transportverschlüsselt (TLS). Dies ist gemäß DSGVO allerdings nicht ausreichend.
Verschlüsselung erforderlich
Es ist zwingend erforderlich, E‑Mails verschlüsselt zu versenden. Eine geeignete technisch-organisatorische Maßnahme (TOM) im datenschutzrechtlichen Sinn ist daher nur eine besonders gesicherte „Ende-zu-Ende-Verschlüsselung“ (z. B. S/MIME oder PGP). Dadurch wird sichergestellt, dass nur der befugte Empfänger die Daten entschlüsseln kann. Die Korrespondenz unter Anwälten erfolgt aber auch über das besondere elektronische Anwaltspostfach (beA). Dies erfüllt ebenfalls die Sicherheitsanforderungen.
Geht es nach der Bremer Datenschutzbeauftragte Imke Sommer, so müssen bis Ende des Jahres Rechtsanwälte die Kommunikation mit Mandanten durchgehend verschlüsseln. E‑Mails mit Prozessgegnern und Kollegen sind dann spätestens Anfang 2024 mit Ende-zu-Ende-Verschlüsselung (E2EE) abzusichern. Eine Transportverschlüsselung, bei der der Übertragungskanal kryptografisch geschützt wird, aber nicht der übertragene Inhalt, welcher dann unverschlüsselt auf E‑Mail-Servern liegt, ist demzufolge nicht ausreichend.
Geeignete technische und organisatorische Maßnahmen (TOMs)
Nach Artikel 32 der DSGVO müssen Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, hierzu zählt auch die Verschlüsselung personenbezogener Daten. Ein bestimmtes Verfahren schreibt die DSGVO aber nicht vor.
Sollte Ihre E‑Mail-Korrespondenz bisher nicht ausreichend verschlüsselt erfolgen und damit nicht im Einklang mit der DSGVO stehen, so ist bereist jetzt mit den jeweiligen IT-Dienstleistern Kontakt aufzunehmen, um die Einrichtung und Nutzung von E2EE zu prüfen und gegebenenfalls einrichten zu lassen.
Einverständniserklärung ist nicht ausreichend
Einige Rechtsanwälte und Steuerberater lassen sich eine Einverständniserklärung von ihren Mandanten geben, welche die Kanzleien von der Pflicht zur Verschlüsselung entbinden soll. Hierbei wird erklärt, dass die Mandanten mit einer unverschlüsselte oder lediglich transportverschlüsselte Kommunikation einverstanden sind. Doch solche Erklärungen sind nach Einschätzung der Datenschutzbehörde nicht wirksam, wenn es um sensible Daten geht.
Das Schutzniveau der personenbezogenen Daten und die sich daraus ergebenden technisch-organisatorischen Maßnahmen sind in Artikel 32 der DSGVO festgelegt. Ein Abweichen nach eigenem Ermessen ist nicht vorgesehen.
Also lassen Sie sich gut beraten.