BRAK-Mitteilungen 3/2021
damals von der Bekl. verwendeten, in der Begründung zu § 20 I RAVPV enthaltenen Terminologie von einer En- de-zu-Ende-Verschlüsselung gesprochen. So führt das BVerfG in diesem Beschluss unter Verweis auf § 20 I RAVPV aus, dass das beA zur sicheren Übermittlung eine sog. Ende-zu-Ende-Verschlüsselung verwende (BVerfG, Beschl. v. 20.12.2017, a.a.O. Rn. 5). Weiter wird in der Begründung darauf abgestellt, dass es in der Beschwerdeschrift an einer Auseinandersetzung mit den konkret getroffenen Sicherheitsvorkehrungen wie etwa der Ende-zu-Ende-Verschlüsselung fehle (a.a.O. Rn. 14). Damit ist indes nicht gesagt, dass das BVerfG eine Ende-zu-Ende-Verschlüsselung in dem von den Kl. geforderten Sinne für gegeben sowie für geboten erach- tete. Mit den technischen Details der beA-Struktur hat sich das BVerfG in diesem Beschluss nicht auseinander- gesetzt. Erst Recht hat das BVerfG weder – wie die Kl. meinen – § 20 I RAVPV dahingehend ausgelegt, dass die Bekl. eine Ende-zu-Ende-Verschlüsselung in dem von den Kl. geforderten Sinne gewährleisten müsse noch hat es dies für verfassungsrechtlich geboten erklärt. Der Nichtannahmebeschluss, dem ohnehin als Prozess- entscheidung keine Bindungswirkung i.S.v. § 31 I BVerfGG zukommt, befasst sich hiermit schon nicht. [65] (2) Die Bekl. war auch nicht deshalb gehalten, eine Ende-zu-Ende-Verschlüsselung in dem von den Kl. gefor- derten Sinne unter Verzicht auf eine Umschlüsselung der Schlüssel im HSM vorzusehen, weil einzig hierdurch die von § 20 I RAVPV geforderte sichere Kommunika- tion gewährleistet werden könnte. Ein Erfolg der Klage unter dem Aspekt der Sicherheit der Kommunikation setzte dies indes voraus. Denn die Klage ist ausdrück- lich nur darauf gerichtet, das weitere Betreiben des be- stehenden Verschlüsselungssystems im Hinblick auf die fehlende Ende-zu-Ende-Verschlüsselung in dem von den Kl. geforderten Sinne zu unterlassen sowie das beson- dere elektronische Anwaltspostfach mit einer derarti- gen Verschlüsselung zu betreiben. Kann jedoch auch ein anderes System eine hinreichende Sicherheit ge- währleisten, besteht kein Anspruch auf die von den Kl. geforderte Verschlüsselungstechnik. Eine sicherheitsre- levante Schwachstelle des bestehenden Systems konnte den von den Kl. geltend gemachten Anspruch auf Nut- zung einer bestimmten Verschlüsselungstechnik nur dann begründen, wenn diese nicht behebbar wäre und damit eine fortlaufende Gefahr für die Sicherheit der Kommunikation darstellte. Denn nur in diesem Fall könnte diese Schwachstelle dazu führen, dass das ge- wählte System seiner Struktur nach keine sichere Kom- munikation gewährleisten könnte und die BRAK den ihr zustehenden Spielraum für die technische Gestaltung durch die gewählte Technik überschritten hätte. Der von den Kl. geltend gemachte Anspruch auf eine bestimmte Verschlüsselungstechnik könnte sich hieraus nur unter der weiteren Voraussetzung ergeben, dass nicht ein sonstiges hinreichend sicheres System existierte. [66] Es ist auf Grundlage des von beiden Parteien vor- gelegten Secunet-Gutachtens sowie des Parteivorbrin- gens davon auszugehen, dass – i.V.m. entsprechenden Sichere Kommunika- tion gewährleistet organisatorischen Sicher- heitsvorkehrungen beim Be- treiber des beA und der Bekl. – auch das von der Bekl. gewählte System in aus- reichendem Maße die erforderliche sichere Kommuni- kation gewährleisten kann. Nicht behebbare Sicher- heitsmängel ergeben sich weder aus dem Sachvortrag der Parteien noch sind sie sonst ersichtlich. [67] Sicherheit ist hierbei nicht im Sinne einer absoluten Sicherheit zu verstehen, die jegliches Risiko ausschließt. Eine solche Sicherheit existiert im Bereich der elektroni- schen Kommunikation nicht. Zu Recht hat der AGH hier- zu ausgeführt, dass Sicherheit nur ein relativer Zustand der Gefahrenfreiheit bedeutet, Beeinträchtigungen nicht vollständig ausgeschlossen werden können und stets ein Restrisiko eines Angriffs auf übermittelte Da- ten verbleibt. [68] Eine sichere Kommunikation im Rechtssinne setzt demnach nicht eine Freiheit von jeglichen Risiken vor- aus. Das gewählte Übermittlungssystem muss einen Si- cherheitsstandard erreichen, bei dem unter Berücksich- tigung der Funktionalität nach dem Stand der Technik die Übermittlung voraussichtlich störungs- und gefahr- frei erfolgt und Risiken für die Vertraulichkeit möglichst weitgehend ausgeschlossen werden. Dementsprechend hat der AGH darauf abgestellt, dass Sicherheit erforde- re, dass ein Schadenseintritt hinreichend unwahrschein- lich sei und insgesamt ein Zustand als sicher gelten kön- ne, der unter Berücksichtigung der Funktionalität und Standards frei von unvertretbaren Risiken sei. [69] Der Senat teilt auf Grundlage des Sach- und Streit- standes die Auffassung des AGH, wonach die Übermitt- lung von Nachrichten unter Einsatz der besonderen elektronischen Anwaltspostfächer eine Sicherheit in die- sem Sinne gewährleisten kann, wobei zu berücksichti- gen ist, dass die für die Sicherheitsbeurteilung erforder- liche Risikoermittlung und -bewertung stets eine Prog- nose über mögliche künftige Bedrohungen und deren Eintrittswahrscheinlichkeit bedingt und somit auch inso- weit Unsicherheiten beinhaltet. Diese sind indes nicht vermeidbar und deshalb hinzunehmen, sofern die Ein- schätzung auf Grundlage fachwissenschaftlicher Maß- stäbe methodisch fachgerecht erfolgte (vgl. BVerwG, NVwZ-RR 1991, 129, 131 für die Sicherheitsanforde- rungen beim Flughafenbau). [70] (2.1) Das Secunet-Gutachten kommt zu dem Ergeb- Secunet-Gutachten nis, dass das dem beA zu- grundeliegende Verschlüsse- lungskonzept geeignet ist, die Vertraulichkeit der Nachrichten während der Über- tragung und Speicherung durch das beA zu gewährleis- ten, auch gegenüber dem Betreiber des beA. Die Um- verschlüsselung sei in einem HSM gekapselt und schüt- ze daher dort vorübergehend entstehende Schlüsselin- formationen in einer besonderen manipulations- und ausspähsicheren Umgebung (Secunet-Gutachten, S. 11). [71] Die im Rahmen der gutachterlichen Prüfung aufge- zeigten, als betriebsverhindernd eingestuften Schwach- BRAK-MITTEILUNGEN 3/2021 BERUFSRECHTLICHE RECHTSPRECHUNG 198
RkJQdWJsaXNoZXIy ODUyNDI0