BRAK-Mitteilungen 3/2021

[90] Dieses Verständnis des Verweises auf den OSCI- Standard bestätigt auch der jüngste Regierungsentwurf eines Gesetzes zum Ausbau des elektronischen Rechts- verkehrs mit den Gerichten und zur Änderung weiterer prozessrechtlicher Vorschriften v. 12.2.2021 (BR-Drs. 145/21). Dort wird für das zur Einführung vorgesehene besondere elektronische Bürger- und Organisations- postfach bestimmt, dass dieses auf dem Protokollstan- dard OSCI oder einem diesen ersetzenden, dem jeweili- gen Stand der Technik entsprechenden Protokollstan- dard beruht (§ 10 I Nr. 1 ERVV-E). In der Begründung hierzu wird erläutert, dass OSCI-Transport-Nachrichten einen zweistufigen „Sicherheitscontainer“ hätten. Hier- durch seien Vertraulichkeit, lntegrität und Authentizität der Nachrichten gewährleistet. Eine Ende-zu-Ende-Ver- schlüsselung in dem von den Kl. geforderten Sinne wird dagegen nicht für erforderlich erklärt. [91] Dieses Ergebnis wird dadurch bestätigt, dass – wie oben ausgeführt – die Struktur des besonderen elektro- nischen Anwaltspostfachs vor Erlass der RAVPV be- kannt war und der Verordnungsgeber die Verordnung in Kenntnis und Billigung dieser Struktur erlassen hat. Deshalb ist nicht davon auszugehen, dass der Verord- nungsgeber mit dem Verweis auf die Grundlagen des Protokollstandards OSCI weitergehende oder anders- lautende Anforderungen an die Verschlüsselung stellen wollte als das ihm bekannte Konzept, das planmäßig auf die Einhaltung der Anforderungen für die bestim- mungsgemäße Registrierung als Drittanwendung aus- gerichtet war, dies vorsah. [92] Der o.g. Regierungsentwurf bestätigt dies: Aus- drücklich wird dort in der Begründung zu § 10 ERVV-E unter Verweis auf § 20 I 1 RAVPV ausgeführt, dass auch die Anwaltschaft derzeit auf Grundlage des OSCI-Proto- kollstandards kommuniziere (BR-Drs. 145/21, 43). Dem ist zu entnehmen, dass der Verordnungsgeber trotz der in Fachkreisen bekannten Diskussion zur fehlenden En- de-zu-Ende-Verschlüsselung des beA aufgrund der Ver- wendung des HSM auch weiterhin keine Bedenken ge- gen die Einhaltung der normierten Vorgaben durch das seitens der Bekl. errichtete System hat und dieses als auf Grundlage der OSCI-Standards errichtet ansieht. [93] (3.2) Wie die erfolgreiche Registrierung der beA- Webanwendung als registriertes Drittprodukt am OSCI- gestützten elektronischen Rechtsverkehr zeigt, erfüllt das besondere elektronische Anwaltspostfach die hier- für erforderlichen Voraussetzungen und wird damit zu- gleich auf der Grundlage des OSCI-Standards i.S.v. § 20 I RAVPV betrieben. [94] (3.3) Nur ergänzend ist darauf hinzuweisen, dass der OSCI-Standard eine Verschlüsselung ohnehin nicht grundsätzlich vorschreibt, sondern nur als Option er- möglicht (vgl. OSCI-Transport 1.2 – Entwurfsprinzipien, Sicherheitsziele und -mechanismen – der OSCI-Leitstel- le, v. 6.6.2002, S. 6 unter 1.: „Das Signieren und Ver- schlüsseln der lnhaltsdaten erfolgt damit bei OSCI op- tional“; S. 18 unter 5.1.1: „OSCI stellt eine Verschlüsse- lung der lnhaltsdaten vom Absender zum Empfänger zur Verfügung ... „). Auch deshalb besagt der Verweis auf die Grundlagen des Protokollstandards OSCI in § 20 I RAVPV nicht, dass der Bekl. eine bestimmte Ver- schlüsselungsart zwingend vorgeschrieben wäre. [95] Der Vortrag der Kl. dazu, weshalb die Vorgaben des OSCI-Standards nicht eingehalten seien, überzeugt überdies auch aus anderen Gründen nicht. Die Kl. ver- weisen auf Passagen der Entwurfsprinzipien, worin zum Thema Vertraulichkeit ausgeführt wird, dass die Ver- schlüsselung die Vertraulichkeit der lnhaltsdaten wäh- rend der Übertragung sowie gegenüber dem lntermedi- är garantieren könne und durch die Trennung von lnhalts- und Nutzungsdaten auch der lntermediär keine Kenntnis von den lnhaltsdaten erhalte und nicht in der Lage sei, diese zu entschlüsseln und somit zu lesen. Die- se Voraussetzungen werden grundsätzlich auch bei einer Übermittlung mittels der beA-Anwendung einge- halten, denn es bleiben – wie oben ausgeführt – entge- gen dem Vorbringen der Kl. die lnhaltsdaten durchge- hend verschlüsselt und es findet eine Umschlüsselung der lnhaltsdaten im HSM nicht statt. Soweit die Kl. da- rauf verweisen, dass nach dem Secunet-Gutachten nicht ausgeschlossen sei, dass ein lnnentäter, der sich in den Besitz des gesamten Schlüsselmaterials bringe, Nach- richten entschlüsseln könne (Secunet-Gutachten, B- Schwachstelle Nr. 5.5.3, S. 86), ändert dies an der Erfül- lung der von den Kl. genannten Voraussetzungen des OSCI-Standards nichts. Auch insoweit gilt, dass Maß- stab für eine Vereinbarkeit der beA-Anwendung mit dem OSCI-Protokoll der Regelbetrieb und nicht ein miss- bräuchlicher und rechtswidriger Angriff auf das System ist. [96] (c) Ohne Erfolg bleibt auch der Verweis der Kl. da- Kein Verstoß gegen Datenschutzrecht rauf, dass die Ende-zu-En- de-Verschlüsselung i.S.d. europäischen Patentschrift aus datenschutzrechtlicher Sicht ein Mindeststandard sei. Es ist weder ersichtlich noch dargetan, dass datenschutzrechtliche Vorschriften für den Bereich der Kommunikation über das besonde- re elektronische Anwaltspostfach überhaupt eine Ver- schlüsselung, geschweige denn eine bestimmte Ver- schlüsselungstechnik vorschreiben. [97] (d) Eine Ende-zu-Ende-Verschlüsselung in dem von den Kl. geforderten Sinne ist auch nicht aus verfas- sungsrechtlichen Gründen geboten. (...) HINWEISE DER REDAKTION: Das vom BGH erwähnte 92-seitige Gutachten der se- cunet Networks AG zur Sicherheit des beA findet sich auf den Internetseiten der BRAK. BRAK-MITTEILUNGEN 3/2021 BERUFSRECHTLICHE RECHTSPRECHUNG 202