nerell eine Ende-zu-Ende-Verschlüsselung zu bevorzugen.53 53 Ausf. zu dem Schreiben Lemke, KammerForum 2019, 35 ff.; Keppler, CR 2019, 18, 19 f. Auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,54 54 Hierzu Keppler, CR 2019, 18, 19 (dort Fn. 18), wobei sich die wiedergegebene Äußerung nicht nur auf Berufsgeheimnisträger, sondern generell auf sensible Daten bezieht. der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg55 55 S. NJW-aktuell 8/2019, 28. und der Sächsische Datenschutzbeauftragte56 56 Hierzu Schöttle, BRAK-Mitt. 2018, 118, Fn. 4. sollen sich in diese Richtung geäußert haben. Abgeleitet wird das Verschlüsselungserfordernis aus Art. 5 I lit. f, 25, 32 DSGVO. Danach müssten der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um bei der Datenverarbeitung ein angemessenes Schutzniveau zu gewährleisten.57 57 Gasteyer/Hermesmeier, BRAK-Mitt. 2019, 227, 229; Keppler, CR 2019, 18, 19. In der Praxis werden diese Maßnahmen mit der Bezeichnung „TOMs“ abgekürzt.58 58 Schultze-Melling, in Taeger/Gabel (Fn. 11), Art. 32 DSGVO Rn. 12. Art. 32 I lit. a DSGVO nenne ausdrücklich die Verschlüsselung personenbezogener Daten als eine geeignete Maßnahme. Hiergegen wird eingewandt, Art. 32 DSGVO lege keine konkreten Schutzmaßnahmen fest, sondern verfolge einen risikobasierten Ansatz. Der verantwortliche Anwalt müsse im Einzelfall festlegen, welche Maßnahmen erforderlich seien, um die Daten zu schützen.59 59 So Drößler, CB 2019, 373, 377; auch Keppler, CR 2019, 18, 21 ff., der zutreffend darauf hinweist, dass Art. 32 DSGVO eine Schutzbedarfsanalyse fordert, die nur im Einzelfall zu den jeweils in Frage stehenden Daten getroffen werden kann. Pauschale Aussagen und erst recht eine allgemeine Verpflichtung zur Verschlüsselung von E-Mails könnten daher nicht aus Art. 32 DSGVO abgeleitet werden. Gleichwohl könne im Einzelfall eine solche Verpflichtung bestehen. Das stimmt: Jedes Mandat ist anders und kann unterschiedliche Sicherungsvorkehrungen mit sich bringen. Zudem wird ebenfalls zu Recht angenommen, eine dem Stand der Technik risikoadäquate Verschlüsselung sei die Transportverschlüsselung (beispielsweise TLS). Einer Ende-zu-Ende-Verschlüsselung bedürfe es nicht.60 60 Mit überzeugenden Ausführungen zum Stand der Technik und einer Erklärung zum Unterschied von Transport- und Ende-zu-Ende-VerschlüsselungSchöttle, BRAK-Mitt. 2018, 118, 120 f.; jetzt hierzu auch VG Mainz, BRAK-Mitt 2021, 104, 107; Schöttle, BRAK-Mitt. 2021, 77; zu den Alternativen einer Public-Key-Infrastruktur und „Cloud Mail“ Gottwald, BRAK-Magazin 1/2019, 16. Dabei wird zu Recht darauf hingewiesen, dass nicht einmal das besondere elektronische Anwaltspostfach (beA) eine Ende-zu-Ende-Verschlüsselung gewährleiste oder erfordere.61 61 Keppler, CR 2019, 18, 24. Jetzt auch AGH Berlin, 14.11.2019 – I AGH 6/18, BRAKMitt. 2019, 318, der es für ausreichend hält, dass beim beA gerade keine Ende-zuEnde-Verschlüsselung erfolge. Der BGH, Urt. v. 22.3.2021 – AnwZ (Brfg) 2/20, BRAK-Mitt. 2021, 190 hat dies bestätigt. „Normale“ Korrespondenz könne daher nicht stärkeren Sicherheits-Anforderungen unterworfen werden.62 62 Keppler, CR 2019, 18, 24. Überwiegend wird auch angenommen, der Mandant könne darin einwilligen, über gänzlich unverschlüsselte E-Mails zu kommunizieren.63 63 Schöttle, BRAK-Mitt. 2018, 118, 123; Bethke, DStR 2019, 1228, 1230; Gasteyer/ Hermesmeier, BRAK-Mitt. 2019, 227, 229. Der Mandant habe die alleinige Verfügungsgewalt über das Mandatsgeheimnis. Man entziehe dem Mandanten aber die Verfügungsbefugnis über die Vertraulichkeit, wenn man generell einen bestimmten Sicherheitsstandard als unerlässlich erachte.64 64 Gasteyer/Hermesmeier, BRAK-Mitt. 2019, 227, 229. Davon geht erkennbar auch die bereits erwähnte Neuregelung in § 2 II 4 und 5 BORA aus. Hierin nimmt der Satzungsgeber an, dass der Mandant (zumindest aus berufsrechtlicher Sicht) in eine ungeschützte Kommunikation einwilligen könne. Wie dargelegt, ist diese Regelung nicht ganz unproblematisch, so nachvollziehbar ihr Ziel auch ist. Eine abschließende Bemerkung: Bei aller Aufregung, die es wegen der Äußerung der Landesdatenschutzbeauftragten zur angeblichen Verschlüsselungspflicht von E-Mails gegeben hat, darf man aber auch eins nicht verkennen: Bisher waren die Beschwerden von Mandanten oder auch deren Gegnern über unverschlüsselte Kommunikation bei Rechtsanwälten verschwindend gering. Im Gegenteil: In vielen Fällen wünscht sich der Mandant eine einfache, zügige und barrierefreie Kommunikation mit seinem Anwalt. Auch das zeigt, dass die von den Datenschutzbeauftragten gefühlte angebliche Schutzlücke, zumindest auf Seiten der Mandanten so nicht wahrgenommen wird. 3. VERSENDEN VON E-MAILS AN DEN GEGNER Das Thema E-Mail-Kommunikation taucht in der Praxis darüber hinaus unter ganz anderem Vorzeichen auf. Es stellt sich nämlich die Frage, ob der Anwalt seinem Gegner Forderungsschreiben und andere Korrespondenz per E-Mail schicken darf? Auch hier gilt: Jeder Fall ist anders. Pauschale Aussagen lassen sich nicht treffen. Ganz generell gilt: Der Anwalt kann sich nur auf den Erlaubnistatbestand des Art. 6 I lit. f DSGVO stützen, um zu rechtfertigen, dass er dem Gegner seines Mandanten Schreiben in sein E-Mail-Postfach zustellt. Diese Norm verlangt, dass der Anwalt berechtigte Interessen geltend machen kann, wenn er an den Gegner E-Mails versendet. Berechtige Interessen können rechtliche, wirtschaftliche oder ideelle Interessen sein.65 65 Schulz, in Gola (Fn. 6), Art. 6 DSGVO Rn. 57. Solche liegen vor: Eine Kommunikation per E-Mail ist schnell, kostengünstig und ein Zugang beim Gegner ist recht gut zu dokumentieren. Gerade wenn keine Kommunikation per Telefax oder per Post zeitnah möglich ist, ist eine E-Mail mehr als eine Alternative. Zudem ist eine Kommunikation per E-Mail auch schlicht sozialadäquat. Der Rechtfertigungsgrund des Art. 6 I lit. f DSGVO verlangt indes neben den berechtigten Interessen allerBRAK-MITTEILUNGEN 6/2021 AUFSÄTZE 360
RkJQdWJsaXNoZXIy ODUyNDI0