Die Frage der Verschlüsselungspflicht für E-Mails bei der Versendung durch Rechtsanwälte wird zurzeit kontrovers diskutiert.
Vorab möchte ich feststellen, dass es absolut sinnvoll ist, E-Mails grundsätzlich zu verschlüsseln, wenn man die Sicherheit und Unversehrtheit der zu versendenden Daten sicherstellen will. Hieran führt kein Weg vorbei.
Möglichkeiten zur Verschlüsselung gibt es viele. Sie ist einfach zu gestalten und für alle gängigen E-Mail Programme zu erhalten.
Dennoch kann es Gründe geben, warum die Verschlüsselung von E-Mails im Schriftverkehr zwischen Rechtsanwälten und ihren Mandanten nicht möglich ist, sei es aufgrund von technischen Problemen oder aber einfach weil der Mandant eine Verschlüsselung nicht wünscht.
Dies vorausgeschickt möchte ich nachfolgend auf die Problematik eingehen.
Zurückzuführen ist diese Diskussion insbesondere auf die Stellungnahme der Hamburger Datenschutzbehörde vom 8.1.2018, die einige Ausführungen enthält, auf die einzugehen sind:
Spezielle Regelungen mit personenbezogenen Daten
So stellt diese bezüglich spezialgesetzlicher Regelungen für Anwälte folgendes fest:
„Spezialgesetzliche Regelungen zum Umgang mit personenbezogenen Daten bei der Versendung von E-Mails finden sich in den berufsrechtlichen Vorschriften BORA und BRAO nicht. § 43 a Abs. 2 BRAO und § 2 Abs. 1 BORA normieren zwar die Verschwiegenheitspflicht der Rechtsanwaltschaft als Grundpflicht, enthalten aber keine ausdrückliche Regelung zum technischen oder organisatorischen Umgang bei der Verarbeitung personenbezogener Daten.”
Art und Umfang des Schutzes nach § 9 BDSG
Dann bezieht sie sich auf § 9 und Anlage zu § 9 BDSG und führt zur Frage der Art und und Umfangs des Schutzes folgendes aus:
“Die Auswahl der zu treffenden Maßnahmen ist dabei aber durch eine Abwägung zwischen Schutzbedarf auf der einen und Aufwand auf der anderen Seite zu treffen. Kurz gesagt bedeutet dies, je höher der Schutzbedarf der Daten ist, desto höher muss auch der Aufwand sein, um die Daten entsprechend vor Zugriffen Dritter zu schützen. Dabei ist der Stand der Technik ebenso zu berücksichtigen wie der Aufwand für die Daten verarbeitende Stelle.”
Art und Umfang des Schutzes nach § 32 DSGVO
Die Frage welche Maßnahmen nach Art. 32 DSGVO zu ergreifen sind, richten sich nach:
- Stand der Technik,
- Den Implementierungskosten,
- Art, Umfang, Umständen und Zwecken der Verarbeitung sowie
- den mit der Verarbeitung verbundenen Risiken für Rechte und Freiheiten des Betroffenen hinsichtlich ihrer Schwere und der Eintrittswahrscheinlichkeit.
Insoweit unterscheidet sich Art. 32 DSGVO nicht von den bisherigen Vorgaben in § 9 BDSG.
Abdingbarkeit der technischen und organisatorischen Maßnahmen
Hierzu führt die Hamburger Datenschutzbehörde in ihrer Stellungnahme folgendes aus:
“Die Einhaltung der technischen und organisatorischen Maßnahmen wird grundsätzlich für nicht abdingbar gehalten. Betroffene können auch nicht darin einwilligen, dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der Technik verarbeitet werden.”
Dem hat bereits das Verwaltungsgericht Berlin mit seinem Urteil vom 24.5.2011 (1K 133/10) im Ergebnis widersprochen.
Auch hier ging es darum, ob ein Betroffener eine Einwilligung nach § 4a BDSG zur unverschlüsselten Versendung von E-Mails mit personenbezogenen Daten geben kann.
Dieses wurde durch die Datenschutzbehörde Berlin verneint und führte zu dem Verfahren.
Das Verwaltungsgericht für die hierzu unter anderem aus:
„Eine Einwilligung nach § 4 a BDSG kann entgegen der Auffassung des Beklagten auch wirksam durch die Arbeitsuchenden erteilt werden. Denn es ist mit dem Recht auf informationelle Selbstbestimmung unvereinbar, den Betroffenen in der Weise zu entmündigen, dass er nicht mehr berechtigt wäre, eine Verarbeitung seiner Daten zu billigen und für deren Zulässigkeit nur noch objektive Kriterien und nicht sein subjektives Empfinden maßgebend sein zu lassen. Der Betroffene muss daher auch berechtigt sein, eine Datenverarbeitung zu billigen, an der er selbst kein Interesse hat oder die dem äußeren Anschein nach gegen sein Interesse gerichtet sein mag (vgl. Gola/Schomerus, BDSG, 10. Aufl. 2010, § 4 a Rn. 9). Erst recht gilt dies, wenn die Verarbeitung der Daten im Interesse des Betroffenen, der die freie Wahl hat, ob er einer solchen Datenverarbeitung zustimmt oder nicht, liegt. Das ist hier, wie bereits ausgeführt, der Fall. “
Abdingbarkeit durch Einwilligung nach Art. 7 DSGVO
Von einer Abdingbarkeit geht jedoch auch die DSGVO aus, wenn sie sogar bei der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) eine Abdingbarkeit zulässt, soweit diese nach Unionrecht oder dem Recht der Mitgliedstaaten nicht ausdrücklich ausgeschlossen ist (Art. 9 Abs. 2 lit. a) DSGVO).
Fazit:
- weder Art. 25 oder Art.32 DSGVO enthält ein unabdingbares Verschlüsselungsgebot,
- die Einhaltung der technischen und organisatorischen Maßnahmen des Art. 32 DSGVO ist abdingbar
- spezielle Regelungen in den berufsrechtlichen Vorschriften BORA und BRAO verpflichten nicht zur Verschlüsselung von zu versendenden E-Mails
Soweit zu den Daten des Mandanten, die an ihn aufgrund seiner Einwilligung unverschlüsselt übersandt werden können. Ich möchte noch einmal darstellen, dass es meine Auffassung ist und ich hierfür keine Gewährleistung übernehmen.
Die zukünftige Rechtsprechung wird zeigen, wohin sich die unverschlüsselte Kommunikation entwickelt.
Dieses wird insbesondere notwendig sein, da nicht nur Daten des einwilligenden Mandanten in einer E-Mail oder in einer Anlage zur E-Mail enthalten sein können.
Allein schon die mögliche Offenbarung des Mandatsverhältnisses zwischen dem gegnerischen Kollegen und dessen Mandanten dadurch, dass ein unverschlüsselt Anhang von einem Dritten zur Kenntnis genommen werden kann, weitere personenbezogene Daten Dritter offen durchs Netz gehen, bereitet mir Unbehagen.
Ich rate daher dringend an, in der unverschlüsselten E-Mail keine personenbezogenen Daten dritter zu verwenden und Anlagen, die solche Daten enthalten könnten, auf jeden Fall zu verschlüsseln.
Der Beitrag DSGVO in der Anwaltskanzlei (Versendung von E-Mails) erschien zuerst auf Organisationsberatung Treysse.