E-Mail mit Transportverschlüsselung oder Ende-zu-Ende-Verschlüsselung – was ist rechtlich geboten?
— 11. Juni 2021 Kommentare deaktiviert für E-Mail mit Transportverschlüsselung oder Ende-zu-Ende-Verschlüsselung – was ist rechtlich geboten? 48Rechtliche Anforderungen an sichere E-Mail
Ist für sichere elektronische Kommunikation per E-Mail rechtlich eine Ende-zu-Ende-Verschlüsselung (E2EE) zwingend vorgeschrieben? Die Aufsichtsbehörden für den Datenschutz in Deutschland gehen mehrheitlich davon aus, dass dies für die Anwaltschaft vorgeschrieben ist und auch eine Einwilligung der Mandantschaft nicht von dieser Verpflichtung befreien kann. Die Rechtsanwaltskammer Hamburg ist dem entgegengetreten.
Die 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27. und 28. März 2014 in Hamburg forderte als Standard:
- verschlüsselter Transport und die verschlüsselte Speicherung
- einfach bedienbare Verschlüsselungs-Infrastruktur
- Einsatz von Ende-zu-Ende-Verschlüsselung
PGP als Lösung
Denkbare Lösungen wären beispielsweise PGP oder E-Mail-Verschlüsselung mit S/MIME. Für PGP stellt die Implementierung „Gpg4win“, die im Auftrag des BSI entwickelt wurde, eine gangbare Möglichkeit dar. Dennoch bleibt PGP Komplex in der Anwendung. Außerdem ist eine solche Verschlüsselung nur mit aktiver Mitwirkung des jeweiligen Kommunikationspartners (egal ob als Sender oder Empfänger). In vielen Jahren Praxis habe ich nur selten erlebt, dass mein Angebot verschlüsselte Kommunikation von Mandanten oder sonstigen Kommunikationspartnern angenommen wurde.
Webakten
Verschiedene Anbieter stellen Möglichkeiten der Kommunikation über Webakten zur Verfügung. Sowohl die Webakte als auch MAVORA stellen gute Lösungen bereit, die sich bei uns in der Kommunikation mit Mandanten beide bewährt haben. Auch hier ist aber die Mitwirkung der Gegenseite erforderlich und nur eine Minderheit der Kommunikationspartner nimmt diese Gelegenheit war.
Transportverschlüsselung
Wie die meisten Vergleiche ist auch der immer wieder herangezogene Vergleich von E-Mail und Postkarte wenig sinnvoll. Bei den meisten E-Mail Providern ist heutzutage Transportverschlüsselung zwischen Provider und Kunde Standard. Bei den Providern gibt es gesetzlich geregelte Zugriffsrechte für Strafverfolgungsbehörden und Geheimdienste. Ein Zugriff der Provider auf die Inhalte der einzelnen E-Mails ist rechtlich verboten. Zwischen den Providern wird der E-Mail Verkehr im Direktaustausch und nicht über das allgemein zugängliche Internet abgewickelt. Die Transportverschlüsselung erfolgt nicht auf dem gleichen Sicherheitsniveau wie bei pgp oder De-Mail. Auch bei der DE-Mail und dem besonderen elektronischen Anwaltspostfach ist keine durchgängige Ende-zu-Ende-Verschlüsselung (E2EE) realisiert.
Daher stellt sich die Frage, ob E2EE bei der Kommunikation per E-Mail rechtlich vorgeschrieben ist. Das Verwaltungsgericht Mainz hat mit seinem Urteil vom 17. Dezember 2020 (1 K 778/19.MZ –, Rn. 42, juris) die Transportverschlüsselung als ausreichend angesehen und erklärt, dass nicht jede mandatsbezogene Kommunikation erhöhten Schutzbedarf und verpflichtende Ende-zu-Ende-Verschlüsselung bedeutet, vielmehr eine übliche Transportverschlüsselung ausreichend kann. Auch im geschäftlichen Verkehr und in der Kommunikation von Berufsgeheimnisträgernhält das Verwaltungsgericht Mainz die Transportverschlüsselung für durchaus sozial adäquat. Das Verwaltungsgericht sieht durchaus das Risiko einer Kenntnisnahme der Kommunikation durch Unbefugte, stuft dies aber als allgemeines Lebensrisiko ein.
