Wie sicher muss ein Berufsgeheimnisträger (Rechtsanwalt) per Email kommunizieren?

Das VG Mainz hat am 17.12.2020, Aktenzeichen: 1 K 778/19.MZ ein interessantes Urteil zu Art. 32 DSGVO-sogenannte technisch organisatorischer Maßnahmen (TOMs) - genauer zur sicheren E-Mail-Kommunikation von Berufsgeheimnisträgern (hier ein Rechtsanwalt) erlassen.

Das Urteil des VG Mainz ist hier abrufbar: http://www.landesrecht.rlp.de/jportal/portal/t/7qe/page/bsrlpprod.psml?pid=Dokumentanzeige&showdoccase=1&doc.id=MWRE210000638&doc.part=L

Einordnung:

Die Frage, welche Anforderungen Art. 32 Abs. 1 DSGVO im Hinblick auf die Sicherheit der E-Mail- Kommunikation durch Rechtsanwälte stellt, ist seit Längerem umstritten. Dabei wird im Wesentlichen darüber gestritten, ob es eine generelle Pflicht zur Inhaltsverschlüsselung (auch Ende zu Ende Verschlüsselung) oder „nur“ zur Transportverschlüsselung gibt und ob (so hauptsächlich in der Anwaltschaft vertreten) von Art. 32 Abs. 1 DSGVO durch Einwilligung zur unverschlüsselten Kommunikation abgewichen werden kann oder eben nicht (zwingender Charakter von Art. 32 Abs. 1 DSGVO - so insbesondere die Landesdatenschutzbehörden Hamburg und Baden-Württemberg).

Für die Rechtsanwaltschaft war die Situation naturgemäß mit großer Unsicherheit im Hinblick auf das tägliche Handling der Kommunikation mit Mandanten verbunden, weswegen die Satzungsversammlung der Bundesrechtskammer § 2 BORA zum 1.1.2020 änderte:

§ 2 Abs. 2 S. 5,6 BORA lauten nun wie folgt: „Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.“

VG Mainz:  

Sachverhalt: Der Entscheidung des VG Mainz lag ein Sachverhalt zugrunde, in dem ein Rechtsanwalt in einer Erbengemeinschaftsangelegenheit an seinem Mandanten (Bruder des Beschwerdeführers) - per unbestrittenem Sachvortrag – per Transportverschlüsselung mit umfangreichem Schriftsatz kommunizierte und dabei zahlreiche personenbezogene Daten des Beschwerdeführers übermittelte, obgleich der Beschwerdeführer selbst in keinerlei E-Mail-Kommunikation eingewilligt hatte. Der Beschwerdeführer konnte vielmehr nur über den Postweg bzw. die Faxnummer kontaktiert werden.  Darüber beschwerte sich der Beschwerdeführer beim zuständigen Landesdatenschutzbeauftragten, der in der E-Mail-Kommunikation einen Verstoß gegen Art. 32 Abs. 1 DSGVO sah und den Kläger (Rechtsanwalt) nach Art. 58 Abs. 2 DSGVO verwarnte. Hiergegen richtet sich die Klage des Rechtsanwalts.

Entscheidung:

Zunächst legt das VG die Unterschiede zwischen Transport- und Inhaltsverschlüsselung dar und schildert auch die nicht zu vernachlässigenden praktischen Mühen für die Nutzer (Rn. 32). Es setzt sich dann intensiv mit den zum Inhalt von Art. 32 Abs. 1 DSGVO vertretenen Literaturmeinungen auseinander (Rn. 33 ff.).

Es kommt dann zu dem Ergebnis, dass:

„Generell … die Verwendung einer Transportverschlüsselung datenschutzrechtlich – auch bei Berufsgeheimnisträgern – ausreichend“ sei „sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten. Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen (vgl. Gasteyer/Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, NJW 2020, 1768 [1771]).“ (Rn. 40).

Von der besonderen Sensibilität der Daten ging das VG Mainz nicht aus. Hierzu hatte die Beklagte Landesdatenschutzbeauftragte nicht ausreichend vorgetragen. (Rn. 41).

(Das ist auch interessant im Hinblick auf die noch offene Rechtslage bzgl. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO.)

Ist ein sonstiger Umstand immer schon darin zu sehen, dass ein Berufsgeheimnisträger handelt? Das vereint das VG Mainz:

„Insgesamt konnte daher nicht allein deshalb von einem „hohen Risiko“ und infolgedessen von dem Erfordernis einer Ende-zu-Ende-Verschlüsselung oder einer qualifizierten Transportverschlüsselung ausgegangen werden, weil es sich bei dem Kläger um einen Berufsgeheimnisträger handelt (a. A. Orientierungshilfe des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Datenschutzkonferenz, Stand: 13. März 2020, S. 4 f.). Dies folgt auch nicht aus ErwGr. 75 Satz 1 DS-GVO…“ (Rn. 40).

(Aus ErwGr.75 ergibt sich, dass der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegen personenbezogenen Daten ein Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO sein kann).  

„Dies (also Erwgrd. 75) impliziert letztlich nicht zwingend, bei jeder mandatsbezogenen Kommunikation eines Berufsgeheimnisträgers von einem erhöhten Schutzbedarf mit der Folge einer verpflichtenden Ende-zu-Ende-Verschlüsselung oder qualifizierten Transportverschlüsselung auszugehen. Vielmehr legt dies eine einzelfallbezogene Betrachtung nahe, in der die Eigenschaft als Berufsgeheimnisträger nur einen Aspekt unter vielen darstellen kann. Schließlich orientiert sich Art. 32 Abs. 1 DS-GVO auch generell am „Einzelfallrisiko“, das hier in einer Gesamtbetrachtung nicht als wesentlich erhöht einzustufen war.“ (Rn. 43 m.w.N.).

Fazit:

Meines Erachtens ist die Entscheidung des VG Mainz gut nachvollziehbar; sie beruht auf der in der DSGVO angelegten risikobasierten Betrachtung des Einzelfalls anhand der zahlreichen Kriterien in Art. 32 Abs. 1 DSGVO. Hiernach ist das erforderliche Niveau der TOMs zu bestimmen. Wichtig für die Anwaltschaft ist die klare Aussage, dass allein die Tatsache, dass ein Berufsgeheimnisträger handelt, nicht per se und unabhängig vom Einzelfall ein erhöhtes Schutzniveau erfordert.  

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben