Müssen Rechtsanwälte E-Mails verschlüsseln?

Gerade für Berufsgeheimnisträger wie Rechtsanwälte, Ärzte oder Steuerberater stellt sich die Frage, ob E-Mails samt Anhängen verschlüsselt versendet werden müssen. Seit Inkrafttreten der DSGVO drohen bei datenschutzrechtlichen Verstößen erhebliche Bußgelder.

Sicht des Verwaltungsgerichts Mainz

Ein Urteil des Verwaltungsgerichts Mainz (Urteil vom 17.12.2020 – 1 K 778 /19.MZ) hat sich jetzt mit der Frage befasst, welche Art der E-Mail-Verschlüsselung notwendig bzw. ausreichend ist.

Im zu entscheidenden Fall hatte ein Rechtsanwalt Unterlagen, die auch personenbezogene Daten i.S.d. DSGVO enthielten per E-Mail lediglich mit einer Transportverschlüsselung verschickt. Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz sah hierin einen Verstoß gegen die DSGVO und erteilte dem Rechtsanwalt per Bescheid eine „Verwarnung“. Der Anwalt habe einen Verstoß gemäß Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO begangen und entgegen Art. 32 Abs. 1 DSGVO kein angemessenes Schutzniveau eingehalten. Der E-Mail-Versand hätte mit Ende-zu-Ende-Verschlüsselung, also einer Inhaltsverschlüsselung, erfolgen müssen.

Das VG Mainz sah dies jedoch anders. Auch Berufsgeheimnisträger seien grundsätzlich nur verpflichtet eine Transportverschlüsselung zu verwenden. Dies gilt jedenfalls dann, wenn keine sensiblen Daten verschickt werden:

"Generell wird (...) die Verwendung einer Transportverschlüsselung datenschutzrechtlich - auch bei Berufsgeheimnisträgern - ausreichend sein, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten. Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen (...).

Ebenso gehört die etwaige (unbefugte) Kenntnisnahme Dritter von Inhalten der elektronischen Kommunikation - wie auch bei anderen (analogen) Kommunikationsformen - zum allgemeinen Lebensrisiko.

Besondere Anhaltspunkte, die einen erhöhten Schutzbedarf begründen und das bei einer hier vorliegenden Form der Transportverschlüsselung bestehende Restrisiko als nicht (mehr) angemessen erscheinen lassen, lagen hier nicht vor. Es handelte sich zunächst weder um Daten, die von Art. 9 und 10 DSGVO erfasst waren, noch kamen diese den dort genannten Datenkategorien auch nur nahe. Dabei dürfte auch anzunehmen sein, dass die vorgenannten Vorschriften tendenziell eng oder zumindest nicht schematisch auszulegen sind (...).“
 

Was bedeutet das für die anwaltliche Praxis?

Mailclients (aka "E-Mail Programm", z.B. Outlook, Thunderbird) sollten unbedingt so konfiguriert sein, dass Mails ausschließlich mit Transportverschlüsselung vom Server abgeholt und versendet werden (per TLS/SSL-Verschlüsselung), beim E-Mail-Versand sensibler Daten i.S.d. Art. 9 und 10 DSGVO (Gesundheitsdaten, Politische/ sexuelle Orientierung, strafrechtliche Verurteilung u.ä.) sind weitere Schutzmaßnahmen zu treffen, z.B.:

  • Verschlüsselung von Anhängen mit separat, auf anderem Kanal versandtem Passwort
  • Ende-zu-Ende-Verschlüsselung über public/private Zertifikate
  • Dokumentenabruf über besonders gesicherte Server (z.B. Nextcloud) statt E-Mail Versand

Zu beachten ist allerdings, dass bisher wenig obergerichtliche Rechtsprechung zur DSGVO existiert und Verwaltungsgerichte in anderen Bundesländern abweichend vom VG Mainz entscheiden könnten.

Links zur Vertiefung:

Wikipedia zu TLS: https://de.wikipedia.org/wiki/Transport_Layer_Security

Wikipedia zu digitalen Zertifikaten: https://de.wikipedia.org/wiki/Digitales_Zertifikat

Ionos Anleitung zur Transport-Verschlüsselung von E-Mail Verkehr: https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/e-mail-verschluesseln-mit-ssl/