Die elektronische Kommunikation von Anwälten und Anwältinnen mit Mandanten mittels E-Mail gehört zum Alltag. Dennoch erreichen die Anwaltskammern immer wieder Anfragen von Kollegen, die ein Unbehagen im Hinblick auf die Zulässigkeit solcher elektronischer Kommunikation zum Ausdruck bringen.
Deshalb soll in diesem Beitrag das Thema der elektronischen Kommunikation, insbesondere per Email, zum einen retrospektiv betrachtet werden, zum anderen ein Ausblick auf Entwicklungen dargestellt werden, die sich außerhalb der Anwaltschaft bereits etabliert haben und in Zukunft Einzug auch in die Kanzleien halten könnten.
Entwicklung und Rahmenbedingungen
Die E-Mail als Kommunikationsmedium hat sich trotz ihrer langen Historie[1] erst im Zuge der Verbreitung des Internets Mitte der neunziger Jahre des letzten Jahrhunderts als nahezu universelles Kommunikationsmedium etabliert – mit nur leichter Verzögerung auch in der Anwaltschaft.
Die E-Mailkommunikation in Anwaltskanzleien und mit Mandanten bewegte sich dabei stets in einem rechtlichen Rahmen, der zum einen durch die anwaltliche Verschwiegenheitspflicht (§ 43a BRAO) und ihrer strafrechtlichen Sanktionierung (§ 203 StGB), und zum anderen durch die Pflicht des Anwalts zur Wahrung der Mandanteninteressen und deren haftungsrechtlicher Sanktionierung abgesteckt wird. Im Hintergrund dieser Eckpfeiler ist darüber hinaus auch der Datenschutz relevant.
Dieser Rechtsrahmen hat sich jedoch seit der Verbreitung der E-Mail in den neunziger Jahren nicht wesentlich geändert. Daher wurde auch die Mehrzahl der Diskussionen in der juristischen Literatur bereits in der Mitte des letzten Jahrzehnts geführt. So ist zur Zulässigkeit der unverschlüsselten E-Mailkommunikation zwischen Anwalt und Mandant auf den Aufsatz von Lewinski[2] aus dem Jahr 2004 hinzuweisen, dessen Aussagen grundsätzlich auch heute noch Geltung haben.
Die weitere Diskussion über die Zulässigkeit der unverschlüsselten E-Mailkommunikation zwischen Anwalt und Mandant hat sich in der Folge vor allem auf die Frage konzentriert, welche Anforderungen an eine Einwilligung des Mandanten zu stellen sind. Bahnbrechend neue Erkenntnisse sind seit dieser Zeit jedoch nicht zu Tage getreten.
Unverschlüsselte E-Mailkommunikation mit dem Mandanten
Die unverschlüsselte E-Mailkommunikation zwischen Anwalt und Mandant dürfte in den meisten Kanzleien der Normalfall sein. Dies liegt vor allem daran, dass sich die Verwendung von Verschlüsselungssystemen für E-Mails nicht flächendeckend durchgesetzt hat, erfordern doch die vorhandenen Systeme wie (Open-)PGP,[3] GnuPG[4] oder S/MIME[5] noch einen gewissen Einrichtungsaufwand in der Kanzlei. Außerdem sind die Systeme oft zueinander technisch inkompatibel, so dass Anwalt und Mandant dasselbe System verwenden müssen, um sich gegenseitig verschlüsselte Nachrichten senden zu können.
Die zur Speicherung der Kommunikation genutzten E-Mailserver befinden sich dabei zumindest auf Seiten des Anwalts wohl mehrheitlich in Deutschland oder zumindest in der Europäischen Union, obwohl es sicherlich in den letzten Jahren genügend Bestrebungen auch in Anwaltskanzleien gegeben haben dürfte, die E-Mailkommunikation oder auch weitere Teile der Kanzlei-IT außereuropäischen, insbesondere US-Amerikanischen „Cloud“-Anbietern anzuvertrauen. Auf diese Entwicklung wird jedoch im Verlauf dieses Beitrags noch gesondert einzugehen sein.
Gefahren der unverschlüsselten E-Mailkommunikation
In der Mehrzahl der Beiträge zur Zulässigkeit unverschlüsselter E-Mailkommunikation wird betont, der Mangel an Verschlüsselung in der E-Mailkommunikation eröffne besondere Gefahren für die Vertraulichkeit[6] des Inhalts[7] der E-Mail. Zuweilen wird der Eindruck erweckt,[8] gerade die unverschlüsselte elektronische Kommunikation sei jederzeit auf dem Weg zwischen Absender und Empfänger einer unkalkulierbaren Gefahr der unberechtigten Kenntnisnahme durch Dritte ausgesetzt.
Diese Gefahr eines unberechtigten Zugriffs auf den Kommunikationsinhalt während der Übermittlung, also sowohl die Möglichkeit der unberechtigten Kenntnisnahme als auch einer Veränderung des Inhalts, ist jedoch für die verschiedenen Abschnitte des Übertragungsweges sehr unterschiedlich zu bewerten. Zu unterscheiden sind grundsätzlich der Weg innerhalb eines privaten Kommunikationsnetzes, die Übermittlung durch öffentliche Telekommunikationsnetze und die Speicherung elektronischer Kommunikation im Zuge des Übermittlungsvorgangs.
Private Kommunikationsnetze
Anders als noch im Zeitalter der Einwahlverbindungen ist mittlerweile ein Computer, von dem aus E-Mails versendet werden, nur noch selten unmittelbar mit dem öffentlichen Internet verbunden. Vielmehr werden zumeist Gateways[9] oder Router[10] genutzt, um ein kanzleiinternes Netzwerk, ein Heimnetzwerk bei der Arbeit von zuhause oder das Netzwerk eines Hotels oder (Internet-)Cafés unterwegs mit dem Internet zu verbinden.
Diese Wegstrecke elektronischer Kommunikation unterliegt teilweise einem anderen Schutzniveau, da anders als die Betreiber öffentlicher Telekommunikationsnetze nicht alle Betreiber solcher kleinen Heim- bzw. Teilnetze dem Telekommunikationsgeheimnis des § 88 TKG unterfallen.[11] Hinzu kommt, dass bei Verbindungen über ein sogenanntes geteiltes Medium, z.B. eine Funkstrecke wie WLAN,[12] jedermann mit einem angeschlossenen Empfangsgerät eine unverschlüsselte Kommunikation empfangen und zumindest mitlesen kann.
Da sich aufgrund der wachsenden Mobilitätsanforderungen vor allem WLAN und Mobilfunk[13] auch in der Anwaltschaft wachsender Beliebtheit erfreuen, sei an dieser Stelle auch kurz die Sicherheit der Verschlüsselungen der Funkstrecken angesprochen. Während Mobilfunkverbindungen zwar grundsätzlich verschlüsselt funken, hat es bereits 2010 einen prinzipiell erfolgreichen Angriff auf den verwendeten Verschlüsselungsstandard gegeben.[14] Wesentlich schwerer wiegt jedoch, dass die weitaus verbreiteteren WLAN Verbindungen nur dann als sicher gegen ein unberechtigtes Mitschneiden des E-Mailverkehrs gelten können, wenn kein älterer angreifbarer Verschlüsselungsstandard wie WEP[15] oder WPA[16] verwendet wird.
Diesbezüglich sollte sich die Erkenntnis durchsetzen, dass sich jede Mobilfunk- oder WLAN-Verschlüsselung mit fortschreitender technischer Entwicklung irgendwann umgehen lassen wird und daher eine Aktualisierung der Technik notwendig bleibt, um mit dieser Entwicklung Schritt zu halten. Auch die von Axmann/Degen[17] 2006 angeführte grundsätzlich richtige Darstellung, dass sich eine einzelne E-Mail deshalb nicht ohne weiteres abhören lässt, weil sie in einzelnen Paketen geteilt versendet wird, ist jedenfalls nicht auf die beschriebene Wegstrecke innerhalb des nichtöffentlichen Teilnetzes anwendbar, da hier jeweils nur eine einzige physische Route zur Verfügung steht, über die alle Pakete gesendet werden. Sobald diese eine Route (z.B. das Funknetz) kompromittiert ist, lassen sich wiederum alle einzelnen Pakete einer E-Mail mitschneiden und zusammensetzen.
Um diesen ersten Abschnitt des Weges abzusichern, sollte daher die von E-Mail Providern oftmals kostenlos angebotene Möglichkeit genutzt werden, den E-Mailversand mittels Transportverschlüsselung, z.B. TLS,[18] abzusichern. Der richtige Einsatz dieser Transportverschlüsselung verhindert die Möglichkeit der unberechtigten Kenntnisnahme während des Transports der E-Mail vom Versender bis zum Server des E-Mailproviders. Allerdings kann auch anstelle oder zusätzlich zur Transportverschlüsselung der E-Mails der gesamte Datenverkehr bis zum Kanzleiserver verschlüsselt werden, etwa durch ein verschlüsseltes VPN.[19]
Im Ergebnis lässt sich festhalten, dass zwar eine absolute Sicherheit auf dieser besonders gefährdeten Teilstrecke durch nichtöffentliche (Funk-)Netze kaum herzustellen sein wird, jedoch durch einfache Mittel wie der Transportverschlüsselung für E-Mails ein Grad der Vertraulichkeit auch für (inhaltlich) unverschlüsselte E-Mails herstellen lässt, der zumindest dem Vergleich[20] zum „verschlossenen Briefumschlag“ standhält.
Öffentliche Telekommunikationsnetze
Der Schutz der Vertraulichkeit einer einzelnen unverschlüsselten E-Mail während der Übermittlung durch öffentliche Telekommunikationsnetze wird ausführlich in dem bereits angesprochenen Beitrag von Lewinski[21] betrachtet. Diese Wegstrecke des Transports einer E-Mail sieht sich grundsätzlich ebenfalls der Gefahr der Kenntnisnahme durch den Betreiber des jeweiligen Telekommunikationsnetzes und Eingriffen von außen ausgesetzt. Im Vergleich zu der eben ausführlich beschriebenen nichtöffentlichen Wegstrecke ist ein Angriff auf die öffentlichen Telekommunikationsnetze sowohl von außen als auch durch Mitarbeiter des Betreibers jedoch ungleich schwieriger, da die dort eingesetzte Technik einen wesentlich höheren Aufwand für einen Angriff erfordert.
Der Betreiber des öffentlichen Telekommunikationsnetzes selbst ist – genau wie seine Mitarbeiter – durch § 88 TKG zur Wahrung des Telekommunikationsgeheimnisses verpflichtet, welches zum einen durch § 206 StGB strafrechtlich und zum anderen durch das gem. § 109 Abs. 3 TKG zu erstellende und der Bundesnetzagentur zur Prüfung vorzulegende Sicherheitskonzept auch technisch flankiert wird. Somit dürfte die Gefahr einer gezielten unbefugten Kenntnisnahme durch Mitarbeiter eines Telekommunikationsdienstleisters jedenfalls nicht höher sein als bei einem klassischen Postanbieter.
Ein Angriff von außen müsste zunächst die vom Betreiber gem. § 109 TKG zu implementierenden „angemessenen technischen Schutzmaßnahmen“ zum Schutz gegen unerlaubte Zugriffe überwinden, hätte dann trotzdem noch mit dem Problem der großen Zahl[22] von übermittelten Daten zu kämpfen, das die Kenntnisnahme einer bestimmten E-Mail statistisch sehr unwahrscheinlich macht.
Als Ergebnis lässt sich festhalten, dass auch unverschlüsselte E-Mails auf dem Transportweg über das Internet ein dem Briefverkehr zumindest ebenbürtiges Sicherheitsniveau erreichen.
Speicherung beim E-Mailanbieter
Als Kommunikationsmittel ist die E-Mail gleich wie der Brief und im Gegensatz zur Telefonie zeitversetzt. Technisch wird dies dadurch umgesetzt, dass eine E-Mail zunächst vom Absender zum E-Mailserver seines Dienstanbieters transportiert wird, dort für kurze Zeit gespeichert bleibt, bevor sie an den E-Mailserver des Dienstanbieters des Empfängers zugestellt wird. Dort bleibt die E-Mail zumindest solange gespeichert, bis der Empfänger sie von dort abruft und auf seinen Computer überträgt.
Obwohl die Zeiträume, in denen die E-Mail bei einem Dienstanbieter gespeichert wird, sehr kurz sein können, häufig nur wenige Sekunden oder Minuten, unterliegen diese Zeiträume der Speicherung von E-Mails anderen gesetzlichen Schutzbestimmungen als der Transport der E-Mail. Die in diesen Zeiträumen zu begegnenden Gefahren für die Vertraulichkeit sind daher gesondert zu betrachten.
Der Betreiber des E-Maildienstes unterliegt nicht dem Fernmeldegeheimnis des § 88 TKG[23], da es sich bei der Speicherung von Emails nicht um den Transport von Inhalten, sondern die Speicherung, und somit nicht um einen Telekommunikationsdienst i.S.d. § 88 TKG i.V.m. § 3 Nr. 24 TKG handelt. Daher ist der staatliche Zugriff im Strafverfahren bereits unter den Voraussetzungen der §§ 94ff StPO, insbesondere der Postbeschlagnahme gem. § 99 StPO, zulässig[24]. Eine Anordnung zur Telekommunikationsüberwachung gem. § 100a StPO ist hingegen, anders als während des Transports der E-Mail, nicht notwendig.
Das Wissen über diese Möglichkeit des Zugriffs der Strafverfolgungsbehörden dürfte vor allem für Kanzleien von großer Wichtigkeit sein, deren E-Mailserver nicht in den Kanzleiräumen, sondern bei einem externen Dienstleister vorgehalten wird, da bei diesem Dienstleister der besondere Schutz der Kanzleiräume vor Beschlagnahme schon wegen § 97 Abs. 2 StPO nicht platzgreift.
Abschließend lässt sich für diesen Teil des Übermittlungsvorgangs festhalten, dass unverschlüsselte E-Mails während der Speicherung bei einem externen E-Maildienstanbieter einem geringeren Schutz unterliegen. Der E-Maildienstanbieter sollte daher besonders sorgfältig ausgewählt werden, nicht zuletzt auch deswegen, weil auch das Schutzniveau außerhalb Deutschlands geringer sein kann. Auf die Besonderheiten der Auswahl eines ausländischen, insbesondere außereuropäischen Dienstanbieters wird noch gesondert eingegangen werden.
Ergebnis
Die beschworenen Gefahren der elektronischen Kommunikation zwischen Anwalt und Mandant mittels E-Mail sind, wie dargestellt, zwar vorhanden, beschränken sich jedoch im Wesentlichen auf die Teilbereiche des Übermittlungsvorgangs, die am ehesten von den Kommunikationsteilnehmern beeinflussbar sind. So kann beispielsweise durch den Betrieb jeweils eigener E-Mailserver beim Anwalt und beim Mandanten und den Verzicht auf unverschlüsselte Datenübermittlung per Funk (z.B. WLAN) die Gefahr der Kenntnisnahme durch Dritte auch dann auf ein Minimum reduziert werden, wenn der Inhalt der E-Mail unverschlüsselt bleibt.
Zulässigkeit unverschlüsselter E-Mailkommunikation mit dem Mandanten
Angesichts der hier ausführlich dargestellten Gefahren unverschlüsselter elektronischer Kommunikation zwischen Anwalt und Mandant ist nun endlich die eigentliche Frage zu beantworten, ob die in den Kanzlei alltäglich praktizierte unverschlüsselte E-Mailkommunikation auch tatsächlich zulässig ist oder ob die anwaltliche Schweigepflicht, die Pflicht zu Wahrung der Mandanteninteressen oder der Datenschutz dem entgegenstehen.
Wie bereits eingangs angedeutet, kann jedenfalls insoweit Entwarnung gegeben werden, dass sich nach dem Kenntnisstand des Verfassers bisher weder in Rechtsprechung noch Literatur Stimmen für eine generelle Unzulässigkeit der elektronischen Kommunikation ausgesprochen haben.
Anwaltliche Schweigepflicht
Ob sich aus der anwaltlichen Schweigepflicht des § 43a BRAO, § 2 BORA und § 203 StGB überhaupt eine Einschränkung für die elektronische Kommunikation mittels E-Mail ergibt, wird durchaus unterschiedlich beurteilt.
Einerseits wird bereits die Erfüllung des für die Verletzung der Verschwiegenheitspflicht notwendigen Tatbestandsmerkmals der „Offenbarung“ (vgl. § 2 Abs. 3 BORA) verneint,[25] da eine Offenbarung dann nicht vorliege, wenn Dritte zur Kenntnisnahme gesetzlich befugt seien, und sich außerdem aus der anwaltlichen Verschwiegenheitspflicht keine allzu weit gehende Verpflichtung zur Ergreifung von Sicherheitsmaßnahmen zur Verhinderung unbefugter Kenntnisnahme herleiten ließe.[26]
Andererseits wird jedoch die grundsätzlich vorhandene – und hier dargelegte – Gefährdung der Vertraulichkeit der Kommunikation zum Anlass genommen,[27] auch eine Gefährdung[28] der Verschwiegenheitspflicht anzunehmen, die nur durch eine Einwilligung des Mandanten gerechtfertigt ist.
Letztlich sind die Fragen, ob eine Einwilligung des Mandanten in die Gefährdung der Verschwiegenheitspflicht des Anwalts notwendig ist, ob der Anwalt Sicherheitsvorkehrungen zum Schutz der Vertraulichkeit elektronischer Kommunikation treffen muss, oder ob und in welchem Maße der Anwalt über die Risiken elektronischer Kommunikation aufklären muss, jedoch nicht entschieden.[29] Es kann jedoch jedenfalls nicht als schädlich angesehen werden, die Risiken elektronischer Kommunikation auch dem Mandanten gegenüber anzusprechen und so eine zumindest konkludente Einwilligung herbeizuführen.
Pflicht zur Wahrung der Mandanteninteressen
Über die Verschwiegenheitspflicht hinaus wird auch die dem Anwalt aus dem Mandatsvertrag obliegende Pflicht[30] zur Wahrung der Mandanteninteressen herangezogen, um die anwaltlichen Pflichten in Bezug auf die Kommunikation per E-Mail zu konkretisieren. Dabei wird vor allem auf die Interessen- und Gefährdungslage im Einzelfall, sowie den technischen Kenntnisstand des Mandanten abgestellt.
Auch aus dieser Pflicht zur Wahrung der Mandanteninteressen wird gefolgert, dass es grundsätzlich die Entscheidung des Mandanten sei, ob und wie elektronische Kommunikation stattfinden soll. Dabei darf der Anwalt weder gegen den ausdrücklich erklärten oder mutmaßlichen Willen des Mandanten unverschlüsselte elektronische Kommunikation nutzen. Auch hier hängt also die Zulässigkeit unverschlüsselter elektronischer Kommunikation maßgeblich von den Anforderungen ab, die an eine Einwilligung des Mandanten zu stellen sind.
Einwilligung des Mandanten
Sowohl die Verschwiegenheits- als auch die Interessenwahrungspflicht des Anwalts beschränken zwar grundsätzlich die Zulässigkeit elektronischer Kommunikation mit dem Mandanten, in beiden Fällen ist jedoch grundsätzlich eine Einwilligung des Mandanten möglich. Daher wird nach beiden Ansätzen die Frage entscheidend, welche Anforderungen an die Einwilligung des Mandanten zu stellen sind.
Zu dieser Frage geht die weit überwiegende Meinung davon aus, dass eine Einwilligung auch konkludent erfolgen kann[31] und dass ferner die Sicherheitsanforderungen an elektronische Kommunikation auch nicht überspitzt werden dürfen,[32] da letztlich kein unverschlüsseltes Kommunikationsmittel, weder Telefax noch Briefpost, einen absoluten Schutz gewähren.
Jedenfalls als ausreichend für diese konkludente Einwilligung des Mandanten wird angesehen, dass der Mandant von sich aus vertrauliche Informationen mittels unverschlüsselter elektronischer Kommunikation an den Anwalt übermittelt.[33] Inwieweit jedoch darüber hinaus auch der Anwalt ohne ausdrückliche Einwilligung des Mandanten erstmals vertrauliche Informationen mittels unverschlüsselter E-Mail übermitteln darf, bleibt letztlich Frage des Einzelfalls.
Bei der Frage einer wirksamen Einwilligung oder des mutmaßlichen Willens des Geschäftsherrn ist stets maßgeblich auf den Kenntnisstand abzustellen, auf dessen Grundlage die (konkludente) Einwilligung erteilt wird. Jedenfalls über Besonderheiten oder Abweichungen vom Stand der IT-Sicherheitstechnik sollte der Mandant in aller Regel unterrichtet werden, z.B. über die Verwendung ausländischer E-Maildienstanbieter, vor allem bei Nutzung einer deutschen (.de) Internetdomäne, in Fällen erkennbar sensibler Mandate auch über den Standort des E-Mailservers außerhalb der Kanzleiräume, bei fehlender Transportverschlüsselung oder Nutzung unverschlüsselter Funknetze. Denn in der Regel erwartet der Mandant die Einhaltung angemessener IT-Sicherheitsstandards in jeder Kanzlei und wird eine (konkludente) Einwilligung auch auf Basis dieser Erwartung erteilen.
Datenschutzrecht
Neben den oben dargestellten Einschränkungen der Zulässigkeit der Verwendung unverschlüsselter E-Mail Kommunikation ist die Frage der Anwendbarkeit des Datenschutzrechts neben der berufsrechtlichen Verschwiegenheitspflicht aufgrund der unklaren Formulierung des § 1 Abs. 3 S. 1 BDSG zwar nicht in allen Einzelheiten geklärt, jedoch ist u.a. mit der Bundesrechtsanwaltskammer[34] davon auszugehen, dass das BDSG grundsätzlich auch neben der berufsrechtlichen Verschwiegenheitspflicht anwendbar bleibt, sofern es dieser nicht zuwiderläuft. Hinsichtlich der einzelnen Pflichten nach dem BDSG sei auf die Zusammenfassung häufig gestellter Fragen hingewiesen.
Im Ergebnis ist das BDSG jedenfalls für Daten, die in dessen Anwendungsbereich fallen, als Mindeststandard auch innerhalb des Mandatsverhältnisses einzuhalten.[35] Insbesondere hinsichtlich der Übermittlung personenbezogener Daten ins außereuropäische Ausland ist dabei an die erhöhten Voraussetzungen des § 4a BDSG an die Einwilligung des Betroffenen zu denken.
Ergebnis
Weder die berufsrechtliche Verschwiegenheitspflicht, die Pflicht zur Interessenwahrung, noch das Datenschutzrecht stellen unüberwindbare Hürden für die Nutzung unverschlüsselter elektronischer Kommunikation zwischen Anwalt und Mandant auf. Jedoch sollte gerade in Einzelfällen, in denen das mangelnde technische Verständnis des Mandanten für die involvierten Risiken oder ein besonderes, über den Normalfall hinausgehendes Sicherheitsbedürfnis erkennbar werden, eine ausdrückliche Erklärung des Mandanten herbeigeführt werden, die zu Beweiszwecken durchaus schriftlich festgehalten werden kann.
Besonderheiten und Ausblick
Noch kurz sei im Anschluss an das bisher gefundene Ergebnis der Blick auf die besondere Situation geworfen, die sich aus der Nutzung der seit kurzem verfügbaren „Cloud“-Dienste, vor allem in den USA, ergibt, und ein Ausblick auf weitere Arten der elektronischen Kommunikation zwischen Anwalt und Mandant gewagt.
Serverstandort im außereuropäischen Ausland
Die Nutzung von sogenannten „Cloud“-Diensten erfreut sich aufgrund der damit einher gehenden Kostenersparnis gegenüber einer dedizierten kanzleiinternen IT-Infrastruktur eines wachsenden Interesses auch in der Anwaltschaft. Dabei sind am Markt diverse Angebote unterschiedlicher Ausprägung vorhanden, die sich vor allem in dem Grad der Kontrolle, die der Nutzer über die eingestellten Daten behält, sehr unterscheiden. Dennoch werden alle diese Modelle unter dem Mode- bzw. Marketingbegriff der „Cloud“, also der Wolke, zusammengefasst.
Interessierte Anwaltskanzleien sollten jedoch den Vertrag über die Nutzung der „Cloud“ inhaltlich genau prüfen. Denn insbesondere eine weltweite öffentliche („public“) Cloud lässt sich nur schwer bis überhaupt nicht mit den Anforderungen des deutschen Rechts vereinbaren. Insbesondere unter dem Aspekt der Verschwiegenheitspflicht ist sicherzustellen, dass zunächst eine Trennung der Daten der Kanzlei von den Daten anderer Nutzer implementiert ist und andere Nutzer sich keinen Zugriff auf gespeicherte Daten verschaffen können.
Daneben ist auch zu klären, wo die Daten überhaupt physisch liegen, denn eine Stärke der weltweiten öffentlichen Cloud ist es gerade, die Daten je nach Kapazität auf Rechenzentren in der gesamten Welt zu verteilen, um vorhandene Kapazitäten optimal auszunutzen. Aufgrund des Territorialitätsprinzips staatlicher Sicherheitsgewährung unterliegen die Daten dann nämlich den Zugriffsmöglichkeiten der staatlichen Stellen und den Gesetzen des Landes, in denen die Daten zu dem jeweiligen Zeitpunkt physisch vorgehalten werden. Dies kann einerseits dazu führen, dass eine E-Mail auf einem US-Amerikanischen Server den erweiterten Sicherheitsbefugnissen des US Patriot Acts unterfällt, andererseits jedoch auch bedeuten, dass eine deutsche Staatsanwaltschaft oder ein deutsches Gericht eine solche E-Mail nur über den schwierigen Weg der Amts- bzw. Rechtshilfe beschlagnahmen kann.
In jedem Fall ist jedoch zu beachten, dass die Übermittlung personenbezogener Daten ins außereuropäische Ausland in der Regel nur mit ausdrücklicher Einwilligung des Mandanten zulässig ist. Wie schnell eine solche Einwilligungspflicht ausgelöst werden kann, ist im Zeitalter der Smartphones, die sich über Dienste wie Google Mail und Google Calendar, Apples Mobile Me oder Microsofts Office 365 nahtlos integrieren lassen, oft überraschend, denn bereits Terminvereinbarungen mit dem Mandaten, in der Name, Adresse oder Telefonnummer festgehalten werden, erfüllt den Tatbestand der Übermittlung personenbezogener Daten in einen „unsicheren Drittstaat“.
Ausblick
Obwohl sich die E-Mail als das Kommunikationsmedium der Wahl inzwischen etabliert hat, gibt es bereits andere innovative Ansätze, die die Kommunikation zwischen Anwalt und Mandant in Zukunft weiter verändern könnten. Hierbei werden soziale Medien wie Twitter, Facebook und dergleichen bewusst außen vor gelassen, da sich diese aufgrund der unüberschaubaren Freigabe und Veröffentlichungseinstellungen für jegliche vertrauliche Kommunikation verbieten.
Vielmehr sei hier ein Konzept erwähnt, welches vor allem im Bereich bestehender Dokumentenmanagementsysteme sinnvoll einzusetzen wäre. Die Idee geht dahin, statt die bestehenden Unwägbarkeiten und Gefahren der E-Mailkommunikation in Kauf zu nehmen, dem Mandanten über ein entsprechend gestaltetes Portal in Form einer Webseite mithilfe eines ausgefeilten Berechtigungskonzepts Zugriff auf genau die für ihn bestimmten Dokumente zu gewähren. Die Dokumente selbst würden dabei nicht von Server zu Server geschickt und jeweils dort gespeichert, sondern vielmehr von dem von der Kanzlei betriebenen Server unmittelbar und verschlüsselt zum Rechner des Mandanten übertragen. Vom Mandanten bearbeitete Dokumente ließen sich auf gleichem Weg wieder verschlüsselt an den Anwalt senden und evtl. sogar nahtlos als nächste Version im Dokumentenmanagementsystem der Kanzlei weiterbearbeiten.
Ein solches Szenario umschifft zwar einige der oben genannten Gefahren der E-Mailkommunikation, ist jedoch seinerseits auf die Sicherheit der dazu eingesetzten Portalsoftware angewiesen. Wenngleich diese Art der Mandantenkommunikation noch in den Kinderschuhen steckt, dürfte es nur eine Frage der Zeit bleiben, bis sich auch hierzu einsatzfähige und sichere Systeme am Markt etablieren.
* Abdruck mit freundlicher Genehmigung der RAK Düsseldorf
[1] Die erste Email wurde in Deutschland am 3.8.1984 empfangen, vgl. http://de.wikipedia.org/wiki/E-Mail#Geschichte.
[2] Anwaltliche Schweigepflicht und E-Mail, BRAK-Mitt. 2004, 12.
[3] http://de.wikipedia.org/wiki/OpenPGP.
[4] http://de.wikipedia.org/wiki/Gnupg.
[5] http://de.wikipedia.org/wiki/S/MIME.
[6] Daneben können sich ebenfalls Gefahren für die Integrität des Inhalts sowie die Authentizität des Absenders ergeben, jedoch würde deren genauere Untersuchung den Rahmen dieses Beitrags übersteigen.
[7] Henssler/Prütting-Henssler, BRAO, 3. Aufl., § 43a Rdn. 68.
[8] Feuerich/Weyland-Böhnlein, BRAO, 8. Aufl., § 43a Rdn. 25.
[9] http://de.wikipedia.org/wiki/Gateway_(Informatik).
[10] http://de.wikipedia.org/wiki/Router.
[11] Zu den Verpflichteten vgl. Beck’scher TKG-Kommentar-Bock, § 88 Rdn. 22-25.
[12] http://de.wikipedia.org/wiki/Wireless_Local_Area_Network.
[13] Z.B. Mobilfunk der sog. dritten Generation, „3G“, also UMTS (http://de.wikipedia.org/wiki/Universal_Mobile_Telecommunications_System), oder der vierten Generation, „4G“, also LTE (http://de.wikipedia.org/wiki/Long_Term_Evolution).
[14] http://www.heise.de/security/meldung/Auch-UMTS-Verschluesselung-angeknackst-903458.html.
[15] http://www.heise.de/newsticker/meldung/WEP-Verschluesselung-von-WLANs-in-unter-einer-Minute-geknackt-164971.html.
[16] http://www.heise.de/newsticker/meldung/Angriff-auf-WPA-verfeinert-753357.html.
[17] Kanzleihomepages und elektronische Mandatsbearbeitung – Anwaltsstrategien zur Minimierung rechtlicher Risiken, NJW 2006, 1457 (1458).
[18] http://de.wikipedia.org/wiki/Transport_Layer_Security.
[19] Virtuelles Privates Netz, vgl. http://de.wikipedia.org/wiki/Virtual_Private_Network.
[20] Henssler/Prütting-Henssler, BRAO, 3. Aufl., § 43a Rdn. 68.
[21] S. Fn. 2.
[22] Vgl. Axmann/Degen, Fn. 17.
[23] BVerfG, Urt. v. 2.3.2006 – 2 BvR 2099/04, NJW 2006, 976.
[24] BGH, Beschl. v. 31.3.2009 - 1 StR 76/09, MMR 2009, 391.
[25] Lewinski, Fn. 2, S. 15.
[26] Härting, IT-Sicherheit in der Anwaltskanzlei – Das Anwaltsgeheimnis im Zeitalter der Informationstechnologie, NJW 2005, 1248.
[27] Feuerich/Weyland-Böhnlein, Fn. 8.
[28] Henssler/Prütting-Henssler, Fn. 7.
[29] Kleine-Cosack, BRAO, 5. Aufl., § 43a Rdn. 51.
[30] Lewinski, Fn. 2, S. 15.
[31] Henssler/Prütting-Henssler, Fn. 7; Feuerich/Weyland-Böhnlein, Fn. 8; Lewinski, Fn. 2, S. 16.
[32] Hartung/Römermann-Hartung, BORA § 2 Rdn. 38; Axmann/Degen, Fn. 17;
[33] Feuerich/Weyland-Böhnlein, Fn. 8.
[34] Stellungnahme 31/2004.
[35] Gola/Schomerus, BDSG, 10. Aufl., § 1 Rdn. 25; Simitis, BDSG, 7. Aufl., § 1 Rdn. 186.