Bezogen auf E-Mails wird häufig damit argumentiert, dass ohne eine besondere Verschlüsselung kein angemessener Schutz bestehen würde. Eine unverschlüsselte E-Mail sei im Hinblick auf die Vertraulichkeit der enthaltenen Informationen mit einer Postkarte vergleichbar. Jedenfalls für Berufsgeheimnisträger wie Rechtsanwälte und zur Übermittlung von sensiblen Informationen (etwa Gesundheitsdaten) verbietet sich daher die Nutzung von E-Mails, jedenfalls ohne eine Verschlüsselung. 

Die entsprechende Diskussion wird dabei sehr häufig undifferenziert geführt, obwohl verschiedene Aspekte auseinandergehalten werden müssen. In datenschutzrechtlicher Hinsicht ist zunächst zu beachten, dass es keine generellen Vorgaben gibt, auf welche Weise Informationen im Rahmen einer Übermittlung geschützt werden müssen. Es ist vielmehr auf die allgemeinen Grundlagen zurückzugreifen, wonach unter Berücksichtigung verschiedener Faktoren einschließlich der technischen Möglichkeiten und finanziellen Mittel angemessene Schutzmaßnahmen getroffen werden müssen (Art. 32 Abs. 1 DSGVO). Die Bezugnahme auf die Angemessenheit zeigt dabei schon, dass sich eine pauschale Wertung verbietet und vielmehr eine konkrete Risikobewertung erforderlich ist. Richtig ist aber natürlich, dass in datenschutzrechtlicher Hinsicht die Verschlüsselung explizit als eine Methode zum Schutz personenbezogener Daten genannt wird, grundsätzlich aber auch andere Maßnahmen zur Absicherung in Betracht kommen. In technischer Hinsicht ist zu berücksichtigen, dass es verschiedene Arten der Verschlüsselung gibt, vor allem die Transportverschlüsselung und eine Ende-zu-Ende-Verschlüsselung. Die Transportverschlüsselung wird dabei serverseitig vorgenommen und schützt die E-Mail während des Transportvorgangs, so dass sie in dieser Zeit nicht abgefangen werden kann. Häufig entsteht der Eindruck einer unverschlüsselten Kommunikation, weil die Nutzer die Transportverschlüsselung gar nicht wahrnehmen. Alle großen E-Mail-Provider setzen aber standardmäßig eine Transportverschlüsselung nach dem Protokoll Transport Layer Security (TLS) ein. Eine Ende-zu-Ende-Verschlüsselung bietet einen noch weitergehenden Schutz, weil die Nachricht erst von dem designierten Empfänger entschlüsselt und geöffnet werden kann. In der Handhabung ist die Ende-zu-Ende-Verschlüsselung aber deutlich aufwendiger, weil sie einen individualisierten Schlüsselaustausch voraussetzt und für diese Verschlüsselung mehrere, untereinander inkompatible Standards bestehen (etwa S/Mime). Das Verwaltungsgericht Mainz hat jetzt erfreulicherweise in einem datenschutzrechtlichen Verfahren die Verwarnung eines Rechtsanwaltes aufgehoben, dem von der zuständigen Aufsichtsbehörde eine unzureichende Verschlüsselung seiner E-Mails vorgeworfen wurde (VG Mainz, Urteil vom 17.12.2020, 1 K 778/19, BRAK-Mitt. 2021, 104). Vorausgegangen war eine Beschwerde eines Betroffenen bei der Aufsichtsbehörde, wonach der Rechtsanwalt angeblich eine unverschlüsselte E-Mail mit vertraulichen Informationen übersandt haben soll. Der Rechtsanwalt hatte eingewandt, dass die entsprechende Kontaktaufnahme per E-Mail auf Wunsch seines Mandanten erfolgte, der zunächst selbst mit dem Betroffenen in dieser Form kommuniziert hatte. Außerdem hat der Rechtsanwalt darauf verwiesen, dass zumindest eine Transportverschlüsselung benutzt werde, was die Aufsichtsbehörde nicht von einer Verwarnung abgehalten hat. Gegen diese Verwarnung ist der Rechtsanwalt dann gerichtlich vorgegangen und hat im Ergebnis vom Verwaltungsgericht Recht bekommen. 

Das Verwaltungsgericht hat darauf abgestellt, dass durch die genutzte Transportverschlüsselung bereits eine adäquate Absicherung stattfindet. Aus dem Inhalt der übersandten Informationen hat sich im konkreten Fall auch nicht das Erfordernis einer zusätzlichen Absicherung ergeben, da beispielsweise keine besonders geschützten Informationen im Sinne von Art. 9 DSGVO betroffen waren. Zutreffend hat das Verwaltungsgericht auch herausgearbeitet, dass sich alleine aus der Qualifikation als Rechtsanwalt nicht automatisch höhere Anforderungen zur Absicherung einer E-Mail-Kommunikation ergeben als für andere Berufsgruppen. 

Die Entscheidung ist sehr eindeutig ausgefallen und sollte jetzt hoffentlich Rechtsklarheit bringen. Zuvor haben vor allem die Aufsichtsbehörden selbst für Verunsicherung gesorgt, indem sie jedenfalls bezogen auf Berufsgeheimnisträger teilweise eine verpflichtende Ende-zu-Ende-Verschlüsselung gefordert haben oder diese zumindest den entsprechenden Berufsgruppen nahegelegt haben. Nicht geklärt ist dagegen die Frage, ob derartige Themen überhaupt in die Kontrollbefugnis der allgemeinen Aufsichtsbehörden fallen, da es letztlich um die Frage der anwaltlichen Berufsausübung geht und daher eigentlich die Rechtsanwaltskammer als für die Berufsaufsicht richtige Stelle entscheiden müssten; diese Problematik ist in den gerichtlichen Verfahren nicht diskutiert worden.

(Dr. Sebastian Meyer ist Rechtsanwalt und Fachanwalt für IT-Recht; außerdem ist er als Vorstandsmitglied der Rechtsanwaltskammer Hamm Vorsitzender einer Aufsichtsabteilung, die für die Berufsaufsicht über Rechtsanwälte zuständig ist. Im Rahmen seines Lehrauftrags an der Fernuniversität Hagen befasst er sich auch mit dem Thema „Datenschutz und Datensicherheit in der Kanzlei“.)