Änderung der BORA – unverschlüsselte Kommunikation per E-Mail für Rechtsanwälte

Zum 01.01.2020 trat eine Änderung der Berufsordnung für Rechtsanwälte (BORA) in Kraft. Die Satzungsversammlung der Bundesrechtsanwaltskammer (BRAK) hatte bereits vor einiger Zeit § 2 BORA dahingehend neu gefasst, dass zukünftig eine unverschlüsselte E-Mail-Kommunikation zwischen Anwälten und ihren Mandanten ermöglicht werden sollte.

Was genau wurde geändert?

Die Satzungsversammlung hat den § 2 BORA neu formuliert. In dessen Absatz 2 findet sich nun folgende Regelung:

„Die Verschwiegenheitspflicht gebietet es dem Rechtsanwalt, die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. Technische Maßnahmen sind hierzu ausreichend, soweit sie im Falle der Anwendbarkeit der Vorschriften zum Schutz personenbezogener Daten deren Anforderungen entsprechen. Sonstige technische Maßnahmen müssen ebenfalls dem Stand der Technik entsprechen. Abs. 4 lit. c) bleibt hiervon unberührt. Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.“

Und jetzt muss nicht mehr verschlüsselt werden?

Aus der Sicht eines Rechtsanwalts liest sich das erst einmal ganz gut. Ein Mandant wählt oder beginnt die Kommunikation in unverschlüsselter Form und setzt sie fort nachdem er irgendeinen pauschalen Risikohinweis durch seinen Rechtsanwalt erhalten hat. Schon kann unverschlüsselt kommuniziert werden. Aber ganz so einfach ist das natürlich nicht, denn…

…die DSGVO ist weiterhin zu beachten

Bei aller möglichen Freude über die Klarstellung darf allerdings nicht vergessen werden, dass die DSGVO als europäische Verordnung sozusagen Vorrang vor den nationalen Rechtsakten hat. Das heißt, dass das nationale Recht keine Regelungen treffen darf, die denen der DSGVO widersprechen, diese aufweichen oder verschärfen. Sämtliche nationale Gesetzgebung hat sich im Rahmen der DSGVO zu bewegen.

Hieraus folgt direkt, dass beispielsweise Art. 32 DSGVO, welcher die Maßnahmen zur Sicherheit der verarbeiteten Daten regelt, uneingeschränkt weiter gilt. Ebenso das Verbot, Daten unbefugt öffentlich zu machen. Genau das (ein unbefugtes Veröffentlichen) erfolgt jedoch – zumindest potenziell – beim unverschlüsselten Versand personenbezogener Daten per E-Mail. Daraus resultiert auch die unseres Erachtens berechtigte und absolut sinnvolle Forderung der Aufsichtsbehörden, dass E-Mails mit sensiblen personenbezogenen Daten stets sicher zu verschlüsseln sind.

Und nun?

Hier scheint zunächst ein Widerspruch zu bestehen. Wurden hier Regelungskompetenzen überschritten und wurde durch die BRAK eine europarechtswidrige Regelung geschaffen? Wir meinen: Nein. Aus unserer Sicht bezieht sich die BRAK mit dieser Regelung nämlich gar nicht auf den datenschutzrechtlichen Aspekt der unrechtmäßigen Datenübermittlung, sondern lediglich auf die Regelung zum Berufsgeheimnis aus § 203 StGB. Dieses liegt als deutsches Bundesgesetz klar im Kompetenzbereich des deutschen Gesetzgebers. Als standesrechtliche Regelung, die ebenfalls deutsches Recht ist, kann die BORA hier durchaus klarstellen, dass unter bestimmten Voraussetzungen (zumindest die mutmaßliche Zustimmung des Mandanten) beim unverschlüsselten Versand von E-Mails keine Verletzung des Berufsgeheimnisses darstellt.

Sofern die E-Mail personenbezogene Daten enthält, wird weiterhin zu prüfen sein, ob der Versand gemäß DSGVO zulässig ist. Hier gehen die Meinungen auseinander.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in einer Stellungnahme Anfang 2018 (Achtung, altes Recht!) hierzu einmal geschrieben:

„Die Einhaltung der technischen und organisatorischen Maßnahmen wird grundsätzlich für nicht abdingbar gehalten. Betroffene können auch nicht darin einwilligen, dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der Technik verarbeitet werden. Ein sicherer Kommunikationskanal ist deshalb […] für E-Mail und alle anderen Web-basierten Anwendungen unabdingbar. Verschlüsselung ist nach wie vor die sicherste Möglichkeit, personenbezogene Daten vor Missbrauch zu schützen. Daher scheidet auch die elektronische Übertragung sensibler personenbezogener Daten ohne Verschlüsselung etwa per Mail aus, auch wenn der Betroffene explizit um die Übersendung per Mail bittet […]“

Fehlende Verschlüsselung stellte somit aus der damaligen Sicht des HmbBfDI einen Verstoß gegen den Datenschutz dar. Im damaligen Schreiben wurde anschließend auch direkt der Schluss zu Art. 32 DSGVO (damals noch zukünftiges Recht) gezogen, so dass davon auszugehen ist, dass sich die Meinung der hamburgischen Aufsicht hier nicht geändert haben dürfte.

Hallo? Informationelle Selbstbestimmung?

Wir sehen das unter dem Aspekt der informationellen Selbstbestimmung natürlicher Personen anders. Informationelle Selbstbestimmung heißt unseres Erachtens eben nicht, nur zu wissen, wer welche Daten hat, was damit gemacht wird und mithilfe der Betroffenenrechte der Artt. 15 bis 21 DSGVO eingreifen zu können. Wir meinen, informationelle Selbstbestimmung bedingt zwingend auch, selbst entscheiden zu können, ob Daten veröffentlicht werden sollten und dürften. Wie die Veröffentlichung der Daten erfolgt, muss ebenfalls in der Entscheidungsgewalt der betroffenen Personen liegen. Wenn dies durch den unverschlüsselten Versand per E-Mail erfolgen soll – warum sollten die Aufsichtsbehörden dies den betroffenen Personen verbieten können?

Grundsätzlich ist es aus unserer Sicht also auch aus dem Blickwinkel des Datenschutzes unter bestimmten Voraussetzungen möglich, personenbezogene Daten aufgrund einer Einwilligung der betroffenen Person unverschlüsselt zu versenden. Allerdings sind die in der DSGVO festgelegten Bedingungen an eine wirksam erteilte Einwilligung höher als in der BORA. So wird es aus datenschutzrechtlicher Sicht kaum möglich sein, von einer wirksam erteilten Einwilligung zur unverschlüsselten Kommunikation auszugehen, nur weil der Mandant eine solche beginnt. Auch der gemäß DSGVO zwingend zu erfolgende Hinweis an die betroffene Person auf das jederzeitige Recht, die Einwilligung zu widerrufen, ist in den Vorgaben der BORA nicht enthalten. Sofern Rechtsanwälte mit Ihren Mandanten per unverschlüsselter E-Mail kommunizieren möchten, sollte zuvor eine gemäß Art. 7 DSGVO (siehe auch diesen Artikel zu Einwilligungen) wirksame Einwilligung eingeholt werden.

Fazit

Ob aus datenschutzrechtlicher Sicht in die unverschlüsselte Kommunikation per E-Mail eingewilligt werden kann, ist fraglich und wird von den Aufsichtsbehörden grundsätzlich verneint. Wir sehen gute Argumente, diesbezüglich eine andere Auffassung zu vertreten. Letztlich wird man sich wohl gerichtlich mit den Aufsichtsbehörden darüber streiten müssen und wie ein solcher Prozess ausgeht ist ungewiss. Sie wissen ja – vor Gericht und auf hoher See….  Möchte man eine gerichtliche Auseinandersetzung vermeiden, wird man sich der Ansicht der Aufsichtsbehörde fügen müssen.

Dies bedeutet, dass zwar theoretisch mit Einwilligung des Mandanten die E-Mail-Kommunikation des Rechtsanwalts unverschlüsselt erfolgen könnte. Der Datenschutz muss dennoch eingehalten werden. Auch beachtet werden müssen die Interessen Dritter, die gegebenenfalls nicht eingewilligt haben, weil sie gar nicht gefragt wurden. Hier kommt dann wieder die Verschlüsselung ins Spiel…

Wir empfehlen, die neue Regelung wohlwollend zur Kenntnis zu nehmen und die zukünftigen Ereignisse zu beobachten. Bis dahin sollten Sie als Rechtsanwalt weiterhin Ihre E-Mails verschlüsseln und entsprechende Regelungen in der Kanzlei schaffen. Alternativ greifen Sie auf die gute alte Briefpost zurück.

Mögliche Ausnahmen sehen wir nur, wenn Sie in Rechtsgebieten tätig sind, bei denen keine personenbezogenen Daten (außer Anrede und Signatur) ausgetauscht werden. Dies könnte beispielsweise bei marken- oder wettbewerbsrechtlichen Auseinandersetzungen der Fall sein. Der Grat auf dem hier gewandert wird ist jedenfalls schmal und birgt das Risiko, Fehler zu begehen.

Sofern Sie Unterstützung benötigen – wir sind bereit!