In Bremen streitet sich die Rechtsanwaltskammer (RAK) mit der Landesdatenschutzbeauftragten der Stadt. Die Datenschutz-Behörde vertritt die Auffassung, dass Anwältinnen und Anwälte verpflichtet sind, den E-Mail-Verkehr mit Mandantschaft, Gegnern oder Kolleg*innen nur per Ende-zu-Ende-Verschlüsselung (E2E) zu führen. Konflikte gab es zwischen den zwei Parteien schon seit der Einführung der DSGVO 2018. Mit der Einführung der neuen Berufsverordnung für Rechtsanwälte (BORA) flammte dieser dann wieder erneut auf.
Nach derzeitigem Stand laufen Bremer Anwält*innen, die bis Ende 2023 keine E2E umgesetzt haben, Gefahr sanktioniert und mit Bußgeldern belegt zu werden. Laut den Bremer Datenschützern führt schon die Verwendung von E-Mail-Adressen, die auf Absender/Adressat schließen lassen, zu einem besonderen Schutzbedarf, der eine E2E-Verschlüsselung erfordern soll.
Der Bremer RAK geht das zu weit – die E2E-Verschlüsselung sei "nicht das Maß aller Dinge". Die Transportverschlüsselung hätte sich unter Anwält*innen schon seit Jahren als wirksamer Schutz für personenbezogene Daten etabliert. Zum Vergleich wird das besondere elektronische Anwaltspostfach (beA) herangeführt, welches ohne E2E, aber dennoch mit einer wirksamen Transportverschlüsselung arbeitet und so ein ausreichendes Schutzniveau bereitstellt.
Eine technische Einordnung
Eine E2E-Verschlüsselung – generell jede Art von Inhaltsverschlüsselung einer E-Mail – schützt nicht die E-Mail-Adressen. Der Body der E-Mail, also der eigentliche Textinhalt sowie die Anhänge, sind das Einzige, was durch die Inhaltsverschlüsselung effektiv verschlüsselt wird. Die Headerzeilen der E-Mail, also auch die Adressaten, werden nicht verschlüsselt. Auch Techniken wie S/MIME, PGP oder Methoden mit verschlüsselten Anhängen schützen nicht die E-Mail-Adressen der Adressaten.
Die Annahme, man bräuchte eine E2E-Verschlüsselung aus dem Grunde die E-Mail-Adressen der Adressaten zu schützen, ist somit haltlos – denn eine E2E-Verschlüsselung tut dieses nicht.
Die hier genannte „Transportverschlüsselung“ muss differenzierter betrachtet werden, als es die Beteiligten tun. Die einfache "Standard-Transportverschlüsselung" (opportunistic TLS) eines E-Mail-Servers bietet keinerlei wirksamen Schutz, weil es jederzeit passieren kann, dass z.B. durch ein Nichtvorhandensein der TLS-Funktionalität beim Empfänger-Server, sensible E-Mails unverschlüsselt übertragen werden.
Der Vergleich mit dem beA ist daher technisch nicht haltbar – denn das beA arbeitet, im Gegensatz zu einem normalen E-Mail-Server, nicht mit einer opportunistischen Standard-Transportverschlüsselung, sondern mit starker Authentifizierung der beteiligten Server untereinander – ein immenser Unterschied für die resultierende Risikominderung.
Was könnte eine Alternative sein?
Das, was im beA gut funktioniert, ließe sich mit geringem Aufwand auch für den eigenen E-Mail-Server anwenden. Wenn der eigene MTA (also der ausgehende E-Mail-Server) beim E-Mail-Versand auf die „qualifizierte“ Transportverschlüsselung – eine Technologie, die von der DSK selbst definiert wurde – als Standard-Sicherheitslevel konfiguriert wird, oder alternativ ein spezieller SMTP-Relay (also ein zusätzliches System) dafür genutzt wird, können beide Standpunkte miteinander verbunden werden. Denn die qualifizierte Transportverschlüsselung stellt sicher, dass E-Mails nur bei gegebener technischer Sicherheit die Absender-IT verlassen dürfen, indem sie eine starke Authentifizierung zwischen den E-Mail-Servern sicherstellen und moderne Kryptografie nutzen.
Somit ist es möglich den notwendigen Schutzbedarf, vergleichbar mit beA, ohne Zusatzaufwand auch mit der Mandantschaft anzuwenden.
Dabei schützt die qualifizierte Transportverschlüsselung nicht nur den E-Mail-Inhalt, sondern auch die Meta-Daten, wie die E-Mail-Adressen der Kommunikationspartner. Also genau den Umstand, den die Bremer Datenschutzbehörde so dringend fordert. Für die „Standard-Kommunikation“ mit Mandanten und Gegnern ist keine weitere Verschlüsselung notwendig, für die Anwält*innen bleibt der Aufwand damit überschaubar. Bei zusätzlichem Schutzbedarf kann immer noch eine Inhaltsverschlüsselung, etwa durch passwort-verschlüsselte Anhänge, ergänzt werden.
Das richtige E-Mail-System kann dabei helfen, eine „Pflicht“ zur verschlüsselten E-Mail-Übertragung automatisiert umzusetzen. Ein sinnvoller und datenschutzrechtlich nicht zu beanstandender Lösungsweg wäre:
Die qualifizierte Transportverschlüsselung („qTLS“) wird zum Mindest-Standard für die verschlüsselte E-Mail-Übertragung.
Wenn beim E-Mail-Versand an Mandanten deren E-Mail-Server in der Lage sind, eine qTLS-verschlüsselte Verbindung aufzubauen (ca. 90-95% der Fälle), erhalten die Mandanten die E-Mails ohne zusätzlichen Aufwand – denn die qTLS-Verschlüsselung sorgt für die notwendige sichere Übertragung.
Wenn beim E-Mail-Versand an Mandanten deren E-Mail-Server die notwendigen Voraussetzungen für eine qTLS-Verschlüsselung nicht erfüllen, dürfen die betroffenen Mandanten auch keine „normalen“ E-Mails erhalten. Stattdessen muss mit Inhaltsverschlüsselung nachgeholfen werden, um die notwendige Sicherheit zu erreichen.
Diesen Ansatz erhalten Sie mit der Lösung „kanzleiSECUREMAIL“.
Automatisiert, minimalinvasiv und an den eigenen Sicherheitsbedarf angepasst
Mit der adaptiven Verschlüsselung von kanzleiSECUREMAIL erfolgt die Entscheidung für das angemessene und verfügbare Schutzniveau somit automatisch, unter Berücksichtigung Ihrer Voreinstellungen und Präferenzen.
Durch die Automatisierung entstehen für die Anwender folgende Vorteile:
100 % datenschutzkonform
ohne aufwendige Schulung anwendbar
keine Passwörter oder externe Portale
minimalinvasive Erweiterung der bestehenden E-Mail-Systeme
zentrale Konfiguration und Entlastung sowohl der IT-Abteilung als auch der Mitarbeiter
bessere Kontrolle des E-Mail-Kanals und Vermeidung von „Schatten-IT“
Der Hersteller der Lösung kanzleiSECUREMAIL ist die comcrypto GmbH aus Chemnitz. Erhältlich ist die Lösung jetzt auch über Soldan bzw. digitale-kanzlei.de.
Georg Nestmann studierte Techno-Mathematik an der Technischen Universität Chemnitz und legte sein Diplom im September 2014 ab.
In einem Ausgründungsprojekt mit den Schwerpunktthemen Kryptographie und IT-Sicherheit, in dem neue Möglichkeiten der verschlüsselten E-Mail-Kommunikation erforscht und am Markt verprobt wurden, wurden die Grundsteine für die spätere comcrypto GmbH gelegt.
Nestmann war beteiligt am Reviewprozess zum RFC 7748 „Elliptic Curves for Security“ der Internet Engineering Task Force beteiligt und ist in der Danksagung der Hauptautoren explizit genannt.
Nach der Gründung der comcrypto UG, die seit 2017 als comcrypto GmbH firmiert, ging das Unternehmen 2019 mit der Lösung comcrypto MXG zur sicheren E-Mail-Übertragung an den Markt. Durch die einfache Anwendung, erreicht mittels Verknüpfung mehrerer Verschlüsselungstechnologien und deren automatisierter Anwendung, konnte sich das Produkt innerhalb weniger Jahre am Markt etablieren und ist mittlerweile (Stand 12/2023) bei über 700 Unternehmen und öffentlichen Einrichtungen im DACH-Raum im Einsatz.
In Bremen streitet sich die Rechtsanwaltskammer (RAK) mit der Landesdatenschutzbeauftragten der Stadt. Die Datenschutz-Behörde vertritt die Auffassung, dass Anwältinnen und Anwälte verpflichtet sind, den E-Mail-Verkehr mit Mandantschaft, Gegnern oder Kolleg*innen nur per Ende-zu-Ende-Verschlüsselung (E2E) zu führen. Konflikte gab es zwischen den zwei Parteien schon seit der Einführung der DSGVO 2018. Mit der Einführung der neuen […]
