Digitale Kommunikation - 28. Juli 2016

Halten Sie es geheim!

Zum Schutz der immer wichtiger wer­den­den Daten ist eine ver­mehr­te An­wen­dung tech­nischer Schutz­maß­nahmen er­for­der­lich – mitt­ler­weile sogar nahezu unumgänglich.

Die Benutzung von E-Mail, SMS, WhatsApp und anderen elektronischen Kommunikations­mög­lich­keiten gehört inzwischen zu unserem Alltag. Wohl deshalb setzen auch immer mehr Steuer­be­ratern und Rechtsanwälten im beruflichen Kontext E-Mails zur Kommunikation mit den Mandanten ein. Die Möglichkeiten, E-Mails mitzulesen, zu manipulieren oder abzufangen sind jedoch vielfältig sowie unkompliziert schon für IT-technische Laien erlernbar. Edward Snowden hat insoweit die (staatlichen) Eingriffsmöglichkeiten eindrucksvoll aufgezeigt. Im Hinblick auf die elektronische Kommunikation ist allerdings festzustellen, dass eine Absicherung derselben oft noch immer den Zwängen von Praktikabilität und Bequemlichkeit weichen muss. Um in diesem Umfeld nicht den rechtlichen Anforderungen an die Verschwiegenheit und den Schutz der Daten zu erliegen, müssen diese Kommunikationswege technisch abgesichert werden. Unabhängig von in Zukunft höheren Strafen beziehungsweise strengeren Compliance-Anforderungen an Unternehmen werden sich in diesem Kontext alle Beteiligten darauf einstellen müssen, dass Sicherheit immer auch ein Stück Bequemlichkeit kosten wird.

Geheimhaltungspflichten

Selbstverständlich strahlt die Verschwiegenheitspflicht von Berufsgeheimnisträgern wie Steuer­be­ratern und Rechtsanwälten auf die Gestaltung der Tätigkeiten dieser Berufe aus. Die Ge­heim­hal­tungs­pflichten, denen diese Freiberufler und ihre Mitarbeiter unterliegen, ergeben sich aus §§ 57, 62 StBerG, § 43 Abs. 2 S. 1 BRAO, § 2 BORA. Umfang und Anwendungsbereich sind leicht unterschiedlich geregelt. Mittlerweile herrschende Meinung ist, dass auf die elektronische Kommunikation dieser Berufe, soweit es um personenbezogene Daten der eigenen internen Organisation (Beschäftigtendaten) sowie der von externen Dienstleistern geht, im Hinblick auf die technischen Schutzmaßnahmen § 9 Bundesdatenschutzgesetz (BDSG) anzuwenden ist. Bei mandatsbezogenen Daten gehen indessen dem Datenschutzrecht die Regelungen des Berufs­rechts vor. Die berufsrechtlichen Regelungen enthalten jedoch keine Vorgaben zur Schaffung technischer und organisatorischer Sicherheit der Daten. Insofern kann nur empfohlen werden, sich bei der Gestaltung eines Sicherheitskonzepts für eine Kanzlei an den Schutzzielen der Anlage zu § 9 BDSG zu orientieren. Hierbei sollten sich Berufsträger vor Augen halten, dass eine un­recht­mäßige Kennt­nis­er­lan­gung der einem Berufsgeheimnis unterliegenden Daten eine In­for­ma­tions­pflicht nach § 42a BDSG gegenüber der Datenschutzaufsicht und den Betroffenen auslösen kann. Die Offenbarung von Berufsgeheimnissen ist im Strafgesetzbuch (StGB) sank­tio­niert in § 203, Verstöße gegen das BDSG werden gemäß §§ 43, 44 BDSG als Ord­nungs­wi­drig­keiten geahndet. Ein hohes Schutzniveau der Mandantendaten beim Transport der Daten erscheint damit für alle Beteiligten erforderlich.

Verschlüsselung der Transportwege

Für eine vertrauliche Kommunikation sollten Text und ­Anhang der E-Mail verschlüsselt werden.

Grundsätzlich werden E-Mails und deren Datei­an­hänge un­ver­schlüs­selt ge­sen­det, sodass sie auf dem Trans­port­weg ohne weitere Hür­den ge­le­sen und ab­ge­fan­gen werden können. Um eine ver­trau­liche Kom­mu­ni­ka­tion mit dem Man­dan­ten zu ge­währ­leis­ten, sollten so­wohl der Text der E-Mail als auch deren An­hang ver­schlüs­selt werden. Hier­zu gibt es ver­schie­dene Mög­lich­keiten. Ins­be­son­dere für klei­nere Ein­heiten bietet sich das Prin­zip der client-ba­sier­ten Ver­schlüs­se­lung an. Dabei wird die Kommunikation beginnend beim PC des Versenders bis zum PC des Empfängers durchgängig verschlüsselt. Hierfür werden elektronische Schlüssel zur Ver­schlüs­se­lung der Nachricht benötigt sowie eine elektronische Signatur, die jeweils den Ver­sender und Em­pfänger eindeutig identifiziert. Damit die Verschlüsselung der E-Mails funktioniert, müssen beide Parteien dieselbe Software einsetzen, was in der Zusammenarbeit mit Mandanten eine nachvollziehbare Herausforderung darstellt. Um dieses Problem zu umgehen, kann auf eine passwortbasierte Verschlüsselung bei Empfängern zurückgegriffen werden, die keine Ver­schlüs­se­lungs-Software oder andere technische Lösungen hierzu wie PKI oder S/MIME verwenden. Dabei wird von dem Programm, das man als Versender einsetzt, im Prinzip eine verschlüsselte Datei, etwa als PDF, an den Empfänger versandt, die dieser mit einem zuvor ver­ein­bar­ten Pass­wort oder mit einer Zugangskennung in einem Portal öffnen kann. Damit ist der Einsatz derselben Software beim Empfänger nicht mehr erforderlich.

Verfahren nach dem Stand der Technik

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) fordert Unternehmen zu Ver­schlüs­se­lungs­maß­nahmen auf. Die Behörde hat 2014 Mailserver von mehreren Tausend bayerischen Unternehmen mithilfe eines Skripts anlasslos auf die Verwendung von Ver­schlüs­se­lungs­maß­nahmen überprüft. Dabei ergab sich, dass die Verschlüsselung von Mailservern und der damit verbundene Schutz personenbezogener Daten oft vernachlässigt wurden. Die Rechtsgrundlage für die Überprüfung bildete § 38 BDSG, nach dem den Datenschutzbehörden die Überwachung des BDSG obliegt. Gemäß § 9 Satz 2 Nr. 2–4 BDSG sind Unternehmen darüber hinaus verpflichtet, Verschlüsselungsverfahren nach dem Stand der Technik umzusetzen. Die betroffenen Server wurden vom BayLDA anhand ihrer MX-Records und DNS-Anfragen gefunden. Aufgrund der Prüftätigkeiten der Datenschutzaufsicht erklärt sich auch die Diskussion zwischen Rechts­an­walts­kammern und Datenschutzaufsichten, ausgelöst durch in den letzten Jahren vorgenommene, anlasslose Datenschutzprüfungen des BayLDA nach § 38 BDSG in An­walts­kanz­leien. Die Prüf­punkte betrafen dabei insbesondere auch die technischen Schutzmaßnahmen nach § 9 BDSG, wie allgemeine Zutrittskontrolle, Daten­trä­ger­ver­nich­tung, sichere E-Mail-Kom­mu­ni­kation, sichere IT-Infrastruktur zwischen Standorten oder das Back-up-Konzept. Die hierdurch ausgelösten Gespräche der Datenschutzaufsicht mit der Bundesrechtsanwaltskammer (BRAK) über die Reichweite der aufsichtsrechtlichen Befugnisse nach § 38 BDSG gegenüber Rechtsanwälten blieben zwischen den Beteiligten bisher ohne Einigung. Auf Bitten der BRAK wird das Thema derzeit im Düsseldorfer Kreis erörtert, eine abschließende Stellungnahme steht noch aus.

Einwilligung in unverschlüsselte Kommunikation

Die datenschutzrechtliche Möglichkeit einer Einwilligung durch die Mandanten als solche in unverschlüsselte E-Mail-Kommunikation ist umstritten. In der Literatur hält eine große Anzahl von Autoren jede Einwilligung in den Verzicht auf eine E-Mail-Verschlüsselung für unwirksam, da diese letztlich vom Gesetz vorgeschrieben sei. Zustimmend muss hierzu gesagt werden, dass technisch-organisatorische Sicherheitsmaßnahmen aus rechtlicher Sicht wohl nicht einwilligungsfähig sind. Dennoch hat eine Einwilligung des Nutzers Auswirkungen auf das erforderliche Schutzniveau nach § 9 S. 2 BDSG. Im Ergebnis ist damit eine Einwilligung des Betroffenen in die Zusendung unverschlüsselter E-Mails zwar rechtlich keine solche, wirkt aber genau wie eine Einwilligung und erfüllt damit deren Zweck. Bei den hier angesprochenen Berufen kommt hinzu, dass es um Informationen geht, die § 203 StGB unterliegen. Die – sogar formlose – Einwilligung in eine Offenbarung im Sinne von § 203 StGB ist zwar möglich. Doch § 203 StGB verdrängt nicht das BDSG, sodass im Anwendungsbereich des BDSG – etwa bei E-Mails – dessen strengere Vorschriften zu beachten sind. Wichtig ist, dass sich eine Einwilligung nach dem BDSG nur auf Daten der Person bezieht, die die Einwilligung erklärt. Eine derartige Zustimmungserklärung kann grundsätzlich in den Mandatsbedingungen erfolgen. Nach § 4 a Abs. 1 S. 4 BDSG ist jedoch dann erforderlich, dass die Klausel besonders hervorgehoben wird und dass erklärt wird, zu welchem Zweck die Datenverwendung erfolgt. Weiter ist auf die Folgen einer Verweigerung der Einwilligung hinzuweisen.

Beteiligte sensibilisieren

Für die Umsetzung von Maßnahmen, wie voranstehend beschrieben, sollten die Mitarbeiter immer einbezogen beziehungsweise bei der Prozessgestaltung beteiligt werden. Wie bei den anderen Hilfstätigkeiten in Kanzleien auch funktionieren diese nur dann, wenn alle Beteiligten verstanden haben, worum es geht und wie die Maßnahmen funktionieren sollen. Unabhängig davon sehen die Gesetze bei der Offenbarung durch Gehilfen oder durch Or­ga­ni­sa­tions­ver­schulden in den Unternehmen zum Teil empfindliche Geldstrafen vor.

Mehr DAZU

MEHR DAZU

Weitere Infor­ma­tio­nen zu den an­ge­spro­che­nen Themen sowie den Unter­stüt­zungs­an­ge­boten der DATEV finden Sie unter: www.datev.de/sichere-kommunikation

Zum Autor

Thilo Märtin

Rechtsanwalt und Partner von MKM+Partner Rechtsanwälte PartmbB, Nürnberg. Er ist spezialisiert auf Fragen des IT-Rechts, des Datenschutzes sowie des Gewerblichen Rechtsschutzes.

Weitere Artikel vom Autor