Telefax ist nicht Datenschutz-konform

Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen. Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten. Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, welche oftmals mit der offen einsehbaren Postkarte verglichen wird. Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig. Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden. https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111 Eine moderne Lösung hierfür bietet die Software VeriChat. Durch eine Ende-zu-Ende-Verschlüsselung ist die Kommunikation datenschutzkonform. VeriChat ermöglich den sicheren Versand von Nachrichten und Dateien / Dokumenten. Die Software VeriChat ist genauso leicht zu bedienen wir Ihr Email-Programm, die sichere Verschlüsselung läuft automatisch im Hintergrund ab.

Nach Email jetzt auch Fax – Datenschutzverstoß durch Faxversand

Nach Ansicht zumindest der Landesbeauftragten für Datenschutz der Freien Hansestadt Bremen kann mittlerweile auch der Faxversand nicht mehr als datenschutzkonform betrachtet werden (https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111). Grund hierfür ist, dass, anders als früher, für den Versand von Fax-Nachrichten keine geschützten Telefonleitungen mehr verwendet werden, sondern nach dem Umstieg praktisch alle Telekomunikatsionsanbieter auf VoIP Fax-Daten genauso offen versandt werden wie Email. Es gibt keine Verschlüsselung, damit ist die per Fax versandte Nachricht genauso offen lesbar wie eine Email. Wenn diese Rechtsansicht der Bremischen Datenschutzbehörde sich durchsetzt, kommen insbesondere auf Versicherungen, Anwaltskanzleien und Steuerberater usw. harte Zeiten zu. Denn während der Versand von datenschutzkonformen Emails aufgrund der erforderlichen Verschlüsselung relativ kompliziert ist und insbesondere von Privatkunden normalerweise nicht angenommen wird, konnte bisher von der Möglichkeit des Faxversandes Gebrauch gemacht werden. Zumindest in der Kommunikation zum Beispiel zwischen Rechtsschutzversicherungen und Anwaltskanzleien wird dieses Kombinationsmittel sehr gerne benutzt, weil es jedenfalls nach bisheriger Ansicht datenschutzkonform ist und gleichzeitig deutlich günstiger und schneller als der Versand von Briefen. Diese Möglichkeit fällt nunmehr weg. Versicherungen, Anwaltskanzleien und Steuerberaterkanzleien, die personenbezogene Daten per Fax versenden, machen sich zumindest nach Ansicht der Bremer Datenschutzbeauftragten bußgeldpflichtig. Das kann angesichts der Vielzahl an Vorgänge sehr schnell sehr teuer werden. Eine Lösung hierfür bietet die Software VeriChat. Durch eine Ende-zu-Ende-Verschlüsselung ist die Kommunikation datenschutzkonform. VeriChat ermöglich den sicheren Versand von Nachrichten und Dateien / Dokumenten. Die Software VeriChat ist genauso leicht zu bedienen wir Ihr Email-Programm, die sichere Verschlüsselung läuft automatisch im Hintergrund ab.

Emails in Anwaltskanzleien

Emails in Anwaltskanzleien und die Datenschutzgrundverordnung

Die meisten Rechtsanwaltskanzleien nutzen heute für den schnellen und bequemen Informationsaustausch mit den Mandanten Emails. Doch diese Kommunikationsform ist, jedenfalls unserer Auffassung nach, nicht nur technisch veraltet, sondern rechtlich sogar unzulässig.

DSGVO steht neben anwaltlicher Verschwiegenheit

Während die Regeln der anwaltlichen Verschwiegenheit sich aus der Bundesrechtsanwaltsordnung ergeben, ist die Datenschutzgrundverordnung als EU-Norm grundsätzlich nicht der Gestaltung durch die Anwaltschaft oder den deutschen Gesetzgeber eröffnet.

Die EU-weit geltende Datenschutzgrundverordnung betrifft jegliche Art der Verarbeitung personenbezogener Daten und damit auch die Kommunikation zwischen Anwalt und Mandant. Sie regelt, unter welchen Umständen personenbezogene Daten von Mandanten oder Dritten verarbeitet werden können – und zwar zusätzlich zu den Regeln anwaltlicher Verschwiegenheitspflicht.

Dabei bleibt die Wirkung der Verordnung in manchen Bereichen hinter der Verschwiegenheitspflicht des Anwalts zurück (nämlich dort, wo es nicht um personenbezogene Daten geht, sondern beispielsweise um rein technische Informationen), geht teilweise aber weit darüber hinaus. Letzteres wird von Anwaltskanzleien oft übersehen.

Angemessenes Schutzniveau

Eine der wichtigsten Normen des EU-Datenschutzrechts ist die Vorschrift des Art. 32 DSGVO. Nach dieser Norm ist bei jeder Art der Datenverarbeitung ein angemessenes Schutzniveau zu gewährleisten und dabei der aktuellste Stand der Technik zu berücksichtigen.

Genau diese Norm ist es, die eine tickende Zeitbombe für viele Anwaltskanzleien darstellt.

Es dürfte mittlerweile einheitliche Ansicht sein, dass der Email-Versand nicht mehr dem Stand der Technik entspricht. Für technisch halbwegs versierte Dritte ist es ohne weiteres möglich, Emails abzufangen und mitzulesen – der technische Schutzstandard einer Email wird oft zu Recht mit dem einer Postkarte verglichen. Zwar ist es möglich, auch Emails zu verschlüsseln – dies setzt aber den beiderseitigen Austausch von Signaturen voraus und wird deswegen in der Praxis nicht angewandt.

Während in der Vergangenheit schlicht keine andere Kommunikationsmöglichkeit zur Verfügung stand, gibt es heute grundsätzlich die Möglichkeit der Ende-zu-Ende-Verschlüsselung und damit können Daten versendet werden, ohne dass Dritte mit einfachsten technischen Vorkehrungen mitlesen können. Damit entspricht die Email eben nicht mehr dem von Art. 32 DSGVO geforderten angemessenen Schutzniveau.

Verdrängte Probleme sind keine gelösten Probleme

Dennoch werden Emails weiterhin von vielen Anwaltskanzleien eingesetzt, schlicht auch deswegen, weil dies das Kommunikationsmittel ist, das die Mandanten wünschen. Emails verfügen über viele praktikable Vorteile. So können Schriftstücke als Anhang mitgesandt werden, und die Einbindung in die gängigen Anwaltsprogramme ist bereits vorhanden. Zudem können Emails von allen möglichen Endgeräten aus abgerufen werden.

Bislang hat man sich in der Anwaltschaft damit zufriedengegeben, dass die Mandanten ja der Versendung von Daten durch Emails zugestimmt hätten. Bei besonders vorsichtigen Kanzleien wird dies ausdrücklich geregelt, entweder durch Mandatsbedingungen oder ausdrückliche Erklärungen. Aber auch sonst kann man wohl davon ausgehen, dass ein Mandant, der seinerseits Informationen per Email an den Anwalt sendet, damit sein grundsätzliches Einverständnis zum Ausdruck gebracht hat.

Das Problem ist allerdings, dass Art. 32 DSGVO gar keine Möglichkeit der Einwilligung vorsieht. Die Regelung ist als objektive Ordnungsnorm zu verstehen und damit der Zustimmung der Beteiligten entzogen. Der Hintergrund ist, dass es ja nicht unbedingt personenbezogene Daten des Mandanten sind, die per Email ausgetauscht werden. In den meisten Anwaltsmandaten gibt es ja auch jede Menge personeller Informationen von Personen, die gar nicht Mandant sind, sondern z.B. Gegner, Zeuge, Ansprechpartner usw.

Wenn aber die Einwilligung der Mandanten gar nicht ausreichend ist, stellt die Verwendung von Emails zwangsläufig immer und in jedem Fall einen Verstoß gegen die DSGVO dar. In jedem Fall gilt das dann, wenn die personenbezogenen Daten nicht den Mandanten, sondern Dritte betreffen. Damit sind, vereinfacht gesagt, Emails als Mittel der anwaltlichen Kommunikation nicht mehr möglich.

Die Konsequenz ist, dass die Datenschutzbehörden der Länder grundsätzlich Bußgelder gegen jede Anwaltskanzlei verhängen können, die noch Email verwendet. Dass die Behörden dies tun werden, ist angesichts des immerwährenden Geldbedarfs der Länderkassen und des Verlangens des EuGH nach konsequenter Durchsetzung EU-rechtlicher Normen sicher. Nur der Zeitpunkt ist noch unklar.

Vor der Verwendung gängiger Messenger-Systeme schreckt die Anwaltschaft mit Recht zurück. Diese Systeme werden im Wesentlichen auf Servern in den USA betrieben und sind daher datenschutzrechtlich erst recht problematisch. Es besteht immer das Risiko, dass beispielsweise aufgrund richterlicher Anordnung in den USA Daten mitgelesen werden. Unabhängig davon, ob dies tatsächlich im Einzelfall zutrifft, ist jedenfalls nach derzeitiger Rechtslage das Vorhalten von Daten auf US-amerikanischen Servern höchst problematisch.

Die Lösung hierfür bietet VeriChat

VeriChat bietet die Funktionalitäten und Handhabung eines üblichen Messenger-Systems und kann damit Emails vollständig ersetzen. Das Programm lässt sich als Web-Applikation auf jedem Rechner betreiben, zudem steht für die Endbenutzer eine App zur Verfügung. Dabei können nicht nur Nachrichten, sondern auch Dateien und Anhänge mit versandt werden. Durch die Ende-zu-Ende-Verschlüsselung ist die Datensicherheit gewährleistet.

Der rechtliche Vorteil: Alle Daten werden auf Servern in der EU gehostet, was die Verwendung von VeriChat datenschutzrechtlich unangreifbar macht.

Wer heute noch Emails versendet, sollte den Umstieg auf VeriChat schleunigst angehen – möglichst bevor die Datenschutzbehörden Anwaltskanzleien als profitable Melkkühe entdecken.