Emails in Anwaltskanzleien

Emails in Anwaltskanzleien und die Datenschutzgrundverordnung

Die meisten Rechtsanwaltskanzleien nutzen heute für den schnellen und bequemen Informationsaustausch mit den Mandanten Emails. Doch diese Kommunikationsform ist, jedenfalls unserer Auffassung nach, nicht nur technisch veraltet, sondern rechtlich sogar unzulässig.

DSGVO steht neben anwaltlicher Verschwiegenheit

Während die Regeln der anwaltlichen Verschwiegenheit sich aus der Bundesrechtsanwaltsordnung ergeben, ist die Datenschutzgrundverordnung als EU-Norm grundsätzlich nicht der Gestaltung durch die Anwaltschaft oder den deutschen Gesetzgeber eröffnet.

Die EU-weit geltende Datenschutzgrundverordnung betrifft jegliche Art der Verarbeitung personenbezogener Daten und damit auch die Kommunikation zwischen Anwalt und Mandant. Sie regelt, unter welchen Umständen personenbezogene Daten von Mandanten oder Dritten verarbeitet werden können – und zwar zusätzlich zu den Regeln anwaltlicher Verschwiegenheitspflicht.

Dabei bleibt die Wirkung der Verordnung in manchen Bereichen hinter der Verschwiegenheitspflicht des Anwalts zurück (nämlich dort, wo es nicht um personenbezogene Daten geht, sondern beispielsweise um rein technische Informationen), geht teilweise aber weit darüber hinaus. Letzteres wird von Anwaltskanzleien oft übersehen.

Angemessenes Schutzniveau

Eine der wichtigsten Normen des EU-Datenschutzrechts ist die Vorschrift des Art. 32 DSGVO. Nach dieser Norm ist bei jeder Art der Datenverarbeitung ein angemessenes Schutzniveau zu gewährleisten und dabei der aktuellste Stand der Technik zu berücksichtigen.

Genau diese Norm ist es, die eine tickende Zeitbombe für viele Anwaltskanzleien darstellt.

Es dürfte mittlerweile einheitliche Ansicht sein, dass der Email-Versand nicht mehr dem Stand der Technik entspricht. Für technisch halbwegs versierte Dritte ist es ohne weiteres möglich, Emails abzufangen und mitzulesen – der technische Schutzstandard einer Email wird oft zu Recht mit dem einer Postkarte verglichen. Zwar ist es möglich, auch Emails zu verschlüsseln – dies setzt aber den beiderseitigen Austausch von Signaturen voraus und wird deswegen in der Praxis nicht angewandt.

Während in der Vergangenheit schlicht keine andere Kommunikationsmöglichkeit zur Verfügung stand, gibt es heute grundsätzlich die Möglichkeit der Ende-zu-Ende-Verschlüsselung und damit können Daten versendet werden, ohne dass Dritte mit einfachsten technischen Vorkehrungen mitlesen können. Damit entspricht die Email eben nicht mehr dem von Art. 32 DSGVO geforderten angemessenen Schutzniveau.

Verdrängte Probleme sind keine gelösten Probleme

Dennoch werden Emails weiterhin von vielen Anwaltskanzleien eingesetzt, schlicht auch deswegen, weil dies das Kommunikationsmittel ist, das die Mandanten wünschen. Emails verfügen über viele praktikable Vorteile. So können Schriftstücke als Anhang mitgesandt werden, und die Einbindung in die gängigen Anwaltsprogramme ist bereits vorhanden. Zudem können Emails von allen möglichen Endgeräten aus abgerufen werden.

Bislang hat man sich in der Anwaltschaft damit zufriedengegeben, dass die Mandanten ja der Versendung von Daten durch Emails zugestimmt hätten. Bei besonders vorsichtigen Kanzleien wird dies ausdrücklich geregelt, entweder durch Mandatsbedingungen oder ausdrückliche Erklärungen. Aber auch sonst kann man wohl davon ausgehen, dass ein Mandant, der seinerseits Informationen per Email an den Anwalt sendet, damit sein grundsätzliches Einverständnis zum Ausdruck gebracht hat.

Das Problem ist allerdings, dass Art. 32 DSGVO gar keine Möglichkeit der Einwilligung vorsieht. Die Regelung ist als objektive Ordnungsnorm zu verstehen und damit der Zustimmung der Beteiligten entzogen. Der Hintergrund ist, dass es ja nicht unbedingt personenbezogene Daten des Mandanten sind, die per Email ausgetauscht werden. In den meisten Anwaltsmandaten gibt es ja auch jede Menge personeller Informationen von Personen, die gar nicht Mandant sind, sondern z.B. Gegner, Zeuge, Ansprechpartner usw.

Wenn aber die Einwilligung der Mandanten gar nicht ausreichend ist, stellt die Verwendung von Emails zwangsläufig immer und in jedem Fall einen Verstoß gegen die DSGVO dar. In jedem Fall gilt das dann, wenn die personenbezogenen Daten nicht den Mandanten, sondern Dritte betreffen. Damit sind, vereinfacht gesagt, Emails als Mittel der anwaltlichen Kommunikation nicht mehr möglich.

Die Konsequenz ist, dass die Datenschutzbehörden der Länder grundsätzlich Bußgelder gegen jede Anwaltskanzlei verhängen können, die noch Email verwendet. Dass die Behörden dies tun werden, ist angesichts des immerwährenden Geldbedarfs der Länderkassen und des Verlangens des EuGH nach konsequenter Durchsetzung EU-rechtlicher Normen sicher. Nur der Zeitpunkt ist noch unklar.

Vor der Verwendung gängiger Messenger-Systeme schreckt die Anwaltschaft mit Recht zurück. Diese Systeme werden im Wesentlichen auf Servern in den USA betrieben und sind daher datenschutzrechtlich erst recht problematisch. Es besteht immer das Risiko, dass beispielsweise aufgrund richterlicher Anordnung in den USA Daten mitgelesen werden. Unabhängig davon, ob dies tatsächlich im Einzelfall zutrifft, ist jedenfalls nach derzeitiger Rechtslage das Vorhalten von Daten auf US-amerikanischen Servern höchst problematisch.

Die Lösung hierfür bietet VeriChat

VeriChat bietet die Funktionalitäten und Handhabung eines üblichen Messenger-Systems und kann damit Emails vollständig ersetzen. Das Programm lässt sich als Web-Applikation auf jedem Rechner betreiben, zudem steht für die Endbenutzer eine App zur Verfügung. Dabei können nicht nur Nachrichten, sondern auch Dateien und Anhänge mit versandt werden. Durch die Ende-zu-Ende-Verschlüsselung ist die Datensicherheit gewährleistet.

Der rechtliche Vorteil: Alle Daten werden auf Servern in der EU gehostet, was die Verwendung von VeriChat datenschutzrechtlich unangreifbar macht.

Wer heute noch Emails versendet, sollte den Umstieg auf VeriChat schleunigst angehen – möglichst bevor die Datenschutzbehörden Anwaltskanzleien als profitable Melkkühe entdecken.