In letzter Zeit sind vermehrt Beschwerden von Mandanten unterschiedlicher, in Bremen ansässiger Rechtsanwaltskanzleien, bei der Bremer Landesbeauftragten für Datenschutz und Informationsfreiheit eingegangen. Beanstandet wird die E-Mail-Korrespondenz zwischen den betreffenden Rechtsanwälten und ihren Mandanten. Diese erfolgt in den jeweiligen Fällen unverschlüsselt oder lediglich transportverschlüsselt (TLS). Dies ist gemäß DSGVO allerdings nicht ausreichend, die Beschwerden sind begründet.
E-Mails von Rechtsanwälten und Steuerberatern enthalten personenbezogene Daten und zumeist sogar besonders schützenswerte personenbezogene Daten. Außerdem unterliegen Rechtsanwälte und Steuerberater einer berufsbezogenen Schweigepflicht (§203 StGB). Daher ist es zwingend erforderlich, E-Mails verschlüsselt zu senden. Eine geeignete technisch-organisatorische Maßnahme (TOM) im datenschutzrechtlichen Sinn ist daher nur eine besonders gesicherte „Ende-zu-Ende-Verschlüsselung“ (z. B. S/MIME oder PGP). Dadurch wird sichergestellt, dass nur der befugte Empfänger die Daten entschlüsseln kann. Die Korrespondenz unter Anwälten kann auch über das besondere elektronische Anwaltspostfach (beA) erfolgen. Dies erfüllt ebenfalls die Sicherheitsanforderungen.
Einverständniserklärungen entbinden nicht von der Pflicht zur Verschlüsselung
In einigen Fällen haben Rechtsanwälte und Steuerberater Einverständniserklärungen von ihren Mandanten eingeholt, die die Kanzleien von der Pflicht zur Verschlüsselung entbinden sollen. Die Mandanten haben dadurch erklärt, dass eine unverschlüsselte oder lediglich transportverschlüsselte Kommunikation für sie in Ordnung ist. Solche Erklärungen sind allerdings nach Einschätzung der Datenschutzbehörde nicht wirksam, wenn es um sensible Daten geht. Die Beurteilung des Schutzniveaus der personenbezogenen Daten und die sich daraus ergebenden technisch-organisatorischen Maßnahmen sind in Artikel 32 der DSGVO festgelegt – davon kann nicht nach eigenem Ermessen abgewichen werden. Die datenschutzrechtlichen Anforderungen an die E-Mail-Korrespondenz sind strenger als berufsrechtliche Vorgaben. Ihnen ist in diesem Fall Vorrang zu gewähren.
Es besteht Handlungsbedarf für Rechtsanwälte und Steuerberater
Empfehlung: Sollte Ihre E-Mail-Korrespondenz bisher nicht ausreichend verschlüsselt erfolgen und damit nicht im Einklang mit der DSGVO stehen, sollten Sie dies dringend ändern. Das ergibt sich aus der datenschutzrechtlichen Einschätzung der Bremer Datenschutzbehörde.
Sollten Sie Fragen zu diesem Thema haben oder Unterstützung bei der Umstellung benötigen, sprechen Sie das Team von HUBIT Datenschutz gerne an.