Rechtsanwälte, E-Mails verschlüsseln ist Pflicht! So geht’s…
Rechtsanwälte müssen E-Mails mit sensiblen Daten verschlüsseln. Tun sie das nicht, verstoßen sie nicht nur gegen das Datenschutzgesetz, sondern können sich sogar strafbar machen! In der Praxis halten sich viele jedoch nicht daran. Vielleicht auch, weil die Verschlüsselung von E-Mails zu aufwändig und teuer erscheint. Wir erklären, wie E-Mail-Verschlüsselung funktioniert und welche Alternativen es für Rechtsanwälte gibt, um rechtlich sicher zu kommunizieren.
Unverschlüsselte Mails können Verstoß gegen Verschwiegenheitspflicht sein
In seinem 8. Tätigkeitsbericht für den nicht-öffentlichen Bereich mahnt der sächsische Datenschutzbeauftragte vor allem Berufsgeheimnisträger eindringlich, ihre elektronische Kommunikation mit Behörden und Mandanten zu verschlüsseln. Den „unverschlüsselten E-Mail-Versand von Schriftsätzen“ hält er „insbesondere bei Rechtsanwälten (für) eine absolut ungeeignete Kommunikationsform.“ Er weist darauf hin, dass sich Berufsgeheimnisträger sogar gemäß § 203 StGB wegen Verletzung ihrer beruflichen Verschwiegenheitspflicht strafbar machen können.
Wenn Mails in falsche Hände geraten…
Heutzutage werden wohl die meisten Anwälte per Mail mit ihren Mandanten kommunizieren. Doch eine unverschlüsselte E-Mail ist so etwas wie eine Postkarte im Netz. Es braucht keinen besonders versierten Hacker, um eine Mail abzufangen und zu lesen. Geraten so die Daten eines Mandanten oder wichtige Dokumente zu einem Fall in falsche Hände, kann das für den Anwalt schwerwiegende Folgen haben: Vom Vertrauensverlust angefangen über hohe Schadenersatzforderungen bis hin zur Strafanzeige!
Aber wie verschlüsseln Anwälte ihre E-Mails richtig? Zunächst eine gute Nachricht: E-Mail-Verschlüsselung ist kein Hexenwerk. Mit etwas Geduld, kann sich jeder selbst eine Verschlüsselung einrichten. Die gängigsten Verfahren dazu sind S/MIME und PGP. Dabei handelt es sich um sogenannte Ende-zu-Ende-Verschlüsselungen. Das bedeutet, dass die Mail schon auf dem PC des Absenders verschlüsselt wird und erst auf dem des Empfängers entschlüsselt werden kann:
Verschlüsselung mit PGP (Pretty Good Privacy)
PGP kann mit gängigen Mailprogrammen wie Outlook oder Thunderbird verwendet werden. Für die PGP Verschlüsselung sind folgende Schritte notwendig:
Schritt 1: PGP-Software auswählen und installieren
Zuerst müssen Sie eine PGP Software herunterladen. Dabei müssen Sie darauf achten, dass diese mit Ihrem Betriebssystem und E-Mail-Programm kompatibel ist. Die Software gibt es beispielsweise bei chip.de oder openpgp.org.
Schritt 2: Schlüsselpaar erzeugen
Bei der PGP Verschlüsselung werden zwei Schlüssel benötigt, ein öffentlicher (Public Key) und ein privater (Private Key). Der öffentliche Schlüssel wird – wie der Name schon sagt – veröffentlicht und mit anderen geteilt. Der private Schlüssel ist der geheime Schlüssel. Diesen behalten Sie immer für sich und geben ihn nicht heraus!
Mithilfe der installierten Software werden diese beiden Schlüssel erstellt. Der Mandant macht genau das Gleiche: Auch er erstellt einen öffentlichen und einen privaten PGP Schlüssel.
Schritt 3: Den öffentlichen Schlüssel teilen
Den öffentlichen Schlüssel können Sie im Anschluss per Mail verschicken, auf Ihrer Homepage bereitstellen oder auf einen öffentlichen Schlüsselserver hochladen. Das ist ein öffentlicher Server im Netz, an den jeder seinen Public Key schicken kann.
Schritt 4: Schlüssel des Empfängers besorgen
Wenn Sie eine Mail verschlüsselt verschicken wollen, bringt Ihnen Ihr eigener Schlüssel alleine noch nichts. Sie brauchen den öffentlichen Schlüssel des Empfängers. Den bekommen Sie entweder direkt von ihm (also zum Beispiel von einem Mandanten) oder von einem öffentlichen Schlüsselserver.
Schritt 5: Verschlüsselte Mail verschicken
Nun kann es losgehen mit dem verschlüsselten E-Mail-Versand. Sie können dazu wie gewohnt eine Mail in Ihrem E-Mail-Programm schreiben. In der Taskleiste des Mail-Programms erscheint nun das PGP Icon. Wenn Sie darauf klicken, erscheinen alle Ihre Kontakte, mit denen Sie bereits Schlüssel „getauscht“ haben. Dann ziehen Sie den passenden Eintrag in die Empfängerliste. Achtung: wenn Sie die Mail später selbst noch lesen wollen, müssen Sie auch Ihren eigenen Schlüssel auswählen.
Verschlüsselung mit S/MIME
S/MIME hat einen großen Vorteil: Es ist bereits in vielen Mail-Programmen und Smartphones vorinstalliert und muss nur noch aktiviert werden (beispielsweise bei Outlook). Auch bei dieser Verschlüsselung werden ein privater und ein öffentlicher Schlüssel benötigt. Um diese zu erzeugen, brauchen Sie ein S/MIME-Zertifikat. Dieses erhalten sie bei einer offiziellen Zertifizierungsstelle.
Die Zertifikate gibt es in vier Identifizierungsklassen. Kostenlos gibt es meist nur die Zertifikate der Klasse 1. Diese reichen aber für eine sichere E-Mail-Verschlüsselung aus. Eine Auflistung kostenloser S/MIME Zertifikatanbieter (Zertifizierungsstellen) gibt es hier.
Wenn Sie das Zertifikat heruntergeladen haben, können Sie Ihre Mails nach dem Neustart des E-Mail-Programms per Knopfdruck verschlüsseln. Genaue Schritt-für-Schritt-Anleitungen und Tutorials zur S/MIME Verschlüsselung finden Sie beispielsweise bei 1und1.de oder t3n.de.
Das Problem bei der Ende-zu-Ende-Verschlüsselung: Sie kann nur klappen, wenn auch die Empfänger der Mails (also beispielsweise Mandanten) dieselbe Verschlüsselungsmethode einrichten. Ohne Mitwirkung des Mandanten geht es daher nicht.
Kommunikation mit De-Mail
Auch der Gesetzgeber hat sich mit der Problematik der sicheren E-Mail-Kommunikation beschäftigt und 2011 das De-Mail-Gesetz verabschiedet. De-Mail-Dienste ermöglichen das elektronische, rechtssichere und vertrauliche Versenden, Empfangen und Ablegen von Dokumenten und Nachrichten. Sie verwenden jedoch keine Ende-zu-Ende-Verschlüsselung, sondern eine sogenannte Transportverschlüsselung. Das bedeutet, es wird zwar verhindert, dass Unbefugte eine Mail auf dem Weg zum Empfänger mitlesen oder verändern, die Verschlüsselung findet aber erst auf dem De-Mail-Server statt. Auf dem Weg dorthin kann die Mail weiterhin als Klartext abgefangen werden. Wer also komplett auf Nummer sicher gehen will, kommt um eine zusätzliche Verschlüsselung nicht herum. Weitere Informationen zur De-Mail gibt es hier.
Alternative: Eine Cloud für Anwälte
Wenn Anwälte große Datenmengen mit ihren Mandanten austauschen wollen, sind Mails sehr umständlich. Praktisch und mittlerweile auch sehr verbreitet sind deshalb Cloudservices und virtuelle Datenräume die zum Beispiel in Due Diligence Verfahren Anwendung finden. Doch auch hier stellt sich das Problem, ob Daten in der Cloud wirklich sicher sind. Der DAV (Deutscher Anwaltverein) hat deshalb eine Kooperation mit dem Softwarehersteller TeamDrive geschlossen, der eine Cloud extra für Anwälte anbietet, die eine automatische und starke Ende-zu-Ende-Verschlüsselung hat. Außerdem werden die Daten in Deutschland gespeichert, sodass das deutsche Datenschutzrecht angewendet wird. Für Anwälte, die Mitglied im DAV sind, gibt es Vergünstigungen.
Zeitgemäß absichern
Bei aller Vorsicht und noch so ausgeklügelter Verschlüsselung kann im Anwaltsalltag datenschutzrechtlich etwas danebengehen. Wenn wichtige Daten an falscher Stelle landen, können Schadenersatzforderungen die Folge sein. Die Anwalts-Haftpflicht über exali.de bietet bestmöglichen Schutz bei Forderungen von Dritten auf Grund von Datenschutzverstößen und der Verletzung von Geheimhaltungspflichten.
Darüber hinaus gibt es den Zusatzbaustein Cyber-Versicherung, mit dem Sie Ihre Kanzlei selbst vor den Folgen eines Hackerangriffs oder sonstigen Cyber-Kriminalität schützen können.
Weitere interessante Artikel:
- Bloggen, twittern, posten: Was soziale Medien für Rechtsanwälte bringen und wie sie dort durchstarten
- Mega-Fail: Pseudo-Anwalt verschickt Fake-Porno-Abmahnungen und verletzt damit selbst Urheberrechte!
- Fortbildungspflicht als Fachanwalt: Das sollten Sie beachten!
© Ines Rietzler – exali AG