AGH Berlin weist Klage von Anwälten ab: Das beA ist sicher

Der Anwaltsgerichtshof (AGH) Berlin hat am Donnerstag eine Klage von sieben im gesamten Bundesgebiet ansässigen Rechtsanwälten gegen die Bundesrechtsanwaltskammer (BRAK) zurückgewiesen. Die von der Gesellschaft für Freiheitsrechte (GFF) koordinierte Klage hatte zum Ziel, es der BRAK zu untersagen, das besondere elektronische Anwaltspostfach (beA) ohne eine echte Ende-zu-Ende-Verschlüsselung (E2EE) zu betreiben.

Nachdem die BRAK jahrelang damit geworben hatte, das beA sei Ende-zu-Ende-verschlüsselt, stellten sich massive Sicherheitslücken heraus, insbesondere war das System entgegen diesen ursprünglichen Aussagen nicht im technischen Sinne Ende-zu-Ende-verschlüsselt. Nach Ansicht der klagenden Anwälte gewährleistet die von der BRAK verwendete Verschlüsselungstechnik keine Sicherheit vor Angriffen durch kriminelle oder staatliche Stellen im In- und Ausland, weil sie mit dem so genannten Hardware Security Modul (HSM) eine "Sollbruchstelle" aufweise. Die Sicherheitsarchitektur des beA verstoße, so die klagenden Anwälte, gegen die gesetzlichen Vorgaben zur technischen Ausgestaltung, wodurch ungerechtfertigt in ihr Grundrecht auf Berufsausübungsfreiheit eingegriffen werde. 

Der AGH sieht das anders. Die Anwaltsrichter entschieden, dass die Anwälte keinen gegen die BRAK gerichteten Anspruch darauf haben, dass die das beA in einer bestimmten Weise konzipieren oder betreiben muss (Urt. v. 14.11.2019, Az. I AGH 6/18). Das Erfordernis einer Ende-zu-Ende-Verschlüsselung ergebe sich weder unmittelbar noch mittelbar aus dem einfachen Recht, auch eine Grundrechtsverletzung liege nicht vor. Im Rechtssinne "sicher" sei nicht nur das sicherste Verfahren, so der AGH. Die Berufung zum Bundesgerichtshof haben die Anwaltsrichter wegen der grundsätzlichen Bedeutung der Sache zugelassen. 

AGH: Keine Pflicht zu E2EE unmittelbar aus dem Gesetz

Überprüft hat das Gericht auf die Klage hin nicht, wie stabil das beA läuft, sondern nur "die Sicherheit des Verfahrens und der transportierten Daten vor An- und Eingriffen". Diesen Maßstab zugrunde gelegt beurteilt der Senat die Architektur des beA als "auf der Grundlage des Sach- und Streitstandes im Rechtssinne sicher".  

Eine Pflicht, Ende zu Ende zu verschlüsseln, ergebe sich weder aus der Bundesrechtsanwaltsordnung (BRAO), die die BRAK verpflichtet, den Anwälten ein "sicheres Verfahren mit zwei voneinander unabhängigen Sicherungsmitteln" bereitzustellen, noch aus der Zivilprozessordnung (ZPO), nach der über das beA zuzustellende Dokumente "gegen unbefugte Kenntnisnahme durch Dritte zu schützen" seien.

Die Gesetzesmaterialien zur Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer (RAVPV), in denen eine Ende-zu-Ende-Verschlüsselung wörtlich vorausgesetzt wird, zieht der AGH zur Beurteilung nicht heran. Eine Verordnung aus dem Jahr 2017 könne nicht zur Auslegung der älteren BRAO sowie ZPO herangezogen werden. Deren "weite und einfache" Formulierungen ließen keine Verdichtung auf einen bestimmten Verschlüsselungsweg erkennen, so die Anwaltsrichter. 

AGH: Nicht nur der sicherste Weg ist sicher

Das gesetzliche Erfordernis eines "sicheren Übertragungswegs" erfülle das beA. Sicherheit bedeute nicht absolute Sicherheit, sondern einen "Zustand, der unter Berücksichtigung der Funktionalität und Standards frei von unvertretbaren Risiken ist".  

Zur Grundlage seiner Bewertung macht der Senat das von der BRAK nach dem beA-Desaster selbst in Auftrag gegebene Gutachten der Firma Secunet, genauer gesagt dessen überarbeitete Variante. Eine der BRAK zunächst vorgelegte und später überarbeitete Version wurde bis heute nicht veröffentlicht, gegen eine sie dazu verurteiltende Entscheidung des VG Berlin hat die BRAK Rechtsmittel eingelegt. Auf der Basis dieses Gutachtens gehen die Anwaltsrichter davon aus, dass die BRAK sämtliche mit Blick auf die dort zugrunde gelegten Angriffsszenarien sicherheitsrelevanten Schwachstellen bereits beseitigt habe. Dieser Behauptung, dass das beA nun im Rechtssinne sicher sei, seien die klagenden Anwälte auch nicht substanziiert entgegengetreten, so der Senat. 

Ein weiteres Gutachten hat der AGH nicht eingeholt, obgleich vor dem Anwaltsgerichtshof der Amtsaufklärungsgrundsatz voll, die Dispositionsmaxime aber nur eingeschränkt gilt. Die klagenden Anwälte hätten sich, so der Senat, ausdrücklich und trotz einer Anregung des Gerichts, weiter Beweis zu erheben, auf das Secunet-Gutachten beschränkt. Andererseits hätten sie sich aber nicht "in qualifizierter Weise" mit dessen detaillierten Erkenntnissen und Bewertungen" auseinandergesetzt. Zudem gehe der Senat nicht davon aus, dass ein weiteres Gutachten zu erheblichen neuen Erkenntnissen führen würde. 

Kläger: "Ein bisschen Sicherheit genügt nicht"

Die BRAK veröffentlichte das Urteil in ihrem Newsletter von Donnerstagnachmittag, wollte die Entscheidung aber gegenüber LTO auf Nachfrage nicht weiter kommentieren. 

Der Berliner Rechtsanwalt Michael Schinagl, einer der Kläger, kritisierte LTO gegenüber die Entscheidung des AGH: Der Anwalt warf dem Gericht vor, sich aus dem Gutachten nur "Rosinen" heraugepickt zu haben. Wesentliche Teile des Gutachtens habe das Gericht nicht berücksichtigt und außer acht gelassen, dass dieses bloß behauptete Konzepte, nicht aber die Technik selbst überprüft habe. Das Gutachten sei zudem nur in Teilen veröffentlicht worden und damit für Fachleute gar nicht überprüfbar. "Niemand scheint erkennen zu wollen, dass der deutsche Rechtsverkehr an einem Punkt angegriffen werden kann. Ein bisschen Sicherheit genügt nicht, erst recht nicht bei Nutzungszwang", so Schinagl.

Die das Verfahren begleitende GFF teilte mit, eine Berufung gegen das Urteil zu prüfen. "Der Anwaltsgerichtshof weicht die gesetzliche Pflicht zum Schutz des elektronischen Rechtsverkehrs nach dem Stand der Technik unnötig auf", so Ulf Buermeyer, Vorsitzender der GFF. "Das ist ein Rückschlag für die IT-Sicherheit im Rechtsverkehr und damit auch für die Integrität des Rechtsstaats insgesamt."