Anwaltspostfach weiterhin offline: Noch mehr Sicher­heits­lü­cken, keine Rege­lung der Nut­zungspf­licht

von Pia Lorenz

04.01.2018

Es wird keine Regelung für die passive Nutzungspflicht geben, die die Anwälte nicht erfüllen können, bis das beA wieder online ist. Stattdessen hat das BMJV einige Fragen an die BRAK und IT-Fachmagazine melden weitere Sicherheitslücken.

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) sieht keinen gesetzgeberischen Handlungsbedarf in Bezug auf das besondere elektronische Anwaltspostfach (beA). Das teilte eine Sprecherin des Ministeriums am Donnerstag gegenüber LTO mit. "Das Ministerium ist mit der Bundesrechtsanwaltskammer in Kontakt und drängt darauf, dass das besondere elektronische Anwaltspostfach schnellstmöglich wieder zur Verfügung gestellt wird", hieß es von dort aus weiter.

In einem Schreiben, das LTO vorliegt, fragt das BMJV die Bundesrechtsanwaltskammer (BRAK) nach Verlauf und Ursache der aktuellen Krise und einem Datum für die Wieder-Inbetriebnahme des Systems, aber auch nach dem zukünftigen Krisenmanagement im Fall technischer Störungen des Postfachs.

Das beA war am Tag vor Weihnachten offline geschaltet worden, nachdem die verantwortliche BRAK zunächst eine Sicherheitslücke entdeckt und im Anschluss daran  bei dem Versuch, diese zu beseitigen, mit einem unsicheren Zertifikat noch eine weitere Sicherheitslücke hinzugefügt hatte. Am Tag nach Weihnachten erklärte die BRAK, das System zunächst nicht wieder in Betrieb zu nehmen.

In der Anwaltschaft rumort es seitdem. Auch nach jahrelanger Entwicklungsarbeit steht ein System, das eigentlich am 1. Januar 2016 fertiggestellt sein sollte, nicht zur Verfügung, für das die Anwälte eine Sonderumlage zahlen. Zudem sind sie seit dem 1. Januar 2018 verpflichtet, im beA eingehende Nachrichten gegen sich gelten zu lassen, können diese Verpflichtung aber mangels Zugriffs auf das offline geschaltete System gar nicht erfüllen. Auch die mangelhafte Kommunikation der BRAK, die die Anwälte teilweise falsch, zu spät und scheibchenweise jeweils nur über das informierte, was Medien ohnehin bereits aufgedeckt hatten, führte zu Empörung.

Eine Entschuldigung der BRAK vom Dienstag konnte diese offenbar eher nicht lindern, Anwälte fordern mittlerweile öffentlich, personelle Konsequenzen bei der BRAK aus dem zu ziehen, was die Netzgemeinde das "beAGate" nennt. Nun mehren sich die Anzeichen dafür, dass das Anwaltspostfach noch mehr technische Mängel aufweist, als bisher bereits bekannt wurde.

IT-Fachmagazin: Betreiber der Serverinfrastruktur kann mitlesen

In einer Mail vom Mittwochabend beharrte die BRAK auf Anfrage von LTO darauf, dass die über das beA versendeten Nachrichten verschlüsselt sind: "Es gibt keine Möglichkeit für die BRAK oder einen unserer Dienstleister, Nachrichten zu entschlüsseln." Dem widerspricht nun das IT-Fachmagazin Golem: "Die Idee einer Ende-zu-Ende-Verschlüsselung ist, dass man dem Betreiber der Serverinfrastruktur nicht vertrauen muss. Beim beA hat dieser aber gleich mehrere Möglichkeiten, die Sicherheit des Systems zu kompromittieren und Nachrichten mitzulesen", heißt es in einem am Donnerstagmorgen erschienenen Artikel. 

Das Anwaltspostfach habe eine Funktion, die die gesamte Sicherheit der Ende-zu-Ende-Verschlüsselung aushebele, nämlich die "Umschlüsselung" der Nachrichten auf dem Server. Sie ist notwendig, um einem Vertreter Zugriff auf die Nachrichten geben zu können - und wird von der BRAK als unkritisch angesehen.

Neben der Umschlüsselung gibt es laut Golem aber ein noch viel fundamentaleres Problem: Die Nutzer kommunizieren mit der beA-Anwendung generell über ein Webinterface. Das aber vertrage sich überhaupt nicht mit einer Ende-zu-Ende-Verschlüsselung. Das IT-Magazin resümiert deshalb, es sei offensichtlich, "dass bei der Konstruktion von beA grundlegende Missverständnisse über den Sinn und Zweck einer Ende-zu-Ende-Verschlüsselung vorlagen." Tatsächlich zeichnet sich eine solche gerade dadurch aus, dass nur die Kommunikationspartner, also die jeweiligen Endpunkte der Kommunikation, die Nachricht entschlüsseln können.

Noch mehr Sicherheitslücken – trotz eines Sicherheitsaudits

Das Fachmagazin berichtet von weiteren Sicherheitslücken: Das beA sei anfällig für sogenannte Cross-Site-Scripting-Angriffe, bei denen Angreifer die Adresse der Webseite bei Eingabe im Browser durch schädlichen Code ergänzen. An dieser Lücke sei vor allem bemerkenswert, "wie trivial sie zu finden war." Die Entwicklerfirma habe zudem veraltete Libraries – vorgefertigte Programmcodes für bestimmte Funktionen – benutzt, von denen bereits bekannt ist, dass sie Sicherheitslücken aufweisen. Eine Reihe weiterer kleiner Probleme lassen laut Golem "zumindest Zweifel daran aufkommen, wie ernst man es bei der Entwicklung von beA mit der Sicherheit genommen hat."

Es berichtet auch, dass die BRAK Markus Drenger vom Chaos Computer Club Darmstadt mitgeteilt habe, dass im Jahr 2015 ein Sicherheitsaudit durchgeführt worden sei. Den Audit-Report der – nach Einschätzung des Fachmagazins gut beleumundeten - Firma SEC Consult könne man Drenger, der kurz vor Weihnachten die Sicherheitslücke im beA aufgedeckt hatte, aber nicht zur Verfügung stellen, hieß es demnach von der BRAK; dieser sei ein Geschäftsgeheimnis der Herstellerfirma Atos. Eine bereits vor mehreren Tagen gestellte Anfrage von LTO zu diesem Vorgang ließ die BRAK bislang unbeantwortet.

Ein solche Weigerung würde allerdings zu dem häufig intransparenten Auftreten der BRAK passen, die sich selbst für nicht an das Informationsfreiheitsgesetz (IFG) gebunden hält. Noch Anfang des Jahres 2017 hatte sie – letztlich erfolglos – sogar versucht, gesetzlich festschreiben zu lassen, dass sie keine Auskünfte nach dem IFG erteilen muss. Anders entschied im Juni 2017 das OVG Berlin-Brandenburg: Die BRAK unterliege umfassend der Informationspflicht nach dem Gesetz; eine Berufung ließ das Gericht nicht zu.

Was das BMJV wissen will; und was es nicht tun wird

Zumindest das BMJV wird die BRAK aber informieren müssen. Sie untersteht dessen Rechtsaufsicht. Einige der Fragen, die der Leiter der u.a. für das Berufsrecht der Rechtsanwälte, Patentanwälte und Notare zuständigen Unterabteilung RB in der Abteilung Rechtspflege dem bei der BRAK für das beA zuständigen Vizepräsidenten Dr. Martin Abend schon mit Schreiben vom 29. Dezember stellte, sind zwischenzeitlich bereits beantwortet.

Offen ist weiter, wie die Sicherheitsprobleme gelöst und ob die Systeme auch rückwirkend überprüft werden. Auch ist noch unklar, wann das beA wieder online gehen wird. Laut CCC-Mitglied Drenger ist das nicht in drei bis vier Monaten machbar, BRAK-Präsident Ekkehart Schäfer erklärt bislang nur, dass das beA sicherlich nicht im Januar wieder zur Verfügung stehen werde. Mehr Neues gibt es vielleicht am 9. Januar. Dann will die BRAK bei einer von drei Kammern initiierten außerordentlichen Sitzung der Präsidenten der regionalen Anwaltskammern nach eigenen Angaben über den Sachverhalt aufklären und den Stand der Problemlösung vorstellen.

Interessant wird die Antwort der BRAK auf die Frage aus dem BMJV, wie das Krisenmanagement des beA-Systems bei technischen Störungen organisiert ist. Nach eigenen Angaben will die BRAK neben von Atos beauftragten externen Experten auch eigene externe und unabhängige Expertise einholen. In einer Mail an LTO heißt es, sie befinde sich im Dialog mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber, ob dieses die Begutachtung vornehmen wird oder ob die BRAK mit einem durch das BSI empfohlenen Experten zusammenarbeitet. Primär konzentriere man sich darauf, das beA möglichst schnell und vollständig sicher wieder in Betrieb zu nehmen. "Welche Schritte für ein begleitendes Qualitätsmanagement im laufenden Betrieb erforderlich sein werden, wird die BRAK an gegebener Stelle entscheiden."

Nicht zu hoffen braucht die BRAK offenbar, mit dem BMJV "eine generelle Regelung für die passive Nutzungspflicht für die Dauer bis zur erneuten Freischaltung der beA-Plattform zu finden". Nach Weihnachten hatte die BRAK gegenüber LTO mitgeteilt, dazu das Gespräch mit dem BMJV aufgenommen zu haben, nachdem die Anwälte mangels Zugriff auf das Postfach diese Plicht nicht erfüllen könnten. Das Ministerium, das sich dazu in seinem Schreiben nicht äußert, stellte auf Nachfrage von LTO aber klar, dass es keinen gesetzgeberischen Handlungsbedarf sieht. Seit dem 1. Januar sind alle rund 165.000 Rechts- und Syndikusanwälte in Deutschland nach § 31a Bundesrechtsanwaltsordnung verpflichtet, im beA eingegangene Schriftstücke gegen sich gelten zu lassen.

Zitiervorschlag

Pia Lorenz, Anwaltspostfach weiterhin offline: Noch mehr Sicherheitscken, keine Regelung der Nutzungspflicht . In: Legal Tribune Online, 04.01.2018 , https://www.lto.de/persistent/a_id/26321/ (abgerufen am: 19.01.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 04.01.2018 18:51, tim c werner

    der artikel auf golem.de liest sich so, als müsse das system komplett neu entwickelt werden. ich persönlich rechne nicht damit, dass das beA im laufe des kalenderjahres 2018 betriebsbereit sein wird.

    Auf diesen Kommentar antworten
    • 10.01.2018 11:25, Enrico Weigelt, metux IT consult

      Ja, so ist es auch. Die haben so ziemlich alles falsch gemacht, was man überhaupt falsch machen kann.

      Ich hatte 2013 schon Konzepte vorgelegt, wie man sowas richtig macht.

  • 04.01.2018 19:03, RALL

    "Das Ministerium, das sich dazu in seinem Schreiben nicht äußert, stellte auf Nachfrage von LTO aber klar, dass es keinen gesetzgeberischen Handlungsbedarf sieht. Seit dem 1. Januar sind alle rund 165.000 Rechts- und Syndikusanwälte in Deutschland nach § 31a Bundesrechtsanwaltsordnung verpflichtet, im beA eingegangene Schriftstücke gegen sich gelten zu lassen."

    Die Lesart bedeutet ja, dass man als Anwalt schon mal seine Berufshaftpflicht anrufen sollte.

    Auf diesen Kommentar antworten
    • 05.01.2018 00:37, RAin

      Wieso? Solange es aus ist, kann doch auch nichts eingehen.

    • 05.01.2018 00:54, bergischer Löwe

      @ 05.01.2018 00:37, RAin
      "Wieso? Solange es aus ist, kann doch auch nichts eingehen."

      Wissen Sie es ?

      'Rechtlich' müssen Sie als RAin elektronische Dokumente die zugehen, gegen sich gelten.

      'Tatsächlich' vertrauen Sie auf die Aussagen der BRAK.

    • 05.01.2018 07:58, RALL

      @RAin: Was meint "aus"? Nur, weil ihr Web-Client keine Verbindung herstellen kann, heißt das doch nicht, das die dahinterstehende EGVP-Infrastruktur aus ist. Ganz im Gegenteil. beN und beBPo erfreuen sich reger Gesundheit. Letzteres ist auch zum 01.01.18 aktiv geschaltet worden. Sie als RAin können nun nur nicht auf ihr Postfach zugreifen.

      Oder sind Sie auch der Meinung, dass durch ein Abbauen des Briefkastens an Ihrer Kanzlei, Sie sich Zustellungen entziehen können? Der Gesetzgeber und die st. Rspr. haben für den Fall der Zugangsvereitelung eigentlich eine klare Haltung.

    • 05.01.2018 08:06, RALL

      @RAin: Der Justiz ist völlig egal, ob die BRAK die SAFE-ID nicht mehr herausgibt, indem das BRAV deaktiviert wurde. Wurde die SAFE-ID vorher durch die Behörde ausgelesen und gespeichert (war ja monatelang möglich) haut die Behorde das Schreiben über die EGVP-Infrastruktur raus. Das beA ist ja im Wesentlichen nur ihr WebClient um die Nachrichten zu lesen (oder abzuholen, wie es im EGVP-Sprachduktus heißt). Wenn ihr Webclient (beA) nicht klappt, ist das Problem an Ihrem Ende.

      Siehe dir Doku zum beBPo: http://www.egvp.de/behoerdenpostfach/funktionsweise_beBPo.jpg

    • 05.01.2018 08:12, RALL

      @RAin: Andersherum wird nämlich ein Schuh draus: Dass die BRAK das BRAV online genommen hat führt dazu, dass Sie sich nicht mehr ggü. Dritten (Behörden, Gerichten) aktiv legitimieren können. Daneben ist auch europaweit nun die RA-Recherche für alle deutschen RA offline. Im EU-Ausland können Sie sich also derzeit nicht mehr papierlos als zugelassener RA legitimieren.

      Hier der Text zur SAFE-ID von Behörden (für die Anwälte übernimmt die BRAK ja die SAFE-ID-Einrichtung und Bereitstellung über das BRAV):

      "Zur Identifizierung der Nutzer (beispielsweise Behörden) ist bei EGVP der Verzeichnisdienst SAFE eingerichtet, der ebenfalls eine Anwendung des IT-Planungsrates darstellt. Über SAFE können elektronische Identitäten (eIDs) registriert werden. Damit kann die Identität einer Behörde als solche („ich bin das Finanzamt Stuttgart", „hier sendet die Gemeindeverwaltung Westerheim") hinterlegt werden. Bei dieser sogenannten gesicherten Registrierung erfolgt nach Eingabe der Nutzerdaten eine Bestätigung durch einen Identitätsadministrator. Dann kann die Behörde ihre SAFE-Rolle wirksam einnehmen und sich mit ihrer individuellen SAFE-ID als korrekten Empfänger und Sender von EGVP-Nachrichten gegenüber Dritten authentifizieren. Darüber hinaus kann sich eine Behörde mit ihrer individuellen SAFE-ID beispielsweise auch gegenüber dem Akteneinsichtsportal, dem zentralen Testamentsregister oder dem Vollstreckungsportal wirksam und rechtsverbindlich als Berechtigte authentifizieren.

      Das SAFE-Konzept fußt auf dem Prinzip des gegenseitigen Vertrauens zwischen den verschiedenen SAFE-Domainen und den Anwendungen (Trusted Domains). Daher werden die Identitäten immer von demjenigen freigeschaltet und verwaltet, in dessen Verantwortungsbereich dies kraft seiner originären Zuständigkeit fällt. Dementsprechend werden die Rechtsanwälte beispielsweise von der Bundesrechtsanwaltskammer verwaltet, da die BRAK aufgrund berufsrechtlicher Regelungen Herrin über die Zulassung von Anwälten ist. Folge und Vorteil dieses Prinzips ist, dass eine einmalige gründliche Registrierung genügt, um sich dann im täglichen Rechtsverkehr gegenüber allen im geschlossenen Nutzerkreis befindlichen Beteiligten als Berechtigter ausweisen zu können. Mit anderen Worten: Einmal registriert, immer akzeptiert!"

      Daraus wird auch deutlich, dass die Abschaltung des BRAV (Rechtsanwaltsregister) eigentlich noch ein viel größeres Problem ist, als bisher kommuniziert.

    • 05.01.2018 08:19, RALL

      @RAIn:

      "In seiner neuen Fassung verpflichtet § 174 Abs. 3 ZPO die Zustellungsempfänger, einen sicheren (elektronischen) Übermittlungsweg gem. § 130a Abs. 4 ZPO (gleichlautend mit § 55a Abs. 4 VwGO, § 46c Abs. 4 ArbGG, § 65a Abs. 4 SGG und § 52a Abs. 4 FGO; jeweils in der ab 1. Januar 2018 geltenden Fassung) zu eröffnen.

      Um die in § 174 Abs. 4 ZPO n.F. vorgesehene Übermittlung eines strukturierten Datensatzes durch die Behörden sowie Körperschaften und Anstalten des öffentlichen Rechts zu ermöglichen, werden die Gerichte den hierzu erforderlichen Datensatz elektronisch über einen sicheren Übermittlungsweg zur Verfügung stellen. Für die Behörden sowie juristischen Personen des öffentlichen Rechts bedeutet dies, dass sie ab dem 1. Januar 2018 in der Lage sein müssen, elektronische Empfangsbekenntnisse formgerecht anzunehmen sowie an die Gerichte zu übermitteln."

      Das ist der Text für das beBPo. Es liegt also klar in der Sphäre des Empfängers, ob er den Zugang herstellt oder nicht (vereitelt). Die Zustellungen von Gericht kommen dennoch.

  • 04.01.2018 19:34, GrafLukas

    Eine Frage, die mir nicht klar ist: Können denn überhaupt Nachrichten im beA eingehen, solange es komplett offline ist? Wie soll das denn gehen?

    Ansonsten gilt wohl der Unmöglichkeitseinwand. Von daher denke ich auch, dass hier keine Sonderregeln erlassen werden müssen.

    Oberpeinlich und ärgerlich, das Ganze. Da kann man nur hoffen, dass die BRAK einen guten Anwalt kennt, aber daran muss ja gezweifelt werden. Ich habe keine Lust, schon wieder eine Sonderumlage für die Neuprogrammierung des beA aufzubringen, und das kann sich die BRAK auch denken, dass sie damit diesmal wirklich einen Proteststurm entfesseln würde...

    Auf diesen Kommentar antworten
    • 04.01.2018 20:42, NotR

      Selbst wenn die Nachrichten (Zustellungen) nicht eingehen können: Gesetzlich hat die Anwaltschaft die Pflicht Zustellungen ab dem 01.01.2018 auf dem Wege zu empfangen.

      Sie können ja auch nicht den Briefkasten an der Kanzlei abbauen und dann sagen: Jetzt gibts halt keine Zustellung mehr und ich bin fein raus.

      Die BRAK ist ja nur ein Konsortium, Träger des beA ist die gesamte Anwaltschaft. Und diese wird vom Gesetzgeber verpflichtet.

    • 04.01.2018 22:31, Mas

      Nachrichten gehen zZt nicht ein, da auch die Verzeichnisdienste offline sind. Dort sind die SAFE-ID hinterlegt über die die Rechtsanwälte und Rechtsanwältinnen zu erreichen sind.

    • 04.01.2018 22:57, NotR

      Die SAFE-ID konnten Sie aber vorher auslesen und speichern. So macht das bspw. RA-Micro. Das greift nicht jedes mal vor Versenden auf das BRAV zu und liest die SAFE-ID aus, sondern man speichert die SAFE-ID einmalig und dann wird die lokal verwendet.

    • 04.01.2018 22:59, NotR

      Hier ein Screenshot aus RA-Micro: https://onlinehilfen.ra-micro.de/images/0/0b/3_bea_adressfenster.png (Nicht dass jemand denkt, ich denke mir das nur aus)

    • 05.01.2018 01:00, bergischer Löwe

      siehe auch:
      https://de.wikipedia.org/wiki/Zugangsvereitelung
      "Im Ausgangspunkt wird der Zugang einer Willenserklärung fingiert, wenn der Empfänger mit einer Willenserklärung rechnen musste, ein Zugang aber aus Gründen in der Sphäre des Empfängers scheitert und der Erklärende alles Erforderliche und Zumutbare unternimmt, um den Zugang zu erreichen, oder ein erneuter Zugangsversuch ausnahmsweise in den Fällen der Annahmeverweigerung beziehungsweise arglistiger Zugangsvereitelung nicht notwendig ist."

  • 04.01.2018 19:43, Jörg Thomas

    Der CCC hat ja ebenfalls von mindestens drei Sicherheitslücken berichtet, von denen bisher kaum die Rede ist. Wenn man nun das System sowieso neu programmieren muss, halte ich es für dringend erforderlich, die veraltete Java Anbindung sein zu lassen. Auch dies erscheint schon wieder eine Sicherheitslücke für sich zu sein und die Tatsache, dass das beA nicht unter Windows 10-Edge läuft, die Schnittstelle nicht getestet und die Anbindung selber mehr als holprig ist, trägt auch nicht dazu bei, hier ein modernes und sicheres System zu erwarten. Hier wurden offensichtlich Millionen in ein untaugliches und die Arbeit des Anwalts erschwerendes System verschwendet.

    Auf diesen Kommentar antworten
  • 04.01.2018 19:59, M

    Warum hat man sich seitens der BRAK denn eigentlich nicht bezüglich der technischen Details an die Lösung der Notare gehalten - ich dachte, deren System sei so einwandfrei und sicher... Oder etwa doch nicht (Trommelwirbel -> Skandal)? Fände es interessant, wenn sich jemand mit fortgeschrittenen Informatikkenntnissen das Notar-System mal ansehen würde ;-)

    Auf diesen Kommentar antworten
    • 04.01.2018 20:30, NotR

      "beN" ist eine völlig unabhängige Entwicklung. Schauen Sie sich doch die Doku der NotarNet GmbH dazu an.

  • 04.01.2018 21:35, Bürger1

    Dass das Bundesjustizministerium jetzt der BRAK auf den Zahn fühlen muss, ist eigentlich schon eine Bankrotterklärung der Selbstverwaltung der Anwaltschaft.

    Auf diesen Kommentar antworten
  • 04.01.2018 21:56, JK

    Schon überlegt eine Parallele zum PIN bei einer Kreditkarte zu ziehen? Ich meine, dass dort im Rahmen des Betruges bereits eine Vermögensgefährdung durch die Erlangung des PIN's angenommen wird.
    Denkbar: Durch das Hacken und Erlangen des privaten Schlüssels einen Computerbetrug?
    Mir erschließt sich jetzt aus Ihrem Beitrag ehrlich gesagt auch nicht, warum der private Schlüssel oder zumindest der (legitime) Zugriff auf den jeweiligen Bitcoin kein immaterielles Recht im Sinne des §823 darstellen soll.

    Auf diesen Kommentar antworten
  • 05.01.2018 00:14, Schlechte Besoldung

    Ekkehard soll endlich zurücktreten. Dieser aufgeplusterte Anfänger!!

    Auf diesen Kommentar antworten
  • 05.01.2018 00:42, bergischer Löwe

    siehe ergänzend bei Beck:
    http://rsw.beck.de/cms/?toc=njw.root&docid=400333

    Auf diesen Kommentar antworten
  • 05.01.2018 01:36, Fritz

    Wofuer brauchen wir bei Daten noch in zentrales Postfach? Wir brauchen hoechstens ein zentrales "Telephonbuch".

    Auf diesen Kommentar antworten
  • 05.01.2018 06:23, M.D.

    Ich werde mich mit dem Thema beschäftigen, wenn das Ding funktioniert. Bis dahin liegt der Krempel bei mir auf dem Tisch. Gespannt bin ich jedoch auf den nächsten Beitragsbescheid der RAK. Dort werde ich ggf. einen Abzug vornehmen.

    Auf diesen Kommentar antworten
  • 05.01.2018 08:03, Rainer Breitrück, Rechtsanwalt

    Als technischer Depp möchte ich gerne mal wissen, wozu wir beA eigentlich brauchen . Bürger dürfen per DE-Mail mit Gerichten und Behörden kommunizieren, Anwälte konnten EVGP oder zugelassene Drittprodukte nutzen, Notare haben beN,, fürs Finanzamt haben wir ELSTER und alles funktioniert. Wozu muss dann etwas Neues erfunden werden. Will sich jemand ein Denkmal setzen oder ist irgendwer an Atos beteiligt ? Ich wäre für eine leicht verständliche Antwort dankbar.

    Auf diesen Kommentar antworten
    • 05.01.2018 08:27, Kalle

      beA ist EGVP nur ohne qualifizierte Signatur, denn die Identifizierung hat die lokale Kammer bereits vorgenommen. Das beA gilt per se als sicherer Übertragungsweg, das alte EGVP-Bürgerpostfach nicht.

      Eine rechtsverbindliche Gerichtskommunikation über eine gewöhnliche eMail-Adresse ist rechtlich äußerst fragwürdig. Dies gilt auch, wenn in der eMail zugleich eine qualifiziert elektronische Signatur (qeS) verwendet wird. Denn die qeS gewährleistet zwar die Authentizität und Identität des Absenders, schützt aber nicht den Inhalt der Nachricht beispielsweise vor Fehlleitung. Die sensiblen inhaltlichen Informationen einer Klage sind also nur insoweit geschützt wie sie in der Papierwelt bei Klageerhebung auf einer simplen offenen Postkarte geschützt wären; mithin gar nicht.

      De-Mail setzt wiederum eine zusätzliche Identifizierung voraus und kostet pro Versand/Empfang und muss zwangsläufig über eine Infrastruktur von Dritten (Unternehmen) genutzt werden. Das ist beim beA nicht der Fall.

      ELSTER dient der Kommunikation mit den Finanzbehörden für unbeschränkt und beschränkt Steuerpflichtige. Das ist also nicht auf eine gesetzlich geschützte Tätigkeit der Rechtsanwälte beschränkt.

    • 05.01.2018 08:37, Theo

      Weil es gesetzlich vorgeschrieben ist.
      Ansonsten haben Sie komplett Recht. Es gäbe auch einfachere, kostengünstigere und in Praxis erprobte Alternativen als das beA (einige haben Sie ja schon genannt).

    • 05.01.2018 08:40, Kalle

      Das EGVP-Bürgerpostfach kann nicht mehr verwendet werden, denn es erstellt eine Containersignatur, die ist aber seit dem 1.1.18 nicht mehr zulässig (§4 Abs. 2 ERV-RVO). Wenn Sie bein beA nutzen wollen, benötigen Sie also eine Drittsoftware, die die Nachricht und den Anhang rechtlich zulässig und sicher signiert. Der Aufwand fällt beim beA weg.

    • 05.01.2018 08:43, Kalle

      Förmliche Zustellungen in ein De-Mail – Postfach sind gem. § 174 Abs. 3, 4 ZPO gegen elektronisches Empfangsbekenntnis möglich. Im Gegensatz zum beA-Webclient oder dem Governikus Communicator verfügen aber die Webclients der De-Mail anbieten nicht über eine solche Funktion. Entsprechend muss hierfür eine andere Software eingesetzt werden.

    • 05.01.2018 10:50, Kalle

      Zustellungen von Anwalt zu Anwalt nach § 195 ZPO sind weder über EGVP-Bürgerclient, De-Mail, ELSTER möglich. Das geht nur über das beA.

    • 05.01.2018 11:48, bergischer Löwe

      Wobei dann wieder eine Zustellung von Anwalt zu Anwalt gegen (hier nun) elektronisches Empfangsbekenntnis 59 b II 8 BRAO, § 14 BORA erfolgen kann.

    • 05.01.2018 12:47, Kalle

      Ja, aber De-Mail verfügt nicht über eine Funktion das EB anzunehmen und zurückzusenden. Da müsste man dann auf eine externe Software zurückgreifen, die das können muss.

  • 05.01.2018 08:40, Theo

    "Eine rechtsverbindliche Gerichtskommunikation über eine gewöhnliche eMail-Adresse ist rechtlich äußerst fragwürdig."

    Könnte man aber als Basistechnologie verwenden, angereichert z.B. mit einer PGP-Verschlüsselung (oder darauf aufbauend). Die öffentlichen PGP-Schlüssel könnte man z.B. zentral bei der BRAK verwalten, so dass eine Fälschung extrem unwahrscheinlich wird. Aber das wäre nur eine Idee.

    Auf diesen Kommentar antworten
    • 05.01.2018 08:46, Kalle

      Das wird ja so durch die SAFE-ID und das BRAV umgesetzt.

      Das beA setzt ja auf eine bekannte und bewährte Technologie auf: EGVP.

      Problematisch ist ja nur, wie die Realisierung des Zugriffes auf das Postfach bzw. die innerhalb des beA funktionierende Zustellung erfolgt. Das EGVP bietet bspw. eine echte E2EE. Die BRAK hat diese E2EE innerhalb des beA nur aufgebrochen durch das HSM.

    • 05.01.2018 08:49, Kalle

      Durch PGP haben Sie aber nicht sichergestellt, dass die E-Mail mit PGP-Signatur nicht fehlgeleitet wird, da sie über das normale Internet läuft und über freie Mailserver weitergeleitet wird.

    • 05.01.2018 10:11, Fritz

      Freie Mailserver ein Problem? Betrunkene Brieftraeger waren es auch noch nie. Gesetze werden zunehmend obsolet, aber: "Wir schaffen das".

    • 05.01.2018 10:31, Kalle

      @Fritz: Folge ich Ihrer Ansicht, dann sollten wir wieder zu dem Steinmeißeln zurück, alles andere ist ja Hokus-Pokus. Aber: Gerade weil bisherige Zustellungen mitunter fehleranfällig waren, sollen diese ja nunmehr über eine gesicherte Verbindung erfolgen. Es ist nur die BRAK und ihr Dienstleister, die den Zugang nicht ermöglichen. Im beN und beBPo funktioniert das wunderbar - die Notare kommunizieren seit Jahren elektronisch über eine sichere Infrastruktur.

    • 08.01.2018 10:30, Fritz

      Das meine ich natuerlich nicht. Ich glaube nur nicht an die Idee eines zentralen Postfachs, das auch noch dem Vertreter, hmm, offenstehen soll. Ich will ein einfache PGP-mail vom Anwalt direkt an das Gericht und so weiter.

    • 09.01.2018 10:59, Ullrich

      @Fritz: Dann können Sie aber nur den Einzelanwalt beauftragen. Der darf dan kein Sekretariat oder Kollegen haben.

  • 05.01.2018 08:54, Beitragszahler

    Wenn das beA erst in x Monaten wieder online ist, wieso muss man dann jetzt schon Gebühren für die beA Karte bezahlen? Dabei handelt es sich schließlich um ein Jahresabo, d.h. man zahlt für einen festen Zeitraum. Viele Anwälte haben sich die Karte bereits 2017 schon angeschafft und zahlen daher aktuell schon für eine Karte, die man nicht nutzen kann!

    Die Sonderumlage ist eine andere Geschichte. Wenn das beA irgendwann läuft, war dieser wenigstens nicht umsonst...

    Auf diesen Kommentar antworten
    • 05.01.2018 09:19, Kalle

      Welche bea-Karte haben Sie? Die Signaturkarte? Dann können Sie diese Signatur auch ohne beA nutzen.

      Wenn Sie die bea-Karte haben: Das sind die Kosten für die jährliche Nutzung. Die Umlage war mE nur für die Entwicklungskosten gedacht.

    • 05.01.2018 11:52, Beitragszahler

      Ich habe die Basiskarte.

      Die Kosten für die jährliche Nutzung laufen bei mir seit Mitte Dez. Allerdings kann ich die Karte jetzt nicht für das beA nutzen. Da das beA wohl noch länger ausfällt, finde ich es daneben, wenn ich trotzdem für die Karte zahlen soll. Gibt es da von der BRAK oder der BNotK (die hat die Karte ja geliefert) schon eine einheitliche Aussage, die Anwälte diesbezüglich schadlos zu halten? Eine automatische, freiwillige Erstattung der Kosten (Basiskarte 10 Cent pro Tag) halte ich für Selbstverständlich.

    • 05.01.2018 12:50, Kalle

      Dann haben Sie immerhin eine gültige Rechnung für die Karte bekommen? Das funktionierte bei anderen nämlich teilweise nicht.

    • 05.01.2018 13:41, Beitragszahler

      Rechnung habe ich. Der Betrag wurde bei mir auch nachdem das beA offline ging abgebucht. Das hat vor dem Hintergrund der gesamten Umstände zumindest ein Geschmäckle.

    • 05.01.2018 13:44, Kalle

      Da bin ich bei Ihnen. Haben Sie direkt bei der BRAK oder der lokalen RAK mal nachgefragt? Für solche Anliegen ist ja eig. ihre RAK zuständig, die das der BRAK ggü. kommunizieren muss.

  • 05.01.2018 09:31, Tony Stark

    schon die alten Römer wussten: was niemand möglich ist, verpflichtet auch niemand. Die gesetzliche passive Nutzungspflicht mag also auf dem Papier stehen, aber da sie - und zwar (anders als bei den Zugangsvereitelungsfällen - von niemand erfüllt werden kann (System ist ja OFF), sind die Adressaten dieser Pflicht von dieser Pflicht frei. Im Zivilrecht "Unmöglichkeit". Und keiner kann wohl behaupten, dass hier ein Verschulden in der Sphäre der Adressaten vorliegt, oder?

    Auf diesen Kommentar antworten
    • 05.01.2018 11:15, Kalle

      Kein Verschulden des Adressaten? Die BRAK (Anwaltschaft) hat das beA selbst offline genommen. Da gab es keine Rücksprache mit der Exekutive (BMJ als Rechtsaufsicht) oder der Legislative. Der zum Empfang Verpflichtete bzw. sein selbst gewählter Vertreter (RAK -> BRAK) hat das beA offline gestellt.

    • 05.01.2018 11:51, bergischer Löwe

      Um es deutlich zu sagen:
      das Handeln der BRAK, RAK ist jedem einzelnen Anwalt zuzurechnen !

  • 05.01.2018 09:49, Green Arrow

    Richtig!
    Die für eine sichere Ende-zu-Ende Verschlüsselung nötigen Technologien sind schon seit Jahrzehnten vorhanden und ausgereift (PGP/SMIME). Die praktische Schwierigkeiten (insb. bei PGP) ergeben sich daraus, an den öffentlichen Schlüssel des Adressaten zu kommen (nämlich so, dass man sicher weiß, dass es der des Adressaten ist und nicht eines Man-in-the-Middle, der sich nur dafür ausgibt). Das wäre aber (und bei SMIME ist es das über die zentrale Signaturstellen) auch für PGP leicht lösbar, wenn BRAK oder BNOTK o.ä. die Schlüssel signieren. Dann brauche ich nur (sichere Zuordnung auch hier) den öffentlichen Schlüssel dieser Stelle und presto, Problem gelöst.
    Auch Vertretungen usw. kein Problem, da ich dafür einfach (auch automatisch) diese auf cc (oder bcc) setzen kann; dann wird der Session key auch mit den öffentlichen Schlüsseln dieser Vertreter verschlüsselt. Umschlüsseln (also nachträglich andere Adressaten hinzufügen oder bisherige entfernen) geht natürlich dann natürlich nicht durch die BRAK, sondern nur durch einen, der die Nachricht entschlüsseln kann (also einer der Adressaten und ggf. auch der Absender).
    Aber das würde ja heißen, dass man wirkliche Sicherheit will. Aber wie man jetzt aus den Enthüllungen schließen kann und weswegen es ja auch den gesetzlichen Zwang zur passiven Nutzung gibt, ging und geht es darum gar nicht, sondern war das nur ein Vorwand (bzw. ggf. sogar eine Lüge). Tatsächlich geht es um den Zugangsnachweis für den Absender. Der ist von irgendeiner Verschlüsselung unabhängig.
    Aber auch dafür braucht es keine Web-Clients und was das beA sonst noch als Rad neu erfinden darstellt. Denn dafür würde ein reguläres (bspw. IMAP) Postfach ausreichen (üblicherweise transportverschlüsselt auf dem Verbindungsweg). Da Nachrichten zwischen diesen IMAP Postfächern nicht über das Internet laufen müssen, ist es leicht einzurichten, zu dokumentieren, wann es eine Nachricht übertragen und in das Adressaten-Postfach eingestellt wurde. Simpel.
    Damit könnte das ganz normal mit jedem e-mail client - wie bisher - genutzt werden. Wenn gewollt plus echter ende-zu-ende Verschlüsselung. Auch mobil, kein Problem (wenn man das Risiko eingehen will, sein privaten Schlüssel auf das eher unsichere Mobilgerät zu übertragen, sonst eben nur fürs versenden).
    Schlüsselgenerierung könnte so auch BEIM NUTZER erfolgen, der für die Signatur durch BRAK oder wen auch immer, NIE den privaten Schlüssel rausrücken müsste. Und außer für den Betrieb des IMAP Servers fielen auch keine laufenden Kosten (wie für die beA Karte an), da die Zertifizierung des eigenen öffentlichen Schlüssels eine einmalige Sache ist.

    Aber hey, warum einfach wenn es auch teuer und kompliziert geht?

    Auf diesen Kommentar antworten
    • 05.01.2018 10:13, Fritz

      Weil wir so wichtig und so schoen sind und uns fuer Technik noch nie interessiert haben. Das macht unsere Sekretaerin.

    • 05.01.2018 10:17, Fritz

      "Tatsächlich geht es um den Zugangsnachweis für den Absender. Der ist von irgendeiner Verschlüsselung unabhängig." Thats it. Eher weniger Freiheit.

    • 05.01.2018 10:19, Michael Beurskens

      Was ist, wenn der Adressat (Anwalt) stirbt oder ins Koma fällt? Nicht jede Nachricht (von Gerichten oder Behörden) hat immer CC genutzt. So könnten künftig wichtige Dokumente (Urteile, Verwaltungsakte) ins nichts gehen. E2E ist hier sehr schwierig zu praktizieren, wenn der Schlüssel nicht hinterlegt wird.

  • 05.01.2018 12:41, Stark

    "Der zum Empfang Verpflichtete bzw. sein selbst gewählter Vertreter (RAK -> BRAK) ..." und
    "Um es deutlich zu sagen:
    das Handeln der BRAK, RAK ist jedem einzelnen Anwalt zuzurechnen !"

    I beg to differ. Die BRAK ist mitnichten der "selbst gewählte Vertreter" des Anwalts. Ganz im Gegenteil, denn freiwillig ist da ja nun mal gar nichts, denn das die Mitgliedschaft (in der lokalen RAK) ist gesetzliche Pflicht, keine freie Wahl. Woraus also eine Zurechnung des Verschuldens der BRAK auf den einzelnen Anwalt folgen soll, erschließt sich mir daher nicht. § 278 BGB sehe ich jedenfalls schon mal nicht einschlägig.

    Aber die BRAK kann diese Frage ja auch überflüssig machen, indem - wovon ich faktisch schon jetzt ausgehe - sie bekannt gibt, dass nicht nur der ZUGANG zum beA, sondern auch die Postfächer selber OFF sind. Denn dann kann nichts zugehen.
    Ob damit die BRAK gegen die IHRE gesetzliche Verpflichtung verstößt ein beA für jeden Anwalt empfangsbereit zu halten ist eine andere Frage. Die mag sie dann mit dem BMJ ausfechten.

    Auf diesen Kommentar antworten
    • 05.01.2018 12:55, Kalle

      Natürlich ist die BRAK mittelbar der selbst gewählte Vertreter. Die Wählen in der Mitgliederversammlung den Vorstand und der das Präsidium der RAK. Die BRAK wiederum setzt sich aus den Kammern zusammen.

      Dass es die BRAK de-jure gibt ist nur dem Umstand geschuldet, dass es eine föderale Selbstverwaltung gibt. Wer das nicht möchte, der darf eben kein Anwalt (in Deutschland) werden. Sie können ja notfalls auch eine Zulassung in einem EU-Ausland beantragen und dann in Deutschland als EU-Anwalt tätig werden.

  • 05.01.2018 12:48, Stark

    "Was ist, wenn der Adressat (Anwalt) stirbt oder ins Koma fällt? Nicht jede Nachricht (von Gerichten oder Behörden) hat immer CC genutzt. So könnten künftig wichtige Dokumente (Urteile, Verwaltungsakte) ins nichts gehen. E2E ist hier sehr schwierig zu praktizieren, wenn der Schlüssel nicht hinterlegt wird."

    Tja, das mag sein. Aber das zeigt nur wieder, dass die tolle Behauptung der E2E Verschlüsselung eben - nun ja - gelogen (?) war und ist und die angebliche tolle Sicherheit nur ein Vorwand war und ist. Letztlich ginge es eben um den Zwang, dem Absender einen - bislang nur via (teurem) Gerichtsvollzieher - leicht beweisbaren Zugangsnachweis zu ermöglichen. Und so etwas nur ein Trottel für die Gegenseite einrichtet und auch noch bezahlt (weswegen hat sich De-Mail denn nicht durchgesetzt?), musste es per Zwang verordnet werden.

    Wobei: auch das Problem ließe sich lösen, indem (Metadaten sind ja trotz E2E unverschlüsselt) in diesem Fall die Absender informiert werden und dann neu versenden müssen. Die rechtlichen Konsequenzen für Fristen usw. müssten dann natürlich ggf. rechtlich eingefangen werden (aber das sollten die Rechtskundigen ja hinbekommen, denn das wäre dann mal ausnahmsweise die Kernkompetenz, anders als bei den IT-Fragen).

    Auf diesen Kommentar antworten
    • 05.01.2018 13:01, ExJur

      Man darf aber mal festhalten, dass das ganze System durch Informatiker verhunzt wurde. Da hat kein Jurist programmiert. Wenn nicht einmal Informatiker ihre eigene Sphäre im Griff haben - muss also der Jurist durch Fristheilung nachhelfen. So sieht es doch aus.

    • 05.01.2018 13:36, martin

      @Exjur: Ihr Beitrag betrachtet nicht, wer die Vorgaben erteilt hat. Wenn der Bauherr vom Maurer eine schiefe Wand haben will und die Tür dann nicht passt - ist daran der Maurer Schuld? Und nein, ich bin kein Informatiker ....

      Aber genau hier liegt ja ein gravierender Kritikpunkt am (Nicht-) Handeln der BRAK: Keinerlei Transparenz. Keine Ausschreibung sondern freihändige Vergabe. Keine Auskunft nach IFG. In meinen Augen sind das starke Indizien dafür, dass hier die Vorgaben der BRAK falsch waren.

      Ob das den Dienstleister besser macht? Zugegeben: Ab einem bestimmten Punkt wäre es der Reputation eines seriösen Unternehmens zuträglicher, den Auftrag zurück zu geben. Aber es geht um eine Menge Geld ....

      Dennoch: Security by obscurity hat in der Vergangenheit allerhöchstens kurzfristig funktioniert. Doch nicht alle Menschen sind bereit, aus den Fehlern der Vergangenheit zu lernen.

    • 05.01.2018 13:48, ExJur

      Das System wurde doch von Informatikern 2015 schon als technisch einwandfrei zertifiziert. Wenn der Informatiker da technische Bedenken gehabt hätte, dann hätte er diese ja äußern können, er wurde ja gerade nach Bedenken gefragt.

      Natürlich gibt die BRAK eine Vorgabe, das ist bei einem Werkvertrag üblich. Ob jetzt allerdings hier oder da die Umsetzung durch diese oder jene technische Eigenschaft umgesetzt wird, ist Aufgabe des Werkunternehmers. Wenn das technisch unsauber ist (nicht lege artis), dann hat er das zu kommunizieren.

      Sie können in D auch nicht einem Architekten sagen: Bau das so und das verstößt dann gegen grundlegende statische Eigenschaften. Das baut er dann nicht, weil er haften würde. Ganz einfach. Oder gilt bei Informatikern kein lege artis und der Informatikerberuf ist mehr ein Frickeltagewerk ohne Kodex?

    • 05.01.2018 15:21, martin

      @ExJur: Wenn ein Bug zu einem Feature erklärt wird, der Auftraggeber das akzeptiert, dann ist der Auftragnehmer aus der Haftung raus.

      Und in Sachen "Zertifizierung": Ist irgendwo veröffentlicht, wer das beA wann nach welchen Regeln auf welche Testfälle geprüft hat? Das wurde meines Wissens bei Nachfragen alles zu "Geschäftsgeheimnis" klassifiziert.

      Der Hauptunterschied zum Baurecht liegt m.E. darin, dass der Bauherr auch die Genehmigungsbehörde ist. Und das Problem scheint zu sein: Es wurde angeblich sogar ein Prüfstatiker für das Ingenieurbauwerk "beA" hinzu gezogen - aber weder die Prüfkriterien noch sein Gutachten sind einsehbar.

    • 05.01.2018 16:14, Neunmalklug

      Es gab mehr als einen IT'ler (um nicht das Wort Informatiker zu benutzen) der nicht zu Atos, sondern zu einem der Software-Hersteller für Kanzleisoftware gehört, der die diversen Probleme, u. a. die nicht-E2E-Verschlüsselung bei der BRAK als höchst kritisch angesprochen hat. Das Ergebnis war immer das gleiche, diese Kritiker wurden niedergemacht, ihre Kritikpunkte wurden nicht zur Kenntnis genommen.
      Schauen Sie mal in die Wikipedia, da steht diese E2E-Problematik nämlich schon sehr lange drin.
      Irgendwie müssen sich die RAe auch ein Stück weit an die eigene Nase fassen, wenn die Techies schon seit Jahren warnen und das Geschrei erst dann losgeht, wenn das Kind in den Brunnen gefallen ist.

  • 05.01.2018 13:10, Andreas Rühl

    Der Irrsinn kennt keine Grenzen mehr. Zugangsvereitelung, ich fasse mir an den Kopf. Er glüht ohnehin schon, also bitte. Idiotie allerorten. Bin mal gespannt, was eine Spezialist für Berufshaftungsrecht dazu sagt. Offenbar soll nun im Bereich des beA eine verschuldensunabhängige Haftung eingeführt werden: Erst die Zwangsabgabe, dann der Benutzungszwang, dann - sozusagen als Kirsch obendrauf - auch noch die Haftung dafür, dass die BRAK es nicht geschafft hat, ein funktionierendes System auf die Reihe zu kriegen. Gewiss. Wer auf der Straße läuft und es fällt ihm ein Blumentopf auf den Kopf, hat auch kausal zum Schaden beigetragen. Wäre er mal nicht Anwalt geworden, dann würde er jetzt auch nicht die Pflicht verletzen, auf etwas zuzugreifen, auf das nicht zuzugreifen ist. Klar. ;-)

    Auf diesen Kommentar antworten
    • 05.01.2018 13:54, Postmeister

      Sie gehen also davon aus, dass wenn Sie eine Kanzlei betreiben und die Verpflichtung haben einen Briefkasten zu besitzen ( Zustellung ) und Sie den Kauf / die Wartung an die ReFa übertragen und diese den Briefkasten einfach nicht aufstellt, Ihnen diese Zugangsvereitelung ihres Erfüllungsgehilfen nicht zugerechnet wird ?

      Und die Handlung eines Erfüllungsgehilfen wird einem nicht mehr zugerechnet, auch wenn man vorher ausreichend über seine Fehlleistungen informiert wurde ( beA-Präsentationen : HSM e.t.c.) und nie über die lokale RAK Informationen angefordert hat, weil es einen nicht interessiert hat ?

      Na dann greift die Sekretärinnenausrede doch? Ist ja super !

    • 05.01.2018 14:02, Technikker

      Ok! Ich habe mit der Bank vereinbart, daß sie mir ein Konto einrichtet, damit ich davon Geld per Lastschrift zahlen kann. So. Das Konto geht erst kurzzeitig, ich überweise Geld. Dann schaltet die Bank das Konto ab, weil es technische Probleme macht. Mein Vertragspartner kann nun den Lastschrifteinzug nicht durchführen. Es entstehen bei ihm Kosten, die er mir in Rechnung stellen will.

      Dann kann der Vertragspartner von mir nicht seine Kosten bekommen, weil mein Vertragspartner (Bank) nicht leistete ? Cool! Und ich kann natürlich auch nicht die Bank in Haftung nehmen. Warum auch? Ist ja ein technisches Problem!

      Das macht Haftungsfälle ja recht simpel. Genial!

  • 05.01.2018 13:52, martin

    Einige Kommentare übersehen, dass das beA nicht nur aus dem Web-Client zum Zugang besteht.

    Aufgrund der "Totalabschaltung" wird ein ZustellVERSUCH an ein beA-Postfach mit einer Fehlermeldung ABGEBROCHEN.

    Es ist also seit der Abschaltung nicht so, dass gerichtliche Nachrichten im Briefkasten schlummern und der Empfänger kommt nicht an den Schlüssel heran. Um im Bild zu bleiben: Der Briefträger stellt fest, dass es die Adresse nicht gibt und daher kommt der Brief als unzustellbar zurück.

    Problematisch sind allerdings die Nachrichten, die vor der Abschaltung zugegangen sind. Allerdings ersetzt der technische Nachweis bei der Kommunikation Gericht -> RA nicht das EB. Von daher kann ich aktuell DIESEN Teil der Aufregung nicht nachvollziehen. Oder was habe ich übersehen?

    Zur Vermeidung von Missverständnissen: Ich halte das Verhalten der BRAK im beA-Kontext und die (nicht) abgelieferte Leistung in keinster Weise für akzeptabel!

    Auf diesen Kommentar antworten
    • 05.01.2018 13:56, Gerd M.

      Wo wurde diese technische Eigenschaft (kein Eingang technisch möglich) denn von der BRAK mal belastbar geäußert?

      Bisher habe ich da nur Mutmaßungen von Dritter Seite gelesen. Wenn ich mich im Fall der Fälle auf diese berufen möchte, lacht mich die Berufshaftpflicht wahrscheinlich eher aus.

    • 05.01.2018 15:08, martin

      @ Gerd M.: "Wo wurde ... denn von der BRAK mal belastbar geäußert?"

      Wenn es nicht so ärgerlich wäre, würde ich jetzt schreiben: Wer daran glaubt, dass sich die BRAK freiwillig belastbar äußert, glaubt vermutlich auch, dass ein Zitronenfalter Zitronen faltet.

      Aber ernsthaft: Die Justiz bestätigt auf den EGVP-Seiten, dass die PLATTFORM abgeschaltet ist:
      http://www.egvp.de/meldungen/index.php?id=545
      Ob sich die Justizseite (bspw. das EGVP-Projektbüro oder die BKL AG IT-Standards) weitergehend äußern kann / würde, wage ich zu bezweifeln, da sie ja nicht beA-Betreibern ist.

      Aber vielleicht kann ja eine der Kammern die BRAK zu einer entsprechenden Aussage "motivieren"?!

    • 09.01.2018 10:45, Gerd M.

      @martin: Die Mitteilung auf der Seite kam übrigens nicht von der Justiz oder einer technischen Einrichtung, sondern nach der neuesten BRAK-Mitteilung von der BRAK selbst.

  • 05.01.2018 15:06, Michael Beurskens

    Die Vorgaben ergeben sich ja klar aus § 20 RAVPV:
    "(1) Die Bundesrechtsanwaltskammer hat die besonderen elektronischen Anwaltspostfächer auf der Grundlage des Protokollstandards „Online Services Computer Interface – OSCI“ oder einem künftig nach dem Stand der Technik an dessen Stelle tretenden Standard zu betreiben. Die Bundesrechtsanwaltskammer hat fortlaufend zu gewährleisten, dass die in § 19 Absatz 1 genannten Personen und Stellen miteinander sicher elektronisch kommunizieren können.
    (2) Der Zugang zum besonderen elektronischen Anwaltspostfach soll barrierefrei im Sinne der Barrierefreie-Informationstechnik-Verordnung sein.
    (3) Die Bundesrechtsanwaltskammer hat zu gewährleisten, dass bei einem Versand nicht-qualifiziert signierter elektronischer Dokumente durch einen Rechtsanwalt auf einem sicheren Übermittlungsweg für den Empfänger feststellbar ist, dass die Nachricht von dem Rechtsanwalt selbst versandt wurde."

    Diese Voraussetzungen (und die in § 22 RAVPV für die "Erstanmeldung" und in § 24 RAVPV für den Zugang) bilden das "Pflichtenheft des beA". Die Kriterien sind dabei recht weit formuliert - was tauglich ist, bestimmt der Informatiker.

    Wenn man schlicht einen zentralen IMAP- oder POP3-Server eingerichtet hätte und die Nachrichten per SMIME mit auf den jeweiligen, im Verzeichnis abrufbare Public Key verschlüsselten Inhalte an dort vorgehaltene Adressen verschicken würde, hätte man die serverseitige Eingangsbestätigung (durch den zentralen Betreiber des Servers), die Datensicherheit (durch echte Verschlüsselung), etc. auch umgesetzt. Man hätte auch einfach per DE-Mail lokal verschlüsselte Nachrichten verschicken können und die dortige Infrastruktur nützen. Da ohnehin jeder Client eine eigene Software braucht fragt man sich natürlich, wieso das Ganze überhaupt browserbasiert entwickelt wurde (denn auf dem Smartphone klappt es nicht). Das sind aber Fragen, die nicht der Jurist, sondern derjenige, der es implementiert hätte definieren können.

    Technisch kaum lösbar ist und bleibt aber bei beiden Wegen das obskure "Vertreterszenario". Ein erneuter Versand bei fehlender Erreichbarkeit ist dem Gericht / der Behörde / dem Anwalt nicht zumutbar und wäre ein Bruch mit allen bisherigen Gepflogenheiten (wer ein Postfach hat muss dieses erreichbar halten, auch wenn er/sie in Urlaub ist, stirbt oder ins Koma fällt). Man müsste also entweder gleich für alle *potentiellen Vertreter* verschlüsseln (also mit n Public Keys) oder aber den Inhalt trotzdem unverschlüsselt versenden. So schockierend wie immer behauptet ist dies natürlich nicht - bei Fax gibt es gar keine Verschlüsselung, beim Brief allenfalls eine "Transportverschlüsselung" durch den Umschlag.

    Allgemein: Open Source hat sich auch erst nach langer Zeit (und vergeblichen Geheimhaltungsbemühungen) bei der Ausweisapp2 (https://github.com/Governikus/AusweisApp2) für den ePerso durchgesetzt - warum muss man diese Fehler beim beA wiederholen? Das hätte man damals als Ausschreibungsbedingung vorsehen sollen oder gar müssen.

    Auf diesen Kommentar antworten
    • 05.01.2018 15:26, Kalle

      Möglich wäre die Umsetzung der Vertreterregelung schon. Sie müsste nur eben im Verantwortungsbereich des Empfängers liegen.

      Die BRAK stellt das beA zur Verfügung. E2EE.

      Wenn ein Anwender nun einen Vertreter Einsicht in die Nachricht geben möchte, muss er diese eben entschlüsseln und weiterreichen, notfalls über die Verwendung von Drittsoftware. Die Drittsoftware wird dann vom Sekretariat verwendet, greift immer auf das Postfach zu und leitet die Nachricht intern weiter. Wie diese intern behandelt wird (erneut verschlüsselt vom Sekr. an den Vertreter oder unverschlüsselt) ist dann Sache des Empfängers. Das ist ja bisher bei Papierunterlagen auch so. Weder das Gericht noch die StA senden die Akte und Schriftsätze einmal für den Anwalt, einmal für die ReNo und noch einmal für den Vertreter. Auch hier muss der Empfänger eben Vorkehrungen treffen.

      Insbesondere geht der Schriftverkehr aber auch nicht über die BRAK/lokale RAK und diese fertigt dann Kopien an die vom Empfänger bestimmten weiteren Empfänger an.

    • 05.01.2018 15:48, martin

      @Michael Beurskens: Ausschreibung? Der Auftrag für Entwicklung und Betrieb wurde freihändig vergeben ... Vermutlich hat der Auftragnehmer auch gleich Lasten- und Pflichtenheft geschrieben - mölicherweise wurde darauf sogar verzichtet ....

    • 06.01.2018 17:09, Michael Beurskens

      Das ist Unsinn und reine Polemik.Auch bei einer freihändigen Vergabe (also ohne europaweite Ausschreibung iSd GWB) wird eine vorherige Leistungsbeschreibung erstellt. Diese gab es auch beim bEA, siehe etwa hier:
      https://www.lto.de/recht/nachrichten/n/bea-brak-atos-uebernimmt-realisierung/ (aus 2014!)

      "BeA soll dabei, ***so die Leistungsbeschreibung in der Ausschreibung der BRAK***, eine sichere Kommunikation vor allem mit der Justiz gewährleisten und in vorhandene Kanzlei-Software-Systeme integriert werden. Vor allem an der fristgerechten Umsetzbarkeit von letzterem hat der Software Industrieverband Elektronischer Rechtsverkehr e.V. Zweifel geäußert. In einem offenen Brief an die BRAK, die regionalen Anwaltskammern und den Deutschen Anwaltverein äußerte der Verband der Kanzlei- und Anwaltssoftware produzierenden Unternehmen in Deutschland im August, auch die Rolle des Dienstleisters, der die Realisierung des Mammutprojekts übernehmen soll, sei nicht transparent."

      Etwas anders sogar http://www.brak.de/fuer-journalisten/pressemitteilungen-archiv/2014/presseerklaerung-11-2014/
      "Die BRAK hat ***nach Durchführung eines förmlichen Vergabeverfahrens*** die Münchener Firma Atos IT Solutions and Services GmbH mit der technischen Entwicklung des besonderen elektronischen Anwaltspostfaches beA beauftragt."

    • 06.01.2018 17:14, Michael Beurskens

      @Kalle: "Wenn ein Anwender nun einen Vertreter Einsicht in die Nachricht geben möchte, muss er diese eben entschlüsseln und weiterreichen, notfalls über die Verwendung von Drittsoftware. Die Drittsoftware wird dann vom Sekretariat verwendet, greift immer auf das Postfach zu und leitet die Nachricht intern weiter."

      Dann ist aber genau diese "Ende-zu-Ende" Verschlüsselung nicht gewährleistet, sondern nur "Ende-zu-Sekretariat". Der Empfänger **DARF** seinen Schlüssel nicht der ReNo weitergeben, sondern ihn nur persönlich wissen. Zudem gibt es keine Sekretariatspflicht - viele Anwälte (man denke auch an die Syndikusanwälte) haben kein Sekretariat (vielleicht weil sie nur für das Versorgungswerk zugelassen sind?).

      Wenn der Schlüssel nirgends hinterlegt ist und nur der Anwalt persönlich zugreifen kann, gibt es niemanden, der bei Urlaubsabwesenheit und erst Recht nicht bei Tod oder Koma auf die hinterlegten Nachrichten zugreifen kann. Der Absender geht aber (wie beim Briefkasten) vom Zugang aus.

      Letztlich war der ursprüngliche Plan des Gesetzgebers (Postfächer auf Kanzleibasis) vielleicht doch besser als die Gesetz gewordene Regelung (individuelle persönliche Postfächer). Dies entspräche auch der Praxis bei Brief und Fax (die ja schlicht weitergeleitet werden können). Dieses "For your eyes only" (mit geheimem, nur dem Anwalt selbst bekannten Schlüssel) geht schlicht an dem vorbei, was man bislang praktiziert.

      Viele Grüße

      Michael Beurskens

    • 06.01.2018 17:26, Neunmalklug

      Die Software-Industrie (also die Hersteller für Kanzleisoftware) wurde so gut wie gar nicht unterstützt. Wer wollte, der konnte ein Toolkit bekommen, für das es zwar 700 Seiten Manual, aber faktisch keine Beschreibung gab; und das Manual enthielt dann Funktionsaufrufe, aus denen man sich selber zusammenreimen mußte, was was bedeutet. Die Unterstützung der Softwareindustrie fand also praktisch nicht statt. Und bis zum letzten Tag konnte die Softwareindustrie nicht gegen das echte System testen, schlicht weil das zu keinem Zeitpunkt möglich war. Tests der entwickelten Software gingen immer nur mit dem Demo- (genannt Schulungs-) System. Das Echt-System hatte dann auch noch andere Release-Stände als das Schulungs-System. Selbst dieses Schulungs-System war für die Softwareentwickler erst ab etwa Mai letzten Jahres erreichbar. Es ist also davon auszugehen, dass auch in den Kanzleisoftwaresystemen noch etliche Bugs drin sind (selbst bei größter Sorgfalt), schlicht, weil niemals echt getestet werden konnte und die Zeit einfach viel zu knapp war.
      Die Hersteller von Kanzleisoftware durften dann bei neuen Releaseeinspielungen selber rausknobeln, was sich geändert hat und warum auf einmal Sachen nicht mehr funktionieren, die vorher funktioniert hatten. Ich denke, dass die Kanzleisoftwarehersteller auch einen guten siebenstelligen Betrag verbrannt haben.

    • 06.01.2018 19:21, Kalle

      @Michael Beurskens: Ich schrieb nirgendwo, dass er den Schlüssel weitergeben soll. Den behält er, notfalls gesichert in der Software (gesichert durch ein Kennwort oder dergleichen). Die Software (RA_MICRO oder dergleichen) rufen die Nachrichten dann ab.

      E2EE ist in einer Zivilrechtskanzlei sowieso die Kanzlei, denn der Vertrag mit dem Mandanten wird mit der Kanzlei geschlossen, nicht mit dem Anwalt. Sonst müssten Sie in der Vollmacht nämlich stets die Untervollmacht an Kollegen, gerade im Krankheitsfalle automatisch regeln. Die meisten Vollmachten setzen aber zur Unterbevollmächtigung einen Aktiven Akt des Bevollmächtigten voraus. Der klappt ja im Koma bspw. nicht.

    • 08.01.2018 12:12, Michael Beurskens

      @Kalle: "E2EE ist in einer Zivilrechtskanzlei sowieso die Kanzlei, denn der Vertrag mit dem Mandanten wird mit der Kanzlei geschlossen, nicht mit dem Anwalt."

      So sah dies auch der Diskussionsentwurf des Gesetzes zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten (http://www.bundesgerichtshof.de/SharedDocs/Downloads/DE/Bibliothek/Gesetzesmaterialien/17_wp/E-Rechtsverkehr_Gerichten_reg/diske.pdf;jsessionid=AD23222E5B5F53D18AEF3E381F565A1A.2_cid359?__blob=publicationFile) noch vor. Dagegen haben die BRAK und der DAV protestiert - daher sind die Postfächer jetzt individuell auf *Anwaltsbasis* und eben nicht auf *Kanzleibasis*. Daher auch das "for your eyes only" - mit der Ende-zu-Ende-Verschlüsselung ausschließlich für den Anwalt.

      Siehe im Übrigen zum generellen Freischalten § 24 RAVPV:
      "(1) Die Anmeldung des Inhabers an seinem besonderen elektronischen Anwaltspostfach erfolgt mit einem ihm zugeordneten Zertifikat und der zugehörigen Zertifikats-PIN. Hat der Inhaber die Nutzung des Postfachs beendet, hat er sich abzumelden. Die Bundesrechtsanwaltskammer hat für den Fall, dass der aktivierte Zugang für eine bestimmte Zeitdauer nicht genutzt wird, eine automatische Abmeldung des Postfachinhabers durch das System vorzusehen. Bei der Bemessung der Zeitdauer sind die Belange des Datenschutzes gegen den Aufwand für die erneute Anmeldung abzuwägen.
      (2) Die Anmeldung anderer Personen an einem besonderen elektronischen Anwaltspostfach erfolgt mit einem ihnen zugeordneten Zertifikat und der zugehörigen Zertifikats-PIN; Absatz 1 Satz 2 bis 4 gilt entsprechend."

    • 19.01.2018 20:23, RA Heyland

      Hat mal jemand geprüft, wie die BRAK diese Ausschreibung genau gestaltet hat? Das System besteht aus Hardware und Software für Beträge, die eindeutig über den Limits des Vergaberechts für eine freihändige Vergabe liegen. Schon die offenbar veranstaltete Präqualifikation mit dem Ergebnis der Auswahl in dieser Materie bereits für deutsche staatliche Stellen tätiger deutsche Anbieter hätte also europaweit ausgeschrieben müssen.

      Das gute alte BGB sieht für den Geschäftsherrn einen Haftungsausschluss für von seinen Erfüllungsgehilfen verursachte Fehler gegenüber der Kundschaft vor, sofern er darlegen kann, dass dem sonst als zuverlässig geltenden Gehilfen die Angreifbarkeit solchen Tuns bezw. Unterlassens bekannt war und dass der Geschäftsherr auch geeignete Überwachungsregelungen praktiziert. Wir haben es hier mit einem gesetzlich installierten Zwangsdienstleister zu tun, der von zwei Seiten überwacht wird - vom Auftraggeber vertreten durch den BMJ, der auch die nicht-anwaltlichen Nutzer vertritt - und von der Nutzerseite zwangsverfasster Anwalt von der die Zwangsverfassung Kammer bestellter Vertreter in der BRAK. Da dürfte kein Raum mehr für eine weitere Veranwortlichkeit des Nutzers Anwalt dafür bestehen, dass der das System vorhaltende Dienstleister seine Arbeit tut. altlichen

  • 05.01.2018 16:44, RAausBerlin

    Auch an dieser Stelle vielleicht noch einmal der Hinweis an alle Kolleginnen und Kollegen, dass am kommenden Dienstag (09.01.2018) eine außerordentliche Hauptversammlung der BRAK zum Thema beA stattfindet. Im Hinblick auf diese Hauptversammlung haben Kollegen aus Berlin ein Schreiben mit Forderungen an die Berliner RAK geschickt, die in dieser Hauptversammlung besprochen und durchgesetzt werden sollen.
    Der Entwurf des Schreibens als Blankoversion kann hier heruntergeladen werden:
    Schreiben:
    https://www.dropbox.com/s/0r2c0mqrzenk8wp/Blankoschreiben%20an%20RAK%20wegen%20beA.docx?dl=0

    Anlage:
    https://www.dropbox.com/s/lb4ms1t7ght0l4q/Schreiben%20RAK%20Anlage.pdf?dl=0

    Je mehr Kolleginnen und Kollegen ein solches Schreiben an ihre eigene RAK schicken, umso größer ist der Druck und die Wahrscheinlichkeit, dass die Forderungen durchgesetzt werden können.

    Auf diesen Kommentar antworten
    • 06.01.2018 14:17, Nicht mit mir!

      Das Schreiben gefällt mir gut, ich möchte jedoch noch etwas weitergehen und beabsichtigte eine einstweilige Anordnung zu erwirken mit dem Antrag, festzustellen, dass ich nicht der passiven Nutzungspflicht des beA unterliege, solange es durch die BRAK außer Betrieb genommen wurde. Im Gegensatz zu den meisten Kollegen bin ich ein Befürworter der elektronischen Kommunikation und habe schon vor dem 01.01.2018 angefangen Nachrichten zu versenden und zu empfangen. Auf diese Nachrichten kann ich seit dem 22.12.2017 nicht mehr zugreifen, ich muss sie seit dem 01.01.2018 aber gegen mich gelten lassen. Unklar ist für aber noch, bei welchem Gericht (VG oder AnwGH) der Antrag einzureichen wäre und gegen wen sich der Antrag richtet (Gesetzgeber oder RAK als zuständige Überwachungsbehörde). Hat jemand eine Idee?

    • 06.01.2018 16:59, Neunmalklug

      Ich glaube, dass nur die wenigsten Anwälte etwas gegen eine vernünftige Form der digitalen Kommunikation haben. Der Punkt ist (wie aus dem Schreiben an die Kammern ja hervorgeht) die Art der Umsetzung und die bei Lichte betrachtet immense sowohl juristische als auch datentechnische Unsicherheit.
      Das was Ihnen passiert ist - als engagierter Nutzer - könnte jederzeit, also auch im laufenden Betrieb des beA, wieder passieren. Es gibt keine Eskalationsstufen bei einem Ausfall und entsprechend auch keine Regelungen, mit denen sich daraus ergebende Konsequenzen abgedeckt werden. Das juristische Mittel der Wiedereinsetzung erscheint bei einem solchen Großprojekt ziemlich dürftig. Der Gau ist ja nun passiert, bevor das System richtig in Betrieb ging. Stellen Sie sich mal vor was passiert wäre, wenn ein solches oder ähnliches Ereignis nach einem Jahr Echtbetrieb (also zum Beispiel am 27.12.2018) passiert wäre. Genau solche Sachen adressiert das Schreiben eben auch. Das ganze ist mit einer so extrem heißen Nadel gestrickt, dass man Lichtjahre davon entfernt ist, darauf basierend rechtswirksam kommunizieren zu können. Es ist einfach viel zu unspezifisch, undeterministisch. Alleine eine rechtliche Regelung (Ihr habt das zu nutzen) reicht eben bei weitem nicht aus; man muss auch regeln, was passiert, wenn es eben nicht nutzbar ist und zum Beispiel auch - wie in Ihrem Falle - hängende Vorgänge vorhanden sind.
      Sollen denn jedes mal bei einem "Betriebsunfall" einige zehntausend Wiedereinsetzungen erzeugt werden?

    • 06.01.2018 19:25, Zegger

      Welche Ironie, dass für das Schreiben der Anbieter dropbox.com verwendet wird. Hätte man da nicht zumindest im dt. Rechtsraum bleiben können?

      Anwälte und IT. Ein Trauerspiel.

    • 06.01.2018 20:34, Neunmalklug

      Warum, scheint mir vollkommen unproblematisch, denn da steht in keiner Weise irgend was drin, was "verfänglich" wäre. Zudem ist es auch nicht so ganz einfach, mal auf die Schnelle was allgemein zur Verfügung zu stellen. Ich sehe da jetzt erst mal kein Problem.
      Und Übrigens: Traraaaa: Die BRAK hat alle Dokumente zum beA auch immer via Dropbox verteilt, und dass wiederum finde ich dann doch nicht so richtig professionell.

    • 07.01.2018 14:32, Kurt

      Nichts eigenes? PYDIO kann eben auf einem Server aufgesetzt werden, oder OwnCloud oder NextCloud. Daneben noch die zertifizierten Angebote von DATEV, T-Systems etc.

      Dass nichts kritisches drinsteht mag ja sein. Aber es werden Metadaten gespeichert (Zugriff etc.).

      IT und Datenschutz (BDSG, DS-GVO) und Anwälte ist wohl echt kompliziert.

    • 07.01.2018 14:57, Neunmalklug

      Stimmt schon alles, Owncloud, Nextcloud, Daten, kann man alles nutzen. Problem dabei dürfte jedoch sein, dass das erst mal aufgesetzt werden muss.
      Wenn wir personenbezogene Daten übertragen, so verwenden wir immer einen Ende-zu-Ende-verschlüsselnden Transferserver, den wir selbst aufgesetzt haben, und der hier in Berlin steht. Bei diesem - doch sehr öffentlichen - Schreiben sehe ich an sich kein Problem, auch nicht bezüglich der Metadaten. Meine persönliche Seinsibilität fängt da an, wo's um irgendwelche personenbezogenen Daten geht oder dort, wo ich persönlich nicht will, dass jemand mitbekommt, dass ich mich mit einer Sache beschäftige. Bei einem Schreiben, das quasi als Vorlage "an die Kirchentür getackert" wird, vermag ich kein Problem zu sehen. und übrigens: Auch bei OwnCloud u.a. gibt's auch das grundsätzliche Problem, dass ein bestimmter Personenkreis mitbekommt, wer das lädt, als Downloader muss ich mich also auch dort blind auf irgendwas verlassen.

    • 08.01.2018 10:20, Wurst

      @Neunmalklug: Nun sollten aber RAe in der Lage sein, das BDSG und zukünftig die DS-GVO richtig anwenden zu können. Dropbox ist insoweit wohl Auftragsdatenverarbeiter (IP-Adresse ist personenbezogenes Datum). Hat die Kanzlei (bzw. der RA aus Berlin) einen gültigen ADV-Vertrag mit Dropbox geschlossen?

    • 08.01.2018 10:51, Neunmalklug

      @Wurst: Ihr Argument geht fehl, denn das könnte man in gleicher Form auf sämtliche Internetseiten anwenden, die Sie ansurfen, somit wären auch LTO, SPON, Heise u.v.m. Auftragsdatenverarbeiter., quasi absolut jeder, der eine Homepage im Internet anbietet, wäre ein Auftragsdatenverarbeiter; und übrigens würde das dann auch auf Ownclooud, Datev oder was auch immer man für eine Platform zur Verfügbarmachung des Schreibens benutzt, zutreffen. Das kann man sogar noch weiter treiben, sie müssten dann nämlich jedes mal, wenn Sie mit Ihrer Kreditkarte an der Tankstelle bezahlen, mit der Tankstelle einen Vertrag zur Auftragsdatenverarbeitung abschließen (über den der Kreditkarte, den Sie ja ohnehin abgeschlossen haben, hinausgehend), weil die Tankstelle durch den Bezahlvorgang an sich personenbezogene Daten von Ihnen erhält. Natürlich gilt das auch für den Blumenhändler, von dem Sie sich eine Quittung ausstellen lassen, der hat dann Ihre Adresse in seinen Unterlagen (=Auftragsdatenverarbeitung).
      Nein, der reine abrufende Zugriff auf nicht-personenbezogene Daten ist keine Auftragsdatenverarbeitung und wird es auch nicht dadurch, das sie als Person bekannt werden (IP-Adresse).

    • 08.01.2018 12:43, Neunmalklug

      @Wurst: Nachtrag:
      Das hat mich dann nun doch mal interessiert, deshalb habe ich mit einem Datenschützer gesprochen. Die Faktenlage ist eindeutig. Das Bereitstellen eines Dokuments bei Dropbox ist keine Auftragsdatenverarbeitung durch Dropbox (sofern keine personenbezogenen Daten enthalten sind, die nicht ohnehin auf allgemeinem Wege zugänglich sind). Man hätte die Dokumente so in dieser Form auch auf einer Homepage hochladen können, das hätte keinen Unterschied ergeben. Man kann Dropbox mögen oder nicht, die Nutzung in dieser Form ist jedoch vollkommen rechtskonform.

    • 09.01.2018 11:05, Ullrich

      @Neunmalklug: Mit welchem Datenschutzrechtler haben Sie denn da Kontakt gehabt.

      Natürlich ist der Zahlungsdienstleister, den die Tankstelle für Kartenzahlungen verwendet, ein Auftragsdatenverarbeiter. Das ist bereits nach alter Rechtslage nach dem BDSG so. Dort gibt es nur Abgrenzungsschwierigkeiten, die jetzt wegfallen.

      Aber: Machen Sie es so weiter! Hauen Sie Dokumente, die Sie EU-Bürgern zum Herunterladen empfehlen auf außer-EU-Server, gerne insbesondere ab dem 25.5.18!

    • 09.01.2018 11:32, Neunmalklug

      @Ullrich,
      mir reicht die Information eines Datenschützers, der als externe Datenschützer auch größte NGOs betreut und diverse Datenschutzrechtsanwälte "in der Hinterhand" hat, vollkommen aus. Und zu der Kreditkartennutzung an der Tanke: Sie haben mich missverstanden. Ich sprach nicht vom Kreditkartenunternehmen (dass natürlich dem Datenschutz unterliegt), sondern vom Tankstellenbetreiber. Vereinfacht (zusammenausgefaßt) kann man sagen, dass das Bereitstellen von nichtpersonenbezogenen Daten (Dokumenten, Bedienungsanleitungen etc.) nicht dem Datenschutz unterfällt. Der Datenschutz fängt in dem Augenblick an zu greifen, wo personenbezogene Daten verarbeitet oder weitergegeben werden. Das ist hier nicht der Fall. Wenn Ihr Argument greifen würde, dürften Sie kein Amazon mehr benutzen (viele Daten werden von der Amazon-Elastic-Cloud in den USA zu Verfügung gestellt), Sie dürften kein SIRI benutzen (Datenabgleich mit dem KI-System in den USA), Cortana, Google, Android und und und wären per se nicht Datenschutzkonform. So leicht, wie Sie es sich machen, ist es eben nicht. Es muss unterschieden werden, welche Daten in welchem Umfang erhoben und gespeichert werden, um zu entscheiden, ob die betroffene IT-Anlage unter den Datenschutz fällt.
      Die Bereitstellung eines reinen Downloads nicht personenbezogener Daten unterfällt dem Datenschutz erstmal grundsätzlich nicht. Wenn Sie anderer Meinung sind, dann können Sie das bestimmt mit Normen oder entsprechenden OLG/BGH-Urteilen untermauern.

  • 06.01.2018 14:35, Neunmalklug

    Durch die aktuell in der Fachpresse bekannt gewordenen Bugs in den Microprozessoren der letzten 10 (bis zu 20) Jahren, stellt sich die beA-Situation an sich nochmal deutlich schlimmer dar als gedacht. Tatsächlich hebeln die Prosessorbugs jegliche Sicherheitsarchtitektur sämtlicher Computersysteme aus, und das nich nur akademisch, sondern auch real. Dass das auch auf dem Anwalts-PC passieren kann, ist eine Sache, Tatsache ist jedoch, es kann überall dort passieren, wo mit den Schlüsseln gearbeitet wird (Umschlüsselungsthematik). Dafür muss keine Spionagesoftware auf den Rechnern eingespielt werden, sondern die Spionage-Werkzeuge können sich in ganz normalen Allerweltsprogrammen verstecken, die "einfach nur so" ihren Job auf dem PC machen; Admin- oder Superuser-Rechte sind nicht notwendig. Der Traum eines jeden Geheimdienstlers, der Albtraum absolut aller, die von der Verschwiegenheit leben. Unter anderem durch diesen Mega-Bug ist die nicht vorhandene Ende-zu-Ende-Verschlüsselung nochmals auf eine neue "Qualitätsstufe" gehoben worden. Schlussendlich muss man feststellen, dass Sicherheit auf technischem Wege nicht erreichbar ist, wenn überhaupt dann ist sie auf mathematischen Weg sehr viel besser erreichbar (Mathematisch=Krytographie=Ende-zu-Ende-Verschlüsselung). Das würde in diesem Falle zwar nicht final helfen, das Problem jedoch wenigstens deutlich entschärfen, da jeweils nur ein PC abgehört werden kann und nicht alles, was 165.000 Anwälte miteinander austauschen.
    Wer sich über den Security-Supergau informieren möchte, sei auf Heise verwiesen:
    https://www.heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html

    Auf diesen Kommentar antworten
    • 08.01.2018 10:22, Wurst

      Exakt. Deswegen ist ja auch die Aussage der BRAK in dem beA-Heftchen, welches noch im Dezember verschickt wurde: "Auch ein ambitionierter Hacker kommt an die Schlüssel oder die Nachrichten nicht heran." nicht nur grob fahrlässig, sondern auch falsch. Und das hätte man mit Rücksprache eines IT-Sachverständigen auch damals schon klären können.

      HSM und Meltdown/Spectre und die BRAK meint, das beA ist sicher.

  • 09.01.2018 01:44, bergischer löwe

    Erste Anwälte fordern bereits den Rücktritt des verantwortlichen Vorstands der Bundesrechtsanwaltskammer (BRAK):

    https://www.datensicherheit.de/aktuelles/besonderes-elektronisches-anwaltspostfach-bea-einfuehrung-wird-zur-affaere-27150

    Auf diesen Kommentar antworten
    • 09.01.2018 09:20, Neunmalklug

      Mal sehen, ob es heute einen Showdown bei der Kammersitzung gibt. Die Nachrichten, die hoffentlich bald irgendwo über den Verlauf der Sitzung erscheinen dürften überaus spannend sein. Und wenn nichts öffentlich wird, dann kann man sich seinen Teil auch denken.

    • 10.01.2018 07:36, Neunmalklug

      Das haben Sie schon gepostet, das ist Schnee vom vorvorgestern. Infos in dieser Sache, die fast ne Woche alt sind, kann man wirklich nicht als neu bezeichnen.
      Korrekt isses natürlich trotzdem und vielleicht muss man das auch mehrmals zitieren, ums in die Wahrnehmung zu bringen.

  • 15.01.2018 15:42, anton

    Aus der Presseerklärung Nr. 1 v. 09.01.2018:

    Im Rahmen der Diskussion klärte die BRAK auch einige Missverständnisse, die die Funktionalität des beA betreffen. So sieht das beA-System keinerlei Beschränkungen vor, wie viele Nachrichten der Nutzer pro Zeiteinheit verschicken darf. Ebenso kann der Nutzer bei jedem Login alle in seinem Postfach befindlichen Nachrichten abrufen. Selbstverständlich müssen aber die Vorgaben der Justiz eingehalten werden. Deshalb darf eine Nachricht nicht größer als 60 MB sein und nicht mehr als 100 Anhänge haben.

    Stimmt das eigentlich überhaupt? Im Moment kann es ja keiner überprüfen.

    Auf diesen Kommentar antworten
    • 15.01.2018 15:58, Neunmalklug

      Stimmen tut das schon, nützt aber nichts, soweit ich weiß ist die Grenze momentan immer noch bei 30 MB, in absehbarer Zeit soll das auf 60 MB erhöht werden. Aber egal ob 60 MB oder 100 Anhänge; für größere Sache reicht beides nicht. Einzelne Beweismittel (eingescannte PDFs oder Bilder) sind schnell mal größer als 30/60 MB. Und es gibt 'ne Menge Kommunikations-Sachen, bei denen die Gesamtübermittlung aus mehr als 100 Einzelteilen besteht. Das heißt imho, dass diese Limits etwa 98% der zu übermittelnden Sachen abdecken. Damit verbleiben immernoch einige hunderttausend Schroftsätze pro Jahr, da nicht auf dem beA-Weg übermittelt werden können.

  • 19.01.2018 20:46, RA Heyland

    BRAK und BMJV haben doch die gewählte Lösung im Gesetzgebungs- und anschließenden Verordnungsverfahren ausgetüftelt. Das BMJV wäre ganz schlecht beraten, wenn es diese Problematik zu Lasten der Anwälte löst, anstatt sich an die BRAK zu halten. Die Probleme wurden ohne Zutun von zur Nutzung verpflichteten Anwälten von der BRAK mit den von ihr hinzugezogenen nicht-anwaltlichen Gehilfen verursacht.

    Auf diesen Kommentar antworten
Neuer Kommentar
TopJOBS
Rechts­an­walt (m/w) In­tel­lec­tual Pro­per­ty und Me­di­en­recht

ESCHE SCHÜMANN COMMICHAU, Ham­burg

Rechts­an­walt w/m Ge­sell­schafts­recht / M&A

Heuking Kühn Lüer Wojtek, Köln

Voll­ju­rist/in für die Rechts­ab­tei­lung (m/w)

European Energy Exchange (EEX), Leip­zig

Rechts­an­walt (m/w) Un­ter­neh­mens­steu­er­recht/Fa­mi­li­en­un­ter­neh­men

Flick Gocke Schaumburg, Bonn

Rechts­an­walt (m/w) für den Be­reich Com­p­li­an­ce

Bird & Bird LLP, Düs­sel­dorf

Rechts­an­walt (m/w) im Be­reich Han­dels- und Ge­sell­schafts­recht

Melchers Rechtsanwälte, Frank­furt/M.

VOLL­JU­RIS­TEN/IN ALS SYN­DI­KUS­RECHTS­AN­WALT/-AN­WÄL­TIN

Südwestmetall, Ess­lin­gen am Ne­c­kar

Rechts­an­walt (m/w) für den Be­reich Öf­f­ent­li­ches Wirt­schafts­recht mit in­ter­na­tio­nal aus­ge­präg­ten Be­zü­gen

Bird & Bird LLP, Ham­burg

Rechts­an­walt (m/w) Öf­f­ent­li­ches Recht / Ver­ga­be­recht

BBG und Partner, Bre­men

Voll­ju­rist / Syn­di­kus­an­walt (m/w) Schwer­punkt Zi­vil- und Wirt­schafts­recht

Deutsche Leasing Gruppe, Bad Hom­burg v.d. Höhe

Syn­di­kus­rechts­an­walt (m/w) für die Rechts­ab­tei­lung

AGCO GmbH / FENDT, Mark­t­ober­dorf

Rechts­an­wäl­tin­nen/ Rechts­an­wäl­te zur Ver­stär­kung un­se­rer Pra­xis­grup­pe Ar­beits­recht

Gleiss Lutz, Ham­burg

Rechts­an­wäl­tin­nen/Rechts­an­wäl­te zur Ver­stär­kung un­se­rer Pra­xis­grup­pe Cor­po­ra­te

Gleiss Lutz, Ham­burg

Voll­ju­ris­tin­nen und Voll­ju­ris­ten

Bundesministerium für Arbeit und Soziales, Ber­lin und 1 wei­te­re

Voll­ju­ris­ten (m/w) Li­ti­ga­ti­on

PERCONEX, Stutt­gart und 2 wei­te­re

Rechts­an­wäl­tin / Rechts­an­walt in den Be­rei­chen Ge­sell­schafts- und Ar­beits­recht

Schöfer, Jeremias & Kollegen, Mün­chen

Rechts­an­walt (m/w) Un­ter­neh­mens- und Kon­zern­steu­er­recht

Flick Gocke Schaumburg, Bonn

Rechts­an­wäl­te w/m

Heuking Kühn Lüer Wojtek, Chemnitz

Rechts­an­wäl­tin­nen/Rechts­an­wäl­te für un­ser Fach­ge­biet EU-Recht, ins­be­son­de­re Kar­tell- und Bei­hil­fe­recht

Gleiss Lutz, Brüs­sel

Rechts­an­walt (m/w) für die Be­rei­che IT- und Da­ten­schutz, Ge­werb­li­cher Rechts­schutz und Wirt­schafts­recht

Dr. Fandrich Rechtsanwälte Partnerschaftsgesellschaft mbB, Stutt­gart und 1 wei­te­re

Rechts­an­walt (w/m) für den Be­reich IT/IP/Me­di­en

FREY Rechtsanwälte Partnerschaft, Köln

Rechts­an­wäl­te (w/m) im Fach­be­reich Kraft­fahrt­ver­si­che­rung

BLD Bach Langheid Dallmayr, Köln

Rechts­an­wäl­tin­nen/Rechts­an­wäl­te für den Be­reich Com­p­li­an­ce & In­ves­ti­ga­ti­ons

Gleiss Lutz, Stutt­gart

An­wäl­te und An­wäl­tin­nen

bethge immobilienanwälte, Han­no­ver

Rechts­an­walt (m/w) für den Fach­be­reich Um­welt- und Pla­nungs­recht

Linklaters, Ber­lin

Com­p­li­an­ce Of­fi­cer (m/w)

Bird & Bird LLP, Frank­furt/M.

Re­fe­ren­da­re (m/w) / Wis­sen­schaft­li­che Mit­ar­bei­ter (m/w) für den Be­reich Ar­beits- und So­zial­ver­si­che­rungs­recht

Görg, Ham­burg

Rechts­an­wäl­te (m/w)

Hogan Lovells LLP, Ham­burg

ei­ne/n Jus­t­i­tiar/in mit Be­ruf­s­er­fah­rung

Marburger Bund Landesverband Hamburg, Ham­burg

Rechts­an­wäl­tin­nen/Rechts­an­wäl­te zur Ver­stär­kung un­se­rer Pra­xis­grup­pe Cor­po­ra­te/M&A

Gleiss Lutz, Mün­chen

Rechts­an­walt (m/w/di­vers) für den Be­reich Ban­king

Simmons & Simmons, Frank­furt/M.

VOLL­JU­RIS­TEN/IN IM BE­REICH AR­BEITS- UND SO­ZIAL­RECHT

Südwestmetall, Heil­b­ronn