Anwaltspostfach im Rechtsausschuss: BRAK will Scha­dens­er­satz für beA­Gate

Die Fragen, die zu Tagesordnungspunkt 14 in der nicht öffentlichen Sitzung des Rechtsausschusses am Mittwoch gestellt wurden, waren durchaus kritisch. Wie Teilnehmer berichten, fragten unter der Leitung des neuen Vorsitzenden Stephan Brander (AfD) vor allem Jan-Marco Luczak (CDU), Johannes Fechner (SPD), Katja Keul (Grüne) und Katrin Helling-Plahr (FDP) detailliert nach, wie es um das besondere elektronische Anwaltspostfach (beA) bestellt ist. 

Die Rechtspolitiker, sämtlich selbst zugelassene Anwälte, befragten den Präsidenten der für das Anwaltspostfach verantwortlichen Bundesrechtsanwaltskammer (BRAK), Ekkehart Schäfer. Anwesend waren auch Vertreter des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV), das die Rechtsaufsicht über die BRAK führt. 

Schäfer teilte das Datum einer ersten Einschätzung zu Zustand und Reparaturmöglichkeiten des beA mit, und was man am beA nicht verändern will. Auf Nachfrage stellte er klar, dass die BRAK bereits Schadensersatzansprüche gegen Atos geltend mache. Andere Fragen verpufften im Nichts, manches bleibt weiterhin unklar.  

Schadensersatzansprüche gegen Atos

Auf ausdrückliche Nachfrage eines Mitglieds des Rechtsausschusses hat Schäfer bestätigt, dass die BRAK "selbstverständlich" Schadensersatzansprüche geltend macht. Der Deutsche Anwaltverein (DAV) begrüßte das am Mittwoch; Präsident Ulrich Schellenberg forderte aber auch, dass der erlangte Schadenersatz den Rechtsanwälten zugutekommen müsse. "Diese finanzieren schließlich das beA." BRAK-Präsident Schäfer relativierte allerdings schon im Rechtsausschuss: "Einen Anspruch geltend zu machen und einen Anspruch durchzusetzen, das sind zwei unterschiedliche Sachen", betonte er. 

Ende März soll es, so Schäfer, die erste Einschätzung von der Secunet Security Networks AG zum Zustand des Postfachs geben, das seit Ende Dezember 2017 wegen erheblicher Sicherheitsmängel offline ist. Wohlgemerkt noch nicht das Gutachten, sondern nur eine erste Einschätzung, wann das Gutachten kommen wird.  Wenn dieses vorliegt, werde die BRAK es veröffentlichen, kündigte Schäfer an. Er geht offenbar davon aus, dass das beA dann im Anschluss relativ schnell, wenn auch nach einer Frist von mindestens zwei Wochen, wieder online gehen kann. Wann genau das geschehen kann, blieb jedoch völlig unklar.

Grundlegende Änderungen an der Technik des Systems hält die BRAK aber offenbar - schon vor dem Gutachten - nicht für nötig. Dienstleister Atos habe bereits eine Lösung geliefert, welche eine Kommunikation über das sog. Hardware Security Module (HSM) impliziere, erklärte Schäfer. Dabei werde es bleiben, die BRAK hält also am HSM fest. 

Nach LTO-Informationen deutete auch im Rechtsausschuss nichts darauf hin, dass die BRAK mit diesem Vorhaben am BMJV scheitern könnte. Das Ministerium hat zwar auf eine Anfrage des Berliner Anwalts Martin Delhey nach dessen Angaben Ende Januar geantwortet, man "prüfe derzeit, ob das beA eine den rechtlichen Anforderungen entsprechende Sicherheit gewährleistet". Diese Prüfung bedürfe "einer umfangreichen Sachverhaltsaufklärung", die auch den Einsatz eines HSM umfasse, zitiert Delhey das Ministerium. Die Prüfung mag bereits seitdem bereits abgeschlossen worden sein. Die Frage jedenfalls, ob das System in seiner jetzigen Konzeption die rechtlichen Anforderungen erfüllen kann, wurde nach LTO-Informationen im Rechtsausschuss von den beiden Staatssekretären und der zuständigen Ministerialdirektorin nicht ablehnend beantwortet.     

BMJV: Kein gesetzgeberischer Handlungsbedarf, keine aufsichtsrechtlichen Maßnahmen

Gesetzgeberischen Handlungsbedarf sieht das Ministerium, auch mit Blick auf die passive Nutzungspflicht der Rechtsanwälte, derzeit offenbar nicht. Im Rechtsausschuss wurde zwar nach LTO-Informationen über die zum 1. Januar 2022 in Kraft tretende Vorschrift des § 130 d S. 2  Zivilprozessordnung (ZPO) gesprochen, welche den Postweg auch nach der Elektronisierung des Rechtsverkehrs für zulässig erklärt, wenn ein Dokument aus technischen Gründen nicht elektronisch übermittelt werden kann. Diese Vorschrift könnte man schon jetzt für anwendbar erklären. 

Zu dem Vorschlag eines Vertreters des Deutschen Anwaltvereins (DAV), Martin Schafhausen, im Interesse einer bundesweit einheitlichen und ordnungsgemäß vorbereiteten Handhabung die derzeit bestehende Möglichkeit für die Länder, den Starttermin für den elektronischen Rechtsverkehr auf 2020 vorzuziehen, zu überdenken, gab es vom Ministerium am Mittwoch keine Reaktion. 

Aufsichtsrechtliche Maßnahmen gegenüber der BRAK scheint das BMJV ebenfalls nicht für angezeigt zu halten. Danach hatte sich zuletzt die FDP in einer Kleinen Anfrage erkundigt, eine Antwort gab es von der Bundesregierung bislang nicht. Auch im Rechtsausschuss deutete am Mittwoch nach Angaben von Teilnehmern nichts darauf hin, dass das BMJV Maßnahmen gegenüber der BRAK plant. Staatssekretär Christian Lange sagte, man vertraue der BRAK und sei in engem Austausch.  Eigene Fehler im Rahmen der Rechtsaufsicht sieht man beim BMJV offenbar ebenso wenig. 

Schadensersatzansprüche gegen Atos 

Zu einem anderen Thema, das zuletzt der DAV problematisiert hatte, fragte zwar vor allem Katja Keul engagiert nach. So wollte die Grünen-Abgeordnete, die ebenfalls kürzlich eine Anfrage initiiert hat, wissen, ob das Anwaltspostfach, möglicherweise auch der gesamte (zukünftige) elektronische Rechtsverkehr, eine kritische Infrastruktur im Sinne von § 2 Abs. 10 BSI-Gesetz ist. Das hätte zur Folge, dass, so hatte es der DAV vorgeschlagen, Regularien entwickelt werden müssten und ggf. eine dem Bundesamt für Sicherheit in der Informationstechnik entsprechende Institution die Infrastruktur überwachen und auf Risiken hinweisen sollte. Weder von der BRAK, die viel Wert auf die anwaltliche Selbstverwaltung und Unabhängigkeit legt, noch vom BMJV wurden am Mittwoch aber Bestrebungen erkennbar, sich mit dem Thema zu beschäftigen. 

Schäfers Erläuterungen zu dem teilweise massiv kritisierten freihändigen Vergabeverfahren, das zur Auswahl von Atos als Auftragnehmerin für die Entwicklung und den Betrieb des beA geführt hatte, wurden nach Angaben von Teilnehmern wenig hinterfragt. Das Gutachten der Firma SEC Consult, die im Jahr 2015 ein Sicherheitsaudit am beA-System durchgeführt hat, wird offenbar auch weiterhin nicht vorgelegt. Die BRAK beruft sich auf Geschäftsgeheimnisse von Atos.