Elektronisches Anwaltspostfach: Anwälte rei­chen Klage gegen die BRAK ein

von Hasso Suliak

17.06.2018

Die Gesellschaft für Freiheitsrechte hat eine Klage mehrerer Anwälte gegen die BRAK für ein sicheres beA koordiniert und am Freitag beim Berliner Anwaltsgerichtshof eingereicht. Das beA soll sicher verschlüsselt werden müssen.

Sie war schon länger angekündigt, jetzt ist sie eingereicht: Die Klage der Gesellschaft für Freiheitsrechte (GFF) gegen die Bundesrechtsanwaltskammer (BRAK) für ein sicheres besonderes elektronisches Anwaltspostfach (beA). Sie hat zum Ziel, das beA mit einer sogenannten Ende-zu Ende-Verschlüsselung (E2EE) so nachrüsten zu lassen, dass allein die vorgesehenen Empfänger einer Nachricht diese entschlüsseln können. Rechtsanwälte sollen damit vor Angriffen durch Kriminelle oder staatliche Stellen des In- und Auslands bewahrt werden. Nach Ansicht der klagenden Anwälte gewährleiste die derzeit von der BRAK verwendete Verschlüsselungstechnik das nicht, weil sie mit dem so genannten Hardware Security Modul (HSM) eine "Sollbruchstelle" aufweise.

Der Anwälte seien laut Presseerklärung der GFF "durch ihren alltäglichen Umgang mit sensiblen Daten besonders von den Sicherheitslücken des beA betroffen." Vertreten werden sie vom Berliner Rechtsanwalt Nicolas Baum. Für die GFF, einer NGO, die zur gezielten Durchsetzung von Grund- und Menschenrechten strategische Prozessführung in Deutschland und Europa betreibt, begleitet Rechtsanwalt Dr. Martin Delhey das Verfahren.

Laut der 55-seitigen Klageschrift wenden sich die Anwälte gegen diverse Sicherheitsrisiken des beA. Das wesentliche Sicherheitsrisiko sei jedoch "bereits in der Grundkonzeption des beAs verankert", heißt es im Schriftsatz. Denn die Systemarchitektur des beAs gewährleiste keine Ende-zu-Ende-Verschlüsselung.

"Gefahr für das Mandatsgeheimnis"

Die Anwälte machen in ihrer Klage geltend, dass die derzeitige Konzeption des beA eine Gefahr für das Mandatsgeheimnis sei, weil die Nachrichten unterwegs auf einem Server der BRAK mit einem HSM "umgeschlüsselt" würden. Nicht der Absender, sondern dieser zentrale Server steuere damit, wer die Nachrichten lesen kann. Aufgrund der Schlüsselrolle der BRAK sei das beA damit "ein besonders attraktives Ziel für Angriffe durch Kriminelle oder staatliche Stellen des In- und Auslands – ein wesentlicher Unterschied zu Brief oder Fax".

Der BRAK werfen die Anwälte vor, am beA in seiner jetzigen Form festzuhalten, "obwohl einfache technische Lösungen für eine Ende-zu-Ende-Verschlüsselung längst verfügbar" seien. Für die betroffenen Anwälte sei dies nicht hinnehmbar.

"Diese Hintertür des beA in seiner derzeitigen technischen Ausgestaltung ist eine Gefahr für eine Säule unseres Rechtsstaats: das anwaltliche Berufsgeheimnis. Menschen, die sich einem Anwalt anvertrauen, müssen sich darauf verlassen können, dass die elektronische Kommunikation über das beA nicht unterwegs abgehört werden kann", so Dr. Ulf Buermeyer, Vorsitzender der GFF. Laut ihm sei es nicht nachvollziehbar, warum Rechtssuchende schlechter stehen sollen als jeder normale Nutzer von Messengerdiensten wie Signal, Telegram oder WhatsApp, bei denen die Ende-zu- Ende-Verschlüsselung "längst Standard" sei.

Das beA ist seit Weihnachten offline. IT-Experten hatten massive Sicherheitslücken entdeckt. Eigentlich dürfen Anwälte spätestens ab Januar 2022 nur noch auf elektronischem Wege über das beA mit den Gerichten zu kommunizieren.

Weitere Klage beim VG Berlin anhängig

Für die am Freitag eingereichte Klage gegen die BRAK hatte die GFF im Vorfeld um Spenden gebeten. In ihrer Mitteilung teilte sie nun mit, dass viele Menschen mit ihren Spenden dafür gesorgt hätten, dass die Klage nach wenigen Wochen finanziert war. Das zeige, "wie groß das Interesse an einer gerichtlichen Klärung der Datensicherheit des beAs ist".

Wann ein sicheres beA online gehen kann, steht weiter in den Sternen. Das externe Sicherheitsunternehmen Secunet hat mittlerweile die Sicherheitslücken des beA untersucht, auf die Experten die BRAK in den vergangenen Monaten hingewiesen hatten. Was bei der Untersuchung herausgekommen ist, verrät die BRAK bislang aber nicht. Ein erster "Abschlussbericht" des IT-Sicherheitsunternehmen war Anfang Juni vom BRAK-Präsidium abgelehnt worden. Es habe sich "Anpassungsbedarf im Hinblick auf die Allgemeinverständlichkeit und den Konkretisierungsgrad" ergeben, hieß es. Secunet solle erst einmal nachbessern und nun innerhalb der kommenden Tage einen "ergänzten Abschlussbericht" vorlegen.

Dann wird es erneut eine außerordentliche Präsidentenkonferenz geben. "Wir werden den Termin öffentlich bekanntgeben, sobald uns das finale Gutachten von Secunet vorliegt", teilte die BRAK auf LTO-Anfrage mit. Voraussichtlich werde dieser noch im Juni liegen. Das entspreche unter anderem "dem Interesse an einer raschen Wiederinbetriebnahme des beA", so die Kammer.

Zum bevorstehenden Verfahren vor dem Anwaltsgerichtshof wollte sich die BRAK gegenüber LTO allerdings noch nicht äußern. "Zu der Klage nehmen wir Stellung, wenn sie uns vorliegt", sagte eine Sprecherin.

Allein, es wird nicht die einzige Klage sein, die die BRAK in den nächsten Wochen beschäftigen wird. Der Leipziger Vergaberechtler Christian Braun hat bereits mit Datum vom 8. Juni seine Klage gegen die BRAK vor dem Verwaltungsgericht Berlin eingereicht. Hintergrund ist das Vergabeverfahren beim beA, in dem am Ende der Dienstleister Atos das Rennen gemacht hatte. Der Anwalt bekräftigte gegenüber LTO, es gebe "erhebliche Anzeichen, dass die BRAK kein ordnungsgemäßes Vergabeverfahren durchgeführt hat".

Zitiervorschlag

Hasso Suliak, Elektronisches Anwaltspostfach: Anwälte reichen Klage gegen die BRAK ein . In: Legal Tribune Online, 17.06.2018 , https://www.lto.de/persistent/a_id/29191/ (abgerufen am: 15.11.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 17.06.2018 19:45, RA Michael+Renz

    Das Thema HSM und die damit definitiv fehlende e2e-Verschlüsselung verbunden mit der ernormen Angriffsrelavanz eines solchen Systems haben tatsächlich „das Zeug“ zum beA-Killer zu werden.

    Bin gespannt, wie die BRAK sich zu diesen „Konstruktionsfehler“ im Gerichtsverfahren positioniert.

    Man man bloß hoffen, dass die BRAK und deren Systemarchitekten die Off-Time dazu genutzt haben, sich alternative Ansätze und ggf. eine Neuausschreibung zu überlegen.

    Auf diesen Kommentar antworten
    • 17.06.2018 19:56, RA Gunther Marko

      Der "Konstruktionsfehler" liegt im Kern darin, dass es einen Nutzungszwang gibt, werter Herr Kollege !
      Ist etwa dagegen keine "Klage" eingereicht worden !?
      Man darf "bloß hoffen", dass allein dies zunächst einmal zeitnah geschieht !

  • 17.06.2018 20:30, Schiller

    Ich frage mich, wie die Zulässigkeit gegen eine Klage begründet werden soll bzw. wie wird ein Anspruch begründet?
    Ich habe schon mit dem Datum 1.4.18 gegen meine Kammer Rückzahlung auf der Umlage eingeklagt, weil die BRAK die Vorgaben de Gesetzes nicht erfüllt.
    LTO hat meine Email und kann gerne zurückfragen.

    Auf diesen Kommentar antworten
    • 17.06.2018 21:41, Opho

      Sehr geehrter Herr Kollege Schiller, was soll eine solche Klage? Die Umlage ist wohl aufgebraucht. Wenn es wirklich einen Schadenersatzanspruch der betroffenen Rechtsanwälte geben würde, müssten die Kammern eine neue Sonderumlage machen, um diese Ansprüche zu befriedigen. Im Ergebnis für fast alle ein Nullsummenspiel. Die Kammern selber dürfen ja keine größeren Vermögen haben. Mit solch einer Klage verschwenden Sie nur Zeit, Ressourcen und Energie!

    • 18.06.2018 06:49, @"opho"

      Schön, dass Sie sich um "Ressourcen" und "Energie" von Kollegen Gedanken machen.
      Damit lösen Sie allerdings das Problem des Kollegen ind vieler anderer ehrlich Betroffener nicht andeutungsweise.
      Etwas mehr Konstruktivität bitteschön !
      Andernfalls lassen Sie das besser !

    • 22.06.2018 18:20, John

      @Opho:
      Wenn ich eine "Pflichtgebühr" (oder wie auch immer das heißt) zahlen muss, die einem bestimmten Zweck dient, einem Service, den ich nie in Anspruch nehmen konnte, dann haftet jemand. Wer eigentlich haftet interessiert mich nicht, das Geld soll erstattet werden. Aus welchem Pott? Also auf keinen Fall aus unserem Eigenen! Jeder, der in dieser langen "Kette" (von den Kammern bis hin zum Dienstleister) arbeitet, soll eine Berufshaftpflichtversicherung abgeschlossen haben, die im "schlimmsten" Fall (d.h. wenn keiner von denen Geld, Vermögen, was auch immer... hat) diese Kosten übernehmen soll.
      Das Prinzip hinter der ganzen Sache ist (zumindest für mich persönlich) unfassbar: Man gibt Geld für eine Gegenleistung aus, die nie erbracht wird, aber das Geld sollen die Empfänger bereits "ausgegeben" haben? Wie gesagt: Entweder soll das Geld immer noch da sein, oder jemand haftet und dessen BHpflVers muss zahlen. Die Anwälte bekommen eine Erstattung von den Kammern, die Kammer von der BRAK, die BRAK von deren BHpflVers oder (wenn sie selbst nicht schuldig sind) vom Dienstleister, der Dienstleister von seiner BHpflVers.
      Warum muss man immer sagen (können/dürfen) "ich kann nichts dafür tun".
      Und vor allem: Wie kommt irgendeiner darauf, dass man immer noch für etwas zahlen muss, das gar nicht (mehr) existiert?

    • 22.06.2018 19:24, RA Heyland

      John, die Argumentation hat einen Denkfehler - Kammern sind Behörden und haben für ihr Tätigkeitsfeld keine Haftpflichtversicherung. Betroffene können sie allenfalls nach den Regeln über die Amtshaftung in Anspruch nehmen.

      Mit dem beA ist die BRAK Anbieter von elektronischer Datenverarbeitung und muss sich deshalb an die dafür geltenden Regeln halten. So wie bei der Vergabethematik für das beA wird sie sich unter Berufung auf ihre Aufgabe nach § 31 BRAO auch um diese Verpflichtungen drücken wollen. Dabei kommen für die Betroffenen Rechtsstreite über alle Instanzen mit einem Gegner heraus, der eine persönliche Gebührenbefreiung beanspruchen kann.

  • 17.06.2018 22:22, Tristan H.

    Diese Klage ist eine gute Sache und ich wünsche ihr Erfolg. Aber was bei der Berichterstattung dazu heute nirgendwo erwähnt wird ist der Grund, WARUM beim bisherige BRAK-Ansatz der Gedanke einer echten E2EE-Verschlüsselung vom Prinzip her nicht erreicht werden kann: die BRAK bestand auf der Vorgabe, dass die mails nicht nur den beabsichtigten Adressaten erreichen, sondern auch einen allfälligen Stellvertreter! Den würde der Absender vorher nicht kennen.
    Bin gesapnnt, wie dieser Konflikt aufgelöst wird. Kann schon jemand sagen, ob das mit den typischen E2EE-Anwenungen gelöst werden kann?

    Auf diesen Kommentar antworten
    • 18.06.2018 09:16, RA TK

      Und das ist genau der Punkt.
      Wie im Artikel und wohl auch in der Klage zutreffend ausgeführt wird, kann bei einer echten end-to-end-Verschlüselung nur der vorgesehehen Empfänger die Nachricht öffnen und insbesonderen entschlüsseln. Soll auch ein Stellvertreter oder oder eine Kanzleikraft dies tun - und so dürfte es regelmäßig üblich sein - müsste der *geheime* Schlüssel weiter gegeben werden. Das wäre dann gerade eine Durchbrechung der end-to-end-Verschlüsselung und würde diesen Vorgang ad absurdum führen.
      Da weiter die gesetzlichen Vorgaben ein Postfach je Anwaltszulassung erfordern und ein Kanzleipostfach (verglichbar dem gemeinsmamen Briefkasten) nicht zlassen, musste man auf das Verfahren der Umschlüsselung im HSM zurückgreifen. Man möge erklären, wie es unter berücksichtigung der oben genannten Abläufe hätte anders gemacht werden können.
      Es stecken also ganz praktische Anforderungen hinter der gewählten Ausführung.
      Das hier die Server-Struktur der BRAK bzw. ATOS zum kritischen Punkt wird, ist sicher richtig und muss daher auch entsprechend betrachtet werden, damit die Absicherung stimmt.
      Es empfiehlt sich aber immer der Vergleich zum dem, was es jetzt gibt: Ist der Versand in Papier auf dem Postweg da zwingende sicherer? Ich bezweifele es.
      Und noch ein Wort zu den Kosten: Ja, es klingt immer nach viel Geld und es sind auerhebliche Beträge, die hier aufgewandt werden. Bricht man es aber herunter, ist es je Berufsträger und Monat in etwa der Preis eines Packens Durckerpapier (500 Blatt). nimmt man dann noch die Portokosten, Kuverts, Zeitaufwand für Drucken, Unterschreiben, Kuvertieren, Lochen, Abheften usw. hinzu, hat der elektronische Versand das Potential im Ergebnis deutliche Einsparungen zu bringen.

    • 21.06.2018 10:35, Heinz-Ulrich Schwarz

      Wenn ich im HSM System einen Vertreter ernennen kann, der sowieso meine gesamte Post mitlesen kann, warum kann ich dem nicht gleich meinen Schlüssel weitergeben? Es wird sicherlich auch eine Möglichkeit geben, Verfahren für den Fall zu schaffen, dass ich einen Vertreter ändern will oder muss.
      Und das Kanzleipostfach steht ganz oben auf der Wunschliste und wird in der Praxis dringenst gebraucht. Wir hängen doch auch nicht jedem einzelnen Richter einen Briefkasten um den Bauch. Warum bekommen nur wir Anwälte einen persönlichen Briefkasten um den Bauch gebunden?

  • 17.06.2018 23:25, bergischer Löwe

    Bemerkenswert ist zunächst, dass wir es hier mit einmaligen Vorgängen in der Geschichte der Anwaltschaft und der BRAK zu tuen haben.

    Auf diesen Kommentar antworten
    • 17.06.2018 23:36, bergischer Löwe

      "Die Anwälte machen in ihrer Klage geltend, dass die derzeitige Konzeption des beA eine Gefahr für das Mandatsgeheimnis sei, weil die Nachrichten unterwegs auf einem Server der BRAK mit einem HSM "umgeschlüsselt" würden. Nicht der Absender, sondern dieser zentrale Server steuere damit, wer die Nachrichten lesen kann. "
      Nach meiner bescheidenen Meinung ist somit die Schlüsselfrage, ob die BRAK dies darf, mithin sich auf eine gesetzliche Grundlage stützen kann ...

    • 17.06.2018 23:54, bergischer Löwe

      § 31a (3) S.1 BRAO: "Die Bundesrechtsanwaltskammer hat sicherzustellen, dass der Zugang zu dem besonderen elektronischen Anwaltspostfach nur durch ein sicheres Verfahren mit zwei voneinander unabhängigen Sicherungsmitteln möglich ist."
      Wohlgemerkt: Die BRAK hat sicherzustellen!

    • 18.06.2018 09:01, M.D.

      Aus der zitierten Norm ergeben sich ggf. (Amts-)Haftungsansprüche gegen die BRAK, aber keine Klagebefugnis für die Nutzungsverpflichteten.

    • 18.06.2018 10:32, @"M.D."

      Ja und !?
      Vielleicht präsentieren Sie gefälligerweise 'mal eine LÖSUNG für das Problem !
      Zum Beispiel: Erstattung aller Beiträge von Amtswegen seitens der Kammern an ihre Mitglieder !
      Und zwar sofort !

    • 18.06.2018 11:33, bergischer Löwe

      Klagebefugnis (+), da durch die konkrete Umsetuzng Eingriff in Berufsfreiheit Art. 12 I GG. Behauptung genügt! Damit zulässige Klage.

    • 18.06.2018 13:00, M.D.

      Klagebefugnis (-), denn der Kammerzwang ist kein Eingriff in Art. 12 GG.

      Im Übrigen, um auf den Vorwurf zu reagieren, benötigen wir keine Lösung, weil es kein Problem gibt. Es konnte noch kein funktionierender Angriff demonstriert werden. Die Aktion des CCC ist insoweit nichts als Panikmache um ihre Anti-Krypto-Agenda zu pushen.

      Am Ende wird dem beA ein Projekt stehen, das wie der Berliner Flughafen niemals 100%ige absolute Sicherheit garantieren kann und deshalb niemals fertig wird.

      Man muss den Bedenkenträgern einfach mal eine Absage erteilen, weil man sich sonst von ihnen blockieren lässt. Das beA ist gut genug! Sobald mir ein funktionierender Angriff präsentiert wird, bin ich gerne bereit, diese Einschätzung zu revidieren. In dem Fall kann man es immer noch überarbeiten.

      Kleiner Tipp am Rande: Was heute als sicher gilt, kann bereits morgen unsicher sein. Die NSA kann angeblich mittlerweile sogar 256-bit Schlüssel knacken und wenn das schon durchsickert, sind es vermutlich bereits 512-bit. Letztlich ist nichts dauerhaft sicher. Alles halb so wild!

    • 18.06.2018 14:31, bergischer Löwe

      Klagebefugnis (+)
      "Denn das Handeln der Antragsgegnerin im Zusammenhang mit der Einrichtung eines beA für die Antragsteller stellt einen Eingriff in die Berufsausübungsfreiheit des Antragstellers dar." AnwltG Berlin, 06.06.2016 II AGH 16/15 Rn.18

    • 18.06.2018 18:36, @"M.D.":

      Ihr heißgeliebtes "beA" ist mitnichten "gut".
      Es ist tot !

  • 18.06.2018 00:33, De-mo-krat

    m.e ist das anwaltsheimnis nicht unmittelbar betroffen, weil es gerade um korrespondenz mit dem Gericht oder dem Anwalt der Gegenpartei geht. betroffen ist vielmehr der Schutz personenbezogenen Daten, Geschäftsgeheimnisse, das Steuergeheimnis usw. ( z.b. sollte ein über beA versandter Schriftsatz im finanzgerichtlichen verfahren dem steuergeheimnis unterfallen). ich hoffe daher, dass die Klage gegen die Brak insoweit hinreichend differenziert.

    Auf diesen Kommentar antworten
    • 18.06.2018 07:24, bergischer Löwe

      Sie glauben, dass Schriftsätze an das Gericht oder den Anwalt der Gegenpartei nicht dem Anwaltsgeheimnis unterfallen ... und dies zB in grossen Strafprozessen, in denen es möglicherweise nicht einmal zu einer Hauptverhandlung kommt?

    • 18.06.2018 08:48, bergischer Löwe

      https://diepresse.com/home/wirtschaft/recht/4638579/Verschwiegenheitspflicht_Wo-endet-das-Anwaltsgeheimnis

      Letzter Absatz.

    • 18.06.2018 20:51, De-mo-krat

      Sie haben mich ggf. falsch verstanden. Selbstverständlich darf der Anwalt die eigene schriftsatzkopie nicht ohne Zustimmung des mandanten herausgeben. Der original mit beA abgeschickte Schriftsatz wird aber gerade bewusst auf den Weg an das Gericht oder dem gegnerischen Anwalt gebracht, so dass dessen Offenlegung eine Frage andere „Geheimnisse“ ist, d.h. der etwaigen Verpflichtung der Mittler und Empfänger auf Geheimhaltung, was zb beim Empfänger als Gericht eben nicht das anwaltsgeheimnis ist. Und in einer mdl. Verhandlung kann ggf der ganze schriftsatz verlesen werden. Ich finde ja auch das die Brak vertraulichkeit und erst recht die inhaltliche Integrität wahren soll, aber eben halt als eigenständige Pflicht der Brak analog dem fernmeldegeheimnis, das im übrigen nicht schrankenlos gewährleistet ist.

    • 19.06.2018 12:05, bergischer Löwe

      "Der original mit beA abgeschickte Schriftsatz ... Offenlegung eine Frage andere „Geheimnisse“ ist, d.h. der etwaigen Verpflichtung der Mittler und Empfänger auf Geheimhaltung ..."
      Hier ist zu bedenken, dass der Anwalt sich der "Mittler" bedient. Er ist ggf. für das Handeln der (privaten) Post, bzw. den Vorgängen innerhalb des beA - also den Übermittlungsweg - veantwortlich.

    • 19.06.2018 17:40, RA Heyland

      Für die elektronische Aktenführung ist das beA eine unnötige Erschwernis. Vereinfachung und Kostenersparnis ist etwas anderes:
      - Schriftsätze an Gerichte oder Behörden müssen auch an die Mandanten gehen und dafür gelten keine besonderen Übermittlungsregeln.
      - Wünschen Mandanten besondere Schutzvorkehrungen, werden ganz andere Modalitäten angewandt, die entweder mit Boten oder sehr kurzen anderen Wegen als die der BRAK funktionieren, wenn es elektronisch sein soll.

      Mandanten haben keine wie das beA gestalteten Kommunikationswege. Der Anwalt hat mit dem beA eine elektronische Insellösung neben der elektronischen Akte und dem elektronischen Kommunikationsweg zum Mandanten.

      Die anwaltliche Verschwiegenheitspflicht entbindet gegenüber dem Mandanten nicht von der Verantwortung für die Funktionalität des gewählten Weges. Das beA muss deshalb den Benutzer von dieser Verantwortung freistellen und dazu muss dieser sich mindestens von der Tauglichkeit dieses Konstruktes überzeugen, bevor er es benutzt.

      Die EUDSGVO hat zur Folge, dass Anwalt und BRAK eine dies abdeckende ADV mit Zustimmung des Mandanten abschließen müssen. Darüber hat man sich in Berlin noch keine Gedanken gemacht - das beA-Konzept ist älter als die Geltung der EUDSGVO. Die BRAK wird uns deshalb bald mit einer neuen millionenschwere Umlage konfrontieren, um das beA EUDSGVO-fest machen zu können.

    • 19.06.2018 18:28, De-mo-krat

      Die Dsgvo-Festigkeit ist mE Unterpunkt der zu beachtenden „Geheimnisse“. Denn jeder behördliche geheimnisträger (hier Brak als Behörde zur verfügungstellung des beA) muss das jeweilige Geheimnis zugleich Dsgvo-konform verarbeiten. Insoweit gilt daher ggf auch P. 76 BDSG (Aufzeichnung von Datenzugriffen zur Prüfung der Zweckgebundenheit der Datenzugriffe).

    • 20.06.2018 10:25, bergischer Löwe

      19.06.2018 18:28, De-mo-krat
      "Denn jeder behördliche geheimnisträger (hier Brak als Behörde zur verfügungstellung des beA) muss das jeweilige Geheimnis zugleich Dsgvo-konform verarbeiten."
      Hier liegt der Kern. Aus den entsprechenden Normen ergibt eben nicht, dass die BRAK als "behördlicher Geheimnisträger" fungiert. Insbesondere ist die BRAK nicht Adressat der jeweiligen Nachricht. Ohne gesetzliche Grundlage, ist ein (mögliche) Kenntnisnahme der BRAK der jeweiligen Nachricht ein Eingriff in die Tätigkeit des Anwalts, soweit er keinen anderer Kommunikationsweg wählen kann oder darf. Grade weil die BRAK eine AdöR ist!

    • 20.06.2018 14:25, RA Heyland

      Das Datenschutzrecht unterscheidet nicht zwischen privatrechtlich und öffentlich-rechtlich organisierten Beteiligten an einem Verarbeitungsvorgang. Die anwaltliche Verschwiegenheit ist datenschutzrechtlich eine verschärfte Form der jeden Besitzer fremder Daten selbst treffenden Pflicht zum sorgfältigen Umgang mit und dem Schutz von Informationen seiner Geschäftspartner.
      Auftragsdatenverarbeiter der Anwälte müssen ihren Auftraggebern neben dem allgemeinen Datenschutz diesen besonderen Schutz gewährleisten und das verbietet Anwälten die Beauftragung von Anbietern mit einem nach der EUDSGVO nicht völlig ausgeschlossen saloppen Umgang mit Daten. Erst seit kurzem gibt es spezielle Vorgaben, die Anwälten unter engen Voraussetzungen das Verbringen von Mandantendaten in die Internet-Wolken erlauben. Zwingt die BRAK über § 31 BRAO den Anwälten ihr beA auf, haftet sie gleichzeitig dafür, dass beide Schutzstandards vollständig eingehalten werden. Das spielt sich nicht mehr nur zwischen Anwalt und BRAK ab - am Tisch sitzen dann Mandant, Anwalt, Gericht / Behörde, BRAK und die Datenschützer. Die BRAK ist dann auf jeden Fall gewillkürter Auftragsdatenverarbeiter der Anwälte mit allen zivil-, straf- und öffentlich-rechtlichen Folgen und kommt aus diesen Pflichten mit dem berufsrechtlichem Hokuspokus nicht mehr heraus, mit dem sie die Anwaltschaft über das beA im Wege der protestatio pflichtwidrig nicht aufklärt. Das Berufsrecht mit der BRAK ist gegenüber den gesetzlichen Regelungen des Mandatsgeheimnisses, Datenschutzes und Mandatsverhältnisses nachrangig.

    • 20.06.2018 15:08, De-mo-krat

      Wegen der gesetzlichen Aufgabe der Brak, einer Körperschaft des öffentlichen Rechts, habe ich Bedenken, die Brak sozusagen im Lager des versendenden und/oder empfangenden Anwalts bzw. als dessen Auftragsdatenverarbeiter zu sehen. Für Schreiben eines Gerichts per beA an den Anwalt verbietet sich das mE schon wegen der gesetzlichen passiven Nutzungspflicht. Letztlich ist es ein staatliches Nachrichtentransportsystem und sollte daher zumindest für Korrespondenz mit Gerichten dem für die gerichtlichen Daten geltendem „Geheimnis“ unterfallen, was sich am besten als (fiktive) Auftragsdatenverarbeitumg der Brak für das jeweilige Gericht erfassen ließe, so aber wohl vom Gesetzgeber nicht angedacht ist, weil ja dann jedes Gericht die Brak kontrollieren könnte. Letztlich besteht das wahre Problem wohl darin, dass für die Brak-Aufgabe beA wichtige und eindeutige gesetzliche Leitlinien fehlen. Dies spricht zumindest für die analoge Anwendung der für das jeweilige Gericht geltenden Geheimnisse, so dass die Gerichtsbarkeit mit dem höchsten Geheimnisniveau - wohl wegen p. 30 Abgabenordnung die Finanzgerichtsbatkeit und das dort geltende Steuergeheimnis - die Pflichten der Brak bzw. ihrer „Amtsträger“ bestimmen dürfte. Ob dies in der bisherigen Diskussion schon so vertreten wird bzw. überlegt wurde, weiß ich allerdings nicht. Wo liegt ggf. mein Denkfehler?

    • 20.06.2018 15:41, RA Heyland

      Lieber De-mo-krat, der Denkfehler liegt hier darin, dass die BRAK den berufsrechtlichen Auftrag aus § 31 BRAO so versteht, dass sie selbst als Auftragsdatenverarbeiter eintritt und sich dazu den ihr untergeordneten Berufsträgern aufzwingt. Daran hindern können Anwälte die BRAK nur dann, wenn sie ein Gericht finden, das dem § 31 BRAO die gesetzliche Reichweite hierfür abspricht, was sehr zweifelhaft ist. Da die BRAK den Auftrag aus § 31 BRAO auch anders erfüllen kann und dann kein Auftragsdatenverarbeiter wäre, ist es für die damit zu befassenden Gerichte nämlich am einfachsten, die BRAK an ihrer Entscheidung festzuhalten und somit für eigentlich den Anwälten zufallenden Pflichten in die - freiwillig gewählte - Mithaftung zu nehmen.

    • 20.06.2018 23:30, RA Heyland

      Soeben lese ich, dass die EU-Gesetzgeber sich auf einen Wortlaut der sogenannten Privacy-VO verständigt haben, mit der im Prinzip das EU-Datenschutzrecht für personenbezogene auf mit diesen zusammenhängende Daten erstreckt wird. Wenn das so im EU-Amtsblatt verkündet wird, kommt es auf die von De-mo-krat angesprochenen unterschiedlichen Rollen nicht mehr an - der EU-Gesetzgeber hat sie dann wie bereits angekündigt im Sinne des Datenschutzrechts egalisiert.

  • 18.06.2018 08:58, M.D.

    Klagebefugnis (-)

    Es besteht eine gesetzlich geregelte Benutzungspflicht. Dies schließt logisch aus, dass man sich wünschen darf, was der Gegenstand der Benutzungspflicht ist.

    Auf diesen Kommentar antworten
    • 18.06.2018 09:21, ana

      Die Nutzungspflicht anzugreifen, wäre besser. Insb. da nun klar ist das das beA nicht mehr kann als DE-Mail auch.
      Müsste da nicht iRd. Verhältnismäßigkeit das Ergebnis klar sein, dass eine Pflicht zur Nutzung des beA nicht gerechtfertigt ist? Denn ein milderes gleich geeignetes Mittel gäbe es ja, nämlich lediglich die (in ZPO schon länger angelegte) Verpflichtung zum Vorhalten einer sicheren elektr. Kommunikation (und für ZPO war DE-Mail auch ohne e2ee "sicher").

    • 18.06.2018 10:25, Ein Berufsträger

      Diese "gesetzliche Regelung" ist grober Unfug bzw. systemwidrig !

    • 18.06.2018 11:47, bergischer Löwe

      Als Bewohner einer Gemeinde besteht zB die Pflicht das Abwassernetz oder die örtliche Müllentsorgung zu nutzen. Konkret wird ihnen aber zudem vorgeschrieben, bestimmte Technik, also Rohre oder Tonnen zu benutzen. Natürlich können sie dagegen vorgehen, nicht eine bestimmte Müllbehältergrösse oder bestimmte Abwassertechnik zu beziehen. Klagebefugnis (+).

    • 18.06.2018 12:33, Dr. Peus

      Die Klage kommt mir bei Durchsicht schlüssig vor. Mein anderweitig auf lto veröffentlichter Anforderungskatalog wird danach nicht erfüllt.

  • 18.06.2018 10:22, Dr. Peus

    a) Braucht man für e2ee-Verschlüsselung eine Lizenz? b) Was kostet die? c) Wer ist ggf.Lizenzinhaber? d) Finanziert der den Wirbel und die Klage?

    Auf diesen Kommentar antworten
  • 18.06.2018 12:48, RA Heyland

    Ich verstehe nicht, warum hier der Kommunikationsablauf nicht ganzheitlich betrachtet wird, wozu gehört, was nach dem Austausch der Kommunikation Anwalt / Gericht oder umgekehrt mit dem Inhalt der Kommunikation passiert:
    - Ein Mandant übermittelt in einem rechtsförmlichen Verfahren mit Hilfe seines Anwaltes eine Stellungnahme, die erst dann an Dritte gelangen soll, wenn der Empfänger sie zur Kenntnis und weiteren Bearbeitung freigegeben hat. Das soll auch umgekehrt so sein und dazu braucht es eine echte E2E-Verschlüsselung.
    - Auf der Mandantenseite gibt es mindestens einen Informationsträger, auf der Seite des Anwaltes diesen und die sonst damit befassten Mitarbeiter, bei Gericht / der Behörde - den von dort benannten Sachbearbeiter. Alle Akteure sind im Prinzip jederzeit durch einen derselben Verschwiegenheit unterliegenden Kollegen austauschbar - was z.T. gesetzlich, z.T. vertraglich so vorgesehen ist.
    - Die Inhalte der Stellungnahme sind so geheim wie der ganze Sachverhalt, um den es im Verfahren geht - im Grunde genommen nicht. Sie werden nach den gleichen Modalitäten an den Verfahrensgegner übermittelt und in regelmäßig öffentlichen Verhandlungen erörtert. Die anschließende Gerichtsentscheidung wird "öffentlich" verkündet und in Entscheidungsdatenbanken öffentlich zugänglich gemacht.

    Es ist lebensfremd und systemwidrig, wenn die dabei erforderliche elektronische Kommunikation nur für den Anwalt zugänglich sein soll, der zwischen Mandant und Behörde mittelt und dazu demnächst ein UKAS aus Berlin kommt, dass es einem Anwalt zur Wahrung des Mandatsgeheimnisses bei Höchststrafe verboten ist, sein beA-Passwort weiterzugeben. Kanzleien mit mehreren Berufsträgern sind arbeitsteilig organisiert - das Aufgabengebiet eines ausscheidenden Kollegen übernimmt ein anderer Kollege, der so die übernommenen Akten nicht bearbeiten kann, weil er kein Zugriffsrecht und keine Zugriffsmöglichkeit hat.

    Sicher und eine echte E2E-Verschlüsselung ist elektronische Kommunikation, wenn die Beteiligten mit einer einen individuellen 128-bit-Verschlüsselungskode verwendenden Software arbeitet und der Schlüssel-Kode unabhängig von den verschlüsselten Informationen zwischen Versender und Empfänger ausgetauscht wird. Genau das ist in dem beA-System aber nicht vorgesehen - weder der Weg zwischen Mandant und HSM, zwischen Anwalt und HSM sowie zwischen Gericht / Behörde und Anwalt über das HSM bieten eine E2E-Verschlüsselung. weil nur verschlüsselt wird, was im HSM ankommt und dieses verlässt. Das Secunet-Gutachten muss eigentlich deutlich sagen, wie das aktuelle beA auf andere Weise vom System her eine echte E2E-Verschlüsselung bietet und was mit den diese Sicherheit unterlaufenden diversen Bruchstellen im beA-Konzept auf dem - elektronischen - Weg zwischen Mandant, Anwalt und Behörden ist - weil es daran hapert, ist die BRAK so zurückhaltend mit Informationen.

    Bei der Diskussionsveranstaltung des DAV zum beA beim kürzlichen Anwaltstag fiel mir eine Seelenverwandtschaft zwischen der auf dem Podium sitzenden BRAK-Geschäftsführerin und dem Vertreter der Softwareindustrie. Es würde mich nicht wundern, wenn da etwas ausgebrütet wird, was Anwälte in Bälde für ihren Kanzleibetrieb benutzen müssen, weil nur das mit dem beA einwandfrei funktioniert. Schließlich muss ja auch die Anwaltschaft so wie die anderen regulierten freien Berufe mit den Vorzügen (und Kosten) einer standesrechtlich einwandfreien elektronischen Datenverarbeitungslösung des Kanzleibetriebs versorgt werden. Ich kenne das Lastenheft der BRAK zum beA nicht, würde mich aber nicht wundern, wenn die aktuelle Diskussion mit genau dieser Zielsetzung dort schon angelegt ist.

    Auf diesen Kommentar antworten
  • 18.06.2018 13:06, M.D.

    Um den ganzen Blödsinn mal auf den Boden der Tatsachen zurückzuholen:

    Das beA löst die Post ab. Zum Mitschreiben: Die P-O-S-T!!!

    Die Post war bislang jedoch nur so sicher, wie der Postbote, der den Brief in den Händen hält. Insoweit dürfte selbst ein theoretisch unter Aufbietung von maximalen Ressourcen und hoher krimineller Energie angreifbares beA immer noch um ein Vielfaches sicherer sein.

    In Frankreich wurden sogar einstmals Briefwahlen abgeschafft, weil man die Post für zu unsicher hielt. https://de.wikipedia.org/wiki/Briefwahl#Frankreich

    Auf diesen Kommentar antworten
    • 18.06.2018 13:13, RA Michael Renz

      @ M.D.
      im Grundsatz teile ich Ihre Meinung zu evtl. überhöhten Sicherheitsanforderungen. Eine 100%ige Sicherheit wird´s nicht geben.

      Nur!!! die Briefpost ist überholt und sollte nicht das Ziel sein, aber trotzdem war sie eben "dezentral" und damit nicht "mit einem Aufwasch" insgesamt zu kontrollieren.
      Langer Rede - kurzer Sinn: beA ist wichtig - aber ob das HSM überlebt (oder überleben sollte) ist m.E. eher fraglich und aus meiner Sicht weder nötig noch sinnvoll. Es stellt ein lohnendes "Atomziel" für viel gefährlichere Angreifer als den "Postboten" oder die "Post-Kommunikationsüberwachung" dar.

  • 18.06.2018 14:39, bergischer Löwe

    Klageschrift hier:
    https://www.bea-aber-sicher.de/sicheres-bea/wp-content/uploads/2018/06/Klageschrift-beA-oeffentliche-Fassung.pdf

    Auf diesen Kommentar antworten
    • 18.06.2018 23:37, DocMarty

      Der Link funktioniert nicht.

    • 20.06.2018 12:14, bergischer Löwe

      Kopieren Sie den link in die Adresszeile ihres Browers und es geht.

    • 21.06.2018 17:39, RAin Marion Lichti

      bei dem link kommt bei mir "not found"

  • 18.06.2018 21:16, urteile-gesetze.deVistenkarte

    Das Entschlüsseln der Nachricht unterwegs ist ein zusätzlicher Aufwand. Eine E2EE Verschlüsselung wäre einfacher zu realisieren, da das Umschlüsseln der Nachricht nicht umgesetzt werden müsste.

    Daher stellt sich mir die Frage, ob die Sicherheitslücke gewünscht war.

    Auf diesen Kommentar antworten
  • 19.06.2018 09:36, Tallinn

    Als juristischer Laie verstehe ich etwas nicht: im ERV ist ausdrücklich auch De-Mail zugelassen. Bei De-Mail gibt es eine Verschlüsselung nur bei der Übertragung, nicht aber bei der Zwischenspeicherung oder Ablage von Nachrichten auf den De-Mail-Server, da liegen die dann im Klartext herum, es sei denn, die Kommunikationspartner haben (freiwillig) eine e2e-Verschlüsselung wie PGP oder S/MIME (mit eigenen Mitteln) oben drüber gestülpt (was beim beA auch ginge). Wieso verstösst das beA in seiner jetzigen Gestalt gegen das Recht mit einer viel besseren, wennschon nicht perfekten Unterstützung für Verschlüsselung?

    Auf diesen Kommentar antworten
    • 19.06.2018 17:03, RA Heyland

      Die Antwort auf diese Frage ist ganz einfach - es ist ein System, das ohne Mitwirkung der BRAK stattfindet. Das beA hat eigentlich die Funktion, der BRAK eine ihre Existenz sichernde Aufgabe zu verschaffen. Das ist die von den am Gesetzgebungsverfahren Beteiligten unter der Hand als Grund genannt worden, warum man diese Regelung überhaupt geschaffen hat. Zur Ehrenrettung der MdBs muss man ergänzen, dass diese nicht ahnen konnten, was die BRAK mit Duldung des BMJ daraus machen würde. Abgeordnete leiden schon seit langem an den Folgen der unausrottbaren Annahme, dass das Kammerwesen unter Anleitung der ministeriellen Aufsicht nur Gutes hervorbringe.

    • 19.06.2018 19:12, RA Gunther Marko, Sulz am Neckar

      @"RA Heyland":
      Sehr gut, Herr Kollege.
      Mit Ausnahme dessen, dass es KEINERLEI Grund für auch nur IRGENDEINE "Ehrenrettung der MdBs" gibt !
      Zumindest nicht in diesem Zusammenhang.
      Von einer "Aufsicht", die hier beispielsweise notwendig ist, keine Spur !
      Die BRAK handelt OHNE BEFUGNIS in Bezug auf das "beA".
      Einmal ganz abgesehen von der horrenden Geldverschwendung.
      Der offenbar in die Welt gesetzte 31 I BRAO ist systemwidrig.
      U.a. dafür wird auch der EX- BjM sich noch verantworten müssen.
      Meine Begründung dazu im einzelnen würde hier den Rahmen sprengen.
      Es stimmt allerdings.

      Frage:
      Welche Lösung schlagen SIE denn bitte vor ?

    • 19.06.2018 23:56, RA Heyland

      Wir diskutieren über eine Insellösung der elektronischen Kommunikation für Anwälte, mit der sich die BRAK Zugriff auf zum Teil obligatorisch hierüber zu versendende Kommunikationen der Anwälte verschafft. Nur da sollen besonders hohe Sicherheitsanforderungen gelten, um Spionage und Mißbrauch des Kommunikationsweges zu vermeiden. Über die mindestens ebenso schützenswerten anderen Verfahrensbeteiligten - Mandant, Gericht / Behörde - wird kein Wort verloren und der Umgang mit diesen durch das beA-Konzept der BRAK ist mehr als anmaßend. Angemessen ist es, in die bereits bestehenden elektronischen Kommunikationswege einen besonderen Schutz für der Verschwiegenheitspflicht unterliegende Daten einzubauen, die schon aufgrund des gesetzlichen Datenschutzes gewisse Sicherheiten bieten müssen:

      - Es gibt kommerzielle Anbieter, bei denen man mit Hilfe eines Schlüssels Daten ablegen kann, dem Empfänger dies mitteilt und dieser die Daten mit dem nur ihm bekannten Schlüssel herunterlädt.

      - Man kann De-Mail und EGVP auf verschlüsselte Kommunikationen ertüchtigen oder über diese Postfächer verschlüsselte Dateien austauschen. So wird ein amtlich eingerichtetes, bereits laufendes System eingesetzt.

  • 21.06.2018 20:23, RA Heyland

    Ich hatte dasselbe Problem mit dem Link zu der Klageschrift wie die Kollegen. Man kann sich damit behelfen, die Website aufzurufen, zu der der Link führt :
    https://www.bea-aber-sicher.de/sicheres-bea/
    und navigiert sich von dort zu der Klagschrift. Das ist ziemlich einfach zu tun.
    Die Klageschrift wird dort mit der Adresse angezeigt, die in dem Link steht,, was aber keine Garantie dafür ist, dass sie immer aus allen Browsern direkt ansprechbar ist.

    Auf diesen Kommentar antworten
  • 25.06.2018 09:42, RA Nick

    Habe gerade die Rechnung für die ZERTIFIERUNG erhalten.
    Bea läuft doch gar nicht.

    Hat einer der Kollegen eine Idee, wo/bei wem ich den Schadensersatz für diese unnützen Kosten einfordern kann?
    (Bitte nicht wieder mit linke Tasche/rechte Tasche argumentieren. Die BRAK hat Mist gebaut und ich sehe es nicht ein, ständig der Dumme zu sein. Sind wir Anwälte sowieso immer (Stichtwort/satz: Haftung für fehlerhafte Rechtsmittelbelehrungen, weil Richter keine Ahnung im Familienrecht haben müssen) , aber langsam habe ich es satt).

    Auf diesen Kommentar antworten
    • 25.06.2018 10:25, Heinz-Ulrich Schwarz

      Ich habe der BNotK auf die Rechnung das geantwortet:

      ich widerrufe die Einzugsermächtigung. Ich bin bereit, dann und für Zeiträume zu zahlen, wenn ich die Karte nutzen kann. Bitte wenden Sie sich solang gerne direkt an die BRAK.

      Sollten Sie denn den Lastschrifteinzug versuchen, werde ich das der Bafin anzeigen müssen.

      Ich bitte freundlich um eine kurze Bestätigung, dass Sie den Widerruf beachten werden.

Neuer Kommentar