Emailsicherheit bei Anwälten

Wenn ich im folgenden von (Rechts-)Anwälten schreibe, dann meine ich natürlich Anwälte jedes Geschlechts.

Rechtsanwälte nehmen sich in ihrer Berufsordnung ein Sonderrecht heraus – unverschlüsselte Kommunikation mit Einwilligung des Mandanten. Das ist nach Ansicht der Datenschutzkonferenz nicht erlaubt oder allenfalls auf ausdrücklichen aktiven Wunsch des Kunden – siehe Ist Artikel 32 dispositiv? – und der wird selten vorliegen. Wer außer Fachleuten versteht denn wirklich um was es geht?

Die Orientierungshilfe zur Emailverschlüsselung legt Berufsgeheimnisträgern, also auch Anwälten, die qualifizierte Transportverschlüsselung und PGP oder S/MIME nahe, zumindest wird aber die obligatorische Transportverschlüsselung verlangt. Dass qualifizierte Transportverschlüsselung und PGP oder S/MIME zusammen wenig Sinn ergibt, und PGP und S/MIME auch nicht wirklich sinnvoll ist habe ich in Email-Verschlüsselung ausgeführt. Qualifizierte Transportverschlüsselung ist aber sinnvoll und möglich. Ob jetzt ein hohes Risiko im Einzelfall besteht, wird auch vom Kontext oder Verfahren abhängen, insofern halte ich es für problematisch, wenn man qualifizierte Transportverschlüsselung nicht kann, oder weil es bei Kommunikation sowieso mindestens zwei braucht, nicht zumindest seine eigenen Hausaufgaben macht.

BORA §2
(1)
...
(2)
Die Verschwiegenheitspflicht gebietet es dem Rechtsanwalt, die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. Technische Maßnahmen sind hierzu ausreichend, soweit sie im Falle der Anwendbarkeit der Vorschriften zum Schutz personenbezogener Daten deren Anforderungen entsprechen. Sonstige technische Maßnahmen müssen ebenfalls dem Stand der Technik entsprechen. Abs. 4 lit. c) bleibt hiervon unberührt.

Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.
...

Der erste Unterabschnitt liest sich völlig in Ordnung. Nur der zweite hat es in sich: wenn der Anwalt gar keine Transportverschlüsselung anbietet, dann wird der normale Mandant das überhaupt nicht mitbekommen, denn die allermeisten Emailserver auf der Welt sind so konfiguriert, dass sie dann versuchen, die Email unverschlüsselt senden. Auch dann, wenn der Emailserver des Kunden Verschlüsselung beherrscht. Dann ist das "... wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt" schon erfüllt.

Liebe Anwälte, nehmen Sie Ihre Pflichten aus BORA §2 (2) Sätze 1-4 und DSGVO Artikel 32 doch bitte ernst! Realisieren Sie qualifizierte Transportverschlüsselung mit Ihrem Emailserver. Die paar Euronen die das vielleicht mehr kostet sind sinnvoll investiert. Streichen Sie die Sätze 5-7 – die waren sowieso umstritten.

Ein Ärgernis in meinen Augen, und als ich meine Analyse Emailsicherheit bei öffentlichen Einrichtungen machte, dachte ich, woher kann ich die Emailadressen von Anwälten bekommen um auch da mal einen Status zu ermitteln.

Datenquelle?

Die Emailadressen kommen vom Deutschen Anwaltsverein. Nein, der hat mir die nicht freiwillig gegeben. Ich glaube nicht, dass der Deutsche Anwaltsverein meine Analyse unterstützt hätte. Aber der Deutsche Anwaltsverein bietet auf eine Anwaltssuche an, und die liefert ganz ohne Suchkriterium immer zehn zufällige Anwälte. Klasse. Wenn man diese Suche oft genug aufruft, kann man ganz viele Adressen sammeln. Wer sich mit Wahrscheinlichkeiten ein bisschen auskennt, dem ist klar, dass es ganz schwierig ist, alle abzugreifen, die letzten Prozente werden immer schwieriger. Aber 50-70% schafft man relativ leicht – vorausgesetzt die Logik ist wirklich zufällig. Im Vergleich zum Blättern über eine Treffermenge hat dieser Ansatz den Vorteil dass man deutlich weniger Logik realisieren muss, und dass man mit Blättern wirklich alle Anwälte zu sehen bekommt kann ich mir nicht vorstellen.

In jedem dieser Treffer ist eine URL zu einer Anwaltsseite, unter der man dann Informationen zu genau diesem Anwalt abrufen kann – da kann es dann auch vorkommen, dass keine Email sondern nur eine Telefonnummer angegeben ist.Jedenfalls hatte ich am Ende eines Tages von den rund 58.000 Anwälten ca. 46.000 Anwaltvisitenkarten mit ca. 44.000 Emailadressen abgegriffen. Da sind dann rund 4.000 Doubletten drin (in vielen Fällen vermutlich weil die Emailadresse die Kontaktadresse der Kanzlei statt due persönliche Emailadresse ist), also bleiben gut 40.000 Emailadressen für die Analyse.

Die Anwaltssuche ist super schnell und stabil. Im Ernst, ich hatte eigentlich damit gerechnet, dass ich nach den ersten 1.000 Suchanfragen irgendwann mal gebremst oder geblockt werde – aber nichts dergleichen. Die genaue Zahl der Abfragen weiß ich nicht, aber es waren bestimmt über 50.000. Selbst wenn ein Dax-Konzern eine deutsche Niederlassungen schließen würde, gäbe es vermutlich weniger Abfragen. Wenn man nicht möchte, dass jemand alle Daten abgreift und dafür kein Berechtigungskonzept hat, dann sollte man wenigstens ein Quota einführen (siehe auch Bedrohungsmodellierung). Auch hatte ich erwartet, dass irgendwo steht, ich darf das nicht, aber nein. Eine Datenschutzerklärung gibt es auch nicht. Das bremst mein schlechtes Gewissen doch, die Daten werden also nicht geschützt. Und im weiteren Sinne hab ich ja auch eine Kontaktaufnahme durchgeführt, wenn auch nur auf der technischen Ebene. Und wieso muss die Anwaltssuche Usercentrics informieren, dass ich die Seite benutze? Ohne dass ich da widersprechen kann? Ich werde ja nach gar nichts gefragt dem ich zustimmen soll – wozu dann ein Consenttool? Das entspricht nicht meinem Verständnis des TTDSGs und von Datensparsamkeit.

Worauf kommt es an? und was machen meine Testskripte? Probleme mit der Datenqualität?

Hier brauche ich mich nicht zu wiederholen, das steht auf Emailsicherheit bei öffentlichen Einrichtungen. Allerdings gab es bei den Anwälten deutlich weniger falsche Emailadressen.

Ergebnisse?

Damit die Tabelle nicht zu groß wird sind in der folgenden Tabelle wieder nur Betreiber vertreten, die mehr als 100 Emailadressen betreuen. United Internet auch hier unter den besseren und nur mit den eigenen Domänen grün, und auch hier wieder dtag.de rot, aber nicht unter den Betreibern mit mehr als 100 Mailadressen der Stichprobe. Neu zumindest für mich: one.com und Datev zeigen, dass auch DNSSEC und qualifizierte Transportverschlüsselung umsetzbar sind, wenn Domäne und Betreiber unterschiedlich sind. Aber auch da klappt es nicht immer. Insgesamt viel zu wenig grün – denn das kann man bei Berufsgeheimnisträgern erwarten.

Der Farbcode bedeutet (wie bei der vorhergehenden Auswertung):

grün
DNSSEC, TLS und gültige Zertifikate
weiß
TLS und gültige Zertifikate
gelb
TLS aber keine gültigen Zertifikate
rot
kein TLS – in meinen Augen ein klarer Verstoß gegen den Datenschutz
grau
siehe Kommentar – meist Ziel knapp verfehlt
GesamtergebnisAnzahl MailadressenAnzahl DomänenVerschlüsselung (TLS)Geeignete ZertifikateQualifizierte Transport­ver­schlüsselung Kommentare
Insgesamt43216233252198018653226(Doppelzählungen möglich)
Probleme207467223099
BetreiberAnzahl MailadressenAnzahl DomänenVerschlüsselung (TLS)Geeignete ZertifikateQualifizierte Transport­ver­schlüsselungKommentare
outlook.com54103116310731060Meine IP steht auf Microsofts Blacklist für das "private" outlook.com – m.W. immer TLS und gültige Zertifikate
kundenserver.de39683063306330620
rzone.de37013127312731270
t-online.de36275095095090
ispgateway.de13491018101810180
gmx.net12399292925gmx.net selbst grün, Aliase nicht
web.de11086363631web.de selbst grün, "Wunsch-Domain" bietet anscheinend kein DNSSEC
kasserver.com10378708708700
schlund.de99574974900
datevnet.de9335425425428
datevnet.com9215345345348
ionos.de6345335335330
antispameurope.com5762652652650
google.com5601491491490
mimecast.com4715555550
yahoodns.net3999990
agenturserver.de3562532532530
hostedoffice.ag3011981981980
hornetsecurity.com2901611611610
outlook.de2431491491490
pphosted.com2403636360
udag.de2131921921920
rox.net1899797970
jimdo.com18516716700
secure-mailgate.com1791211211210
freenet.de1713737374
vodafonemail.de1656661
expurgate.net1326140400
trendmicro.eu1184141410
one.com11010110110196
oevermann.de1071313130
hostedemail.com96908900
ewetel.de941313130

Wie sieht es bei Ihnen aus?

Natürlich habe ich auch Ergebnisse nach Domänen, aber inzwischen können Sie auch ganz einfach meinen Email-Sicherheits-Test verwenden. Der verrät Ihnen dann auch etwas über die gesendeten Mails.

Anfragen?

ErstelltGeändertStatusBehördeThema
23.11.202103.03.2022ErfolgreichKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderArtikel 32 DSGVO – Dispositiv?
Die Datenschutzkonferenz hat am 24.11.2021 beschlossen, dass ein Verzicht auf TOMs (Artikel 32) nur in Ausnahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist. Jede formularmäßige Verwendung dürfte damit ausscheiden.
26.11.202114.04.2022EingeschlafenBundesrechtsanwaltskammerVerzicht auf TOMs, insbesondere Verschlüsselung – BRAO §2?
Die Anwälte erlauben sich, Artikel 32 DSGVO zu ignorieren, und der BfDI unternimmt nichts. Mehr auf https://blog.lindenberg.one/EmailsicherheitAnwalte und https://blog.lindenberg.one/AufsichtOhneOrientierung.

Veröffentlicht am 04.02.2022

© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.