Dass die E-Mail-Kommunikation von Rechtsanwältinnen und Rechtsanwälten als Berufsgeheimnisträger mit Betroffenen ein von Zeit zu Zeit wiederkehrendes Thema beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) ist, zeigten bereits die Tätigkeitsberichte des BayLDA aus 2019 und 2023 – wir berichteten.
Nun äußert sich das BayLDA in seinem aktuellen Tätigkeitsbericht 2025 erneut zu diesem Thema.
Festhalten an bisherigen Aussagen
Zunächst bekräftigte das BayLDA seine bisherigen Aussagen hinsichtlich der Erforderlichkeit der Transportverschlüsselung von E-Mails sowie der Inhaltsverschlüsselung im Falle von Inhaltsdaten mit hohem Risiko für die Rechte und Freiheiten der Betroffenen, bspw. bei besonderen Kategorien personenbezogener Daten oder anderen sensiblen Informationen.
Kernaussage: Technische und organisatorische Maßnahmen stehen nicht zur Disposition
Art. 32 DSGVO verpflichtet den Verantwortlichen und den Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Über diese datenschutzrechtliche Anforderung können die Beteiligten grundsätzlich auch nicht frei verfügen, viel mehr stellt die Gewährleistung hinreichender technischer und organisatorischer Maßnahmen eine obligatorische Verpflichtung des Verantwortlichen bzw. Auftragsverarbeiters dar.
Zwar kann ein Betroffener hinsichtlich einer konkreten ihn betreffenden Datenverarbeitung als Ausdruck seines Selbstbestimmungsrechts durchaus auf die Einhaltung eines angemessenen Schutzniveaus verzichten. Diese Möglichkeit entbindet Verantwortliche und damit auch Rechtsanwälte jedoch nicht davon, überhaupt einmal sichere Übermittlungsformen anbieten zu müssen. Insbesondere hilft ein genereller Hinweis auf eine unsichere Übermittlung und die Einholung einer „pauschalen“ Einwilligung Betroffener nicht über diese Verpflichtung hinweg. Hinreichende technische und organisatorische Maßnahmen müssen stets von den Verantwortlichen angeboten werden. Erst und nur wenn entsprechend sichere Übermittlungsformen in einem ersten Schritt überhaupt angeboten werden, kann auf diese in einem nächsten Schritt im Einzelfall durch die betroffene Person verzichtet werden.
Des Weiteren setzen auch die Rechte Dritter einem Verzicht auf angemessene technische und organisatorische Maßnahmen Grenzen: Sensible personenbezogene Daten Dritter mit einem hohen Risiko sind laut Aufsichtsbehörde zwingend inhaltlich zu verschlüsseln.
Fehlversand einer E-Mail als klassische Datenpanne
Dass ein Fehlversand einer E-Mail (samt Vertragsentwurfs) seitens einer Rechtsanwältin und Notarin neben einer meldepflichtigen Datenpanne auch zu einem regen Austausch mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit führen kann, zeigt der 8. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen: Dort hatte eine Rechtsanwältin und Notarin den Fehlversand der E-Mail als Datenpanne gemeldet. Die Aufsichtsbehörde forderte hierauf im Rahmen der Prüfung der Meldung die fehlversandte E-Mail samt Vertragsentwurf an. Die Rechtsanwältin und Notarin lehnte dies unter Hinweis auf das Berufsgeheimnis und ein entsprechendes Schreiben des Landgerichts Bremen ab. Der Landesbeauftragte für Datenschutz und Informationsfreiheit stellte anschließend klar, dass die Führung eines datenschutzaufsichtsbehördlichen Verfahrens nicht zur Amtsführung einer Notarin und Rechtsanwältin zählt und damit nicht unter die Befugnisse des Landgerichts Bremen fällt. Im Übrigen wurde klargestellt, dass Art. 58 Abs. 1 lit. a DSGVO den Aufsichtsbehörden das Recht erteilt, Informationen von Verantwortlichen oder Auftragsverarbeitern anzufordern, die für die Erfüllung ihrer Aufgaben erforderlich sind und die Datenschutzgrundverordnung letztlich Anwendungsvorrang gegenüber nationalen Vorschriften hat.
Fazit
Auch Rechtsanwälte und Rechtsanwältinnen als Berufsgeheimnisträger müssen hinreichende technische und organisatorische Maßnahmen (vorliegend im Rahmen der E-Mail-Kommunikation) gewährleisten bzw. anbieten können und dürfen sich nicht auf eine generell unsichere Kommunikation und eine „Pauschaleinwilligung“ der Betroffenen berufen. Vielleicht vermag eine Inhaltsverschlüsselung sogar im Einzelfall die Meldung einer Datenpanne und eine Auseinandersetzung mit der Aufsichtsbehörde zu verhindern.
30. April 2026 @ 11:44
„Erforderlichkeit der Transportverschlüsselung“ – guten Morgen! Transportverschlüsselung bei E-Mail ist sein zehn Jahren Standard bei ALLEN Anbietern. Viel wichtiger wäre, US-Provider (AOL, Apple, Google, Microsoft (hotmail, aoutlook), Yahoo) zu verbieten. Der Provider kann ja mindestens die Metadaten abgreifen (wer wann mit wem), und aus denen lässt sich schon allerhand ablesen; Inhalte im Klartext werden zur Pflege von persönlichen Profilen ausgeschlachtet.