Fragen und Antworten zur WebAkte

Fragen und Antworten zur WebAkte
Sie sind Anwalt und haben Fragen zu Datenschutz und Datensicherheit bei der Nutzung der
WebAkte? Das ehrt Sie, denn es zeigt, dass Ihnen das Thema wichtig ist. Und das geht uns
genauso!
Im Interesse der Transparenz beantworten wir hier Ihre berechtigten Fragen.
Sie interessiert, …
1. …. was bei der Nutzung der WebAkte mit den Daten geschieht 
2. …. ob ich der e.Consult AG vertrauen kann 
3. …. ob und wie ich die WebAkte ohne rechtliche Bedenken nutzen kann 
 1. Was geschieht mit den Daten bei der Nutzung der WebAkte?
Ich sende via WebAkte eine Nachricht (ggf. mit Dateianhängen) an meinen Mandanten.
Was passiert mit meinen mandatsbezogenen Daten?
Bei der Nutzung der WebAkte in der Kommunikation zwischen Anwälten, Mandanten und
Versicherern werden naturgemäß sensible Daten verarbeitet. Wenn Sie eine Nachricht über
die WebAkte absenden, wird diese zunächst über das Internet auf den Server der e.Consult
AG transportiert. Für diesen Vorgang wird Ihre Nachricht verschlüsselt, d.h. sie ist für Dritte
während des Übermittlungsvorgangs nicht lesbar. Auf dem WebAkte-Server wird Ihre
Nachricht dann (unverschlüsselt) abgelegt. Der von Ihnen autorisierte Mandant stellt
mittels seiner Zugangsdaten eine Verbindung zum WebAkte-Server her und nimmt Zugriff
auf die hinterlegte Nachricht. Auch für diesen Vorgang wird die Nachricht wieder
verschlüsselt, so dass sie für Dritte unlesbar ist.
Die Übermittlungsvorgänge sind damit also sicher; aber auf dem Server liegt die
Nachricht in lesbarer Form?
Richtig, insofern besteht die theoretische Möglichkeit (ausschließlich) für den e.Consult AG
- Administrator, Kenntnis von Inhalten der Nachricht zu nehmen. Dabei muss aber zunächst
einmal das Kommunikationsvolumen des Systems beachtet werden, welches ein gezieltes
Herausgreifen einzelner Inhalte unrealistisch erscheinen lässt.
Der in Betracht kommende Personenkreis unterliegt übrigens dem Fernmeldegeheimnis,
dessen Verletzung mit Freiheitsstrafe bis zu 5 Jahren bewehrt ist; die Verletzung der
Schweigepflicht durch einen Rechtsanwalt ist dagegen (lediglich) mit Freiheitstrafe bis zu
einem Jahr bewehrt.
Das Risiko eines Ausspähens von Inhalten ist daher auf Fälle kriminellen Vorgehens des
Administrators beschränkt, dieses ist allerdings keinesfalls höher als bei Versendung eines
Briefes per Normalpost.
Warum wird die Nachricht nicht verschlüsselt, wenn sie auf dem WebAkte-Server
hinterlegt wird?
Ein Verschlüsseln nur im Zusammenhang mit der Hinterlegung ergäbe keinen Sinn, da der
Administrator in diesem Fall über den Schlüssel verfügte, so dass kein Unterschied zur
bestehenden Situation vorläge.
Warum wird die Nachricht nicht beim Absenden verschlüsselt und bleibt es dann bis zur
Entschlüsselung beim Empfänger?
Diese so genannte Ende-zu-Ende-Verschlüsselung hat erhebliche Nachteile:
Insbesondere muss sich der Absender mit jedem möglichen Empfänger auf ein
Verschlüsselungsverfahren und zugehörige Schlüssel einigen. Das macht dieses Verfahren
außerordentlich unpraktisch.
Ihre Nachricht könnte auch nicht, wie es bei der WebAkte der Fall ist, im Rechenzentrum
wirksam einem Virenscan unterzogen werden, da eine Verschlüsselung auch Hinweise auf
Computerviren verschleiern würde.
Außerdem wäre die Funktionalität der WebAkte an wichtigen Stellen eingeschränkt; so
wäre zum Beispiel keine Volltextsuche möglich oder die nachträgliche Einrichtung einer
Berechtigung.
Übrigens:
Wenn Sie Ihre Nachricht (im Einzelfall) selbst verschlüsseln und Sie sich mit dem Empfänger
auf Verschlüsselungsverfahren und Schlüssel geeinigt haben, steht dies der Nutzung der
WebAkte keineswegs entgegen. Selbstverständlich können Sie auch dann die WebAkte als
Kommunikationsweg nutzen.
Wo befinden sich die Daten meiner Nachricht letztendlich?
Die Nachricht werden Sie zunächst lokal auf Ihrem Rechner im Büro bzw. in Ihrem
Kanzleiprogramm gespeichert haben. Nach der verschlüsselten Versendung liegt sie ebenso
auf dem WebAkte-Server im sicherheitszertifizierten Rechenzentrum der DATEV in
Nürnberg. Nach dem (wiederum verschlüsselten) Abrufvorgang liegt sie nunmehr auch dem
Mandanten vor.
Beachten Sie, dass Ihre Nachricht niemals in lesbarer Form das Inland verlässt – ein
maßgeblicher Unterschied zu E-Mail-Versendung und den gängigen Cloud-Lösungen.
Können Unbefugte sich Zugang zum Inhalt meiner Nachricht verschaffen?
Ihre Nachricht ist bei den Übermittlungsvorgängen hochgradig verschlüsselt, so dass es
nach menschlichem Ermessen praktisch ausgeschlossen ist, dass Unbefugte davon Kenntnis
erlangen können.
Ein Zugriff von außen auf den WebAkte-Server bei DATEV ist ebenfalls außerordentlich
unwahrscheinlich vor dem Hintergrund der dortigen Sicherheitsvorkehrungen, die keinen
Vergleich zu scheuen brauchen – und zwar weltweit.
Sagen wir es (bescheiden) so: Die Sicherheitsvorkehrungen der WebAkte stehen gewiss
nicht hinter denjenigen Ihrer Kanzlei oder Ihres Mandanten zurück. Das heißt, wenn
jemand es auf Ihre Nachricht abgesehen hätte, würde er sich deutlich leichter tun, sie von
Ihnen oder Ihrem Mandanten zu erhalten, als dies über die WebAkte zu versuchen.
Dürfen Ermittlungsbehörden Zugriff auf Inhalte Ihrer per WebAkte übersendeten
Nachricht nehmen?
Wird gegen Ihren Mandanten ermittelt und sind Sie als Anwalt von Ermittlungsmaßnahmen
betroffen, kommt in Betracht das auch elektronisch gespeicherte Daten förmlich
beschlagnahmt werden. Allerdings sind bestimmte „Gegenstände“ von der Beschlagnahme
befreit, insbesondere wenn sie sich im Gewahrsam des Anwalts befinden oder es sich um
Verteidigungsunterlagen handelt oder aus einem Beweisverwertungsverbot ein
Beschlagnahmeverbot folgt.
Die Frage, ob es einen Unterschied macht, dass Ihre Nachricht als elektronisches Dokument
auf Ihrem Computer lokal gespeichert ist oder auf dem WebAkte-Server liegt, kann wie
folgt zusammenfassend beantwortet werden:
Handelt es sich bei Ihrer Nachricht um „Verteidigungsunterlagen“ im Sinne des § 148 StPO,
so darf sie nicht beschlagnahmt werden, ganz gleich, wo sie sich befindet.
Handelt es sich bei Ihrer Nachricht um „schriftliche Mitteilungen zwischen dem
Beschuldigten“ und Ihnen oder um Aufzeichnungen gemäß § 97 StPO, so unterliegt diese
nicht der Beschlagnahme, wenn sie sich in Ihrem Gewahrsam befindet; davon wird man
nach heutiger Rechtslage nicht ausgehen können, wenn sich diese Mitteilungen oder
Aufzeichnungen auf dem WebAkte-Server befinden. Hier ist also Zurückhaltung geboten.
Grundsätzlich ist eine Beschlagnahme dann unzulässig, wenn bereits im Vorhinein
erkennbar ein Beweisverwertungsverbot vorliegt; dies ist stets im Einzelfall zu entscheiden.
Im Übrigen würde die Beschlagnahme Ihrer sich auf dem WebAkte-Server befindlichen
Nachricht einen Grundrechtseingriff (Art. 10 GG) darstellen, der einer gesetzlichen
Grundlage bedarf. Nach wohl herrschender Meinung ist der gesamte
Telekommunikationsvorgang einschließlich der Speicherung auf dem Server als Einheit zu
sehen.
Eine gesetzliche Grundlage für die Überwachung der Telekommunikation stellt § 100a StPO
dar (Verdacht einer schweren Katalog-Straftat).
Bitte beachten Sie, dass es sich hier um eine stark verkürzte Darstellung handelt, wobei im
Ergebnis festgehalten werden kann, dass im Wesentlichen bei schweren Straftaten ein
Zugriff der Strafverfolgungsbehörden auf Ihre Nachricht nicht ausgeschlossen werden kann.
 2. Kann ich der e.Consult AG vertrauen?
e.Consult AG wirbt mit der sicheren Kommunikation über die WebAkte. Wie ist es darum
bestellt?
e.Consult AG arbeitet auf der Grundlage eines umfänglichen Datenschutz- und
Datensicherheitskonzeptes, von dem Sie eine Kurzform unter „Datenschutz“ hinterlegt
finden.
Die Idee des Datenschutz- und Sicherheitskonzeptes der e.Consult AG ist es, insbesondere
zu gewährleisten, dass - zum Schutze aller Betroffenen - mit Ihren personenbezogenen
Daten und denjenigen Ihrer Mandanten (sowie auch denjenigen der eigenen Mitarbeiter)
in höchstem Maße verantwortungsvoll umgegangen wird.
Dieses reicht von der Bestellung eines betrieblichen Datenschutzbeauftragten, über die
Verpflichtung aller Mitarbeiter auf das Datenschutz- und Fernmeldegeheimnis bis zur
Umsetzung und Dokumentation der umfänglichen technischen und organisatorischen
Maßnahmen, die der Betrieb der WebAkte erfordert.
Als Beleg der seriösen Umsetzung mag die jährliche Zertifizierung durch den TÜV Süd
basierend u. a. auf PPP 13011.2008 (Datensicherheit) dienen. Das Zertifikat könne Sie
ebenfalls unter „Datenschutz“ einsehen.
Bedient e.Consult AG sich anderer Unternehmen als Dienstleister?
Ja, das tut fast jedes Unternehmen. Es handelt sich z. B. um Rechenzentren und Provider,
Reinigungsunternehmen und Aktenvernichter. Alle Dienstleister, die für e.Consult AG tätig
sind, unterliegen der regelmäßigen Kontrolle des Datenschutzbeauftragten gemäß § 11
BDSG;
mit
ihnen
bestehen
schriftliche,
rechtsichere
Verträge
zur
Auftragsdatenverarbeitung.
Bezogen auf den Betrieb der WebAkte bedient sich e.Consult AG ausschließlich der DATEV
e.G. als Betreiber des Rechenzentrums. Die DATEV ist unter anderem nach § 9a BDSG und
gemäß ISO 27001 zertifiziert, wird aber gleichwohl auch der regelmäßigen Kontrolle des
Datenschutzbeauftragten der e.Consult AG unterzogen.
Das DATEV-Rechenzentrum ist auf vier Standorte verteilt (alle in Nürnberg) und bietet mit
Blick auf Ausfallsicherheit und Verwirklichung von Datenschutz und Datensicherheit einen
Höchststandard. Weitere Informationen erhalten Sie unter www.datev.de .
Wie wird die Verschlüsselung umgesetzt?
Die Verbindungen zum WebAkte-Server werden bekanntlich verschlüsselt. e.Consult AG
bedient sich dabei des Produkts des Weltmarktführers Symantec.
Die Verschlüsselung erfolgt mit bis zu 256 Bit, mindestens aber mit 128 Bit.
Details zur Verschlüsselung erhalten Sie, wenn Sie auf das „Schloss“-Symbol vorne in der
Adressleiste Ihres Browser klicken, während Sie Ihre Verbindung zur WebAkte aufgebaut
haben.
 3. Kann ich die WebAkte ohne rechtliche Bedenken nutzen?
Gilt für mich als Anwalt das Bundesdatenschutzgesetz?
Auch für Anwälte gelten die Vorschriften des BDSG. Die Kommunikation über die WebAkte
beispielsweise mit Mandanten kann datenschutzrechtlich als Auftragsdatenverarbeitung
eingestuft werden. Es handelt sich dabei um einen gesetzlich privilegierten Vorgang, denn
e.Consult AG behandelt Ihre Daten ausschließlich und streng nach Ihren Weisungen, d. h.
Sie bleiben stets „Herr über die Daten“ in Ihrer WebAkte, und die e.Consult AG wird
datenschutzrechtlich so behandelt, als sei sie ein Bestandteil Ihrer Anwaltskanzlei. Im
Sinne des BDSG liegt mithin kein „Übermitteln“ vor, welches wesentlich strengeren
Voraussetzungen unterläge.
Um in den Genuss dieses Privilegs zu kommen, ist es erforderlich, dass Sie mit e.Consult AG
gemäß § 11 Absatz 2 Satz 2 BDSG einen schriftlichen Auftragsdatenverarbeitungsvertrag
schließen. Einen entsprechenden Vertragsentwurf können Sie bei e.Consult AG anfordern.
Ich unterliege als Anwalt gemäß § 43 Absatz 2 BRAO der Verschwiegenheit und mache
mich bei Verstößen hiergegen sogar strafbar. Kann ich insoweit die WebAkte
bedenkenlos verwenden?
Eine sehr berechtigte und wichtige Frage.
Die Übermittlung mandatsbezogener Daten an den WebAkte-Server und von dort an den
jeweiligen Empfänger erfolgt bekanntlich verschlüsselt. Insoweit liegt bereits
tatbestandlich kein „Offenbaren“ von geheimnisgeschützten Tatsachen vor.
Auf dem WebAkte-Server liegen die Daten dagegen unverschlüsselt, so dass sie
(theoretisch) von einem Dritten, nämlich dem Administrator der e.Consult AG, zur
Kenntnis genommen werden könnten. Dienstleister, wie e.Consult AG bzw. ihre
Mitarbeiter, sind nach wohl herrschender Meinung keine Gehilfen i. S. d. § 203 Abs. 3 Satz
2 StGB. Ihnen gegenüber kann daher ein „Offenbaren“ vorliegen.
Das Auslagern von Daten stellt aber nur dann einen Verstoß gegen die
Verschwiegenheitspflicht dar, wenn das Offenbaren in unbefugter Weise erfolgt. Das ist
anerkanntermaßen nicht der Fall, wenn ein ausdrückliches oder konkludentes
Einverständnis des Mandanten vorliegt.
Die Einholung des ausdrücklichen Einverständnisses im Rahmen der Mandatserteilung zur
Auslagerung von Dienstleistungen dürfte die Ausnahme sein.
Sehr häufig liegt aber ein konkludentes Einverständnis des Mandanten zur Weitergabe von
Geheimnissen vor, konkret beispielsweise dann, wenn der Mandant Ihnen seine E-MailAdresse preisgibt.
Allerdings birgt die Annahme eines konkludenten Einverständnisses eine restliche
Rechtsunsicherheit. Diese wird mit dem neuen § 2 BORA ausgeräumt:
Ein Verstoß liegt demgemäß dann nicht vor, wenn die „Inanspruchnahme Dritter …
objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen
Leben entspricht (Sozialadäquanz)“:
Sie haben mit der e.Consult AG einen seriösen und TÜV-zertifizierten Dienstleister
ausgewählt, der sich Ihnen gegenüber zur Verschwiegenheit verpflichtet hat und der seine
sämtlichen Mitarbeiter auf das Datengeheimnis, das Fernmeldegeheimnis und auf
Verschwiegenheit verpflichtet hat (siehe Ihr Servicevertrag und auch Ziffer 9 des
Auftragsdatenverarbeitungsvertrags).
Mit der WebAkte bedienen Sie sich eines technisch ausgereiften und sicheren Systems zur
Übermittlung von Nachrichten, bei dem die Übertragungswege verschlüsselt sind und das
(inländische) Rechenzentrum höchsten Ansprüchen an die Sicherheit genügt.
Eine elektronische Kommunikation über das Internet, die so ausgestaltet ist, begegnet
auch „aus objektiver Sicht und bezogen auf den Anwaltsmarkt“ keinen Bedenken der
Allgemeinheit. Von einem Konsens zwischen Anwälten und Mandanten darüber, dass ein
solcher Datenverkehr zulässig ist, kann daher ohne Frage ausgegangen werden; an der
Sozialadäquanz bestehen hier keine Zweifel. Sie sind mit der WebAkte also auf der sehr
sicheren Seite.
(Quellen: Siegmund in BRAK-Mitteilungen 1/2015 S. 9; RA Prof. Dr. Gasteyer, Anwaltsblatt
1/2015 S. 70)
Hier nochmals die wichtigsten Fakten in Kürze:
Bei der elektronischen Kommunikation über die WebAkte werden Nachrichten bei der
Übertragung verschlüsselt (Punkt-zu-Punkt-Verschlüsselung). Sie sind während des
Übertragungsvorgangs nicht lesbar. Die Verschlüsselung erfolgt durch die weltweit
führende Symantec-Software.
Nachrichten werden vor der Hinterlegung auf dem WebAkte-Server auf Viren gescannt.
Der WebAkte-Server befindet sich in einem der sichersten Rechenzentren überhaupt,
nämlich demjenigen der DATEV e.G. in Nürnberg, welches entsprechend
sicherheitszertifiziert ist. Daten werden dort in bis zu 4 Standorten gespiegelt, so dass sie
nie verloren gehen können.
e.Consult AG ihrerseits ist TÜV-zertifiziert und arbeitet auf der Grundlage eines
umfänglichen Datenschutz- und sicherheitskonzepts. Alle Mitarbeiter sind auf das
Datengeheimnis, das Fernmeldegeheimnis und auf Verschwiegenheit verpflichtet.
Unbefugte können sich nach menschlichem Ermessen keinen Zugang
mandatsbezogenen Daten, die über die WebAkte kommuniziert werden, verschaffen.
zu
Berufsrechtlich stößt die Nutzung der WebAkte auf keinerlei Bedenken, da Ihre
Mandantschaft entweder ausdrücklich oder konkludent ihr Einverständnis erklärt hat, an
der WebAkte teilzunehmen; jedenfalls ist die Nutzung – nach neuester Rechtslage - aber
als sozialadäquat anzusehen.
Sie haben weitere Fragen? Richten Sie diese gerne an [email protected]! Wir stehen
Rede und Antwort.
Saarbrücken, Juni 2015
Ihre e.Consult AG

Download Report