Mail-Verschlüsselung in Kanzleien - Warum kein Weg daran vorbei führt!

1. Warum ist E-Mail-Verschlüsselung für Kanzleien unverzichtbar?

Rechtsanwälte und Insolvenzverwalter sind Berufsgeheimnisträger. Sie unterliegen strengen Datenschutzvorgaben, die nicht nur aus der DSGVO (Art. 32), sondern auch aus berufsrechtlichen Vorschriften (§ 43a BRAO – Verschwiegenheitspflicht, § 203 StGB – Strafbarkeit bei Geheimnisverrat) resultieren. Die Übermittlung sensibler Daten per E-Mail muss daher immer durch geeignete technische und organisatorische Maßnahmen geschützt werden – und dazu zählt insbesondere die Verschlüsselung. 

Wichtig: 

Ein Mandanteneinverständnis, also die Zustimmung des Empfängers zum unverschlüsselten Versand, entbindet die Kanzlei nicht von ihrer Verschlüsselungspflicht. Einseitige Haftungsfreizeichnungen oder Hinweise wie „Auf Wunsch unverschlüsselt“ genügen den Anforderungen nicht mehr. Die Entscheidung über das Schutzlevel orientiert sich ausschließlich am Risiko und den gesetzlichen Vorgaben – nicht am Wunsch des Mandanten, insbesondere weil eine Zustimmung des Mandanten nicht die Zustimmung aller am Verfahren beteiligten einschließt und in E-Mails teils auch sensible Informationen weiterer Verfahrensbeteiligter versendet werden können.  

2. Risiken bei unverschlüsseltem E-Mail-Versand

Unverschlüsselte E-Mails sind wie Postkarten: Jeder, der sie unterwegs abfängt, kann sie lesen oder manipulieren. Die Folgen können dramatisch sein: 

• Datenschutzverletzungen: Offenlegung vertraulicher Mandantendaten kann zu Bußgeldern und Reputationsverlust führen. 

• Strafrechtliche Konsequenzen: Ein Verstoß gegen die Verschwiegenheitspflicht (§ 203 StGB) ist strafbar. 

• Haftungsrisiken: Kanzleien können für Schäden durch unsicheren E-Mail-Verkehr haftbar gemacht werden. 
• Rechnungsbetrug: durch ungesicherten E-Mail-Versand kann Rechnungsbetrug ermöglicht werden – was mit erheblichen finanziellen Schäden für die Beteiligten einhergehen kann1, wie bereits auch erste Urteile bpsw. des OLG Schleswig-Holstein zeigen. 
   

3. Aktuelle Urteile und behördliche Vorgaben

Die gesetzlichen Grundlagen und Datenschutzbehörden geben den Rahmen vor: 

• OLG Schleswig-Holstein (Az. 12 U 9/24): Trotz kontroverser Diskussionen rund um das Urteil des OLG Schleswig-Holstein ist dies ein Beispiel, dass Rechnungsbetrug durch ungesicherten E-Mail-Versand tatsächlich passieren und zu einem erheblichen Schaden auf beiden Seiten führen kann. Das Gericht betont die Notwendigkeit sicherer Kommunikationswege und sieht eine Mitverantwortung bei der Kanzlei, auch wenn es bei seiner Betrachtung teils falsche technische Aussagen tätigt.  

• Bremer Datenschutzbehörde: Die Behörde fordert von Rechtsanwälten und Steuerberatern die konsequente Verschlüsselung von E-Mails. Ein Verzicht auf Verschlüsselung – selbst mit Mandanteneinverständnis – ist nicht zulässig. Die Diskussion zwischen Bremer Rechtsanwälten und der Datenschutzbehörde zeigt, wie streng die Anforderungen inzwischen sind. 
• DSGVO und BRAO: Die DSGVO verlangt „dem Risiko angemessene“ Maßnahmen. Berufsgeheimnis ist ein Indiz für hohes Risiko – und damit für die Pflicht zur Verschlüsselung.
   

4. Technische Lösungen: Transport- und Inhaltsverschlüsselung

Grundsätzlich wird zwischen drei Formen von Transportverschlüsselung unterschieden, wobei die opportunistische Transportverschlüsselung als unsicher anzusehen ist, da beim Versand der E-Mail die Priorität auf Zustellung und nicht auf Verschlüsselung einer E-Mail liegt. Für „normale“ Kommunikation kann die obligatorische Transportverschlüsselung (TLS) ausreichen. Doch bei sensiblen oder besonders schützenswerten Daten, wie bei Berufsgeheimnisträgern, empfiehlt sich die qualifizierte Transportverschlüsselung (qTLS) oder sogar die Inhaltsverschlüsselung. Auch die Orientierungshilfe der Datenschutzkonferenz erachtet die qualifizierte Transportverschlüsselung als probates Mittel um den Schutz von besonders schützenswerten Daten beim E-Mail-Versand gewährleisten zu können. Kritisch betrachtet wird das Urteil des OLG Schleswig-Holstein, weil bei der Urteilsfindung nicht auf die verschiedenen technischen Möglichkeiten einer Transportverschlüsselung eingegangen wird. Dies wurde von Prof. Dr. Ronald Petrlic (Herausgeber der Zeitrschrift DATENSCHUTZBERATER) in der Ausgabe 03/2025 diskutiert und kritisiert.  

Moderne Lösungen wie kanzleiSECUREMAIL unseres Koopertionspartners Comcrypto bieten einen hohen Schutz durch einfache Umsetzung einer qualifizierten Transportverschlüsselung immer darauf bedacht dies ohne Mehraufwand bzw. mit einem Minimalaufwand für die Kanzlei umzusetzen.  

Vorteile von kanzleiSECUREMAIL: 

• Automatische Auswahl des passenden Verschlüsselungsniveaus 

• Elektronischer Zustellnachweis für jede E-Mail 

• Sichtbares Schloss-Symbol für datenschutzkonformen Versand 
• Sicherer Versand auch bei komplexen Anforderungen
   

5. Fazit: Sicherheit ist Pflicht, nicht Kür

Insbesondere für Rechtsanwaltskanzleien ist E-Mail-Verschlüsselung keine Option, sondern eine gesetzliche und berufsrechtliche Pflicht. Die Risiken unverschlüsselter Kommunikation sind enorm – von Bußgeldern über strafrechtliche Konsequenzen bis hin zu Reputationsverlust und finanziellen Schäden. Moderne Lösungen wie kanzleiSECUREMAIL bieten einen einfachen, automatisierten Weg, um alle Anforderungen zu erfüllen und Mandantendaten zuverlässig zu schützen. 

Handeln Sie jetzt testen Sie Ihre Kompatibilität und schützen Sie Ihre Kanzlei und Ihre Mandanten! 

Sie möchten mehr erfahren oder einen Beratungstermin zu kanzleiSECUREMAIL? Kontaktieren Sie uns – für Ihre Sicherheit und die Ihrer Mandanten! 

Quellen und weiterführende Informationen: 

• Bremer Rechtsanwälte vs. Bremer Datenschutzbehörde 

• Pflicht zur E-Mail-Verschlüsselung in Rechtsanwaltskanzleien (Haufe) 

• Rechnungsbetrug durch ungesicherten E-Mail-Versand – Urteil OLG Schleswig-Holstein 

• Rechtsanwälte und Steuerberater aufgepasst - E-Mails müssen verschlüsselt sein