Berufsgeheimnis: Rechtsanwalt mit Microsoft Mail-Server?

Hallo,

ein Rechtsanwalt verwendet mit seiner eigenen Domain einen Mail-Server von Microsoft/outlook. (Geprüft mit https://cryptcheck.fr Ergebnis: „mail.protection.outlook.com“)
Dann ist die Annahme, dass ein Mail-Server von Microsoft verwendet wird richtig oder?

In der Datenschutzerklärung der Webseite des Rechtsanwalt steht lediglich der Standartsatz:

Rechtsanwalt, Datenschutzerklärung
„Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.“

Wie passt das mit dem „Berufsgeheimnis“ zusammen? https://de.wikipedia.org/wiki/Geheimnisträger

Kann man sich weigern personenbezogene Daten an die Kanzlei über Mail zu senden?

EDIT:
Welche rechtliche Grundlagen gelten in 2025 beim Datenschutz? Ist es rechtlich zulässig, dass ein Anwalt „mail.protection.outlook.com“ verwendet? Gibt es dazu eine Standartantwort?

Besten Dank.

Wenn es dein Anwalt ist, also du den beauftragt hast, wird er dir, dem Kunden da doch sicher etwas anbieten, nehme ich an. Ansonsten gibt es auch den Postweg als Alternative. Auch erlebte ich, dass manche Anwälte auch ein spezielles Postfach haben, über das sie kommunizieren.

Also denke ich, ja, du kannst dem entgehen. Bei fremden Anwälten dann einfach keine E-Mail-Adresse angeben, dann müssen sie es ja via Post senden, wenn sie dich erreichen wollen.

Bin aber kein Experte auf dem Gebiet und ist nur meine Erfahrung.

Es geht noch genauer:
https://www.gesetze-im-internet.de/brao/__43e.html

(2) Der Rechtsanwalt ist verpflichtet, den Dienstleister sorgfältig auszuwählen. Er hat die Zusammenarbeit unverzüglich zu beenden, wenn die Einhaltung der dem Dienstleister gemäß Absatz 3 zu machenden Vorgaben nicht gewährleistet ist.

4. Bei der Inanspruchnahme von Dienstleistungen, die im Ausland erbracht werden, darf der Rechtsanwalt dem Dienstleister den Zugang zu fremden Geheimnissen unbeschadet der übrigen Voraussetzungen dieser Vorschrift nur dann eröffnen, wenn der dort bestehende Schutz der Geheimnisse dem Schutz im Inland vergleichbar ist, es sei denn, dass der Schutz der Geheimnisse dies nicht gebietet.

Es ist unverantwortlich, was Anwälte abziehen. Es ist klar - Microsoft liest mit und muss Infos über CLOUD und Patriot Act an US-Behörden geben. Damit NICHT mit dem Inland vergleichbar.
Ich hoffte, es würde jemand diese Art der Anwälte verklagen.
Und wenns wer von der Anwaltschaft mitliest:
Warum wurde so nen Gesetz gemacht und warum die anwaltliche Schweigepflicht? Wie könnt ihn den Spiegel anschauen und MS nutzen?
Da blatzt die Hutschnur wech!

Dazu:

(3) Der Vertrag mit dem Dienstleister bedarf der Textform. In ihm ist

1. der Dienstleister unter Belehrung über die strafrechtlichen Folgen
   einer Pflichtverletzung zur Verschwiegenheit zu verpflichten,…

Kann dann der Dienstleister (Microsoft) auf Papier „verpflichtet“ worden sein, Verschwiegenheit zu praktizieren und der Anwalt hat seine rechtliche Pflicht getan?

Dann verstehe ich, warum die Situation so ist , wie sie ist. Und der Zug mit Datenschutz, auch bei Berufsgeheimnis, ist abgefahren.
Und man kann es nur noch „menschlich/persönlich“ zwischen Mandant und Anwalt regeln, wie bleifrei in Nr 2 oben geschrieben hat.

Für meine Interpretation ist die:

Er hat die Zusammenarbeit unverzüglich zu beenden, wenn die Einhaltung der dem Dienstleister gemäß Absatz 3 zu machenden Vorgaben nicht gewährleistet ist.

Des bedeutet, wenn der Anwalt mitbekommt, das MS E-Mails zu Marketing und KI-Training verwendet, muss er unverzüglich die Zusammenarbeit beenden, oder gar nicht zu starten.

Wenn er dann noch die neue Outlook-Version nutzt, muss sein ganzes Postfach als kompromittiert angesehen sein: https://mailbox.org/de/post/warnung-neues-outlook-sendet-passwoerter-mails-und-andere-daten-an-microsoft

Im Absatz 3 steht dies:

der Dienstleister zu verpflichten, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist, und

Ich bin da jetzt schon ein paar Jahre raus, aber ich kenne die Problematik eher umgekehrt - nämlich dass Mandanten per E-Mail kommunizieren wollten, Anwälte dies aber nicht so ohne weiteres wollten, weil nicht klar war, ob und wenn ja unter welchen Voraussetzungen das berufsrechtlich zulässig war.

Seit 2020 gibt es eine Regelung in § 2 der Berufsordnung für Rechtsanwälte. § 2 Abs. 2 S. 5f. BORA lautet:

https://dejure.org/gesetze/BORA/2.html

Die von Dir zitierte Passage der Datenschutzerklärung des Rechtsanwalts ist in meinen Augen der Versuch eines in § 2 II 6 BORA geforderten „pauschalen“ Hinweises „ohne technische Details“.

Ich lese § 2 BORA so, dass ein Anwalt nicht von seinen Mandanten verlangen kann, per unverschlüsselter Mail zu kommunizieren. Mandanten haben dagegen das Recht, jederzeit und ohne Angabe von Gründen die (weitere) Kommunikation per unverschlüsselter E-Mail abzulehnen, so dass ein Anwalts gegen sein Berufsrecht verstößt, wenn er weiterhin nicht Ende-zu-Ende verschlüsselte Mails sendet.

Edit: Hier kann und darf Dir niemand Rechtsberatung geben. Ich würde in einem solchen Fall dem Anwalt schreiben, dass ich mit ihm nicht per unverschlüsselter E-Mail kommunizieren will, weil der von Ihm in Anspruch genommene Dienstleister Microsoft in meinen Augen nicht vertrauenswürdig ist.

…Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, ist jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt.
https://dejure.org/gesetze/BORA/2.html

Im Fall dass der Anwalt/Mitarbeiter bittet, z.B. Terminanfrage via Mail zu machen, weil das per Tel nicht geht, dann reicht BORA wohl nicht.
Und, damit BORA dem Anwalt rechltich Schutz bietet, müsste dann der Anwalt nicht Protokoll führen, wer die Mail- Kommunikation angefangen hat?

Kann es sicherlich. Die HAW Hamburg hat während Corona mit Microsoft verhandelt, dass sie einen Microsoft Server bei sich in den Keller gestellt bekommen und die Daten von den Dienst-HAW-Konten nur dort gespeichert werden (das hat irre viel gekostet, die HAW wollte aber Teams als Meeting-Plattform nutzen, weil DFN Conf mit der Corona-Belastung nicht klarkam).

Lies ruhig mal den ganzen § 2 BORA. Anwälte sind verpflichtet, alle erforderlichen organisatorischen und technischen Maßnahmen zu treffen, um ihrer Verschwiegenheitspflicht nachzukommen. Zu den in meinen Augen erforderlichen und zumutbaren Maßnahmen gehört, eine telefonische Terminvereinbarung zu ermöglichen. Wenn er keinen zusätzlichen Mitarbeiter bezahlen kann, kann er einen Anrufbeantworter in seiner Kanzlei, den er oder seine Mitarbeiter abhören können, wenn sie Zeit haben, einrichten. Er könnte sich natürlich auch in Ende-zu-Ende-Verschlüsselung einarbeiten.

Im meinen Augen verstößt ein Anwalt gegen das anwaltliche Berufsrecht, wenn Terminanfragen in seiner Kanzlei ausschließlich per unverschlüsselter E-Mail möglich sind. Die Verschwiegenheitspflicht gebietet es, dass der Anwalt einen sicheren Kommunikationsweg anbieten muss.

Man könnte den Anwalt auch einfach höflich darauf ansprechen. Es gab hier im Forum mal einen ähnlichen Fall einer Gutachterin, die ihre Gutachten in der MS Cloud gespeichert hat und sich der Problematik nicht bewusst und froh darüber war, darauf angesprochen zu werden.

@ToKu: Ja, das is ein guter Weg, damit der Vertrauen bleibt.

Es hat leider großes Ausmass angenommen. Deswegen und deshalb tät ich mir ein Beispielfall wünschen wies Mike mit der Bahn macht.
90% der Anwälte und Notare haben den Kopf in den Wolken und denken, das sie supi-Verträge haben und damit alles klar ist.
Bitte einemal einen großen Fisch verklagen und dann folglich eine Anleitung für ein saubres IT-Setup für Anwälte und Notare definieren.
Geld sollt da sein, nur haberts an IT-Interesse oder Muße.
Studienabschnitt in Jura „IT-Systeme unter wahrung der Verschwiegenheitspflichten“ verpflichtend.

Hatte noch nie mit Anwälten zu tun , aber das ist schon krass wie lax mit dem Thema umgegangen wird. Die nutzen dann doch auch zu 50% Onedrive und somit wären selbst Archive und interne Dokument nicht mehr sicher. Selbst der vlh bietet verschlüsselte PDF Kommunikation an oder Upload direkt auf deren Server.

Ein weiteres Problem ist, dass die Anwälte idR mit der Gegenseite per Mail kommunizieren. Vor allem, wenn die nicht anwaltlich vertreten ist. Z. B. mit den Versicherern, die ja oft auch als Rechtsschutz fungieren.

Ich habe zum Glück nicht all zu viel Erfahrung mit Anwälten. Aber beide hatten in den Vollmachten die Standardklausel mit den Gefahren von E-Mail drin. Und beide waren nicht amused, dass ich alles per Post/Tel abwickeln wollte. Ich bekam trotzdem öfters E-Mails- Ich vermute aus Gewohnheit und weil die meisten Mandanten das auch wollen, oder ihnen egal ist.

Der Witz war, dass sie letztlich doch noch alles per Post geschickt hatten.

Vor einigen Jahren gab es doch einen „Skandal“, dass die Gerichtspostfächer nicht sicher sind.
https://netzpolitik.org/2023/datenleck-mein-justizpostfach-gewaehrt-dritten-datenzugriff/

Verschlüsselung wird nicht einfach gemacht. Da gibt es technisch noch viel Entwicklungspotential dies zu vereinfachen.
Es ist auch von der Politik nicht gewünscht. Im Rahmen der Digitalisierung - was ja gut ist - soll nun alles nur noch per Mail an die Bürger verschickt werden?
Ohne E2E Zwangsverschlüsselung. Na super. Da ist/war mir ein Fax lieber. Naja seit FoIP leider nicht mehr.

Der Staat möchte nicht, dass er die Bürger nicht mehr überwachen kann. Und die Lobby der Diensteanbieter würde auch Sturm laufen. Allen voran die US-Giganten. Statt die Abhängigkeit (Microsoft Windows) und Überwachung durch die USA (EU-US Data Privacy Framework, das neue Pseudo Privacy Shield) endlich mal zu beenden und eigene Systeme aufzubauen.

Die Schweiz ist da ein bisschen weiter, aber halt auch
abhängig.https://brandnew.travelink.de/europa/schweiz/secure-mail-in-der-schweiz-gefaehrliche-abhaengigkeit-von-einem-einzigen-anbieter/

DE müsste Lösungen wie Seppmail/GinaMail für die Kommunikation mit den Bürgern nutzen. Dieses BundID leistet das nicht. Siehe obiger Link.
Die Bafin und div. Schlichtungsstellen nutzen Ginamail.

Allerdings muss die EU/DE ein eigenes programmieren, da man bei Ginamail neue Abhängigkeiten schafft und nicht weiß, was die treiben (Patent und Closed Source).

Naja, man kann sich nur aufregen. Bananenrepublik Deutschland
Bei der Digitalisierung sehe ich schẃarz für den Datenschutz. Es wird ja immer mehr aufgeweicht. Keine Ahnung, wie das Estland und die anderen EU Staaten gelöst haben.

Nun ja, wenn so viele Bürger sich nicht um einen vernünftigen Datenschutz kümmern, dann wird nichts passieren!
Erst wenn es wirklich erlebte Nachteile aufgrund eines versäumten Datenschutzes gibt werden die meisten Menschen diesbezüglich aufmerksam Nur ist es dann natürlich längst zu spät!.

Der Rechtsanwalt hat vermutlich auch einen tollen Zettel von Microsoft auf dem sinngemäß steht „wir sichern zu … nach aktuellem Stand von Wissenschaft und Technik … Auftragsdatenverarbeitung … sicher … nur auf Servern am Standort Deutschland … Ausnahmen nur für XY“, plus dann Vertragspartner Microsoft Deutschland oder zwischengeschalteter Dienstleister —> rechtlich sauber nach Abwägung und so weiter

Ob das jemand richtig findet, ist eine andere Frage.

Und zu guter letzt: wäre ein Mailserver von einem Hobbyadmin wirklich besser? Was ist mit den ganzen Bastellösungen die auch so unterwegs sind?
Oder was auch gemacht wird bei hinreichender Größe von Unternehmen: vorgeschaltete Border-Mailer vor der 365-Instanz. Da erkennen diese „ich schau auf MX Records“-Tools nix mehr.

Zufälig kenne ich die Problematik sehr gut, weil ich so ein paar Rechtsanwaltskanzleien und deren IT kenne. Da sind so einige dabei, die sich da überhaupt keine Gedanken drüber machen und der Mail den gleichen Status wie dem Fax zuweisen. Wobei das Fax eigentlich noch um Längen sicherer ist, weil es (meistens) nicht dauerhaft auf externen Servern gespeichert ist.
Es gibt auch Kanzleien, die sich Mühe geben. Die S/MIME und PGP anbieten und einen eigenen Exchangeserver ins Büro stellen.
Die haben es zu 99% mit Mandanten zu tun, die keinen Bock auf Verschlüsselung haben. Die Mandanten bekommen i.d.R. alles schriftlich per Post. Ausserdem gibt es einige Anforderungen in Bezug auf die Schriftformerfordernis, z.B. die Vertretungsvollmacht, die immer alle irgendwie im Original haben müssen.
Die Kanzleien sind sich auch dessen bewusst, dass, auch wenn verschlüsselt wird, Metadaten anfallen, z.B. bei S/MIME der Betreff einer Mail oder schon, dass überhaupt ein Mailaustausch stattfindet.
Ich kenne es von den Kanzleien so, dass die untereinander immer noch per Briefpost kommunizieren und selten per Mail.
Mit Ämtern wird über das elektronische Anwalts- oder Gerichtspostfach kommuniziert.

Aus meiner Erfahrung liegt es zu 99% an den Mandanten, die es möglichst bequem haben wollen und nicht einmal ein angebotenes PGP benutzen wollen. Ich habe Beschwerden bei Anwälten eingehen sehen, weil die die eingehende Anfragen per Whatsapp nicht beantworten wollten.

Als Mandant kann ich auf Verschlüsselung und Datenschutz pfeifen und Anwälten per Mail Unterlagen zusenden - im Gegenzug lassen sich Anwälte besser noch einmal von den Mandanten versichern, dass sie bis auf Widerrufe die Unterlagen ebenfalls per Mail haben möchten. Ich kenne Anwälte, die den Papierkrams dennoch per Post versenden.

schon drei Jahre alt: https://blog.lindenberg.one/EmailsicherheitAnwalte.

Die deutschen Aufsichten erwarten bei TK keinen Auftragsverarbeitungsvertrag, also brauchen Anwälte da nicht verhandeln. Tatsächlich sind Microsoft-Verwender oft besser dran, MS kann SMTP-DANE und MTA-STS (bei eigener Domäne mit entsprechender Konfiguration). Andererseits könnte es Anwälte dann gehen wir Karim Khan. Und auch dessen Emails wurden bestimmt in Europa verarbeitet.

Dazu ergänzend: Formal ist ein Großteil der Leistungen von Exchange Online eine Telekommunikationsdienst. Da für diesen das Fernmeldegeheimnis aus dem TDDDG gilt, ist die Nutzung rechtlich genauso zulässig wie das Telefon. Im DPA verpflichtet sich Microsoft das Fernmeldegeheimnis einzuhalten.
Soweit man nicht im Bereich der Telekommunikation ist (etwa Archivierung und eigener Kalender), greift die Auftragsverarbeitung von Microsoft. Zudem kann man eine Zusatzvereinbarung zu § 203 StGB abschließen.
Sollte man überzeugt sein, dass trotz der Erfüllung der formalen Anforderungen, die gesetzlichen Anforderungen nicht erfüllt sind, kann man sich über Anwälte bei der zuständigen Kammer oder bei einer Datenschutzaufsicht beschweren. Möchte man sich direkt gegen Microsoft richten, wäre die Bundesnetzagentur bzw. die BfDI zuständig.
Leider ist hier noch sehr viel Unklarheit, wer für was zuständig ist, so dass man sicher mit einer jahrelangen Hängepartie leben muss.

Zwecklos, denn die Bundesnetzagentur hat gar keine Sicherheitsanforderungen für TK-Dienste allgemein oder Email definiert, insofern gibt es keinen Maßstab nach dem sie Microsoft verdonnern sollte - zumal die Sicherheit von Email bei Microsoft gar nicht so übel ist.

genauso zwecklos. Alle meine Beschwerden dazu bei denen der Verantwortliche nicht freiwillig kooperiert hat und bei denen die Beschwerde überhaupt entschieden wurde wurden abgelehnt.

Anwälte können untereinander, mit Gerichten und mit einigen Behörden über das beA/EGVP/BPF kommunizieren und tun das überwiegend auch. Damit sind Dienstleister wie MS und auch die gesamte Email-Architektur raus. Die Finanzämter verweigern sich bisher erfolgreich. Die Regierung hat es bisher nicht geschafft, diesen Kommunikationsweg auch für Unternehmen und Bürger zu öffnen. Aber die Technik ist da und irgendwann wird das auch mal was. Allerdings weiß ich nicht, ob ich als Mandant immer diesen staatlichen Dienst dazwischen haben wollen würde. Gleiches gilt für die Post. In dem Fall hilft nur persönlich vorbeibringen.