Einordnung und Ausgangslage
In der anwaltlichen Praxis werden Mandatsunterlagen häufig per E Mail übermittelt. Technisch ist dabei in vielen Kanzleien zumindest eine Transportverschlüsselung auf Übertragungsebene üblich, typischerweise mittels TLS zwischen den beteiligten Mailservern. Ob dies datenschutzrechtlich und berufsrechtlich genügt, ist keine rein technische Frage, sondern eine Frage des angemessenen Schutzniveaus im konkreten Risiko. Maßgeblich ist insoweit Art. 32 DSGVO, der gerade keinen festen Maßnahmenkatalog vorgibt, sondern eine risikobasierte Abwägung unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung verlangt (European Parliament & Council of the European Union, 2016).
Technischer Kern: Transportverschlüsselung und Ende zu Ende Verschlüsselung
Transportverschlüsselung schützt primär den Transportweg zwischen Systemen. Sie kann die Abhörbarkeit auf dem Übertragungsweg deutlich reduzieren, führt aber regelmäßig nicht dazu, dass nur Absender und Empfänger den Inhalt lesen können. Denn die Nachricht wird auf beteiligten Servern typischerweise entschlüsselt verarbeitet und gespeichert. Ende zu Ende Verschlüsselung setzt demgegenüber am Ziel an, dass Inhalte nur bei Absender und Empfänger im Klartext vorliegen. Genau diese Differenz greift auch die datenschutzrechtliche Aufsicht in Nordrhein Westfalen in ihrer Darstellung auf: Transportverschlüsselung sei lediglich ein Basisschutz und eine Mindestmaßnahme; der durchgreifendste Schutz der Inhaltsdaten werde durch Ende zu Ende Verschlüsselung erreicht, und beide Verfahren seien in der Abwägung zu berücksichtigen (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein Westfalen, 2026). (ldi.nrw.de)
Also, was bedeutet diese Transportveschlüsselung verständlich?
Transportverschlüsselung bei E-Mails bedeutet, dass die Verbindung zwischen den beteiligten Mailservern und zwischen Mailprogramm und Mailserver verschlüsselt wird, sodass Dritte den Datenverkehr auf dem Übertragungsweg nicht mitlesen oder unbemerkt verändern können; der Inhalt der E-Mail liegt jedoch typischerweise weiterhin unverschlüsselt auf den beteiligten Servern vor und kann dort grundsätzlich verarbeitet werden. Um Transportverschlüsselung umzusetzen, wird in der Praxis TLS eingesetzt: Für den Versand zwischen Mailservern wird SMTP mit STARTTLS bzw. SMTPS verwendet, für den Abruf IMAP/POP3 jeweils mit TLS, und für die Einlieferung vom Client zum Server ebenfalls SMTP Submission mit TLS; organisatorisch und technisch gehört dazu, auf dem Mailserver gültige TLS-Zertifikate zu konfigurieren, TLS für die jeweiligen Dienste zu erzwingen, veraltete Protokolle und Chiffren zu deaktivieren, sowie nach Möglichkeit „erzwingendes TLS“ für bestimmte Kommunikationspartner zu etablieren (z. B. per Richtlinien, MTA-STS oder DANE, je nach Infrastruktur), damit die Verbindung nicht stillschweigend auf unverschlüsselt zurückfällt.
Rechtlicher Maßstab nach Art. 32 DSGVO: Kein Automatismus, aber strenge Risikologik
Art. 32 DSGVO nennt Verschlüsselung als mögliche Maßnahme, schreibt jedoch nicht abstrakt vor, welches konkrete Verfahren in jedem Fall einzusetzen ist. Diese Lesart findet sich auch in der verwaltungsgerichtlichen Rechtsprechung, die Art. 32 als risikobasiert versteht: Es bedarf einer Risikoeinschätzung und eines darauf aufbauenden Schutzbedarfs; spezifische Anforderungen an ein bestimmtes Verschlüsselungsverfahren lassen sich dem Wortlaut des Art. 32 DSGVO nicht als generelle Pflicht entnehmen (Verwaltungsgericht Köln, 2023; Oberverwaltungsgericht für das Land Nordrhein Westfalen, 2025). (nrwe.justiz.nrw.de)
Damit ist aber zugleich klar: Wo das Risiko hoch ist, steigen die Anforderungen. Genau hier setzt die Orientierungshilfe der Datenschutzkonferenz an. Sie beschreibt Transportverschlüsselung als Mindestmaßnahme und hält sie bei normalen Risiken für grundsätzlich geeignet, während sie bei hohen Risiken regelmäßig eine Kombination aus qualifizierter Transportverschlüsselung und Ende zu Ende Verschlüsselung verlangt (Datenschutzkonferenz, 2020).
Besonderheiten für Rechtsanwälte: Mandatsgeheimnis, typische Schutzbedarfe und § 203 StGB
Für Rechtsanwälte kommt hinzu, dass Mandatskommunikation typischerweise Geheimhaltungsinteressen in besonderer Dichte berührt. Berufsrechtlich besteht eine Verschwiegenheitspflicht, die sich auf alles erstreckt, was in Ausübung des Berufs bekannt wird (Bundesministerium der Justiz, n.d., § 43a Abs. 2 BRAO). Strafrechtlich flankiert § 203 StGB die Geheimhaltung (Bundesministerium der Justiz, n.d., § 203 StGB). Diese Normen sind nicht identisch mit Art. 32 DSGVO, wirken aber in der Praxis auf die Risikobewertung zurück: Wenn ein Kommunikationsinhalt dem Mandatsgeheimnis unterliegt, ist der Schaden bei Vertraulichkeitsbruch regelmäßig gravierender als bei gewöhnlicher Geschäftskorrespondenz. Entsprechend betont die Datenschutzkonferenz für geheim zu haltende Inhalte bei hohen Risiken zusätzlich, dass durch Verschlüsselung sicherzustellen ist, dass nur berechtigte Stellen entschlüsseln können (Datenschutzkonferenz, 2020).
Was sagt die Aufsicht in Nordrhein Westfalen konkret?
Die Aufsichtsbehörde in Nordrhein Westfalen stellt in ihrer technischen Auslegung ausdrücklich heraus, dass Transportverschlüsselung als Mindestmaßnahme zu verstehen ist und bei hohem Risiko regelmäßig Ende zu Ende Verschlüsselung plus qualifizierte Transportverschlüsselung zu erfolgen hat (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein Westfalen, 2026). (ldi.nrw.de) Diese Position ist mit der Orientierungshilfe der Datenschutzkonferenz inhaltlich konsistent, die ebenfalls zwischen normalen und hohen Risiken differenziert und bei hohen Risiken regelmäßig Ende zu Ende Verschlüsselung fordert (Datenschutzkonferenz, 2020).
Zur häufig diskutierten Frage, ob eine Mandanteneinwilligung eine weniger sichere Übermittlung „erlauben“ kann, ist eine nüchterne Trennung wichtig: Art. 32 DSGVO ist eine eigenständige Pflicht zur Sicherstellung eines angemessenen Schutzniveaus. Eine Vereinbarung, dass Kommunikation per E Mail erfolgen soll, ersetzt die Pflicht zur angemessenen Sicherung nicht. Die Datenschutzkonferenz formuliert das praktisch: Wer gezielt personenbezogene Daten per E Mail entgegennimmt oder den Austausch ausdrücklich vereinbart, muss die beschriebenen Verpflichtungen erfüllen; können Anforderungen an sichere Übermittlung nicht erfüllt werden, ist ein anderer Kommunikationskanal zu wählen (Datenschutzkonferenz, 2020).
Gerichtliche Klärung: Was ist bereits entschieden, was ist offen?
Bereits entschieden ist aus anderen Kontexten, dass aus Art. 32 DSGVO nicht ohne Weiteres ein allgemeiner Anspruch auf Ende zu Ende Verschlüsselung folgt. Das Verwaltungsgericht Köln und das Oberverwaltungsgericht Nordrhein Westfalen haben in einem Verfahren gegen eine öffentliche Stelle betont, dass Art. 32 DSGVO risikobasiert ist und keine pauschale Pflicht zu einem bestimmten Verschlüsselungsverfahren begründet; entscheidend sind belegte, konkrete Risiken im Einzelfall (Verwaltungsgericht Köln, 2023; Oberverwaltungsgericht für das Land Nordrhein Westfalen, 2025). (nrwe.justiz.nrw.de)
Offen ist hingegen, wie streng die Anforderungen im anwaltlichen Mandatskontext konkretisiert werden, wenn eine Aufsichtsbehörde gegenüber einer Kanzlei eine bestimmte Verschlüsselungsform verlangt. Nach aktueller Berichterstattung wird hierzu vor dem Verwaltungsgericht Düsseldorf ein Verfahren geführt (Az. 29 K 8805/25), in dem ein Rechtsanwalt gegen die behördliche Auffassung vorgeht (Dr. Datenschutz, 2026; Verlag C. H. Beck, 2025). Eine veröffentlichte gerichtliche Entscheidung lag in den von mir geprüften Quellen noch nicht vor; belastbar ist daher derzeit vor allem der rechtliche Rahmen aus Art. 32 DSGVO sowie die vorhandene Aufsichtspraxis und die Orientierungshilfe der Datenschutzkonferenz. (Dr. Datenschutz)
Kann nun eine Transportverschlüsselung bei Rechtsanwälten ausreichend sein?
Transportverschlüsselung kann im anwaltlichen Umfeld nicht kategorisch ausgeschlossen ausreichend sein, weil Art. 32 DSGVO keine starre Technikpflicht enthält und die Angemessenheit vom Risiko abhängt (European Parliament & Council of the European Union, 2016; Verwaltungsgericht Köln, 2023). (EUR-Lex) Praktisch ist die Hürde jedoch hoch, weil Mandatskommunikation sehr häufig Inhalte betrifft, deren Vertraulichkeitsbruch ein hohes Risiko begründet. In genau diesen Situationen verlangen sowohl die Datenschutzkonferenz als auch die nordrhein westfälische Aufsicht regelmäßig Ende zu Ende Verschlüsselung zusätzlich zur qualifizierten Transportverschlüsselung (Datenschutzkonferenz, 2020; Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein Westfalen, 2026).
Ein realistischer Schluss für die Kanzleipraxis lautet daher: Für organisatorische Standardkommunikation mit geringem Personenbezug und ohne besondere Geheimhaltungsintensität kann eine obligatorische Transportverschlüsselung, flankiert durch belastbare Empfängeradressierung und klare interne Regeln, im Einzelfall vertretbar sein. Für Mandatsunterlagen, Schriftsätze, Gutachten, Gesundheitsdaten, Strafsachen, arbeitsrechtliche Konflikte, finanzielle Notlagen oder vergleichbar sensible Inhalte wird Transportverschlüsselung allein regelmäßig nicht das angemessene Schutzniveau bieten, weil die Inhalte auf Servern und bei Dienstleistern im Klartext vorliegen können und damit das Risiko eines unbefugten Zugriffs nicht ausreichend reduziert ist.
Praktische Konsequenzen für Kanzleien
Kanzleien sollten die Frage nicht als Entweder Oder behandeln, sondern als Kommunikationskonzept: Eine risikobasierte Klassifikation typischer Versandfälle, eine standardisierte sichere Alternative für hohe Risiken und eine dokumentierte Entscheidung, wann welcher Kanal verwendet wird. Technisch führt das in der Praxis meist zu einer Kombination aus Ende zu Ende Verfahren (etwa S MIME oder OpenPGP) für fest etablierte Kommunikationsbeziehungen, einem gesicherten Mandantenportal für Ad hoc Empfänger ohne Schlüsselmanagement und einer qualifizierten Transportverschlüsselung als Mindeststandard. Wenn das sichere Verfahren im konkreten Fall nicht realisierbar ist, ist konsequent auf einen anderen Kommunikationskanal auszuweichen, statt das Risiko über Einwilligung „wegzuorganisieren“ (Datenschutzkonferenz, 2020; Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein Westfalen, 2026).
Quellen:
Bundesministerium der Justiz. (n.d.). Strafgesetzbuch (StGB) § 203 Verletzung von Privatgeheimnissen. Gesetze im Internet.
Bundesministerium der Justiz. (n.d.). Bundesrechtsanwaltsordnung (BRAO) § 43a Grundpflichten. Gesetze im Internet.
Datenschutzkonferenz. (2020). Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E Mail Orientierungshilfe des AK Technik.
Dr. Datenschutz. (2026, Januar 7). Dr. Datenschutz Shortnews im Januar 2026 KW 02.
European Parliament & Council of the European Union. (2016). Regulation (EU) 2016/679 General Data Protection Regulation.
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein Westfalen. (2026). Technische Anforderungen an technische und organisatorische Maßnahmen beim E Mail Versand.
Oberverwaltungsgericht für das Land Nordrhein Westfalen. (2025, Februar 20). Beschluss 16 B 288/23.
Verlag C. H. Beck. (2025, Dezember 3). Müssen Anwälte ihre E Mails verschlüsseln.
Verwaltungsgericht Köln. (2023, März 2). Beschluss 13 L 1467/22.