TLS-Verschlüsselung im E-Mail-Verkehr für Geschäftsgeheimnisse

Zum Schutz von Mails konnte sich das Schleswig-Holsteinisches Oberlandesgericht (6 U 39/21) im Rahmen des Schutzes von Geschäftsgeheimnissen äußern. Ein Schutz von Betriebsgeheimnissen setzt mit dem Geschäftsgeheimnisschutzgesetz voraus, dass besondere Sicherungsmaßnahmen getroffen wurde.

Die Vorinstanz hatte das von der Klägerin ergriffene Schutzniveau als ausreichend erachtet: Hier waren die mobilen Endgeräte mit einem Bitlocker gegen den Zugriff Unberechtigter geschützt sowie die E-Mail-Postfächer und die (hier nicht verwendete) zentrale Dateiablage waren „rechtegesteuert“. Die Beklagte wendete sein, die Schutzmaßnahmen seien nicht ausreichend, da es sich um Standard-IT-Sicherheitsmaßnahmen handeln würde und insbesondere die TLS-Verschlüsselung standardmäßig bei allen herkömmlichen E-Mail-Anbietern zur Anwendung komme. Hierzu nun konnte das OLG Stellung beziehen.

Geschäftsgeheimnisse?

Rund um Geschäftsgeheimnisse beraten und verteidigen wir: Unternehmen beim Schutz von Geheimnissen und Arbeitnehmer, wenn der Vorwurf erhoben wird, Daten entwendet zu haben.

GeschGehG: Unsere Beratung und Verteidigung

Die im Raum stehenden technischen Schutzmaßnahmen waren mit dem OLG ausreichend – insbesondere durfte man sich auch auf die TLS-Verschlüsselung im E-Mail-Verkehr verlassen:

Im Verfügungsverfahren hat auch die Beklagte zugestanden, dass es sich bei der TLS-Verschlüsselung um ein seit Jahren weitverbreitetes Standardprotokoll handele. Zwar wird für die Versendung besonders sensibler Daten die Ende-zu-Ende-Verschlüsselung empfohlen. Indes waren die Daten zwar schutzbedürftig, aber bei Weitem nicht von höchstem Schutzwert. Auch war nicht konkret mit Internetangriffen Dritter an den Knotenpunkten der Versendung zu rechnen; dies aber ist gerade der besondere Schutz, den die Ende-zu-Ende-Verschlüsselung gegenüber der TLS-Verschlüsselung bietet. Unter diesen Umständen war die Wahl eines gängigen Verschlüsselungsprogramms ausreichend.

Ein Vergleich mit der Entscheidung des Bundesgerichtshofs zu dem Sicherungsniveau, das im elektronischen Anwaltsverkehr erwartet werden kann, bestätigt diese Bewertung. Die Bundesrechtsanwaltskammer hat ihren Mitgliedern ein besonderes elektronisches Postfach bereitzustellen, das eine sichere Kommunikation gewährleistet. Der Bundesgerichtshof hat entschieden, dass der Bundesrechtsanwaltskammer ein Spielraum bei der Wahl des Systems für die Sicherheit der Datenübermittlung zustünde. Aus keiner gesetzlichen Vorgabe lasse sich die Verpflichtung herleiten, dass dies durch eine Ende-zu-Ende-Verschlüsselung geschehen müsse (BGH NJW 2021, 2206, s. nur Rnrn. 39, 40, 47). Wenn dies schon zur Gewährleistung eines sicheren Übermittlungswegs, der zum Schriftverkehr mit dem Gericht zugelassen ist (§ 130a Abs. 3, Abs. 4 S. 1 Nr. 2 ZPO), nicht zwingend erforderlich ist, konnte dies in der Kommunikation der Beteiligten hier erst recht nicht gefordert werden.

Die Einschätzung der Klägerin, dass es einer Ende-zu-Ende-Verschlüsselung nicht bedurfte, ist vielmehr mit den Vorgaben des Bundesgerichtshofs für die Wahl des Sicherungsmittels in Einklang zu bringen. Der Bundesgerichtshof hat ausgeführt, dass bei der elektronischen Kommunikation immer Risiken blieben. Das gewählte Übermittlungssystem müsse einen Sicherheitsstandard erreichen, bei dem unter Berücksichtigung der Funktionalität nach dem Stand der Technik die Übermittlung voraussichtlich störungs- und gefahrfrei erfolgt und Risiken für die Vertraulichkeit möglichst weitgehend ausgeschlossen würden. Die für die Sicherheitsbeurteilung erforderliche Risikoermittlung und -bewertung bedinge stets eine Prognose über mögliche künftige Bedrohungen und deren Eintrittswahrscheinlichkeit und beinhalte somit auch unvermeidbare Unsicherheiten (BGH NJW 2021, 2206, 2212 Rnrn. 68 f).

Im vorliegenden Fall war mit dem Sachverhalt schon gegeben, dass es keine Anhaltspunkte dafür gegeben hatte, dass zu befürchten war, dass Dritte nach den übermittelten Daten suchen könnten. In einem solchen Fall – so das OLG – können sich die Beteiligten der Kommunikation nach pflichtgemäßen Ermessen der Standardverschlüsselungstechnik für die Datenübertragung bedienen. Es bedarf also in Standard-Szenarien gerade keiner zwingenden Ende-zu-Ende-Verschlüsselung.