Anwalt sendet vertrauliche Verträge per unverschlüsselter E-Mail
Warum der Versand vertraulicher Mandantenunterlagen per unverschlüsselter E-Mail ein schwerer Datenschutzverstoß ist — und wie Kanzleien sicher kommunizieren.
Das Szenario
Rechtsanwalt Dr. Markus Weber von der Kanzlei Weber & Kollegen betreut seit Monaten eine komplexe Unternehmensübernahme. Sein Mandant, die Hagedorn Industrietechnik GmbH, übernimmt einen mittelständischen Maschinenbauer für einen Kaufpreis von 12,5 Millionen Euro. Am Donnerstagabend um 19:30 Uhr — nach einem langen Verhandlungstag — muss Dr. Weber dringend die aktuelle Version des Kaufvertrags (Share Purchase Agreement) an die Gegenseite übermitteln. Die Frist für die finale Stellungnahme läuft am nächsten Morgen ab.
Dr. Weber öffnet sein E-Mail-Programm und hängt den 47-seitigen Kaufvertrag als PDF an eine reguläre, unverschlüsselte E-Mail an. Im Vertrag stehen: die vollständige Kaufpreisstruktur mit Earn-Out-Klauseln, eine detaillierte Bewertung der Zielgesellschaft inklusive aller Finanzkennzahlen der letzten fünf Jahre, die persönlichen Garantieerklärungen der Gesellschafter mit deren Privatanschriften und Vermögensverhältnissen, eine Auflistung aller anhängigen Rechtsstreitigkeiten der Zielgesellschaft sowie die Bedingungen einer stillen Gesellschaftervereinbarung, die nicht öffentlich werden darf.
Im Cc-Feld steht ein weiterer Anwalt — den Dr. Weber versehentlich aus dem Adressbuch ausgewählt hat. Es handelt sich nicht um den Kollegen der Gegenseite, sondern um einen gleichnamigen Rechtsanwalt einer konkurrierenden Kanzlei, der zufällig einen Mandanten in derselben Branche vertritt.
Die E-Mail wird gesendet. Unverschlüsselt. Über das offene Internet. An den falschen Empfänger.
Drei Wochen später erhält die Hagedorn Industrietechnik GmbH ein Angebot eines Wettbewerbers, das exakt die Konditionen unterbietet, die im vertraulichen Kaufvertrag standen. Die Earn-Out-Struktur, die Dr. Weber als strategischen Vorteil verhandelt hatte, ist fast identisch im Konkurrenzangebot nachgebildet. Der Deal platzt. 12,5 Millionen Euro Transaktionsvolumen — verloren durch eine einzige unverschlüsselte E-Mail.
Die Risiken
Der Fall von Dr. Weber ist kein Einzelfall. Laut einer Studie der Bundesrechtsanwaltskammer nutzen immer noch über 60 % der Anwaltskanzleien reguläre, unverschlüsselte E-Mail als primären Kanal für die Übermittlung vertraulicher Mandantenunterlagen. Die Risiken sind dabei vielfältig und schwerwiegend.
E-Mail-Weiterleitung und Fehlversand: Der häufigste Datenschutzvorfall in Kanzleien ist der Versand an den falschen Empfänger. Autovervollständigung im E-Mail-Programm, ähnliche Namen im Adressbuch oder ein schneller Klick auf "Allen antworten" — und vertrauliche Vertragsunterlagen landen bei Unbefugten. Einmal gesendet, ist die E-Mail nicht mehr zurückholbar.
Man-in-the-Middle-Angriffe: Unverschlüsselte E-Mails werden im Klartext über das Internet übertragen. An jedem Knotenpunkt auf dem Weg vom Absender zum Empfänger können sie abgefangen und mitgelesen werden. Besonders bei Transaktionen mit hohem Wert sind gezielte Abhöraktionen durch Wettbewerber oder staatliche Akteure keine theoretische Gefahr, sondern dokumentierte Realität.
Keine Kontrolle über Empfänger: Sobald eine E-Mail den Postausgang verlässt, hat der Absender keinerlei Kontrolle mehr darüber, was mit den angehängten Dokumenten geschieht. Der Empfänger kann sie weiterleiten, ausdrucken, auf ungesicherten Geräten speichern oder in Cloud-Dienste hochladen. Ein Widerruf ist nicht möglich.
Verletzung der anwaltlichen Schweigepflicht: Das Mandatsverhältnis basiert auf absolutem Vertrauen. Die Vertraulichkeit der Kommunikation zwischen Anwalt und Mandant ist ein Grundpfeiler des Rechtsstaats. Jede unverschlüsselte E-Mail mit Mandantenunterlagen ist eine potenzielle Verletzung dieses Grundsatzes.
Fehlende Nachvollziehbarkeit: Bei regulären E-Mails gibt es keinen verlässlichen Nachweis darüber, ob und wann der Empfänger die Nachricht geöffnet hat, ob Anhänge heruntergeladen wurden oder ob die E-Mail an Dritte weitergeleitet wurde.
Rechtliche Konsequenzen
Die rechtlichen Folgen eines solchen Vorfalls treffen Anwaltskanzleien aus mehreren Richtungen gleichzeitig.
§ 43a BRAO — Verschwiegenheitspflicht: Die Bundesrechtsanwaltsordnung verpflichtet jeden Rechtsanwalt zur Verschwiegenheit über alles, was ihm in Ausübung seines Berufes bekannt geworden ist. Diese Pflicht erstreckt sich ausdrücklich auch auf die Art und Weise der Kommunikation. Wer vertrauliche Unterlagen über unsichere Kanäle versendet, verletzt seine berufsrechtliche Kernpflicht.
§ 203 StGB — Verletzung von Privatgeheimnissen: Die unbefugte Offenbarung eines fremden Geheimnisses durch einen Rechtsanwalt ist eine Straftat. Der Versand an den falschen Empfänger oder das Abfangen durch Dritte aufgrund fehlender Verschlüsselung kann den Straftatbestand erfüllen. Es drohen Freiheitsstrafe bis zu einem Jahr oder Geldstrafe.
Art. 32 DSGVO — Sicherheit der Verarbeitung: Die Kanzlei muss als Verantwortliche technische und organisatorische Maßnahmen treffen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Bei hochsensiblen Vertragsdaten einer Millionentransaktion ist unverschlüsselte E-Mail keine angemessene Maßnahme.
Berufsrecht der Anwaltskammer: Die zuständige Rechtsanwaltskammer kann bei Verstößen gegen die Berufspflichten ein berufsrechtliches Verfahren einleiten. Die Sanktionen reichen von einer Rüge über eine Geldbuße bis zu 25.000 Euro bis hin zum Ausschluss aus der Anwaltskammer in schwerwiegenden Fällen.
Zivilrechtliche Haftung: Der Mandant kann Schadensersatzansprüche geltend machen — sowohl für den materiellen Schaden (etwa den geplatzten Deal) als auch für immaterielle Schäden. Bei einer Transaktion im zweistelligen Millionenbereich sind die potenziellen Schadensersatzforderungen existenzbedrohend.
Finanzielle Auswirkungen
Die finanziellen Folgen eines Datenverlusts durch unverschlüsselte E-Mail-Kommunikation können eine Kanzlei in ihrer Existenz bedrohen:
| Kostenposition | Geschätzter Betrag |
|---|---|
| DSGVO-Bußgeld (Erstverstoß, Art. 83) | 10.000 – 50.000 € |
| Berufsrechtliche Geldbuße (Anwaltskammer) | 5.000 – 25.000 € |
| Schadensersatzforderung des Mandanten | 50.000 – 500.000 € |
| Anwaltliche Vertretung im eigenen Verfahren | 5.000 – 15.000 € |
| IT-forensische Untersuchung | 3.000 – 8.000 € |
| Meldung an Aufsichtsbehörde & Betroffene | 1.000 – 3.000 € |
| Reputationsschaden (Mandantenverlust) | 30.000 – 150.000 € |
| Berufshaftpflichtversicherungs-Erhöhung | 2.000 – 5.000 €/Jahr |
| Gesamtkosten | 50.000 – 200.000 € |
Zum Vergleich: Eine professionelle Lösung für sicheren Dokumentenversand kostet ab 19 € pro Monat. Die Kosten eines einzigen Vorfalls übersteigen die Investition in Prävention um den Faktor 200 bis 800.
Die sichere Alternative
Mit SendMeSafe hätte Dr. Weber den Kaufvertrag sicher und nachvollziehbar an die Gegenseite übermitteln können — selbst um 19:30 Uhr unter Zeitdruck.
1. Share-Link erstellen: Statt den Vertrag per E-Mail zu versenden, erstellt Dr. Weber in SendMeSafe einen Share-Link. Er lädt das PDF hoch und konfiguriert den Zugang: ein individuelles Passwort, ein Ablaufdatum von 48 Stunden und ein maximales Download-Limit von drei Abrufen.
2. Sicherer Versand per Flaschenpost: Den Share-Link verschickt Dr. Weber über die integrierte Flaschenpost-Funktion von SendMeSafe. Der Empfänger erhält eine sichere Benachrichtigung mit dem Link — ohne dass das eigentliche Dokument jemals per E-Mail übertragen wird. So verlässt die vertrauliche Datei niemals den verschlüsselten Speicher.
3. Passwortschutz und Zugriffskontrolle: Der Empfänger muss sich mit dem vereinbarten Passwort authentifizieren, bevor er auf den Kaufvertrag zugreifen kann. Selbst wenn der Link versehentlich an den falschen Empfänger gelangt, bleibt das Dokument ohne das Passwort unzugänglich.
4. Vollständiger Audit-Trail: Jeder Zugriff auf den Share-Link wird protokolliert — mit Zeitstempel, IP-Adresse und Download-Status. Dr. Weber kann jederzeit nachweisen, wer wann auf den Vertrag zugegriffen hat. Bei einem DSGVO-Auskunftsersuchen ist die lückenlose Dokumentation sofort verfügbar.
5. Automatischer Ablauf: Nach 48 Stunden oder nach drei Downloads wird der Zugang automatisch gesperrt. Keine veralteten Vertragsversionen kursieren unkontrolliert im Netz. Kein Risiko, dass alte Links Monate später noch funktionieren.
6. Verschlüsselung auf allen Ebenen: Die Datei wird während der Übertragung per SSL/TLS und im Speicher per AES-256 verschlüsselt. Alle Daten verbleiben auf europäischen Servern — vollständig DSGVO-konform.
Häufig gestellte Fragen
Reicht es nicht, wenn ich E-Mails mit einem Passwort-geschützten PDF versende?
Ein passwortgeschütztes PDF bietet nur minimalen Schutz. Die PDF-Verschlüsselung lässt sich mit frei verfügbaren Tools in Sekunden knacken. Zudem wird die E-Mail selbst weiterhin unverschlüsselt übertragen — der Betreff, die Metadaten und die Tatsache, dass eine anwaltliche Korrespondenz stattfindet, bleiben für jeden sichtbar, der den Datenverkehr abfängt. Außerdem fehlt die Zugriffskontrolle: Einmal heruntergeladen, kann das PDF uneingeschränkt weitergeleitet und kopiert werden.
Muss ich als Anwalt jede E-Mail verschlüsseln?
Die Anforderungen an die Verschlüsselung richten sich nach der Sensibilität der übertragenen Daten. Bei allgemeiner Korrespondenz ohne personenbezogene Daten kann eine reguläre E-Mail ausreichend sein. Sobald jedoch vertrauliche Mandantenunterlagen, Verträge mit personenbezogenen Daten oder besonders schützenswerte Informationen übermittelt werden, verlangt die DSGVO angemessene Sicherheitsmaßnahmen. Die Datenschutzkonferenz (DSK) hat klargestellt, dass bei der Übermittlung sensibler Daten eine Ende-zu-Ende-Verschlüsselung oder ein gleichwertiger Schutz erforderlich ist.
Wie reagieren Mandanten auf einen Wechsel zu sicherer Dokumentenübermittlung?
Die Erfahrung zeigt, dass Mandanten — besonders im Unternehmensbereich — den professionellen Umgang mit vertraulichen Dokumenten sehr schätzen. Ein sicherer Share-Link wirkt kompetenter als ein E-Mail-Anhang und signalisiert, dass die Kanzlei Datenschutz ernst nimmt. Viele Mandanten erwarten heute aktiv, dass ihre Anwälte zeitgemäße Sicherheitsstandards einhalten. Der Wechsel lässt sich als Qualitätsmerkmal kommunizieren: "Wir setzen auf eine sichere Dokumentenplattform, damit Ihre Verträge und Unterlagen jederzeit geschützt sind."
Was passiert, wenn ich einen Share-Link bereits versendet habe und den Zugang nachträglich sperren muss?
Im Gegensatz zu einer E-Mail, die nach dem Versand nicht mehr kontrollierbar ist, können Sie einen SendMeSafe Share-Link jederzeit deaktivieren. Wenn Sie feststellen, dass ein Link an die falsche Person gesendet wurde oder ein Dokument zurückgezogen werden muss, sperren Sie den Zugang mit einem Klick. Bereits heruntergeladene Kopien können Sie zwar nicht zurückholen, aber der Link wird sofort ungültig und weitere Downloads werden verhindert. Im Audit-Trail sehen Sie zudem, ob und wann der Link bereits aufgerufen wurde.
Häufig gestellte Fragen
Schützen Sie Ihr Unternehmen
Vermeiden Sie Datenschutzvorfälle mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen