Frage: Ja, Herr Baenz, wir haben uns ja schon im Vorfeld unterhalten. Bevor wir Sie und Ihre Kanzlei vorstellen, würde mich sehr interessieren: Warum ist verschlüsselte Kommunikation für Anwälte so wichtig?

Matthias Baenz: Verschlüsselte Kommunikation für Anwälte ist eigentlich nichts, was nur Anwälte betrifft – das sollte grundsätzlich jeden angehen. Aber bei Anwälten gibt es eben noch die berufsrechtliche Dimension. Die sorgt dafür, dass sich Anwälte in einem besonderen Regelwerk bewegen und bestimmte Rücksichtnahmepflichten haben, die im privaten Bereich so nicht gelten. Das bedeutet: Ich habe als Anwalt schlicht Regelwerke, die mir gewisse Dinge vorschreiben, während ich mich als Privatnutzer vielleicht fragen kann: Betrifft mich das überhaupt? Interessiert mich das? Finde ich das schlimm? Als Anwalt hingegen muss ich immer nicht nur mein eigenes Berufsrecht im Blick haben, sondern vor allem die Interessen meiner Mandantin oder meines Mandanten.

Und da gibt es klare Vorgaben, die besagen: Ich darf die Interessen des Mandanten oder der Mandantin nicht beeinträchtigen. Diese Vorgaben gibt es im Übrigen schon immer. Aber im Zuge der Datenschutzthematik hat sich in den letzten Jahren ein neues Feld aufgetan, in dem Beeinträchtigungen drohen können. Genau das muss der Anwalt heute mit in den Blick nehmen. Deshalb hat er hier eine besondere Pflicht, dafür zu sorgen, dass der Mandant nicht durch irgendwelche Datenabflüsse oder unbeabsichtigte Zugriffe oder gar Datenveröffentlichungen gefährdet wird.

Und das lässt sich im Grunde nur durch echte, verschlüsselte Kommunikation sicherstellen. Vielen Anwälten ist aber offenbar gar nicht bewusst, dass das so ist – und dass man das so ernst nehmen muss. Die normalen technischen Vorkehrungen im E-Mail-Verkehr wie TLS leisten das schlicht nicht.

Ich glaube, die meisten Anwälte wissen auch gar nicht, was SSL oder TLS bedeutet. Sie lassen sich dann gern von ihren E-Mail-Anbietern beruhigen, wenn es heißt: Die Verbindung sei ja verschlüsselt. Oft wird das ja auch so angezeigt: „Verbindung verschlüsselt.“ Aber dass das nur die Verbindung zum eigenen E-Mail-Server betrifft, wissen viele nicht. Der Rest des Weges passiert im Grunde unverschlüsselt.

Das bedeutet: Die Daten können abgegriffen und auch verändert werden. Diese Tatsache ist schlicht nicht bekannt oder wird in ihrer Dramatik nicht ernst genug genommen. Oft heißt es dann: „Ja, was soll denn daran so schlimm sein?“ Oder: „Wer soll sich denn bitte dafür interessieren?“ Die tatsächliche Bedrohungssituation wird also häufig gar nicht wahrgenommen. In meinen Augen ist es aber so: Verschlüsselte Kommunikation ist keine Kür, sondern Pflicht, vor allem für Anwälte.

Schalte die Privatsphäre ein.

Get

Frage: Ja, das Thema „verändert werden“ finde ich dabei auch sehr wichtig, weil es die meisten Menschen gar nicht auf dem Schirm haben. Es ging ja kürzlich in Deutschland durch die Medien, dass eine Rechnung von einem Handwerksbetrieb manipuliert wurde. Wie groß ist denn da das Risiko, und wie sieht es mit der Verantwortung von Unternehmen aus, wenn E-Mails, insbesondere Rechnungen, unverschlüsselt verschickt werden? Sollten vor allem Unternehmen auf verschlüsselte E-Mails setzen?

Matthias Baenz: Das Risiko ist enorm – und in diesem Fall musste das der Kunde leidvoll erfahren. Aber es gilt natürlich immer in beide Richtungen. Vielleicht sollte man zunächst kurz erläutern, was in dem konkreten Fall eigentlich das Problematische war.

Der E-Mail-Account des Unternehmers war gehackt worden – so jedenfalls der Sachverhalt, von dem das Gericht ausgegangen ist. Legen wir das einfach mal zugrunde. Es hatte sich also jemand dazwischengeschaltet – der Hacker eben – und genau dieses Risiko realisiert: Bei allen E-Mails, die Rechnungsdokumente betrafen, wurde schlicht das Empfängerkonto, also das Zahlungskonto, geändert. Alles andere sah genau so aus wie vorher. Die E-Mails sahen gleich aus, nur die Kontonummer war geändert. Das hat aber niemand bemerkt – weder der Unternehmer noch der Kunde.

Das Gericht hat dann zwei Dinge festgestellt. Erstens: Hat der Kunde mit dieser Zahlung auf das in der Rechnung angegebene Konto seine Schuld erfüllt? Nein, sagte das Gericht, hat er nicht. Mit anderen Worten: Die Schuld ist weiterhin offen. Das war der erste große Schlag für den Kunden – dass er trotz der Zahlung von 11.000 Euro seine Schuld nicht erfüllt hatte.

Das Gericht konnte das im Grunde auch gar nicht anders entscheiden. Wenn das Geld nicht dort ankommt, wo es ankommen muss, dann liegt schlicht keine Erfüllung vor.

Die Frage, ob das Unternehmen etwas hätte tun müssen, um den Hack zu verhindern – bspw. mit verschlüsselten E-Mails, spielte in diesem Zusammenhang zunächst keine Rolle. Relevant wurde sie erst bei der Frage: Hat sich das Unternehmen eventuell schadensersatzpflichtig gemacht? Ist nicht der Schaden genau der Betrag, den der Kunde umsonst überwiesen hat?

Da sagte das Gericht: Könnte durchaus sein, aber nicht in voller Höhe.

Hier spielte dann eine Rolle, dass das Gericht sagte: Beide Vertragspartner haben sich auf eine riskante Kommunikationsform eingelassen. Damit gilt der Grundsatz: Wer sich freiwillig auf etwas Riskantes einlässt, muss das Risiko als mündiger Bürger auch tragen. In Verhältnissen, wo die Kenntnisse und das Wissen ungleich verteilt sind – Riesenkonzern gegen Verbraucher –, mag das anders aussehen.

In diesem Fall aber war es ein gestandenes Unternehmen auf der einen Seite und ein gestandener Kunde auf der anderen. Das Gericht konnte also keine große Wissensdifferenz erkennen und sagte deshalb: Grundsätzlich tragen beide das Risiko.

Das Unternehmen bekam aber letztlich doch ein bisschen mehr “Schuld zugesprochen”, denn das Gericht sagte: Du hast eine andere Pflicht verletzt – nämlich eine Pflicht aus der Datenschutz-Grundverordnung, dein eigenes IT-System zu sichern.

When asked what advice Baenz would give to other law firms unsure about switching to encrypted communication platforms, he suggests starting small, for example with a Tuta Mail account.

Frage: Das ist hochinteressant. Das heißt, der Kunde hätte verschlüsselte Kommunikation einfordern müssen?

Matthias Baenz: Wenn er auf Nummer sicher gehen will – ja, genau. Das kann man tatsächlich so formulieren. Das Gericht hat gesagt: Ihr habt euch beide auf diese angreifbare Kommunikation eingelassen, ihr tragt beide Schuld.

Frage: Das ist wirklich hochspannend. Um den Problemen, die Sie geschildert haben – also was Anwälte alles schützen müssen, wozu sie verpflichtet sind – zu begegnen, bieten Sie ja mit Ihrer Kanzlei verschiedene Möglichkeiten der verschlüsselten Kommunikation an, nicht nur Tuta Mail. Warum ist es Ihnen so wichtig, dass der Mandant unterschiedliche Kommunikationskanäle wählen kann?

Matthias Baenz: Das hat zwei verschiedene Aspekte. Der eine Aspekt ist: Ich möchte dem Mandanten oder der Mandantin die Wahl lassen. Das ist keine Pflicht, die mir auferlegt ist, sondern es wäre aus meiner Sicht einfach nicht in Ordnung, wenn ich mich auf ein einziges System versteife und alles andere ablehne. Ich weiß ja nicht, welche Varianten der Mandant vielleicht schon nutzt. Und ich möchte keine zusätzliche Schwelle aufbauen, sondern es möglichst einfach machen.

Deshalb bieten wir an: Wenn du mit PGP arbeiten möchtest, mach das. Wenn du mit Tuta Mail arbeiten möchtest, dann nimm das. Wenn du etwas anderes hast, mach es anders.

Der zweite Aspekt ist: Wenn ich meine Kommunikation auf verschiedene Pfeiler stelle, dann schaffe ich weniger potenzielle Angriffsvektoren an einer einzigen Stelle. Das ist eine Art Teilungsstrategie, um nicht komplett abhängig und angreifbar von einem Anbieter zu sein. Ich möchte nicht mit einem einzigen System 100 Prozent meiner Kommunikation abwickeln, weil das natürlich ein Risiko birgt.

Frage: Wie reagieren Ihre Mandanten darauf?

Matthias Baenz: Das ist tatsächlich der Knackpunkt. Die meisten Mandantinnen und Mandanten haben gar kein System für Verschlüsselung im Einsatz, geschweige denn Ideen oder Präferenzen. Wenn sie der Idee näherkommen, dass es für ihren Fall tatsächlich wichtig ist, nehmen sie in der Regel das System, das ich vorschlage. Und das ist seit zehn Jahren bei mir eben Tuta Mail.

Den Mandanten ist es wichtig, dass es einfach funktioniert. Sie möchten keine unterschiedlichen Dinge ausprobieren oder vergleichen. Es soll schlicht und ergreifend laufen.

Ich war wirklich sehr froh, als Tutanota auf die Bildfläche trat, vor etwas mehr als zehn Jahren, weil es ein System war, das sich sehr leicht umsetzen ließ. Auch mit Mandanten, die keine Lust auf technische Spielereien hatten, gelang es mir, sie zu überzeugen, verschlüsselte Kommunikation dauerhaft einzusetzen. Vorher war das deutlich schwieriger – gerade mit PGP. Da musste ich erklären: Ihr müsst dies und jenes installieren, ein Zertifikat generieren … das wurde den Mandanten zu anstrengend.

Mit Tutanota war es ein Selbstläufer. Wenn die Mandanten einmal über die Schwelle gegangen waren, war es für sie einfach. Um mit der verschlüsselten Kommunikation loslegen zu können, müssen sie sich nicht einmal ein eigenes Konto bei Tuta anlegen – das war und ist besonders schön. Sie können auf diese Weise ihr gewohntes E-Mail-Programm weiterverwenden und trotzdem über den Link von Tutanota bzw. heute Tuta sicher mit mir kommunizieren. Sie haben über das geteilte Passwort jederzeit Zugriff auf die gesamte bisherige Kommunikation, müssen also nicht jede Nachricht einzeln entschlüsseln, um sich die gesamte Kommunikation anzusehen. Das ist für die Mandanten eine tolle Sache.

Die einzige Schwierigkeit war manchmal, wenn es längere Pausen in der Kommunikation gab: Dann musste ich ihnen ihr Passwort wieder mitteilen. Meist habe ich es zur Vereinfachung vorgegeben, natürlich nicht per E-Mail, sondern über einen sicheren anderen Kanal. Praktisch ist dabei, dass ich in Tuta das Passwort für den Mandanten sicher abgelegt habe und einfach in den Kontakten nachschauen kann, wie das Passwort lautet. So konnte ich es den Mandanten auch nach einem halben Jahr erneut geben.

Frage: Das freut mich sehr zu hören. Tutanota ist vor elf Jahren gestartet – Sie sind also ein Pionier. Es wundert mich fast, dass wir beide uns nicht schon früher über den Weg gelaufen sind. (lacht) Erinnern Sie sich noch an den Umstieg damals? Gab es für Ihre Kanzlei Herausforderungen bei der Einführung von Tutanota?

Schalte die Privatsphäre ein.

Get

Matthias Baenz: Natürlich, die gibt es bis heute, das muss man fairerweise sagen. Es ist mir leider nicht gelungen, unsere gesamte Kanzlei auf Tutanota, jetzt Tuta Mail, umzustellen. Da gibt es dieses berühmte Beharrungsvermögen. Bei einer vollständigen Umstellung hätten wir plötzlich neue E-Mail-Adressen gehabt – für viele Mandanten ein absolutes No-Go. Da sprechen wir nicht von einem oder zwei Mandanten, sondern von Hunderten. Das führt bei den Leuten zu regelrechtem Schüttelfrost.

Wenn ich ihnen aber zeige: Ihr könnt auf Wunsch eure eigene Domain weiterhin verwenden, eure E-Mail-Adresse bleibt optisch gleich – das geht bei Tuta Mail ja problemlos –, dann müsste man das eben einrichten. Das erfordert Abstimmungen mit dem Provider, gewisse Anpassungen, einmaligen Aufwand. Und dann kommt das kaufmännische Denken: Was habe ich davon? Wie groß ist das Risiko wirklich? Lohnt sich der Aufwand?

Deshalb sind wir letztlich bei einem Zwei-Systeme-Modell geblieben. Einige Partnerinnen und Partner habe ich überzeugt, sich Tuta-Zugänge einzurichten bzw. von mir einrichten zu lassen oder zumindest verschlüsselte Tuta Mails von mir in ihrem normalen Mailpostfach anzunehmen, via Link und Browser zu öffnen und auch darüber zu antworten. Für besonders sensible Themen, bei gemeinsamen Mandaten oder wenn wir das Vier-Augen-Prinzip nutzen wollen, setzen wir das gezielt ein. In der täglichen Kommunikation verwenden die meisten Kollegen weiterhin ihr gewohntes System. Ich habe es bisher nicht geschafft, das zu ändern.

Trotz der bekannten Macken bleibt man eben lieber beim Gewohnten. Es ist eine klassische Risiko-Nutzen-Abwägung. Ich selbst fahre also zweigleisig: Tuta Mail für die sensiblen Dinge, also praktisch meine gesamte Kommunikation mit Mandantinnen und Mandanten, und Outlook für den Rest. Es geht ja am Ende auch um die sichere Verschlüsselung der Mails auf dem Mail-Server, also in meinem Fall bei Tuta.

Frage: Das ist eine smarte Lösung. Wie beurteilen Sie diesbezüglich Microsofts Strategie, alles in die Cloud zu verlagern, und den damit verbundenen Datenschutzproblemen – auch im Hinblick auf den möglichen Zugriff der USA auf Daten? Das ist für eine Kanzlei doch ein erhebliches Risiko. Ist die amerikanische Cloud – auch wenn die Daten auf deutschen Servern liegen - für Kanzleien eigentlich ein No-Go?

Matthias Baenz: Absolut. Deshalb hoffe ich, dass wir in den nächsten Jahren doch noch die vollständige Migration schaffen. Es ist ja so: Wenn man die Umstellung zu Tuta einmal vollzogen hat, funktioniert alles wie gehabt. Dank App und Desktop-Client kann man Tuta Mail überall nutzen. Im Gegensatz zu Outlook, wo man je nach Client über IMAP arbeiten muss, ist das alles deutlich einfacher.

Lesen Sie den detaillierten Vergleich zwischen Tuta Mail und Outlook.

Frage: Nun zu Ihnen: Könnten Sie sich und Ihre Kanzlei kurz vorstellen? Welche Schwerpunkte haben Sie?

Matthias Baenz: Sehr gern. Wir sind eine mittelständische Kanzlei mit Standorten in Hamburg, Berlin, Potsdam, Schwerin, Rostock und auch im Ausland. Unser Fokus liegt auf der Betreuung mittelständischer Unternehmen, aber auch von Einzelmandanten – schwerpunktmäßig im Wirtschafts- und Steuerrecht. Wir sind Rechtsanwälte, Steuerberater und Wirtschaftsprüfer.

Hier in Schwerin haben wir eine Steuerabteilung, die sich von der Buchhaltung bis hin zu Steuererklärungen und Jahresabschlüssen um alle steuerlichen Belange der Mandanten kümmert. Ich selbst bin Rechtsanwalt, Fachanwalt für Steuerrecht, und beschäftige mich seit vielen Jahren intensiv mit steuerrechtlichen Fragestellungen – insbesondere in kritischen Fällen: schwierige Betriebsprüfungen, Selbstanzeigen, Strafverfahren wegen angeblicher Steuerhinterziehung. Dann komme ich ins Spiel.

Außerdem unterstütze ich bei der Vertragsgestaltung, insbesondere wenn steuerliche Optimierung im Vordergrund steht. Das ist nichts für den klassischen Steuerberater allein, dafür braucht es in der Umsetzung den spezialisierten Anwalt. Ich bin also oft das Bindeglied zwischen steuerlichen Fragen und deren juristischer Umsetzung – etwa bei gesellschaftsrechtlichen Gestaltungen, Testamenten, Eheverträgen oder ähnlichen sensiblen Themen.

Frage: Da geht es um hochsensible Daten. Ich kann verstehen, dass Sie sich gefreut haben, als Tutanota auf den Markt kam.

Matthias Baenz: Ja, absolut. Für mich war das eine innere Rechtfertigung, mich intensiv mit der Technik auseinanderzusetzen. Das kostet Zeit – neben der fachlichen Arbeit, den Mandaten, der Rechtsprechung, der Gesetzgebung. Aber gerade als Steueranwalt, wo es häufig um sehr sensible, teils strafrechtlich relevante Themen geht, war mir das wichtig. Ich will, dass meine Kommunikation so sicher ist, wie ein vertrauliches Gespräch im abhörsicheren Raum.

Schalte die Privatsphäre ein.

Get

Frage: Das ist eine klasse Einstellung, und eine, die wir sehr gerne häufiger sehen würden. Aber der Trend geht ja derzeit in die richtige Richtung. Wenn wir auf Skandale wie die angesprochenen manipulierten Rechnungen durch gehackte E-Mails schauen: Welche Rolle wird sichere Kommunikation Ihrer Einschätzung nach in Zukunft spielen?

Matthias Baenz: Sie wird immer wichtiger werden. Zwei Entwicklungen bereiten mir Sorgen: Zum einen der Trend in den USA, dass der Präsident einen Bereich für sich beansprucht, der nicht richterlich überprüfbar ist. Für unser Rechtsverständnis in Deutschland ist das kaum nachvollziehbar, aber dort wird es ernsthaft vertreten. Rechtsschutz existiert dann in diesen Bereichen praktisch nicht mehr.

Das betrifft natürlich auch Unternehmen, die US-Recht unterliegen, Stichwort Patriot Act und digitale Sourveränität. Selbst wenn die Server in Europa stehen: Wenn ein US-Unternehmen Daten herausgeben soll, muss es das tun. Versprechungen wie „Wir machen das nicht“ sind im Ernstfall nichts wert. Das betrifft auch Microsoft.

Zum anderen gibt es in Europa politische Bestrebungen, Verschlüsselung durch Hintertüren zu schwächen. Die sogenannte Chatkontrolle etwa: Man möchte gute Verschlüsselung erlauben, aber sich einen Zugang für die Ermittlungsbehörden schaffen. Für mich als Anwalt ein No-Go. Es gibt keine Backdoor nur für die Guten. Wer einmal Zugang hat, öffnet damit letztlich auch anderen Tür und Tor.

Frage: Kommen wir zurück zur digitalen Souveränität in Europa. Wo stehen wir in fünf Jahren? Nutzen die Behörden dann immer noch Microsoft?

Matthias Baenz: Ich hoffe nicht, oder jedenfalls nicht in der jetzigen Form. Es gibt Ansätze, etwa in Schleswig-Holstein, aber ich befürchte: In fünf Jahren sind wir noch nicht soweit. Vielleicht in zehn. Ein großes Problem ist die IT-Beratung der Behörden. Oft bleiben sie bei ihren Standards, weil es läuft. Probleme oder Bedenken werden dann gern verdrängt.

Wir sehen es bei der elektronischen Patientenakte: Grundsätzlich gut, aber schlecht umgesetzt. Statt alles immer komplett neu zu machen, könnten die Behörden Open-Source-Ansätze nutzen, und darauf aufbauen: Nextcloud, Tuta Mail, Deutschland hat viele gute Unternehmen. Stattdessen wird das Rad immer wieder neu erfunden, jeder kocht sein eigenes Süppchen. Das kostet Zeit, Geld und bringt nichts.

Frage: Zum Abschluss: Was raten Sie Kanzleien, die noch unsicher sind, ob sie auf verschlüsselte Kommunikation umsteigen sollen?

Matthias Baenz: Einfach machen. Fangen Sie klein an, wie ich. Legen Sie sich einen Tuta-Account an, nutzen Sie ihn für sensible Kommunikation. Bieten Sie es Ihren Mandantinnen und Mandanten an. Lassen Sie es langsam wachsen, ohne gleich alles umzustellen. Kleine Schritte, keine Angst vor der Technik – das wäre mein Rat.

Frage: Also einfach mal machen. Das ist auch immer mein Rat. In kleinen Schritten zu besserem Datenschutz und besserer Sicherheit, denn den magischen Schalter, den man nur einmal umlegen muss, gibt es bei dem Thema leider nicht. Aber kleine Schritte, können auch schon viel bewirken. Herr Baenz, herzlichen Dank für das Interview; ich würde es gern demnächst fortführen!

Matthias Baenz: Sehr gern, es hat mich gefreut.