Versand von Gerichtsakten per USB-Sticks

Stand der Digitalisierung in Deutschland

Hier: Versand von Gerichtsakten per (unverschlüsselten) USB-Sticks

Autor: Dipl.-Ing. Thomas Käfer, M.Sc. – 02.08.2024

Wie sieht es bezüglich des Standes der Digitalisierung in Deutschland aus? Schlecht!

Ein besonders krasser Fall von Digitalinkompetenz fiel dem Autor Thomas Käfer im Rahmen seiner Sachverständigentätigkeit als gerichtlich bestellter Gutachter im März 2024 auf.

Um den Beteiligten genügend Zeit zu geben, auf die seinerzeit geäußerte Kritik angemessen und vor allem mit Abhilfemaßnahmen zu reagieren, erfolgt erst jetzt im August 2024 eine Veröffentlichung – leider ohne, dass sich irgendetwas nachhaltig getan hätte.

Die Protagonisten:

  • Ein Amtsgericht
  • Das Bundesjustizministerium
  • Die IHK Aachen

Im Rahmen seiner Tätigkeit als öffentlich bestellter und vereidigter Sachverständiger erhielt der Autor im  März 2024 den Auftrag zur Untersuchung eines Computers im Rahmen eines Zivilprozesses. Zum zweiten Mal kam die Gerichtsakte nicht, wie bisher üblich, als Original in Papierversion, sondern digitalisiert (eingescannt) auf einem USB-Stick. Das Passwort zu dem angeblich verschlüsselten USB-Stick kam einen Tag später ebenfalls per Post in einem separaten Schreiben.

Die Überraschung war groß, als der Autor feststellte, dass sich die auf dem Stick vorhandene PDF ohne jegliche Passworteingabe öffnen ließ. So viel zur Verschlüsselung.

Aber auch das Passwort konnte nicht wirklich überzeugen. Es war so trivial aufgebaut, dass man davon ausgehen muss, dass andere USB-Sticks mit anderen Gerichtsakten mit logischem Abändern des verwendeten Passwort-Schemas leicht zu erraten sind. Wenn denn die Sticks diesmal verschlüsselt sind.

Alles halb so wild? Auf den ersten Blick vielleicht. Fehler passieren. Aber: Es geht um einen Zivilprozess (es könnte auch ein Strafprozess sein), dessen Details erst einmal nicht der breiten Öffentlichkeit zugänglich gemacht werden sollen (auch wenn Gerichtsprozesse selbst i.d.R. öffentlich sind, aber das ist wohl nicht damit gemeint).

Dem gerichtlichen Sachverständigenauftrag lag ein Schreiben bei, das Anweisungen an den Sachverständigen zum Umgang mit dem USB-Stick enthielt und ihm datenschutzrechtliche Verpflichtungen auferlegte, die nach seiner Meinung so rechtlich nicht haltbar sind.

Zitat: Bitte beachten Sie die damit verbundenen datenschutzrechtlichen Folgen:

Bei der elektronischen Überlassung einer Verfahrensakte zum Zwecke der elektronischen Akteneinsicht handelt es sich um eine Verarbeitung personenbezogener Daten.

Hierbei sind die Grundsätze aus Art. 5 Datenschutz-Grundverordnung (DS-GVO) einzuhalten. Die Verarbeitung in Form der Gewährung von elektronischer Akteneinsicht findet ihre Rechtsgrundlage in der anwendbaren Verfahrensordnung i.V.m. Art. 6 Abs. 1 Buchst. e DS-GVO i.V.m. §.3 BDSG, § 3 DSG NRW.

Betroffene, deren personenbezogene Rechte durch die Akteneinsicht betroffen sind, wurden gemäß den Artikeln 12 ff. DS-GVO, 32 ff. BDSG, § 11 ff. DSG NRW durch ein Informationsschreiben informiert. Dieses Schreiben unterrichtet den Betroffenen insbesondere über die mögliche Weitergabe der Akte an Akteneinsichtsberechtigte und belehrt ihn über seine weiteren Rechte.

Mit dem Übergang des USB-Sticks in Ihre Verfügungsgewalt gehen sämtliche Pflichten als datenschutzrechtlicher Verantwortlicher auf Sie über.

Nach Art 24 DS-GVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt.

Dies schließt die Informationspflicht mit dem Inhalt der Art. 13, 14 DSGVO, §§ 32 und 33 BDSG, § 11 DSG NRW ein.

Um zu vermeiden, dass die datenschutzrechtlichen Pflichten andauern und Sie für deren Einhaltung die Verantwortung tragen, wird ausdrücklich angeregt, die personenbezogenen Daten auf dem USB Stick nach Erhalt und Einsichtnahme umgehend (revisionssicher) zu löschen.

Zitat Ende

Das ist der eigentliche Hammer. Es ist nach Ansicht des Sachverständigen mitnichten so, dass die Verantwortliche (hier das Gericht) die Verantwortlichkeit im Sinn der DS-GVO auf den Sachverständigen (also einen Dritten) übertragen kann. Das Gericht bleibt Verantwortliche.

Jetzt kann man trefflich darüber diskutieren, ob der Sachverständige Auftragsdatenverarbeiter im Sinn der DS-GVO wird. Dann müsste das Gericht einen AVV mit ihm schließen. Auch diese Rolle ist eher zu verneinen.

Also bleibt noch die Rolle als Dritter oder Empfänger personenbezogener Daten in der Lesart der DS-GVO. Selbstverständlich ist ein ö.b.u.v. Sachverständiger allein schon aufgrund seiner Bestellung zur Verschwiegenheit und zum sorgsamen Umgang mit allen Daten rund um einen Gutachtenauftrag verpflichtet, aber er wird nicht zum (alleinigen oder gemeinsamen) Verantwortlichen nach DS-GVO.

Und auch die Hinweise auf das Auskunftsrecht des Betroffenen sind überraschend und stehen im direkten Widerspruch zur Rollenverteilung vor Gericht. Der Sachverständige ist sachkundiger Gehilfe des Gerichts und weder Partei noch Herr des Verfahrens. Somit liegt das alleinige Auskunftsrecht beim Gericht.

Sehr schön, aber leider praxisfremd ist die Aufforderung, den Stick alsbald revisionssicher zu löschen, damit die (angeblich übertragenen) datenschutzrechtlichen Pflichten nicht andauern. Bei einer Papierakte wird diese nach Abschluss des Gutachtens wieder an das Gericht zurückgegeben. Nur wichtige Auszüge bleiben als Kopie i.d.R. beim Gutachter für den Fall, dass es später Rückfragen gibt bzw. diese zum Verständnis des Gutachtens notwendig sind. So etwas speichert man als Sachverständiger üblicherweise nach Stand der Technik gesichert auf eigenen Systemen mit entsprechender Zugangssicherung. Das würde sich auch für die PDF anbieten, aber wird ja nicht empfohlen. Also weg damit! Und zwar schnell!

Sollten später tatsächlich Rückfragen gestellt werden, müsste dem Sachverständigen erneut die Gerichtsakte (digital) zugestellt werden.

Warum so kompliziert? Dafür gibt es doch ein elektronisches Akteneinsichtsportal und/oder ein elektronisches Justizpostfach. Über beide Systeme könnten Daten gesichert übertragen  werden.

Bei letzterem kommt jetzt die IHK ins Spiel. Wenige Tage vor Weihnachten 2023 informierte die IHK Aachen, dass ö.b.u.v. Sachverständige ab dem 01.01.2024 „technisch für den sicheren elektronischen Übertragungsweg aufgestellt sein müssen“.

Zitat:

Seit Januar 2018 dürfen Sachverständige ihre Gutachten bei Gericht elektronisch einreichen.

Zusätzlich verlangt § 173 Abs. 2 der Zivilprozessordnung, dass ab dem 1. Januar 2024 professionell am Prozess Beteiligte, einen sicheren elektronischen Übermittlungsweg für die Zustellung zu eröffnen haben. Auch öffentlich bestellte Sachverständige werden dadurch verpflichtet sein. Dies bedeutet, dass regelmäßig für Gericht tätige Sachverständige zum 1. Januar 2024 entsprechend technisch aufgestellt sein müssen.

Zitat Ende

Der Autor hat sich dann noch vor dem Jahreswechsel in das Abenteuer „Mein-Justizpostfach“ gestürzt. Die Einrichtung und die Nutzung ist an nicht unerhebliche Hürden gebunden. Gut, wenn man schon einmal einen elektronisch auslesbaren Personalausweis hat und sich dann ein passendes Lesegerät dafür besorgt. Dann durch die typisch deutsche umständliche Oberfläche mit allerlei Widersprüchen und Unzulänglichkeiten kämpfen, um dann prinzipiell elektronische Nachrichten auf gesichertem Weg an Gerichte und Rechtsanwälte schicken zu können. Leider nur in der Theorie. Und dass das Ganze eine Insellösung ist, die fern von einem Standardverfahren liegt, ist fast überflüssig zu erwähnen.

Empfangen könnte man Nachrichten auf diesem Weg auch, nur kann man sich leider vom Portal nicht per E-Mail o.ä. über den Eingang einer Nachricht benachrichtigen lassen. Daher muss man schon regelmäßig selbst nachschauen (incl. Authentifizierung über den umständlichen Weg mit App, Personalausweis und Lesegerät), ob es vielleicht eine neue Nachricht oder gar einen Gutachtenauftrag gibt. IT-Azubis würden so etwas als Abschlussprojekt in 35 oder 70 Stunden umsetzen.

Das (!) ist der Stand der Digitalisierung in Deutschland und eine Frechheit. Denn das zuständige Bundesjustizministerium bedauert nur lapidar, dass eine Benachrichtigung über eingehende Nachrichten „derzeit“ noch nicht möglich ist. An diesem Stand hat sich auch im August 2024 nichts geändert. Das Portal ist zudem vollkommen unbrauchbar, da eine Kommunikation zwischen Sachverständigen und Prozessanwälten (bisher) auch nicht möglich ist. Man findet die Kommunikationspartner nämlich nicht (oder wieder nur mit Expertenwissen und Tricks). Daher schreibt man sich schön weiterhin per Brief, per Fax (wenn es denn so etwas noch gibt) oder ersatzweise per unverschlüsselter E-Mail an.

Und damit kommen wir zum nächsten Punkt. Wenn dann anschließend Schriftsätze (ggf. auch wieder mit personenbezogenen Daten) per unverschlüsselter E-Mail z.B. von den Prozessanwälten an den Sachverständigen geschickt werden, wird die ganze Sache mit dem verschlüsselten Versenden ausgehebelt.

Und jetzt soll der Sachverständige datenschutzrechtlich für diese ganzen Vorgänge den Kopf hinhalten? Sicherlich nicht. Und überhaupt stellt sich die Frage, was für personenbezogene Daten der Gutachter bei einer sachverständigen Untersuchung denn erfassen und speichern soll. Handelt es sich z.B. um die Untersuchung eines streitgegenständlichen Computers, dann kommt beim Asservat eine erhebliche Menge teils hochbrisanter Daten in Frage (man denke an Fotos und private Korrespondenz). Dagegen ist die auf dem Stick überlassenen Akte datenschutzrechtlich ein Witz.

Zwischenfazit: Der verantwortungsvolle Umgang mit privaten (personenbezogenen) Daten, die im Rahmen von sachverständigen Untersuchungen gesammelt werden, ist dem Gutachter spätestens mit der öffentlichen Bestellung als ein über allem stehendes Credo mitgegeben. Ihm jetzt aber eine datenschutzrechtliche Verantwortung incl. einer zur ZPO widersprüchlichen Auskunftspflicht nach DS-GVO für die Verfahrensakte aufzuerlegen, ist mehr als überraschend.

Der Autor hat die IHK Aachen als bestellende Behörde um Stellungnahme und Unterstützung gebeten. Zuerst war man auf Seiten des Gerichts. Mit ein bisschen Nachbohren schwenkte die Stellungnahme schon etwas um und nach noch beharrlicherem Nachhaken wurde ein datenschutzrechtlicher Sprecher der IHK NRW eingeschaltet, der die Linie des Autors vollständig stützt. Auch er berichtet davon, dass Gerichte nach wie vor regelmäßig USB-Sticks durch die Gegend schicken, dass die datenschutzrechtlichen Vorgaben und Aussagen in dem Formschreiben unzutreffend sind und dass das elektronische Justizpostfach ein Scherz sei.

Das Gericht selbst hat übrigens auf die Beschwerde des Sachverständigen nicht reagiert. Eine weitere Nachfrage beim Direktor des Amtsgerichtes ergab – kurz zusammengefasst -„Eigentlich haben wir (außer bei diesem Einzelfall) nichts falsch gemacht und man gehe davon aus, dass das Formblatt rechtlich geprüft sei, da es im gesamten OLG Bezirk verwendet würde.“ Ja dann. „Eigentlich“ ist ein Füllwort und wenn alle es so machen, muss es ja richtig sein.

Wenn wir jetzt wirklich Datenschutz und IT-Sicherheit ernst nehmen wollen, dann muss man als Sachverständiger die Annahme fremder USB-Sticks grundsätzlich ablehnen, denn wir predigen ja den zu schulenden Usern: „Finger weg von USB Sticks aus fremder Hand“. Und meistens unterbindet eine Security-Policy der Company ohnehin technisch, fremde USB-Sticks in den PC einzustecken. Das wird nun beim Autor auch bei Gerichts-Sticks so umgesetzt.

Dabei könnte es so einfach sein: Tatsächlich gibt es das elektronische Akteneinsichtsportal, zu dem man dem Sachverständigen fallweise und für die Zeit der Bearbeitung des Gutachtens einen gesicherten Zugriff geben könnte. Damit wären alle IT-Security- und Datenschutz-Fragen erledigt.

Aber wann können wir das elektronische Justizpostfach für den sicheren Austausch von Daten und Nachrichten bi-direktional nutzen? Wie viele Jahre soll das noch dauern? Das ist doch beileibe kein digitales Hexenwerk.

Und warum kümmern sich nicht Bundesjustizministerium, die IHK und die Gerichte darum, die Voraussetzungen für eine digitale Kommunikation und Aktenführung zeitnah und handwerklich sauber umzusetzen und bleiben am Ball? Warum muss da wieder ein einzelner Sachverständiger aktiv werden?

Schön wäre, wenn es zu Weihnachten 2024 ein Schreiben der IHK geben würde, dass nun alles geklärt wäre. Schön wäre auch, wenn dem Autor nicht immer wieder solche handwerklichen Fehler im Bereich Digitalisierung, IT-Sicherheit und Datenschutz begegnen würden. Leider ist auch dieser Bericht nur ein Beispiel in einer langen Reihe von Digital-Unfällen.

Und mal ganz persönlich: Jeder macht Fehler (auch der Autor). Das ist menschlich. Und wenn der Sachbearbeiterin der Fehler passiert ist, dass sie den Stick nicht verschlüsselt hat, dann ist das kein Beinbruch. Aber wenn Politik, Behörden und Institutionen immer weiter und immer mehr Vorgaben und Auflagen rund um IT-Sicherheit, Digitalisierung und Datenschutz machen, dann müssen sie selbst mit gutem Beispiel vorangehen und sich nicht ständig selbst vorführen lassen.

Über den Autor:

Thomas Käfer

Dipl.-Ing. Thomas Käfer, M.Sc. ist mit seinem IT-Systemhaus seit 1990 selbstständig in der IT tätig. Das Tätigkeitsfeld der Firma Käfer umfasst Consulting-Leistungen im Bereich der IT-Sicherheit incl. Penetration-Testing u.a. im Automotive-Umfeld. Thomas Käfer arbeitet seit 2002 als Sachverstän­diger für Systeme und Anwendungen der Informationsverarbeitung (seit 2006 öffentlich bestellt), als IT-Consul­tant, Fachautor und beschäftigt sich vor allem mit Fragen der IT-Sicherheit, dem Datenschutz und dem Gebiet der Digitalen Forensik. Er hat 2015 erfolgreich den berufsbegleitenden Masterstudiengang „Digitale Forensik“ an der Hochschule Albstadt-Sigmaringen in Kooperation mit der LMU München und der FAU Erlangen abgeschlossen und in diesem Rahmen eine umfangreiche Forschungsarbeit zum Thema Digitale Kfz-Forensik erstellt. Thomas Käfer beschäftigt sich regelmäßig mit Fragestellungen der IT-Sicherheit und der forensischen Auswertung von modernen Fahrzeugen und IT-Systemen, die mit diesen gekoppelt werden. Er ist Speaker auf Veranstaltungen zum Thema IT-Sicherheit und Datenschutz und hält Schulungen und Workshops zu diesem Thema für Automobilindustrie, Zulieferer, Behörden und Verbände.

Schreibe einen Kommentar