Dass das ganze System per se nicht Ende-zu-Ende verschlüsselt steht schon ziemlich lange in der Wikipedia drin, denn das geht ja bereits aus der Eigendarstellung der BRAK hervor (um das zu erkennen, braucht es allerdings ein paar kryptografische Kenntnisse). so wie es aussieht, kann man es wohl als Tatsache ansehen, dass sämtliche privaten Schlüssel aller Anwender bei der BRAK gespeichert sind (und zwar im HSM). Das ist kryptografisch gesehen ein absolutes No-go. Es stellt sich die durchaus berechtigte Frage, ob nicht bereits dieser Umstand dafür sorgt, dass der Anwalt seine Verschwiegenheitsvereinbarung gegenüber dem Mandanten bricht, denn der Anwalt kommuniziert über ein System, bei dem die Daten abgehört werden können. Die strategische Frage ist nicht, ob sie abgehört werden, sondern ob die Art der technischen Implementierung impliziert, dass es möglich ist. Diese Frage ist eindeutig mit ja zu beantworten. Wie auf dem CCC-Kongress so schön (unter deutlichem Beifall) gesagt wurde "Eine Ende-zu-Ende-Verschlüsselung sieht anders aus".
Nun zur FAX-Thematik:
So traurig das klingt, aber ja, das ist technisch möglich. Im HSM (HSM siehe Wikipedia) kann ein Empfänger gegen einen anderen Empfänger ausgetauscht werden (das wird euphemistisch "umschlüsseln" genannt). Ein neuer Empfänger kann also durchaus eine Telefax-Nummer sein. Damit ist es also ohne weiteres möglich, die eingegangenen beA-Mails auf die Telefaxe der Anwälte weiterzuleiten. Wenn nun gesagt wird, dass nur der Empfänger sowas "proaktiv" einstellen kann, so ist das schlicht Unsinn, denn die Konfiguration eines HSM ist schlicht Software und hat nichts mit Kryptogrphie zu tun.
Übrigens verstößt das ganze dann auch noch gegen den Datenschutz, denn Sie als Anwalt sind nicht nur zur Wahrung des Mandantengeheimnisses verpflichtet, sondern selbstverständlich sind Sie auch verpflichtet sicherzustellen, dass die von Ihnen genutzten Transportmedien sicher sind. Das nennt man TOMs (technisch organisatorische Maßnahmen), und gemäß EU-DSGVO und BDSG-neu müssen Sie die Details der TOMs aller der von Ihnen genutzten Dienstleister (in diesem Falle der BRAK) persönlich vorliegen haben. Man kann sich nämlich nicht damit rausreden, dass man damit nichts zu tun hat, da das Kammersache ist. Ach und übrigens: Ab Mai nächsten Jahres gilt dann eine Beweislastumkehr, das heißt, wenn irgend jemand behauptet, dass Sie gegen den Datenschutz verstoßen, dann müssen Sie beweisen (TOMs) dass Sie es nicht tun und zwar für sich selbst und für alle von Ihnen genutzten Dienstleister (Verweis auf den Dienstleister geht nicht mehr). Das ist eine der Fundamentaländerungen gegenüber jetzt. Momentan können Sie sich nämlich noch zurücklehnen und sagen "Beweis mir mal, dass ich gegen den datenschutz verstoße", das geht ab Mai nicht mehr. Und nochwas: Verstöße gegen den datenschutz können mit Ordnungsgeldern in einer Höhe bis zu 10% des Jahresumsatzes geahndet werden. Das klingt nach viel Spaß 😞
