Berufsgeheimnis 2.0: Wie Sie als Anwalt oder Arzt in der Schweiz Ihre Mandantenkommunikation wirklich schützen

Als Geheimnisträger in der Schweiz – ob als Anwalt, Treuhänder oder Arzt – ist die Vertraulichkeit Ihrer Mandantenkommunikation nicht nur eine berufliche Pflicht, sondern das Fundament Ihrer Tätigkeit. Täglich versenden Sie E-Mails, tauschen Dokumente aus und kommunizieren über Messenger. Doch jede dieser Nachrichten ist potenziell eine offene Tür für unbefugte Dritte. Das Bewusstsein für die Risiken ist oft vorhanden, doch die Umsetzung im Alltag scheitert häufig an der Komplexität der Lösungen oder an der fehlenden Akzeptanz auf Mandantenseite.

Die gängigen Ratschläge beschränken sich oft auf den pauschalen Hinweis, E-Mails zu verschlüsseln, oder auf die Empfehlung hochkomplexer Systeme wie PGP. Diese Ansätze übersehen jedoch einen entscheidenden Punkt: Das schwächste Glied in jeder Sicherheitskette ist der Mensch. Eine Sicherheitslösung, die für den Mandanten eine Hürde darstellt oder die im Stress des Kanzleialltags umständlich ist, wird umgangen – und öffnet genau die Lücken, die sie eigentlich schliessen sollte. Schon die Information, dass überhaupt ein Mandatsverhältnis besteht, ist schützenswert. Es ist daher nur konsequent, auch die Art der Kommunikation zwischen Anwälten und Mandanten nach diesen Grundsätzen zu beurteilen, wie eine akademische Analyse der Mandantenkommunikation hervorhebt.

Dieser Artikel bricht mit dem reinen Technik-Fokus. Wir stellen die Praxistauglichkeit und Fehlertoleranz in den Mittelpunkt. Denn wirksamer Schutz entsteht nicht durch die komplizierteste Technologie, sondern durch ein robustes, durchdachtes System, das für Sie und Ihre Mandanten funktioniert. Es geht darum, ein Kommunikations-Ökosystem zu schaffen, das Vertraulichkeit gewährleistet, ohne die Effizienz zu beeinträchtigen, und das selbst dann noch sicher ist, wenn etwas schiefgeht.

Der folgende Leitfaden führt Sie durch die zentralen Aspekte einer sicheren und nDSG-konformen Mandantenkommunikation in der Schweiz. Wir beleuchten die Fallstricke gängiger Methoden, stellen praxistaugliche Alternativen vor und zeigen Ihnen, wie Sie ein robustes System für den Datenaustausch, die Speicherung und sogar für den Krisenfall aufbauen.

Warum der Standard-E-Mail-Versand wie das Schreiben einer Postkarte ist?

Eine unverschlüsselte E-Mail ist das digitale Äquivalent einer Postkarte. Der Inhalt ist für jeden, der die Nachricht auf ihrem Weg durch das Internet abfängt, im Klartext lesbar. Auf ihrem Weg vom Absender zum Empfänger passiert eine E-Mail zahlreiche Server und Netzwerkknotenpunkte. An jedem dieser Punkte kann die Nachricht potenziell von Administratoren oder Angreifern eingesehen werden. Das betrifft nicht nur den Inhalt, sondern auch Metadaten wie Absender, Empfänger und Betreff, die bereits Rückschlüsse auf ein vertrauliches Mandatsverhältnis zulassen können.

Die grundlegende Unsicherheit des E-Mail-Protokolls (SMTP) ist der Kern des Problems. Es wurde in einer Zeit entwickelt, in der das Internet ein kleiner, vertrauenswürdiger Raum war. Heutzutage ist diese Offenheit eine gravierende Schwachstelle. Sowohl der E-Mail-Betreiber als auch die Betreiber der durchlaufenen Knotenpunkte können eine Nachricht potenziell mitlesen. Obwohl Transportverschlüsselung (TLS) heute weit verbreitet ist und die „Postroute“ sicherer macht, bietet sie keinen Schutz auf den Servern selbst. Dort liegen die E-Mails oft wieder unverschlüsselt vor und sind zugänglich für den Provider oder bei einem Hackerangriff.

Für Geheimnisträger bedeutet dies: Der Versand sensibler Informationen per Standard-E-Mail stellt einen direkten Verstoss gegen die Sorgfaltspflicht und das Berufsgeheimnis dar. Trotzdem ist dies immer noch gängige Praxis. Obwohl technische Lösungen existieren, zeigt eine Umfrage, dass nur eine Minderheit der Nutzer ihre E-Mails konsequent verschlüsselt. Die Analogie zur Postkarte ist daher treffender denn je: Man würde keine vertraulichen Vertragsdetails oder medizinischen Befunde auf eine Postkarte schreiben. Dasselbe Prinzip muss für die digitale Kommunikation gelten.

Wie implementieren Sie PGP oder S/MIME, ohne dass Ihre Klienten daran verzweifeln?

Die klassische Antwort auf das E-Mail-Dilemma heisst Ende-zu-Ende-Verschlüsselung (E2EE). Die beiden etablierten Standards dafür sind OpenPGP und S/MIME. Sie stellen sicher, dass eine E-Mail nur vom Absender und dem vorgesehenen Empfänger gelesen werden kann. Zusätzlich ermöglichen sie eine digitale Signatur, die die Authentizität des Absenders bestätigt. Technisch gesehen ist dies eine exzellente Lösung. In der Praxis scheitert sie jedoch oft an einer entscheidenden Hürde: der Benutzerfreundlichkeit, insbesondere auf Seiten der Mandanten.

Die Implementierung von PGP oder S/MIME erfordert auf beiden Seiten die Installation von Software oder Plug-ins, die Erstellung und den Austausch von öffentlichen Schlüsseln sowie ein Grundverständnis des Konzepts. Für einen technisch nicht versierten Mandanten kann dieser Prozess schnell zur unüberwindbaren Hürde werden. Das Resultat: Die sichere Kommunikation findet nicht statt, und man fällt aus Bequemlichkeit auf die unsichere Standard-E-Mail zurück. Der Sicherheitsgewinn ist damit null. Der Fokus muss daher auf Lösungen liegen, die für den Mandanten keine oder nur minimale technische Hürden aufwerfen.

Hier setzen praxistauglichere Schweizer Alternativen an. Ein Beispiel ist der Dienst IncaMail der Schweizerischen Post. Solche Plattformen agieren als vertrauenswürdiger Vermittler. Sie ermöglichen den verschlüsselten E-Mail-Versand, ohne dass der Empfänger eine spezielle Software installieren muss. Die Zustellung erfolgt über ein gesichertes Web-Portal, das sich mit einem Passwort oder via Zwei-Faktor-Authentisierung öffnen lässt. IncaMail erfüllt dabei die Compliance-Vorschriften in der Schweiz und der EU, was einen datenschutzkonformen Austausch gewährleistet. Anstatt also Ihre Mandanten zu IT-Experten machen zu wollen, ist die Wahl einer Lösung, die den Menschen in den Mittelpunkt stellt, der strategisch klügere Weg.

WhatsApp vs. Threema Work: Welcher Messenger erfüllt Schweizer Datenschutzstandards?

Für die schnelle, unkomplizierte Kommunikation greifen viele zum Smartphone. Doch die Wahl des Messengers ist für Geheimnisträger von entscheidender Bedeutung. Während WhatsApp zwar eine Ende-zu-Ende-Verschlüsselung der Inhalte bietet, liegen die Probleme an anderer Stelle: Das Unternehmen gehört zum Meta-Konzern (Facebook) und unterliegt US-Recht (inkl. CLOUD Act). Zudem sammelt WhatsApp umfangreiche Metadaten – wer kommuniziert wann, wie oft und von wo mit wem. Allein diese Informationen können bereits Rückschlüsse auf ein Mandatsverhältnis zulassen und stellen somit ein Risiko für das Berufsgeheimnis dar.

Als datenschutzkonforme Schweizer Alternative hat sich Threema Work etabliert. Der entscheidende Unterschied liegt im grundlegenden Design: Threema verfolgt das Prinzip der „Metadaten-Sparsamkeit“. Für die Nutzung ist weder eine Telefonnummer noch eine E-Mail-Adresse erforderlich; die Identifikation erfolgt über eine anonyme Threema-ID. Das Unternehmen hat seinen Sitz in der Schweiz, unterliegt somit Schweizer Datenschutzrecht und ist nicht vom US CLOUD Act betroffen. Dies wird auch von Experten unterstrichen, wie Peter Szabó, Unternehmensjurist bei Threema, in einem Interview betont:

Peter Szabó, Unternehmensjurist und Datenschutzberater des Schweizer Messenger-Dienstes Threema, dessen Unternehmen dafür steht, dass seine Kunden kaum überwacht werden können.

– Peter Szabó, Neue Zürcher Zeitung

Ein weiterer wichtiger Punkt ist die Infrastruktur. Im Gegensatz zu vielen globalen Anbietern, deren Serverstandorte unklar sind, setzt Threema auf Transparenz. Threema betreibt seine Server in einem ISO 27001-zertifizierten Rechenzentrum in Zürich. Für Schweizer Geheimnisträger bedeutet dies maximale Datenhoheit und Rechtssicherheit. Threema Work bietet zudem zusätzliche Funktionen für den Unternehmenseinsatz, wie eine zentrale Verwaltung der Nutzer und die Möglichkeit zur Integration in eigene Systeme. Für die vertrauliche Ad-hoc-Kommunikation ist Threema Work daher die klar vorzuziehende Lösung gegenüber WhatsApp oder anderen US-amerikanischen Diensten.

Der Verlust des Private Keys: Wenn Sicherheit zum totalen Datenverlust führt

Die Ende-zu-Ende-Verschlüsselung, sei es bei E-Mails oder in anderen Systemen, basiert auf einem Schlüsselpaar: einem öffentlichen Schlüssel zum Verschlüsseln und einem privaten Schlüssel (Private Key) zum Entschlüsseln. Dieser private Schlüssel ist das Herzstück der Sicherheit. Doch genau hier lauert eine oft unterschätzte Gefahr: der permanente Datenverlust. Wenn Sie Ihren privaten Schlüssel verlieren – sei es durch einen Festplattencrash, den Verlust eines Geräts oder schlicht durch Vergessen des Passworts –, können Sie keine einzige der mit diesem Schlüssel verschlüsselten Nachrichten mehr lesen. Die Sicherheit der Verschlüsselung kehrt sich gegen Sie und führt zum totalen und unwiederbringlichen Verlust der Informationen.

Dies ist nicht nur ärgerlich, sondern kann für Geheimnisträger schwerwiegende rechtliche Konsequenzen haben. Gemäss der schweizerischen Geschäftsbücherverordnung (insb. Art. 958f OR) unterliegen Sie einer Aufbewahrungspflicht für geschäftsrelevante Korrespondenz, die in der Regel zehn Jahre beträgt. Können Sie aufgrund eines Schlüsselverlusts auf alte Mandantenkommunikation nicht mehr zugreifen, verletzen Sie potenziell diese Pflicht. Sicherheit darf also niemals zu einem Kontrollverlust führen, der die gesetzlichen Anforderungen aushebelt.

Ein robustes Sicherheitskonzept muss daher zwingend eine durchdachte Schlüsselverwaltung (Key Management) umfassen. Dazu gehören drei wesentliche Massnahmen:

1. Schutz des Private Keys: Der private Schlüssel muss unbedingt mit einem starken, einzigartigen Passwort geschützt werden. Sollte er in falsche Hände geraten, verhindert das Passwort, dass Dritte Ihre Kommunikation entschlüsseln können.
2. Sicheres Backup: Erstellen Sie eine verschlüsselte Sicherungskopie Ihres privaten Schlüssels und bewahren Sie diese an einem sicheren, vom Hauptsystem getrennten Ort auf (z.B. auf einem verschlüsselten USB-Stick im Tresor).
3. Wiederherstellungsprozess: Definieren Sie einen klaren Prozess, wie Sie im Notfall auf das Backup zugreifen und den Schlüssel wiederherstellen können.

Verletzungen der Datensicherheit müssen vermieden werden, und dazu gehört auch der Schutz vor Datenverlust. Die Notwendigkeit einer E-Mail-Verschlüsselung wird besonders bei schützenswerten Personendaten betont, doch die Verwaltung der Schlüssel ist die Voraussetzung für deren nachhaltigen Nutzen.

Wie versenden Sie Gigabytes an sensiblen Daten sicher am E-Mail-System vorbei?

Das E-Mail-System stösst schnell an seine Grenzen, wenn es um den Austausch grosser Dateien geht. Die meisten E-Mail-Provider limitieren die Grösse von Anhängen auf wenige Megabytes (typischerweise 20-25 MB). Für Anwälte, die umfangreiche Fallakten, oder Ärzte, die hochauflösende Bildgebungsdaten versenden müssen, ist dies keine praktikable Option. Der Versuch, grosse Dateien in viele kleine E-Mails aufzuteilen, ist nicht nur ineffizient, sondern auch fehleranfällig und unsicher.

Die Lösung liegt in dedizierten, sicheren File-Transfer-Diensten, die speziell für den Austausch grosser und sensibler Datenmengen konzipiert sind. Anstatt die Datei direkt zu versenden, wird sie auf einen sicheren Server hochgeladen, und der Empfänger erhält lediglich einen geschützten Link zum Herunterladen. Bei der Auswahl eines solchen Dienstes sind für Geheimnisträger in der Schweiz folgende Kriterien entscheidend:

• Ende-zu-Ende-Verschlüsselung: Die Daten müssen sowohl während der Übertragung (in-transit) als auch auf dem Server (at-rest) stark verschlüsselt sein.
• Serverstandort Schweiz: Um dem nDSG und der Problematik des US CLOUD Act gerecht zu werden, sollte der Anbieter seine Server ausschliesslich in der Schweiz betreiben.
• Zugriffskontrolle: Der Download-Link muss passwortgeschützt sein und idealerweise eine zeitliche Begrenzung sowie eine Begrenzung der Download-Anzahl aufweisen.
• Benutzerfreundlichkeit: Der Prozess muss für den Mandanten einfach und intuitiv sein, ohne dass eine Softwareinstallation erforderlich ist.

Auch hier gibt es bewährte Schweizer Lösungen, die diese Anforderungen erfüllen. Dienste wie IncaMail ermöglichen beispielsweise den sicheren Transfer von Dateien bis zu 1 GB über einen gesicherten Link. Dies eignet sich hervorragend für den Versand von PDF-Scans, Bauplänen, Gutachten oder anderen grossen Dokumenten. Solche Dienste erhöhen die Sicherheit des Informationsaustausches und sind insbesondere für Organisationen empfehlenswert, die regelmässig vertrauliche Dokumente austauschen. Sie umgehen die Limitierungen des E-Mail-Systems und bieten gleichzeitig ein höheres Mass an Kontrolle und Sicherheit.

Microsoft 365 oder eigener Server: Was ist für das Anwaltsgeheimnis zulässig?

Die Frage, wo sensible Mandantendaten gespeichert werden, ist zentral. Viele Kanzleien und Praxen stehen vor der Entscheidung: Nutzt man einen Cloud-Dienst wie Microsoft 365 oder investiert man in einen eigenen, lokal betriebenen Server (On-Premise)? Lange Zeit galt die Cloud aufgrund des US CLOUD Act, der US-Behörden den Zugriff auf Daten von US-Unternehmen auch im Ausland ermöglicht, für Geheimnisträger als Tabu. Doch die Situation hat sich gewandelt.

Microsoft hat auf die Bedenken reagiert: So betreibt Microsoft in der Schweiz seit 2019 dedizierte Datenstandorte in Zürich und Genf. Das bedeutet, dass die Daten von Schweizer Kunden physisch in der Schweiz gespeichert werden. Dies allein löst das Problem des CLOUD Act jedoch nicht vollständig. Die entscheidende technologische Weiterentwicklung heisst Double Key Encryption (DKE). Bei diesem Verfahren wird ein Dokument mit zwei Schlüsseln verschlüsselt: einem von Microsoft verwalteten Schlüssel und einem zweiten Schlüssel, der unter der alleinigen Kontrolle des Kunden steht. Dieser zweite Schlüssel kann in einer eigenen, hochsicheren Infrastruktur (z.B. einem Hardware-Sicherheitsmodul) gespeichert werden. Selbst Microsoft hat somit keinen Zugriff auf die Inhalte, da zum Entschlüsseln beide Schlüssel benötigt werden.

Die Entscheidung zwischen Cloud und eigenem Server ist somit eine Abwägung von Kontrolle, Kosten und Aufwand. Die folgende Tabelle fasst die wichtigsten Aspekte zusammen:

Ein eigener Server bietet die maximale Kontrolle, erfordert aber auch erhebliche Investitionen und IT-Know-how. Microsoft 365 ist, wenn es korrekt konfiguriert wird (Schweizer Datacenter und DKE für hochsensible Daten), eine gangbare, skalierbare und oft kosteneffizientere Alternative, die auch für Geheimnisträger nDSG-konform sein kann.

Wie kommuniziert Ihr Stab sicher weiter, wenn das Firmennetzwerk kompromittiert ist?

Ein robustes Sicherheitskonzept denkt auch an das „Worst-Case-Szenario“: Was passiert, wenn Ihr Kanzlei- oder Praxisnetzwerk durch einen Cyberangriff kompromittiert ist? Wenn E-Mail-Server, Telefonsystem und interne Chats ausfallen oder von Angreifern kontrolliert werden? In einer solchen Krise ist eine sichere und funktionierende Kommunikation des Stabes überlebenswichtig, um den Vorfall zu bewältigen und die Handlungsfähigkeit zu wahren. Die Kommunikation über die kompromittierten Kanäle ist dabei ausgeschlossen, da die Angreifer mitlesen könnten.

Hier kommt das Konzept der Out-of-Band-Kommunikation ins Spiel. Dies bezeichnet einen Kommunikationskanal, der vollständig unabhängig von Ihrer primären IT-Infrastruktur ist. Ein solcher Kanal muss im Voraus definiert und eingerichtet werden, damit er im Notfall sofort zur Verfügung steht. Er dient ausschliesslich der Krisenkommunikation im engsten Führungskreis.

Ein praxistauglicher Ansatz ist die Einrichtung einer dedizierten, geschlossenen Gruppe in einem hochsicheren Messenger wie Threema Work. Da Threema unabhängig von der Firmen-IT auf den privaten oder dedizierten Mobilgeräten der Mitarbeitenden läuft und keine Telefonnummer oder E-Mail-Adresse für die Nutzung benötigt, bleibt dieser Kanal auch bei einem Totalausfall des Firmennetzwerks funktionsfähig. Ein Notfallkommunikationsplan sollte folgende Schritte umfassen:

1. Kanal definieren: Richten Sie eine vordefinierte, geschlossene Threema-Gruppe für den Krisenstab ein.
2. Kontakte sicherstellen: Stellen Sie sicher, dass alle Mitglieder des Krisenstabs die Threema-IDs der anderen Mitglieder ausserhalb des Firmennetzwerks (z.B. ausgedruckt oder auf einem privaten Gerät) gespeichert haben.
3. Prozesse festlegen: Definieren Sie klar, wer wann über diesen Kanal kommunizieren darf und wie die Authentizität der Teilnehmer sichergestellt wird (z.B. durch eine Kontrollfrage).
4. Regelmässig testen: Führen Sie mindestens einmal jährlich einen Test der Notfallkommunikation durch, um sicherzustellen, dass alles reibungslos funktioniert.

Cyberangriffe machen auch vor staatlicher Infrastruktur nicht halt, und mit der Digitalisierung wächst die Komplexität und damit das Risiko. Ein Plan für die Out-of-Band-Kommunikation ist daher keine Übervorsicht, sondern ein essenzieller Teil der Business Continuity und des Schutzes des Berufsgeheimnisses im Krisenfall.

Wie verwalten Treuhänder und Anwälte sensible Mandantendaten nDSG-konform?

Ein umfassender Schutz der Mandantenkommunikation endet nicht beim Versand. Die Verwaltung, Klassifizierung und der Schutz der Daten über ihren gesamten Lebenszyklus sind gemäss dem neuen Datenschutzgesetz (nDSG) der Schweiz von ebenso grosser Bedeutung. Das nDSG hat die Anforderungen an Transparenz und Sicherheit deutlich verschärft. Zwei Aspekte sind hierbei besonders relevant: die umfassende Informationspflicht und die Regelungen zum Datentransfer ins Ausland.

Unternehmen müssen betroffene Personen über jede Datensammlung angemessen informieren. Diese Informationspflicht gilt für alle Personendaten, nicht nur für besonders schützenswerte. Wenn Daten nicht direkt bei der betroffenen Person erhoben werden, greift diese Pflicht ebenfalls. Zudem muss klar spezifiziert werden, in welche Länder Personendaten übermittelt werden, und es muss sichergestellt sein, dass diese Länder einen angemessenen Datenschutz gewährleisten. Dies gilt explizit auch für die Speicherung auf ausländischen Cloud-Systemen. Verstösse gegen diese und andere Pflichten sind kein Kavaliersdelikt: Bei Verstössen gegen das nDSG drohen Bussgelder bis zu CHF 250’000, die sich direkt gegen die verantwortliche natürliche Person richten können.

Um diese Anforderungen in der Praxis zu bewältigen, sind technische und organisatorische Massnahmen unerlässlich. Dazu gehört die Fähigkeit, Daten zu klassifizieren (z.B. als „öffentlich“, „intern“ oder „streng vertraulich“) und entsprechende Schutzmechanismen anzuwenden. Moderne Plattformen wie Microsoft 365 bieten hierfür Werkzeuge wie Microsoft Purview. Damit können Daten klassifiziert und kontrolliert werden. Mittels Data Loss Prevention (DLP) können Systeme so konfiguriert werden, dass sie den Versand von als sensibel klassifizierten Daten per E-Mail an externe Empfänger automatisch blockieren oder eine zusätzliche Bestätigung erfordern. Dies hilft, menschliches Versagen zu minimieren und die Einhaltung der Richtlinien technisch zu erzwingen.

Beginnen Sie noch heute mit einer systematischen Analyse Ihres Kommunikations-Ökosystems. Die Implementierung eines sicheren, praxistauglichen und nDSG-konformen Systems schützt nicht nur Ihre Mandanten und Sie selbst vor rechtlichen Konsequenzen, sondern stärkt auch das wertvollste Gut, das Sie besitzen: das Vertrauen.