Das seit 2016 nutzbare besondere elektronische Anwaltspostfach sollte am 01.01.2018 einen wichtigen Schritt in Richtung Digitalisierung gehen, denn ab diesem Datum war vorgesehen, dass Rechtsanwälte die Pflicht zur passiven Nutzung haben (§ 31a Absatz 6 BRAO). Das bedeutet, dass ab 01.01.2018 jeder Anwalt in Deutschland die Voraussetzungen für den Empfang von Nachrichten über das beA zu erfüllen und über das beA versendete Nachrichten zur Kenntnis zu nehmen hatte. Bereits zum Jahreswechsel 2017/2018 zeichnete sich ab, dass die Umsetzung zu wünschen übrig ließ, denn von den in Deutschland zugelassenen etwa 163000 Anwälten hatten gerade einmal 71000 das beA eingerichtet. Alle übrigen Anwälte erfüllten die gesetzlichen Maßgaben nicht. Aber es kam noch schlimmer: Aufgrund von Sicherheitsmängeln nahm die federführende Bundesrechtsanwaltskammer (BRAK) das beA noch vor dem eigentlichen Start vom Netz. Das erfolgte nicht etwa aufgrund eigener Erkenntnis, sondern aufgrund des Umstandes, dass ein für das Betreiben des Postfachs notwendiges Zertifikat vom Trust Center der deutschen Telekom entzogen worden war. Das geschah, weil der so genannte private Schlüssel, welcher Gegenstand des Zertifikats war, in der beA Software enthalten und damit praktisch öffentlich einsehbar war. Die BRAK versucht nun, diesen Fehler zu beheben. Fachleute sind skeptisch, ob das mit dem derzeitigen Konzept des beA überhaupt funktionieren kann.
Schaden von mehr als 120 Millionen Euro
Der für das beA Debakel im Falle eines endgültigen Scheiterns drohende Schaden ist enorm, denn die Kosten für das beA betragen mittlerweile mehr als 120 Millionen Euro. Und das bei konservativer Schätzung:
Entwicklungskosten seit 2014
- 38.000.000,00 Euro
Das beA wurde seit 2014 von dem durch die BRAK beauftragten Unternehmen Atos entwickelt. Dafür sollen bislang Kosten in Höhe von 38.000.000 Euro angefallen sein. Für das Vorhaben mussten die Rechtsanwälte Sonderumlagen an ihre Rechtsanwaltskammern abführen. Wenn es nicht gelingt, die Struktur des beA den gesetzlichen Anforderungen entsprechend zu ändern, sind die investierten 38 Millionen Euro verloren. Ein neues Konzept müsste her und es ist fraglich, ob vom alten Konzept überhaupt etwas genutzt werden kann. Im schlimmsten Fall muss davon ausgegangen werden, dass die Investition verloren ist.
Kosten für die Einrichtung des beA
- 71.000.000,00 Euro
Die Arbeitszeit für die Einrichtung des beA kann je Anwalt mit ca. 10 Stunden veranschlagt werden, davon umfasst ist die Lektüre der Handreichungen zum beA, die Ermittlung des Handlungsbedarfs, die Bestellung der beA-Karte, die Ermittlung und Beschaffung der notwendigen Infrastruktur (insbesondere des Kartenlesegeräts), die Freischaltung der Karte und die Einrichtung des Postfachs. Der durchschnittliche Honorarsatz beträgt bei Rechtsanwälten 150,00 Euro je Stunde, wobei einige Anwälte deutlich mehr und andere deutlich weniger in Rechnung stellen. Um die Berechnung realistisch zu gestalten, wird hier ein durchschnittlicher Honorarsatz von 100,00 Euro je Stunde veranschlagt, das ergibt folgende Berechnung 71.000 Anwälte x 10 Stunden x 100,00 Euro = 71 Millionen Euro.
Kosten für Schulungen der Rechtsanwälte und Mitarbeiter
- 10.650.000 Euro
Hinzu kommen Ausgaben für Schulungen, die – wenn das beA nicht zur Anwendung kommt – nutzlos sind. Dafür sprechen gute Gründe, zumal Inhalte der Schulungen offenkundig unzutreffend waren. So wurde beispielsweise berichtet, dass der private Schlüssel bei der beA Basiskarte ein so genannter Hardwaretoken ist, der an die Karte gebunden ist und nicht von der Karte heruntergeladen werden kann. Das stimmt offenbar nicht. Es ist zu lesen, dass die Nachrichten beim beA nicht direkt zugestellt werden, sondern über den zentralen Server des beA laufen. Dort werden sie entschlüsselt und zur Weiterversendung an einen anderen Rechtsanwalt, ein Gericht oder ein Behörde wieder verschlüsselt. Das funktioniert aber nur mit dem privaten Schlüssel des Anwalts, der also keineswegs an die Karte gebunden ist, sondern beim beA gespeichert sein muss. Das Vorliegen von privaten Anwalts-Schlüsseln auf dem Server des beA dürfte eine weitere Sicherheitslücke öffnen. Darum geht es hier aber nicht. Fakt ist, dass etliche Anwälte selbst Schulungen besucht haben und ihre Mitarbeiter zu Schulungen geschickt haben. Die Kosten für beA-Schulungen variieren und betragen bei konservativer Schätzung durchschnittlich 200 Euro. Von den 71.000 Anwälten, die das beA eingerichtet haben, werden nicht alle eine Schulung besucht haben. Es darf aber angenommen werden, dass mindestens die Hälfte der Anwälte, das heißt 35.500 Anwälte mindestens eine kostenpflichtige Schulung besucht haben und dass 25% der Anwälte mindestens einen Mitarbeiter zu wenigstens einer solchen Schulung schickten. Daraus errechnen sich 53.250 nutzlose Schulungen, multipliziert mit einem Durchschnittspreis von 200,00 Euro = 10.650.000,00 Euro. Zur Sicherheit wird hier allein von der Anzahl der bereits registrierten Anwälte (71.000) ausgegangen. Da die Schätzung einer Anzahl von Anwälten, die eine Schulung besucht haben aber noch nicht beim beA angemeldet sind, mit großen Ungewissheiten behaftet ist, bleiben diese bei der Prognose außer Betracht.
Kosten für Lesegeräte
- 1.775.000,00 Euro
Es darf vorausgesetzt werden, dass alle Anwälte einen ausreichenden Computer für das beA besitzen und dass dafür keine Investitionen erforderlich waren. Notwendig war aber die Anschaffung eines Kartenlesegeräts, das durchschnittlich mit 50,00 Euro zu Buche schlägt. Multipliziert mit 71.000 Anwälten ergeben sich daraus 3,55 Millionen Euro. Freilich könnte ein solches Lesegerät auch für andere Zwecke verwendet werden, sodass es nur für diejenigen Anwälte eine nutzlose Investition ist, die keine Verwendung dafür haben. Bei konservativer Schätzung haben 50% der betroffenen Anwälte eine anderweitige Verwendung für das Kartenlesegerät, sodass nur die Hälfte angesetzt wird, d.h. 35.500 Anwälte x 50,00 Euro = 1,775 Millionen Euro. Um die Berechnung konservativ zu gestalten, unterbleibt die Veranschlagung einer Anzahl von Anwälten, die bereits Lesegeräte erworben haben, sich aber noch nicht beim beA angemeledet haben.
Erwerb der Basiskarte
- 2.112.900,00 Euro
Die Basiskarte schlägt je Anwalt mit 29,90 Euro zu Buche. Dass gegen Aufpreis außerdem eine qualifizierte elektronische Signatur bestellt werden konnte, soll hier außer Betracht bleiben. Die Basiskarte ist bei einem Scheitern des beA nutzlos. Wenn die persönlichen Schlüssel tatsächlich nicht bloß auf der Basiskarte, sondern auch auf dem Server des beA gespeichert sind, dürfte die Basiskarte nicht mehr zu retten sein, denn die Zertifikate sind dann nicht mehr als sicher anzusehen.
Mitarbeiterkarten
- 686.925,00 Euro
Für das beA waren außerdem Mitarbeiterkarten zu je 12,90 Euro zu erwerben. Diese Karten sind notwendig, damit neben dem Anwalt auch deren Rechtsanwaltsgehilfen auf das Postfach zugreifen können. Da es immer eine gewisse Anzahl von Einzelanwälten ohne Mitarbeiter gibt, wird hier angenommen, dass nur 75% der Anwälte Mitarbeiterkarten bestellt haben, d. h. 75 % von 71.000 Anwälten x 12,90 Euro = 686.925 Euro.
Softwarezertifikate
- 173.950,00 Euro
Neben Mitarbeiterkarten waren auch Softwarezertifikate zu je 4,90 Euro bestellbar, die den Zugriff auf das beA eröffnen sollten, etwa für unterwegs oder für Mitarbeiter. Bei konservativer Schätzung haben 50% der Anwälte solche Software Zertifikate erworben, d. h. 35.000 Anwälte x 4,90 Euro = 173.950 Euro.
Summe: 124 Millionen Euro Schaden
Aus allen Positionen errechnet sich eine Schadensprognose in Höhe von 124.408.775,00 Euro. Die Schätzung ist mit mehreren Ungewissheiten behaftet. Die größte daran ist die Finanzierung des Vorhabens bei der BRAK. Es kann nämlich sein, dass Entwicklungskosten des beA in Höhe von 38 Millionen Euro zum Teil bereits mit Einnahmen aus Kartenverkäufen bestritten worden sind. Dagegen spricht allerdings, dass, von vereinzelten Bestellungen einmal abgesehen, die Karten erst im Laufe des Jahres 2017 in größerem Stil verkauft worden sein dürften. Darüber, wie viele Basiskarten, Mitarbeiterkarten und Softwarezertifikate verkauft worden sind, kann die BRAK Auskunft erteilen. Ein Auskunftersuchen zu den Fragen bei der BRAK blieb bis zur Veröffentlichung dieses Beitrags unbeantwortet. Relevante Ungewissheiten können auch die Schätzungen zu den Schulungen aufweisen sowie zu dem mit 100 Euro veranschlagten Stundensatz.
Rückzahlungsansprüche und Schadensersatz
Der Skandal um das beA wirft die Frage nach Rückzahlungsansprüchen und Schadensersatz auf. Und tatsächlich gibt es bereits einige Anwälte, die die Geltendmachung solcher Ansprüche ankündigen. Da die einzelnen Anwälte keinen Vertrag mit der BRAK geschlossen haben, sondern das beA kraft gesetzlichen Auftrags zu realisieren ist und den Anwälten zur Benutzung überlassen wird, dürften vertragliche Ansprüche (§ 280 BGB) ausscheiden. Allenfalls der über die Zertifizierungsstelle der Bundesnotarkammer (BNotK) organisierte Vertrieb der Basiskarten könnte das Vorliegen eines Vertrags nahelegen, denn auf den Karten ist zu lesen „Ein Service der Zertifizierungsstelle der Bundesnotarkammer im Auftrag der Bundesrechtsanwaltskammer“. Ob dadurch aber ein Vertrag zur Erstellung eines funktionierenden beA geschlossen worden ist, muss aber bezweifelt werden. Neben vertraglichen Ansprüchen sind deliktische Ansprüche nach § 823 Absatz 1 BGB denkbar. Allerdings schützt die Norm nicht das Vermögen und genau ein solcher Schaden ist den Anwälten entstanden. Damit verbleibt ein Anspruch nach § 823 Absatz 2 BGB in Verbindung mit einem Schutzgesetz, was aber voraussetzt, dass die BRAK gegen ein Schutzgesetz verstoßen hat, welches gerade die Vermeidung eines solchen Schadens bezweckt. Ein solches Schutzgesetz ist hier aber nicht ersichtlich.
Außerdem setzen Schadensersatzansprüche Verschulden auf Seiten der BRAK voraus, was zweifelhaft ist. Denkbar wäre ein Verschulden zwar, wenn das Sicherheitskonstrukt ungeeignet war und dies hätte erkannt werden können. Den Verantwortlichen bei der BRAK könnte vorgehalten werden, das mit der Erstellung des beA betraute Unternehmen Atos nicht ordnungsgemäß ausgewählt oder nicht ausreichend überwacht zu haben. Ob diese Voraussetzungen vorliegen, ist eine Frage der individuellen Umstände. Zu berücksichtigen ist, dass sich technische Laien auf den externen Sachverstand verlassen dürfen. Das bedeutet, dass die BRAK sich zunächst einmal auf das verlassen durfte, was das beauftragte Unternehmen tut. Der Schuldvorwurf richtet sich dann nicht gegen die BRAK, sondern das beauftragte Unternehmen: Wenn das Unternehmen eine fehlerhafte Leistung erbringt, ist das eine Frage des Vertragsverhältnisses zwischen der BRAK und dem Unternehmen.
Bei dem zwischen der BRAK und dem Unternehmen Atos geschlossenen Vertrag dürfte es sich um einen Werkvertrag (§ 631 BGB) handeln, da eine individuelle funktional beschriebene Hard- und Software entwickelt und umgesetzt werden sollte. In Betracht kommen zunächst einmal Nachbesserungsansprüche (§ 635 BGB), eine Minderung des Vertragspreises (§ 638 BGB) und die Geltendmachung von Schadensersatz. Dabei handelt es sich aber nicht um einen individuellen Anspruch des Anwalts, sondern um einen Anspruch, den die BRAK gegen Atos geltend machen könnte. Rechtlich wäre die BRAK zur Geltendmachung des Anspruchs verpflichtet. Allerdings ist ein Anspruch immer nur so werthaltig wie der Schuldner zahlungsfähig ist. Wenn bei Atos nichts zu holen ist, bestehen Ansprüche nur auf dem Papier.
Neben der eher schlechten Prognose für individuelle Ansprüche von Anwälten ist zu berücksichtigen, dass sich Anwälte mit der Geltendmachung von Ansprüchen selbst kaum einen Gefallen tun dürften. Denn die Kosten des beA werden auf die Anwälte umgelegt. Das gilt auch dann, wenn die Investition noch einmal erfolgen muss. Von Gesetzes wegen darf die BRAK kein Vermögen bilden, sondern darf neben der Vereinnahmung von Mitteln für ihre Aufgaben nur zweckgebundene Mittel einsammeln, die sie grundsätzlich auch nur zweckgebunden verwenden darf. Bei gesetzestreuer Haushaltsführung müsste die BRAK die für das beA aufgewendeten Mittel bereits wieder ausgegeben haben. Für die Begleichung von Ansprüchen – jedenfalls wenn das im großen Stil erfolgt – dürfte die Kammer daher nicht die notwendigen Mittel haben. Sie müsste daher im Fall von erfolgreichen Klagen die Mittel beschaffen und das passiert natürlich bei den Kammerangehörigen, also den Anwälten. Dass dies über die zwischengeschalteten Landesrechtsanwaltskammern erfolgt, ändert im Ergebnis nichts.
Ebenso wenig Aussichten bietet ein Vorgehen gegen die für die Finanzierung des beA erhobene Umlage. Diese ist bei den Landesrechtsanwaltskammern unterschiedlich hoch. So verlangte die RAK Hamm eine Umlage in Höhe von 67 Euro, ebenso die RAK M-V. Angehörige der RAK Bamberg hatten 70 Euro zu zahlen. Die Umlage wird per Verwaltungsakt geltend gemacht und bei denjenigen Anwälten, die dagegen nicht fristgerecht Widerspruch erhoben haben, liegt ein unanfechtbarer Verwaltungsakt vor. Die Widerspruchsfrist beträgt grundsätzlich einen Monat. Bei Vorliegen eines unanfechtbaren Umlagebescheids ist eine Rückforderung ausgeschlossen.
Schadenfreude schönste Freude
Viele Beobachter belächeln das Debakel. Kein Wunder, denn die Fehler sind dilettantisch und die Erschaffer des beA sind nicht einmal selbst darauf gekommen, dass das was sie jahrelang entwickelten, Mist ist, sondern mussten sich das erst vom Chaos Computer Club erklären lassen. Dass Juristen keine Ahnung von Technik haben, dürfte ein für allemal erwiesen sein. Denn dass ein privater Schlüssel nicht öffentlich gemacht werden darf, weiß jeder halbwegs gebildete Mensch. Kein Wunder also, dass sich unter das Lächeln offene Schadenfreude mischt. Das beA ist an Peinlichkeit kaum zu überbieten und der Schaden ist enorm. Einzelne klagewütige Anwälte würden – wenn sie denn Recht bekommen sollten – den Schaden auf alle Anwälte abwälzen und dürften einen Teil ihres Sieges selbst bezahlen, das verleiht der Sache einen ganz besonderen Geschmack. Aber es trifft ja keinen Armen, zumindest im Durchschnitt.