taz-Recherche zu Leak sensibler Daten: Nazi-Anwalt ohne Datenschutz

Berlin taz | Wer Ärger mit der Polizei hat, weil die einem vorwirft, im Darknet Drogen oder Waffen gekauft zu haben, landet nach einer Suchmaschinensuche in vielen Fällen bei ihm: Dr. Matthias Brauer, LL.M. Er hat sich für seine Bonner Kanzlei unter anderem die Webseite darknet-anwalt.de gesichert. „Fernab von klassischem Strafrecht beschäftigte ich mich schon früh mit neuen Medien und betreute verstärkt Mandanten aus dem Bereich der Internetkriminalität“, heißt es da. Und seine Man­dan­t:in­nen sind offenbar sehr zufrieden, wie die Bewertungen bei anwalt.de zeigen: 5 von 5 Sternen.

Was all diese Man­dan­t:in­nen wohl nicht ahnen: Der vermeintliche Internet-Fachmann Brauer hat Unmengen vertraulicher Akten zu ihnen ins Netz gestellt – unverschlüsselt und ohne Passwortschutz. Die taz wurde auf einen Link zu einer Dropbox aufmerksam gemacht, das ist ein Cloud-Speicher. Ruft man den Link im Browser auf, sind ohne weitere Hürde mehr als 1.500 Ordner der Kanzlei abrufbar. In der Regel ist jedem Ordner ein Fall zugeordnet und enthält teils tausende Seiten.

Insgesamt handelt es sich um mehr als 100 Gigabyte an Daten aus dem Zeitraum 2016 bis März 2022. Jede Person, die den langen Link mit vielen Buchstaben und Ziffern kennt, hat unbemerkt Zugriff auf diese Dateien, kann sie anschauen und prinzipiell auch herunterladen. Dafür braucht es kein Passwort.

Es ist unklar, ob und gegebenenfalls wo der Dropbox-Link öffentlich kursiert und wer somit potenziell Zugriff auf die Dateien hatte. Es handelt sich in jedem Fall um einen eklatanten Verstoß gegen den Datenschutz und das Anwaltsgeheimnis. Nach einer taz-Anfrage an Brauer hat sich sein Anwalt gemeldet. Er hat keine Fragen beantwortet, aber eine Beantwortung in Aussicht gestellt. Die Dropbox ist seitdem über den Link nicht mehr zu erreichen.

Man­dan­t:in­nen aus der rechten Szene

Das Datenleck ist auch wegen der politischen Ausrichtung des Anwalts Matthias Brauer relevant. In den Daten finden sich Unterlagen zu Presserechts-Streitigkeiten, unter anderem mit der taz. Brauer vertritt etwa den rechtsextremen Verein Ein Prozent, die rechtsextreme Identitäre Bewegung, rechte Burschenschaften und nach eigenen Angaben in mehr als 100 Fällen Fraktionen, Parteigliederungen und einzelne Po­li­ti­ke­r:in­nen der AfD – auch in parteiinternen Auseinandersetzungen.

Einzelne rechte und rechtsextreme Personen vertritt Brauer auch persönlich wegen unterschiedlicher Straftaten. Auch die Daten der mutmaßlichen Opfer stehen nun offen im Netz, etwa private Daten von Personen, die gegen die AfD demonstriert haben.

Brauer arbeitet auch für die Kanzlei von Enrico Komning, der für die AfD im Bundestag sitzt und dem völkisch-nationalen Flügel der Partei zugerechnet wird. Brauer war auch selbst in der AfD aktiv, als Justiziar war er Mitglied des Landesvorstands Rheinland-Pfalz. Zuvor war er als Burschenschafter aufgefallen, der weit rechts außen steht.

Nachdem er 2007 in Ku-Klux-Klan-Manier unter „Hail White Power“-Rufen ein Holzkreuz verbrannte, verlies Brauer die Burschenschaft Marchia Bonn. Er trat dann den radikaleren Raczeks in Bonn bei und ist auch Mitglied der Rugia Greifswald, bei der der Verfassungsschutz „rechtsextremistische Bezüge“ sieht. Im 2011 begonnen Richtungsstreit des Dachverbandes Deutsche Burschenschaft sprach sich Brauer für den „Arierparagraf“ aus, nach welchem die Mitgliedschaft in einer Burschenschaft an völkische und rassistische Kriterien geknüpft werden sollte.

Es geht um sehr sensible Daten

Mit dem Datenleck hat Anwalt Brauer nicht nur gegen allgemeine Datenschutzbestimmungen verstoßen, nach denen personenbezogene Daten zu schützen sind. Das Datenleck ist noch gravierender, weil Rechtsanwälte als Berufsgeheimnisträger besonders vorsichtig mit ihnen anvertrauten Daten umgehen müssen. Paragraf 203 des Strafgesetzbuches sieht für die „Verletzung von Privatgeheimnissen“ bis zu ein Jahr Haft oder Geldstrafe vor. Die Bundesrechtsanwaltsordnung nennt Verschwiegenheit als berufliche Grundpflicht, wozu es auch gehört, die Daten zu den Mandanten sorgfältig zu schützen.

In der Dropbox sind sehr sensible Daten gespeichert: Die Adressen, Geburtsdaten und Telefonnummern von Mandant:innen, Notizen und Schriftsätze des Anwalts und Schreiben von Justizbehörden. Auch sehr viele komplette Ermittlungsunterlagen, die dem Anwalt im Zuge der Akteneinsicht zur Verfügung gestellt wurden, also etwa Befragungen von Beschuldigten, Opfern und Zeug:innen.

Dabei geht es um ganz unterschiedliche Fälle, kleinere und sehr komplexe. Drogendelikte, Diebstahl, Betrug, Fahrerflucht, Körperverletzung und – besonders brisant – Sexualstraftaten und Fälle sogenannter Kinderpornographie. In solchen Fällen kann es besonders negative Auswirkungen haben, wenn Unbeteiligte Einblick in interne Unterlagen und somit private Daten von Opfern und Beschuldigten bekommen können.

Es ist schon problematisch genug, dass der Anwalt die Dateien in einer Dropbox gespeichert hat. Denn sie liegen in der Regel auf Servern in den USA, was prinzipiell nicht kompatibel mit dem europäischen Datenschutz ist, weil etwa nicht ausgeschlossen werden kann, dass Geheimdienste Zugang zu den Daten haben.

Es droht ein hohes Bußgeld

Noch gravierender ist aber, dass die Daten überhaupt nicht gesichert wurden. Es gäbe verschiedene simple Möglichkeiten, die Dropbox so abzusichern, dass Unbefugte nicht einfach durch Aufrufen eines Links darauf zugreifen können. Brauer wollte es offenbar noch einfacher haben – ohne die Konsequenzen zu bedenken. Dabei werden An­wäl­t­e:innen auch von Berufsverbänden und Kammern regelmäßig auf ihre Verantwortung hingewiesen.

Die Dropbox mit den Dateien wurde offenbar dafür benutzt, von außerhalb des IT-Systems der Kanzlei auf Dokumente zugreifen zu können. Es gibt keinen Zweifel daran, dass Matthias Brauer für die Einrichtung selbst verantwortlich ist. Der Anwalt hat den Link zur Dropbox nämlich selbst verschickt, unter anderem an sein Sekretariat. Entsprechende Mails sind in der Dropbox abgespeichert. Man­dan­t:in­nen wurde regelmäßig per Link Zugang zu einzelnen Unterordnern gewährt.

Die nordrhein-westfälische Datenschutzbeauftragte erfuhr erst durch eine taz-Anfrage von der öffentlich zugänglichen Dropbox mit Kanzleidaten und teilt mit: „Die aktuell feststellbaren technischen und organisatorischen Maßnahmen sind nicht geeignet, um die Vertraulichkeit der personenbezogenen Daten (…) gewährleisten zu können.“ Nach einer Ermittlung und Bewertung des Sachverhalts werde man „die angemessenen Aufsichtsbefugnisse ausüben“.

Die Datenschutzbehörde kann Bußgelder verhängen, die sehr hoch ausfallen können, bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmenes. Zudem müssen laut Datenschutzgrundverordnung die betroffenen Personen vom Verursacher informiert werden, sofern das Datenleck für sie voraussichtlich ein hohes Risiko zur Folge hat.

„Das ist der Super-Gau“

Ein vergleichbarer Fall sei aus den vergangenen Jahren nicht bekannt, sagt der Sprecher der NRW-Datenschutzbehörde Daniel Strunk der taz. Es habe in den vergangenen Monaten eine Handvoll Meldungen von Steuerberater:innen, Kanzleien und Rechts­an­wäl­t:in­nen gegebenen, bei denen um es um Hackerangriffe auf Mailserver ging – ohne Hinweise auf Datenabflüsse.

Auch Karina Nöker, die Geschäftsführerin der für Brauer zuständigen Kölner Rechtsanwaltskammer, kann sich auf Anfrage an keinen gravierenden Datenschutzverstoß von An­wäl­t:in­nen erinnern. Zum konkreten Fall könne sie keine Stellungnahme abgeben, da der Vorgang bislang nicht bekannt gewesen sei. „Wir werden dies aber zum Anlass nehmen, ein berufsrechtliches Verfahren einzuleiten“, schreibt Nöker per Mail.

„Das ist der Super-Gau, wenn Kanzlei-Daten in andere Hände geraten“, sagt der Berliner Rechtsanwalt Niko Härting der taz. Er ist beim Deutschen Anwaltsverein in den Ausschüssen für Informationsrecht, Berufsrecht sowie Berufsethik tätig. „Das darf nicht passieren.“ Schließlich würden Anwälten sehr sensible Daten anvertraut. Ihm seien sehr wenige Fälle bekannt, in denen so etwas bislang vorgekommen ist.

Korrektur einer früheren Darstellung:

In einer früheren Fassung des Artikel hieß es: „Nachdem er 2007 in Ku-Klux-Klan-Manier unter „Hail White Power“-Rufen ein Holzkreuz verbrannte, wurde Brauer aus der Burschenschaft Marchia Bonn ausgeschlossen.“ Diese Darstellung, die verschiedene Medien verbreitet haben, halten wir ausdrücklich nicht aufrecht.

Die Redaktion