taz-Recherche zu Leak sensibler Daten: Nazi-Anwalt ohne Datenschutz
Der Anwalt Matthias Brauer hat Dokumente seiner Mandanten offen im Netz gespeichert. Er vertritt Darknet-Shopper, AfD-Politiker und Burschenschafter.
Berlin taz | Wer Ärger mit der Polizei hat, weil die einem vorwirft, im Darknet Drogen oder Waffen gekauft zu haben, landet nach einer Suchmaschinensuche in vielen Fällen bei ihm: Dr. Matthias Brauer, LL.M. Er hat sich für seine Bonner Kanzlei unter anderem die Webseite darknet-anwalt.de gesichert. „Fernab von klassischem Strafrecht beschäftigte ich mich schon früh mit neuen Medien und betreute verstärkt Mandanten aus dem Bereich der Internetkriminalität“, heißt es da. Und seine Mandant:innen sind offenbar sehr zufrieden, wie die Bewertungen bei anwalt.de zeigen: 5 von 5 Sternen.
Was all diese Mandant:innen wohl nicht ahnen: Der vermeintliche Internet-Fachmann Brauer hat Unmengen vertraulicher Akten zu ihnen ins Netz gestellt – unverschlüsselt und ohne Passwortschutz. Die taz wurde auf einen Link zu einer Dropbox aufmerksam gemacht, das ist ein Cloud-Speicher. Ruft man den Link im Browser auf, sind ohne weitere Hürde mehr als 1.500 Ordner der Kanzlei abrufbar. In der Regel ist jedem Ordner ein Fall zugeordnet und enthält teils tausende Seiten.
Insgesamt handelt es sich um mehr als 100 Gigabyte an Daten aus dem Zeitraum 2016 bis März 2022. Jede Person, die den langen Link mit vielen Buchstaben und Ziffern kennt, hat unbemerkt Zugriff auf diese Dateien, kann sie anschauen und prinzipiell auch herunterladen. Dafür braucht es kein Passwort.
Es ist unklar, ob und gegebenenfalls wo der Dropbox-Link öffentlich kursiert und wer somit potenziell Zugriff auf die Dateien hatte. Es handelt sich in jedem Fall um einen eklatanten Verstoß gegen den Datenschutz und das Anwaltsgeheimnis. Nach einer taz-Anfrage an Brauer hat sich sein Anwalt gemeldet. Er hat keine Fragen beantwortet, aber eine Beantwortung in Aussicht gestellt. Die Dropbox ist seitdem über den Link nicht mehr zu erreichen.
Mandant:innen aus der rechten Szene
Das Datenleck ist auch wegen der politischen Ausrichtung des Anwalts Matthias Brauer relevant. In den Daten finden sich Unterlagen zu Presserechts-Streitigkeiten, unter anderem mit der taz. Brauer vertritt etwa den rechtsextremen Verein Ein Prozent, die rechtsextreme Identitäre Bewegung, rechte Burschenschaften und nach eigenen Angaben in mehr als 100 Fällen Fraktionen, Parteigliederungen und einzelne Politiker:innen der AfD – auch in parteiinternen Auseinandersetzungen.
Einzelne rechte und rechtsextreme Personen vertritt Brauer auch persönlich wegen unterschiedlicher Straftaten. Auch die Daten der mutmaßlichen Opfer stehen nun offen im Netz, etwa private Daten von Personen, die gegen die AfD demonstriert haben.
Brauer arbeitet auch für die Kanzlei von Enrico Komning, der für die AfD im Bundestag sitzt und dem völkisch-nationalen Flügel der Partei zugerechnet wird. Brauer war auch selbst in der AfD aktiv, als Justiziar war er Mitglied des Landesvorstands Rheinland-Pfalz. Zuvor war er als Burschenschafter aufgefallen, der weit rechts außen steht.
Nachdem er 2007 in Ku-Klux-Klan-Manier unter „Hail White Power“-Rufen ein Holzkreuz verbrannte, verlies Brauer die Burschenschaft Marchia Bonn. Er trat dann den radikaleren Raczeks in Bonn bei und ist auch Mitglied der Rugia Greifswald, bei der der Verfassungsschutz „rechtsextremistische Bezüge“ sieht. Im 2011 begonnen Richtungsstreit des Dachverbandes Deutsche Burschenschaft sprach sich Brauer für den „Arierparagraf“ aus, nach welchem die Mitgliedschaft in einer Burschenschaft an völkische und rassistische Kriterien geknüpft werden sollte.
Es geht um sehr sensible Daten
Mit dem Datenleck hat Anwalt Brauer nicht nur gegen allgemeine Datenschutzbestimmungen verstoßen, nach denen personenbezogene Daten zu schützen sind. Das Datenleck ist noch gravierender, weil Rechtsanwälte als Berufsgeheimnisträger besonders vorsichtig mit ihnen anvertrauten Daten umgehen müssen. Paragraf 203 des Strafgesetzbuches sieht für die „Verletzung von Privatgeheimnissen“ bis zu ein Jahr Haft oder Geldstrafe vor. Die Bundesrechtsanwaltsordnung nennt Verschwiegenheit als berufliche Grundpflicht, wozu es auch gehört, die Daten zu den Mandanten sorgfältig zu schützen.
In der Dropbox sind sehr sensible Daten gespeichert: Die Adressen, Geburtsdaten und Telefonnummern von Mandant:innen, Notizen und Schriftsätze des Anwalts und Schreiben von Justizbehörden. Auch sehr viele komplette Ermittlungsunterlagen, die dem Anwalt im Zuge der Akteneinsicht zur Verfügung gestellt wurden, also etwa Befragungen von Beschuldigten, Opfern und Zeug:innen.
Dabei geht es um ganz unterschiedliche Fälle, kleinere und sehr komplexe. Drogendelikte, Diebstahl, Betrug, Fahrerflucht, Körperverletzung und – besonders brisant – Sexualstraftaten und Fälle sogenannter Kinderpornographie. In solchen Fällen kann es besonders negative Auswirkungen haben, wenn Unbeteiligte Einblick in interne Unterlagen und somit private Daten von Opfern und Beschuldigten bekommen können.
Es ist schon problematisch genug, dass der Anwalt die Dateien in einer Dropbox gespeichert hat. Denn sie liegen in der Regel auf Servern in den USA, was prinzipiell nicht kompatibel mit dem europäischen Datenschutz ist, weil etwa nicht ausgeschlossen werden kann, dass Geheimdienste Zugang zu den Daten haben.
Es droht ein hohes Bußgeld
Noch gravierender ist aber, dass die Daten überhaupt nicht gesichert wurden. Es gäbe verschiedene simple Möglichkeiten, die Dropbox so abzusichern, dass Unbefugte nicht einfach durch Aufrufen eines Links darauf zugreifen können. Brauer wollte es offenbar noch einfacher haben – ohne die Konsequenzen zu bedenken. Dabei werden Anwälte:innen auch von Berufsverbänden und Kammern regelmäßig auf ihre Verantwortung hingewiesen.
Die Dropbox mit den Dateien wurde offenbar dafür benutzt, von außerhalb des IT-Systems der Kanzlei auf Dokumente zugreifen zu können. Es gibt keinen Zweifel daran, dass Matthias Brauer für die Einrichtung selbst verantwortlich ist. Der Anwalt hat den Link zur Dropbox nämlich selbst verschickt, unter anderem an sein Sekretariat. Entsprechende Mails sind in der Dropbox abgespeichert. Mandant:innen wurde regelmäßig per Link Zugang zu einzelnen Unterordnern gewährt.
Die nordrhein-westfälische Datenschutzbeauftragte erfuhr erst durch eine taz-Anfrage von der öffentlich zugänglichen Dropbox mit Kanzleidaten und teilt mit: „Die aktuell feststellbaren technischen und organisatorischen Maßnahmen sind nicht geeignet, um die Vertraulichkeit der personenbezogenen Daten (…) gewährleisten zu können.“ Nach einer Ermittlung und Bewertung des Sachverhalts werde man „die angemessenen Aufsichtsbefugnisse ausüben“.
Die Datenschutzbehörde kann Bußgelder verhängen, die sehr hoch ausfallen können, bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmenes. Zudem müssen laut Datenschutzgrundverordnung die betroffenen Personen vom Verursacher informiert werden, sofern das Datenleck für sie voraussichtlich ein hohes Risiko zur Folge hat.
„Das ist der Super-Gau“
Ein vergleichbarer Fall sei aus den vergangenen Jahren nicht bekannt, sagt der Sprecher der NRW-Datenschutzbehörde Daniel Strunk der taz. Es habe in den vergangenen Monaten eine Handvoll Meldungen von Steuerberater:innen, Kanzleien und Rechtsanwält:innen gegebenen, bei denen um es um Hackerangriffe auf Mailserver ging – ohne Hinweise auf Datenabflüsse.
Auch Karina Nöker, die Geschäftsführerin der für Brauer zuständigen Kölner Rechtsanwaltskammer, kann sich auf Anfrage an keinen gravierenden Datenschutzverstoß von Anwält:innen erinnern. Zum konkreten Fall könne sie keine Stellungnahme abgeben, da der Vorgang bislang nicht bekannt gewesen sei. „Wir werden dies aber zum Anlass nehmen, ein berufsrechtliches Verfahren einzuleiten“, schreibt Nöker per Mail.
„Das ist der Super-Gau, wenn Kanzlei-Daten in andere Hände geraten“, sagt der Berliner Rechtsanwalt Niko Härting der taz. Er ist beim Deutschen Anwaltsverein in den Ausschüssen für Informationsrecht, Berufsrecht sowie Berufsethik tätig. „Das darf nicht passieren.“ Schließlich würden Anwälten sehr sensible Daten anvertraut. Ihm seien sehr wenige Fälle bekannt, in denen so etwas bislang vorgekommen ist.
Korrektur einer früheren Darstellung:
In einer früheren Fassung des Artikel hieß es: „Nachdem er 2007 in Ku-Klux-Klan-Manier unter „Hail White Power“-Rufen ein Holzkreuz verbrannte, wurde Brauer aus der Burschenschaft Marchia Bonn ausgeschlossen.“ Diese Darstellung, die verschiedene Medien verbreitet haben, halten wir ausdrücklich nicht aufrecht.
Die Redaktion
Leser*innenkommentare
Carsten R. Hoenig
Es steht außer Zweifel, dass auch "Nazis" und das andere braune Gesindel anwaltlich vertreten und verteidigt werden muss. Wenn ein Anwalt das macht, ist das grundsätzlich in Ordnung, solange er sich deren Sache nicht zu eigen macht. Professionelle Distanz ist das Stichwort.
Wer sich allerdings dabei zum Szene-Anwalt entwickelt, gibt seine Unabhängigkeit auf. Und dann sind die Türen zum Verrat sperrangelweit offen. Zum Verrat am rechtstaatlichen Verfahren, nicht nur an den eigenen Mandanten.
Solche Anwälte besudeln den Stand und den Ruf derjenigen Kollegen, die weit überwiegend eine saubere Arbeit abliefern.
Dass Brauer hier einen glatten Verstoß gegen Berufs- und Strafrecht begangen haben dürfte, ist mehr als naheliegend. Sowas passiert keinem Kollegen, der seinen Auftrag als unabhängiger Interessenvertreter seiner Mandanten und als unabhängiges Organ der Justiz wirklich ernst nimmt.
Wer Mandantenakten ungeschützt (aka öffentlich) in der (amerikanischen) Wolke verwaltet, demonstriert seine Respektlosigkeit gegenüber all dem, was uns Anwälten eigentlich heilig sein muss: Das Vertrauen der Mandanten, der Richter, der Staatsanwälte, der Öffentlichkeit in die eigentliche Redlichkeit.
Solche Leute wie dieser Bauer gehören aus dem Verkehr gezogen. Das regelt jetzt erst einmal der Markt; den "Rest" sollten die Kollegen der zuständigen Rechtsanwaltskammer erledigen.
Nazis raus, auch aus dem Anwaltsberuf!
Ich danke den Journalisten für dieses wichtige Recherche-Ergebnis und dessen Veröffentlichung.
Yvvvonnne
Krasser und hoffentlich teurer Verstoß gegen die GDPR/DSGVO. Sogar mein Arbeitgeber, eine ganz kleine Bude, hat eine gutabgesicherte Nextcloud, obwohl wir gar keine sensiblen Daten speichern. Ich hoffe der/die Landesdatenschutzbeauftragte ist eingeschaltet und wird beim Bussgeld nicht zu knausrig sein.
Bouncereset
Bruahahahaha.
"beschäftigte ich mich schon früh mit neuen Medien" , "Fachanwalt" für Intenetkrimininalität aber speichert in der "Klaud", Und das noch unverschlüsselt,
Das ist "Sie wollen ihren Führerschein zurück? Ich bin Fachanwalt für Verkehrsrecht (Expertise: schon 3 mal Lappen weg und 8x durch die MPU gefallen)"
man vertraut ja gern selbsternannten "Experten"
HugoHabicht
§ 203 StGB dürfte tendenziell am Vorsatz scheitern, aber die berufliche Existenz ist im Zweifel trotzdem ruiniert. Potentiell einschließlich Verlust der Zulassung, denn der Verstoß gegen anwaltliches Berufsrecht (hier u.a. 43, 43a BRAO) dürfte schwer zu toppen sein.
Grenzgänger
eine sehr eigenwillige Form des besonderen Anwaltspostfaches...
de.wikipedia.org/w...es_Anwaltspostfach
Augen auf bei der Wahl des Verteidigers!
Mopsfidel
Herrlich. Könnte man sich nicht besser ausdenken die Geschichte.
Ob seine wohlfeine Klientel noch weiterhin von ihm vertreten werden möchte, bezweifele ich stark. Da kann man sich auch heiße Kohlen aufs Gebimsel legen, der Schmerz müsste ein ähnlicher sein.