taz-Recherche zu Leak sensibler Daten: Nazi-Anwalt ohne Datenschutz
Der Anwalt Matthias Brauer hat Dokumente seiner Mandanten offen im Netz gespeichert. Er vertritt Darknet-Shopper, AfD-Politiker und Burschenschafter.
Was all diese Mandant:innen wohl nicht ahnen: Der vermeintliche Internet-Fachmann Brauer hat Unmengen vertraulicher Akten zu ihnen ins Netz gestellt – unverschlüsselt und ohne Passwortschutz. Die taz wurde auf einen Link zu einer Dropbox aufmerksam gemacht, das ist ein Cloud-Speicher. Ruft man den Link im Browser auf, sind ohne weitere Hürde mehr als 1.500 Ordner der Kanzlei abrufbar. In der Regel ist jedem Ordner ein Fall zugeordnet und enthält teils tausende Seiten.
Insgesamt handelt es sich um mehr als 100 Gigabyte an Daten aus dem Zeitraum 2016 bis März 2022. Jede Person, die den langen Link mit vielen Buchstaben und Ziffern kennt, hat unbemerkt Zugriff auf diese Dateien, kann sie anschauen und prinzipiell auch herunterladen. Dafür braucht es kein Passwort.
Es ist unklar, ob und gegebenenfalls wo der Dropbox-Link öffentlich kursiert und wer somit potenziell Zugriff auf die Dateien hatte. Es handelt sich in jedem Fall um einen eklatanten Verstoß gegen den Datenschutz und das Anwaltsgeheimnis. Nach einer taz-Anfrage an Brauer hat sich sein Anwalt gemeldet. Er hat keine Fragen beantwortet, aber eine Beantwortung in Aussicht gestellt. Die Dropbox ist seitdem über den Link nicht mehr zu erreichen.
Mandant:innen aus der rechten Szene
Das Datenleck ist auch wegen der politischen Ausrichtung des Anwalts Matthias Brauer relevant. In den Daten finden sich Unterlagen zu Presserechts-Streitigkeiten, unter anderem mit der taz. Brauer vertritt etwa den rechtsextremen Verein Ein Prozent, die rechtsextreme Identitäre Bewegung, rechte Burschenschaften und nach eigenen Angaben in mehr als 100 Fällen Fraktionen, Parteigliederungen und einzelne Politiker:innen der AfD – auch in parteiinternen Auseinandersetzungen.
Einzelne rechte und rechtsextreme Personen vertritt Brauer auch persönlich wegen unterschiedlicher Straftaten. Auch die Daten der mutmaßlichen Opfer stehen nun offen im Netz, etwa private Daten von Personen, die gegen die AfD demonstriert haben.
Brauer arbeitet auch für die Kanzlei von Enrico Komning, der für die AfD im Bundestag sitzt und dem völkisch-nationalen Flügel der Partei zugerechnet wird. Brauer war auch selbst in der AfD aktiv, als Justiziar war er Mitglied des Landesvorstands Rheinland-Pfalz. Zuvor war er als Burschenschafter aufgefallen, der weit rechts außen steht.
Nachdem er 2007 in Ku-Klux-Klan-Manier unter „Hail White Power“-Rufen ein Holzkreuz verbrannte, verlies Brauer die Burschenschaft Marchia Bonn. Er trat dann den radikaleren Raczeks in Bonn bei und ist auch Mitglied der Rugia Greifswald, bei der der Verfassungsschutz „rechtsextremistische Bezüge“ sieht. Im 2011 begonnen Richtungsstreit des Dachverbandes Deutsche Burschenschaft sprach sich Brauer für den „Arierparagraf“ aus, nach welchem die Mitgliedschaft in einer Burschenschaft an völkische und rassistische Kriterien geknüpft werden sollte.
Es geht um sehr sensible Daten
Mit dem Datenleck hat Anwalt Brauer nicht nur gegen allgemeine Datenschutzbestimmungen verstoßen, nach denen personenbezogene Daten zu schützen sind. Das Datenleck ist noch gravierender, weil Rechtsanwälte als Berufsgeheimnisträger besonders vorsichtig mit ihnen anvertrauten Daten umgehen müssen. Paragraf 203 des Strafgesetzbuches sieht für die „Verletzung von Privatgeheimnissen“ bis zu ein Jahr Haft oder Geldstrafe vor. Die Bundesrechtsanwaltsordnung nennt Verschwiegenheit als berufliche Grundpflicht, wozu es auch gehört, die Daten zu den Mandanten sorgfältig zu schützen.
In der Dropbox sind sehr sensible Daten gespeichert: Die Adressen, Geburtsdaten und Telefonnummern von Mandant:innen, Notizen und Schriftsätze des Anwalts und Schreiben von Justizbehörden. Auch sehr viele komplette Ermittlungsunterlagen, die dem Anwalt im Zuge der Akteneinsicht zur Verfügung gestellt wurden, also etwa Befragungen von Beschuldigten, Opfern und Zeug:innen.
Dabei geht es um ganz unterschiedliche Fälle, kleinere und sehr komplexe. Drogendelikte, Diebstahl, Betrug, Fahrerflucht, Körperverletzung und – besonders brisant – Sexualstraftaten und Fälle sogenannter Kinderpornographie. In solchen Fällen kann es besonders negative Auswirkungen haben, wenn Unbeteiligte Einblick in interne Unterlagen und somit private Daten von Opfern und Beschuldigten bekommen können.
Es ist schon problematisch genug, dass der Anwalt die Dateien in einer Dropbox gespeichert hat. Denn sie liegen in der Regel auf Servern in den USA, was prinzipiell nicht kompatibel mit dem europäischen Datenschutz ist, weil etwa nicht ausgeschlossen werden kann, dass Geheimdienste Zugang zu den Daten haben.
Es droht ein hohes Bußgeld
Noch gravierender ist aber, dass die Daten überhaupt nicht gesichert wurden. Es gäbe verschiedene simple Möglichkeiten, die Dropbox so abzusichern, dass Unbefugte nicht einfach durch Aufrufen eines Links darauf zugreifen können. Brauer wollte es offenbar noch einfacher haben – ohne die Konsequenzen zu bedenken. Dabei werden Anwälte:innen auch von Berufsverbänden und Kammern regelmäßig auf ihre Verantwortung hingewiesen.
Die Dropbox mit den Dateien wurde offenbar dafür benutzt, von außerhalb des IT-Systems der Kanzlei auf Dokumente zugreifen zu können. Es gibt keinen Zweifel daran, dass Matthias Brauer für die Einrichtung selbst verantwortlich ist. Der Anwalt hat den Link zur Dropbox nämlich selbst verschickt, unter anderem an sein Sekretariat. Entsprechende Mails sind in der Dropbox abgespeichert. Mandant:innen wurde regelmäßig per Link Zugang zu einzelnen Unterordnern gewährt.
Die nordrhein-westfälische Datenschutzbeauftragte erfuhr erst durch eine taz-Anfrage von der öffentlich zugänglichen Dropbox mit Kanzleidaten und teilt mit: „Die aktuell feststellbaren technischen und organisatorischen Maßnahmen sind nicht geeignet, um die Vertraulichkeit der personenbezogenen Daten (…) gewährleisten zu können.“ Nach einer Ermittlung und Bewertung des Sachverhalts werde man „die angemessenen Aufsichtsbefugnisse ausüben“.
Die Datenschutzbehörde kann Bußgelder verhängen, die sehr hoch ausfallen können, bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmenes. Zudem müssen laut Datenschutzgrundverordnung die betroffenen Personen vom Verursacher informiert werden, sofern das Datenleck für sie voraussichtlich ein hohes Risiko zur Folge hat.
„Das ist der Super-Gau“
Ein vergleichbarer Fall sei aus den vergangenen Jahren nicht bekannt, sagt der Sprecher der NRW-Datenschutzbehörde Daniel Strunk der taz. Es habe in den vergangenen Monaten eine Handvoll Meldungen von Steuerberater:innen, Kanzleien und Rechtsanwält:innen gegebenen, bei denen um es um Hackerangriffe auf Mailserver ging – ohne Hinweise auf Datenabflüsse.
Auch Karina Nöker, die Geschäftsführerin der für Brauer zuständigen Kölner Rechtsanwaltskammer, kann sich auf Anfrage an keinen gravierenden Datenschutzverstoß von Anwält:innen erinnern. Zum konkreten Fall könne sie keine Stellungnahme abgeben, da der Vorgang bislang nicht bekannt gewesen sei. „Wir werden dies aber zum Anlass nehmen, ein berufsrechtliches Verfahren einzuleiten“, schreibt Nöker per Mail.
„Das ist der Super-Gau, wenn Kanzlei-Daten in andere Hände geraten“, sagt der Berliner Rechtsanwalt Niko Härting der taz. Er ist beim Deutschen Anwaltsverein in den Ausschüssen für Informationsrecht, Berufsrecht sowie Berufsethik tätig. „Das darf nicht passieren.“ Schließlich würden Anwälten sehr sensible Daten anvertraut. Ihm seien sehr wenige Fälle bekannt, in denen so etwas bislang vorgekommen ist.
Korrektur einer früheren Darstellung:
In einer früheren Fassung des Artikel hieß es: „Nachdem er 2007 in Ku-Klux-Klan-Manier unter „Hail White Power“-Rufen ein Holzkreuz verbrannte, wurde Brauer aus der Burschenschaft Marchia Bonn ausgeschlossen.“ Diese Darstellung, die verschiedene Medien verbreitet haben, halten wir ausdrücklich nicht aufrecht.
Die Redaktion
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
MLPD droht Nichtzulassung zur Wahl
Scheitert der „echte Sozialismus“ am Parteiengesetz?
Fake News liegen im Trend
Lügen mutiert zur Machtstrategie Nummer eins
Prozess zu Polizeigewalt in Dortmund
Freisprüche für die Polizei im Fall Mouhamed Dramé
Proteste in Georgien
Wir brauchen keine Ratschläge aus dem Westen
Mord an UnitedHealthcare-CEO in New York
Mörder-Model Mangione
Ex-Wirtschaftsweiser Peter Bofinger
„Das deutsche Geschäftsmodell funktioniert nicht mehr“