Das besonderer elektronische Anwaltspostfach (beA) wird ab 1.1.2018 für alle Anwälte eingeführt und dient dem sicheren elektronischen Schriftverkehr zwischen Anwälten und Gerichten. Mit der Einführung des beA wird das bisher in geringerem Umfang nutzbare EGVP abgelöst.

1. Nutzungspflicht

Das Postfach ist automatisch für alle Anwältinnen/Anwälte angelegt worden. Diese sind gemäß dem ab 1.1.2018 gültigen § 31a Abs. 6 BRAO verpflichtet sich dazu Zugang zu verschaffen (passive Nutzungspflicht). Die erfolgreiche Zustellung an ein Postfach ist auch möglich, wenn die Anwältin/der Anwalt sich nicht um den Zugang gekümmert hat und weder über ein Kartenlesegerät noch eine Karte verfügt.

Eine aktive Nutzungspflicht besteht ab 1.1.2022 (z.B. geregelt in § 130d ZPO; § 14b FamFG, § 46g ArbGG) - die Länder haben allerdings die Möglichkeit die aktive Nutzungspflicht auf den 1.1.2020 oder 1.1.2021 vorzuziehen (Art. 24 Abs. 2 ERVGerFöG).

2. Rechtsgrundlagen

Rechtsgrundlagen für die Nutzungsfplicht sind

3. Technik

BeA nutzt gemeinsam mit beN und beBPo die Infrastruktur des EGVP und setzt damit auf das Transportprotokoll OSCI-Transport 1.2 auf.

Sicher bedeutet dabei, dass das beA grundsätzlich Signatur und Verschlüsselung beherrscht.

Das beA nutzt ein hybrides Verschlüsselungsverfahren aus asymmetrischer und symmetrischer Verschlüsselung. Dabei wird die Nachricht selbst symmetrisch verschlüsselt (AES 256). Der Schlüssel mit dem dies geschieht wird sodann getrennt von der Nachricht asymmetrisch mit dem öffentlichen Schlüssel des Empfängers verschlüsselt (RSA 2048 Bit) und gemeinsam mit der Nachricht zum Empfänger verschickt. Die Software auf Seite des Empfänger entschlüsselt mit dem privaten Schlüssel des Empfängers den symmetrischen Schlüssel und anschließend mit dem symmetrischen Schlüssel die Nachricht.

Hintergrund für diesen Umweg mit der doppelten Verschlüsselung ist die Organisation des Anwaltsberufes und eines Kanzleibetriebes, die es notwendig machen, dass Nachrichten auch von bestimmten Dritten (= Urlaubsvertretern und Rechtsanwaltsfachangestellte) gelesen, d.h. entschlüsselt werden können.

Um das zu gewährleisten hat man nicht den Weg eines Kanzleipostfaches mit einem Kanzleischlüssel gewählt, sondern die sogenannte Umschlüsselung in einerm sog. Hardware Security Module (HSM). Damit ist die sog. Ende-zu-Ende-Verschlüsselung, bei der nur der Empfänger über den privaten zur Entschlüsselung notwendigen Schlüssel verfügt, nicht mehr gegeben!

Umgeschlüsselt bedeutet, dass der symmetrische Schlüssel entschlüsselt wird und für den neuen Empfänger neu verschlüsselt wird.

Beispiel: Es liegt eine verschlüsselte Nachricht für Anwalt A auf dem Server der BRAK. A ist aber im Urlaub. Für Anwalt B hat A Zugriff auf das Postfach als Vertreter eingerichtet. Damit B die verschlüsselte Nachricht mit seinem privaten Schlüssel öffnen kann, wird auf dem Server der BRAK (dem HSM) der verschlüsselte symmetrische Schüssel mit einer Kopie des privaten Schlüssels des A entschlüsselt und sodann mit dem öffentlichen Schlüssel des B verschlüsselt und sodann diesem gemeinsam mit der Nachricht zugänglich gemacht.

Daraus folgt, dass im HSM Kopien aller privaten Schlüssel vorhanden sind!

4. Organisation

Die technische Abwicklung für das beA erfolgt über die Bundesnotarkammer, so dass bestimmte Funktionen nur über die Seiten der BnotK zugänglich sind, so z.B. die SignaturAnwendungsKomponente (SAK) über https://bea.bnotk.de/sak/ mit der die Qualifizierte Elektronische Signatur (QeS) nachgeladen werden muss.

Erste Schritte/Einrichtung

Anwältinnen/Anwälte müssen sich über das Portal http://bea.brak.de/ eine Signaturkarte und falls nicht vorhanden einen Chipkartenleser bestellen. Diese gibt es als einfache Variante, die zum Öffnen und Lesen von Nachrichten ausreicht und mit QeS zum signieren eigener Nachrichten. Um die QeS nachzuladen muss zunächst eine aktuelle JAVA-Version installiert und dann die Java-Anwendung SAK (https://bea.bnotk.de/sak/) ausgeführt werden.

Das Login erfolgt dann über die Startseite der BRAK (https://www.bea-brak.de). Dort muss vor der ersten Anmeldung und nach der Installation des Kartenlesegerätes der bea Security Client installiert werden. Dieser wird nach Installation immer automatisch bei der Anmeldung am Windows-Betriebssystem gestartet. Ohne den Client können weder Anwälte noch Mitarbeiter auf das Postfach zugreifen.

Vor der Erstanmeldung muss die Anwältin/der Anwalt sich auf vorgenannter Seite registrieren.

Um das Postfach nicht täglich selbst abfragen zu müssen, kann der Lese-Zugriff auch Mitarbeiterinnen/Mitarbeitern eingeräumt werden. Dafür muss durch die Anwältin/den Anwalt zunächst über die Bestelltseite eine entsprechende Mitarbeiterkarte oder ein Softwaretoken sowie ggf. ein Chipkartenleser (nur bei Mitarbeiterkarte) bestellt werden.

Mitarbeiter müssen, nach Bestellung und Zusendung der Mitarbeiterkarte, zunächst von einem Anwalt innerhalb der Benutzerverwaltung des Bea-Postfaches angelegt werden. Mit dem dort vergebenen Namen und Password erfolgt sodann eine Registrierung über die Startseite (https://www.bea-brak.de => "Registrierung für Benutzer ohne eigenes Postfach"). Im Rahmen der Anmeldung muss dem Mitarbeiterzugang dann ein Sicherheitstoken (eine Mitarbeiterkarte oder ein Softwaretoken, beides muss bei der BNOtK bestellt werden) zugeordnet werden.

Nach der Registrierung müssen dann durch den Anwalt innerhalb der Nutzerverwaltung des bea_Postfaches dem Mitarbeiter Recht für den Zugriff auf das Postfach zugewiesen werden. Dabei wird für jede Einräumung von Rechten ein Token generiert, das von dem Anwalt getrennt mit der Basis-Pin bestätigt werden muss.

Soll ein Mitarbeiter für mehrere Anwälte Zugriff haben, muss jeder Anwalt den Zugriff freigeben, in dem er den Mitarbeiter in der Benutzerverwaltung sucht und ihm Rechte hinzufügt. Das kann u.U. aber nur der Anwalt, der ursprünglich den Mitarbeiter angelegt hat, da nur dieser den Mitarbeiter auffindet. In diesem Fall müssen dann die weiteren Anwälte zunächst dem Anwalt der den Zugriff zuerst eingerichtet, wiederum die Rechte für die Verwaltung ihrer Benutzer erteilen, so dass dieser der Mitarbeiterin die Rechte für die Kollegen geben kann.