Faxe, E-Mail und der Datenschutz (AO-StB 2021, Heft 8, S ... / 2. Einwilligung für die Kommunikationsgestaltung ("Wie" der Datenverarbeitung)

a) Keine ausdrücklichen Regelungen im StBerG und in der DS-GVO

Weder das StBerG noch die DS-GVO stellen ausdrückliche Regelungen für den Austausch von Informationen bereit. Daher gelten für die Nutzung von Fax-Verbindungen oder E-Mail-Versand die allgemeinen Regelungen. Gemäß Art. 32 Abs. 1 DS-GVO muss die Sicherheit der Verarbeitung durch geeignete technische und organisatorische Maßnahmen gewährleistet sein, wobei die Verschlüsselung unter lit. a ausdrücklich genannt ist. Dies ist für die Einwilligung zu berücksichtigen.

b) Rechtsgrundlage für eigene Kommunikationsregelungen

Als Rechtsgrundlage für das "Wie" der Verarbeitung von personenbezogenen Daten über diese Kommunikationswege hat vor allem eine Einwilligung des Mandanten im Rahmen des Vertragsschlusses Bedeutung. Es bedarf hier einer ausdrücklichen Einwilligung nach Art. 7 DS-GVO. Allein der Vertrag ist nicht ausreichend (Art. 6 Abs. 1 S. 1 lit. b DS-GVO), da eine bestimmte Kommunikationsform für dessen Erfüllung nicht erforderlich ist.

Es wird weiterhin diskutiert, ob Sicherheitsstandards, wie sie in Art. 32 DS-GVO niedergelegt sind, disponibel sind (Jandt in Kühling/Buchner, DSGVO, 3. Aufl. 2020, Art. 32 Rz. 39 ff.; Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 32 Rz. 4b). In den meisten Fällen technischer Schutzmaßnahmen wird ein vertraglicher Verzicht im Einzelfall nicht möglich sein, da es hier um Aspekte geht, die ein Gesamtsystem betreffen. Anders ist dies jedoch gerade für Verschlüsselungstechnologien zu werten. Ob und wie ein Dokument vor dem Versand verschlüsselt wird, kann in jedem Einzelfall ausgewählt und entschieden werden. Auch ist eine ausreichende Information der betroffenen Person möglich. Es ist daher nicht zwingend geboten, eine Einwilligung auszuschließen.

Eine Einwilligung betrifft darüber hinaus nicht nur den Verarbeitungszweck, sondern immer auch die Verarbeitungsform, so dass im Rahmen einer freiwilligen, informierten Entscheidung auch ein Verzicht auf Sicherheitsmerkmale möglich sein muss (vgl. Klement in Simitis/Hornung/Spieker, DSGVO, 1. Aufl. 2019, Art. 7 Rz. 68).

c) Form der Einwilligung

Für die Einholung der Einwilligung ist es erforderlich, dass diese in informierter, ausdrücklicher und freiwilliger Art und Weise erfolgt, Art. 4 Nr. 11 DS-GVO. Der Verantwortliche muss sicherstellen, dass die betroffene Person, d.h. der Mandant, darüber informiert wurde, welche seiner Daten zu welchem Zweck in welcher Form verarbeitet werden (s. Art. 12–14 DS-GVO, im Einzelnen: Stemmer in BeckOK, Datenschutzrecht, Stand Nov. 20, Art. 7 Rz. 52 ff.). Der Einwilligende muss erkennen können, dass und worin er einwilligt, bloßes Dulden ist nicht ausreichend. Darüber hinaus darf die Einwilligung nicht an den Vertragsabschluss gekoppelt werden, da es dann an der Freiwilligkeit fehlt (Art. 7 Abs. 4 DS-GVO). Dies lässt die Aufnahme einer Einwilligung in AGB sehr problematisch erscheinen (Taeger/Gabel, DSGVO, 3. Aufl. 19, Art. 7 Rz. 44 ff.; Kühling/Buchner, DSGVO, 3. Aufl. 20, Art. 7 Rz. 61 ff.).

Beraterhinweis Ein Blick in verschiedene Muster-AGB für Steuerberatungsverträge zeigt, dass der Verzicht auf eine Verschlüsselung regelmäßig verwendet wird. Dies erfolgt oftmals in unvollständiger oder unzureichender Art und Weise.

Beispiele

(1) Unterrichtung des Mandanten per E-Mail:Soweit der Mandant der Kanzlei eine E-Mail-Adresse mitteilt, willigt er jederzeit widerruflich ein, dass die Kanzlei ihm ohne Einschränkungen per E-Mail mandatsbezogene Informationen zusendet. Die Kanzlei ist berechtigt, die Korrespondenz mit dem Auftraggeber mittels unverschlüsselter E-Mail zu führen, auch wenn ein unbefugter Zugriff auf die Daten hierbei nicht ausgeschlossen werden kann. Auf die Unsicherheiten dieser Kommunikationsform wird der Auftraggeber ausdrücklich hingewiesen. Dem Mandanten ist bekannt, dass bei unverschlüsselten E-Mails nur eingeschränkte Vertraulichkeit gewährleistet ist. Soweit der Mandant zum Einsatz von Signaturverfahren und Verschlüsselungsverfahren die technischen Voraussetzungen besitzt und deren Einsatz wünscht, teilt er dies der Kanzlei mit .

-> Umkehr der Wertung von Art. 32 DS-GVO

(2) Der Steuerberater hat beim Versand bzw. der Übermittlung von Unterlagen, Dokumenten, Arbeitsergebnissen etc. auf Papier oder in elektronischer Form die Verschwiegenheitsverpflichtung zu beachten. Der Auftraggeber stellt seinerseits sicher, dass er als Empfänger ebenfalls alle Sicherungsmaßnahmen beachtet, dass die ihm zugeleiteten Papiere oder Dateien nur den hierfür zuständigen Stellen zugehen. Dies gilt insbesondere auch für den Fax- und E-Mail-Verkehr. Zum Schutz der überlassenen Dokumente und Dateien sind die entsprechenden technischen und organisatorischen Maßnahmen zu treffen. Sollten besondere über das normale Maß hinausgehende Vorkehrungen getroffen werden müssen, so ist eine entsprechende schriftliche Vereinbarung über die Beachtung zusätzlicher sicherheitsrelevanter Maßnahmen zu treffen, insbesondere ob im E-Mail-Verkehr eine Verschlüsselung vorgenommen werden muss.

-> Keinerlei Informationen vorgesehen

Dabei ist auch unter Berücksichtigung von Erwägungsgrund 42 in jedem Einzelfall zu prüfen, o...