Faxe, E-Mail und der Datenschutz (AO-StB 2021, Heft 8, S. 259)

Die rechtlichen Rahmenbedingungen der elektronischen Kommunikation zwischen Steuerberatern, Mandanten und dem Finanzamt

[Ohne Titel]

RDin Sonja Kranenberg^[*]

[*] Die Verfasserin ist Referentin beim LfDI Rheinland-Pfalz. Dieser Beitrag wurde nicht in dienstlicher Eigenschaft verfasst.

I. Einleitung

Eine schnelle, unkomplizierte Kommunikation zwischen Steuerberatern, Mandanten und FA ist in der heutigen Zeit unverzichtbar. Dabei wird gerne und in sehr großem Umfang auf die Möglichkeiten von Faxgeräten (auch "Computerfax") und E-Mails zurückgegriffen. Fast jeder verfügt heute über einen E-Mail-Anschluss, so dass eine kostengünstige und schnelle, überall verfügbare Kommunikationsmöglichkeit besteht. Bei alledem darf jedoch nicht vergessen werden, dass im Bereich der Steuerberatung personenbezogene, oftmals sensible, Daten verarbeitet werden. Datenpannen in diesem Bereich können schnell zu einer Beschwerde bei den Datenschutzaufsichtsbehörden der Länder führen und schlimmstenfalls mit einem deutlichen Bußgeld enden. Dieser Beitrag zeigt die rechtlichen Rahmenbedingungen der Kommunikation per Fax oder E-Mail im steuerlichen Bereich auf, insb. mit Blick auf Gesetzesänderungen und die neuere Rechtsprechung.

II. Korrespondenz im Lichte von AO und DS-GVO

1. Verarbeitung personenbezogener Daten durch einen Verantwortlichen

Bedient sich der Steuerberater zur Kommunikation mit Mandanten, Dritten oder dem FA der Möglichkeiten von Fax oder E-Mail, so unterliegen diese Handlungen zunächst der Datenschutzgrundverordnung (DS-GVO). Schreiben, die auf steuerliche Tatbestände Bezug nehmen und mittels automatisierter Verfahren erstellt bzw. übermittelt werden, stellen eine Verarbeitung personenbezogener Daten dar (Art. 4 Abs. 1 Nr. 1, 2 DS-GVO). Steuerliche Daten sind in aller Regel personenbezogen bzw. erlauben die Identifizierung einer natürlichen Person (so bereits EuGH v. 1.10.2015 – C-201/14, NVwZ 2016, 375). Im Einzelfall können sogar besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO betroffen sein. Dies kommt nicht nur bei Fragen zur Kirchensteuer in Betracht, sondern gerade auch mit Blick auf steuerlich relevante Sachverhalte aus den Bereichen Gesundheit (Sonderausgabenabzug), politische Meinung (Spendenabzug) oder Gewerkschaftszugehörigkeit (Werbungskostenabzug). Die Verarbeitung dieser Daten unterliegt weiteren Beschränkungen.

Die Verarbeitung und damit zuerst das "Ob" der Datenverarbeitung im Hinblick auf einen bestimmten Zweck ist nur erlaubt, wenn ein Erlaubnissatz nach Art. 6, 9 DS-GVO vorliegt. Hier kommt für den Steuerberater eine vertragliche Grundlage im Verhältnis zu seinem Mandanten in Betracht (Art. 6 Abs. 1 S. 1 lit. a, Art. 9 Abs. 2 lit. a DS-GVO). Teil des Vertrages ist die Einwilligung in die Datenverarbeitung. Die Datenverarbeitung kann aber auch im öffentlichen Interesse (Art. 6 Abs. 1 S. 1 lit. e, Art. 9 Abs. 2 lit. g DS-GVO) liegen. Insoweit enthält § 11 StBerG seit dem 18.12.2019 eine ausdrückliche Ermächtigungsgrundlage.

Berechtigt zur Datenverarbeitung und insoweit auch Verantwortlicher für die Einhaltung datenschutzrechtlicher Bestimmungen (s. Art. 4 Nr. 7 DS-GVO) ist grundsätzlich der Steuerberater selbst. Ihm gleichgestellt sind Personen und Gesellschaften nach § 3 StBerG, also insb. aufgrund der Gleichstellung in § 4 Nr. 11 StBerG auch die Lohnsteuerhilfevereine.

Beraterhinweis Ob die Verantwortlichkeit nach der DS-GVO nur den Lohnsteuerhilfeverein selbst, nur den Beratungsstellenleiter oder beide gemeinsam trifft, ist bisher gerichtlich nicht entschieden (derzeit anhängig: VG Mainz – 4 K 1004/20.MZ). Auch wenn der Lohnsteuerhilfeverein allein Verantwortlicher sein könnte (Argument: Festlegung von Mittel und Zwecken der Verarbeitung bereits in der Satzung), sollten die Beratungsstellenleiter selbst besonders auf datenschutzkonforme Kommunikation achten.

Im Rahmen der Verantwortlichkeit muss ein Bewusstsein dafür geschaffen werden, dass ein Fehlverhalten der Mitarbeitenden des Steuerberaters diesem selbst zuzurechnen ist. Die DS-GVO rechnet dem Verantwortlichen hier konsequent das Handeln der Mitarbeitenden zu, solange diese nicht im sog. Mitarbeiter-Exzess tätig werden (Funktionsträgerprinzip, Entschließung der Datenschutzkonferenz (DSK) v. 3.4.2019).

2. Einwilligung für die Kommunikationsgestaltung ("Wie" der Datenverarbeitung)

a) Keine ausdrücklichen Regelungen im StBerG und in der DS-GVO

Weder das StBerG noch die DS-GVO stellen ausdrückliche Regelungen für den Austausch von Informationen bereit. Daher gelten für die Nutzung von Fax-Verbindungen oder E-Mail-Versand die allgemeinen Regelungen. Gemäß Art. 32 Abs. 1 DS-GVO muss die Sicherheit der Verarbeitung durch geeignete technische und organisatorische Maßnahmen gewährleistet sein, wobei die Verschlüsselung unter lit. a ausdrücklich genannt ist. Dies ist für die Einwilligung zu berücksichtigen.

b) Rechtsgrundlage für eigene Kommunikationsregelungen

Als Rechtsgrundlage für das "Wie" der Verarbeitung von personenbezogenen Daten über diese Kommunikationswege hat vor allem eine Einwilligung des Mandanten im Rahmen des Vertragsschlusses Bedeutung. Es bedarf hier einer ausdrücklichen Einwilligung nach Art. 7 DS-GVO. Allein der Vertrag ist nicht ausreichend (Art. 6 Abs. 1 S. 1 lit. b DS-GVO), da eine bestimmte Kommunikationsform für dessen Erfüllung nicht erforderlic...