Faxe, E-Mail und der Datenschutz (AO-StB 2021, Heft 8, S ... / 3. Sicherheit der Kommunikation

a) Datensicherheit durch TOMs

Jede Verarbeitung von personenbezogenen Daten muss gem. Art. 5 Abs. 1 lit. f i.V.m. Art. 32 DS-GVO so erfolgen, dass eine angemessene Sicherheit gewährleistet ist, einschließlich besonderer Schutzvorgaben durch technische und organisatorische Maßnahmen. Hier soll im Hinblick auf eine Kommunikation mittels Fax oder E-Mail gesondert der Schutz im Übermittlungsvorgang beleuchtet werden. Relevant ist vor allem der Schutz personenbezogenen Daten vor unbefugter Kenntnisnahme durch Dritte (zur Frage der Disponibilität s.o. II. 2. b).

b) Faxe

Lange Zeit galt die Kommunikation über Faxgeräte als praktisch, schnell und sicher. Einem per Fax übermittelten Dokument wurde z.T. sogar Urkundeneigenschaft zugesprochen. Der Aspekt der Datensicherheit spielte in der öffentlichen Wahrnehmung vor Inkrafttreten der DS-GVO kaum eine Rolle. Telefaxe werden oft mit dem Versand einer Postkarte verglichen. Es erfolgt ausschließlich eine unverschlüsselte Übermittlung. Hinzu kommt, dass durch Zahlendreher bei der Fax-Nummern-Eingabe ein erhebliches Risiko einer Falschversendung besteht. Darüber hinaus sind Faxgeräte beim Empfänger oft frei zugänglich, was eine weitere Risikoquelle darstellt. Entsprechend hatte bereits der LDI NRW 1999 auf die Risiken des Faxversandes hingewiesen (Flyer „Datensicherheit beim Telefaxverkehr https://docplayer.org/305416-Datensicherheit-beim-telefaxverkehr-landesbeauftragte-fuer-datenschutz-und-informationsfreiheit-nordrhein-westfalen-www-ldi-nrw.html). Auch der Bayerische LfD äußerte sich kritisch (https://www.datenschutz-bayern.de/technik/orient/telefax.htm). Nunmehr hat das OVG Lüneburg in seiner Entscheidung vom 22.7.2020, eindeutig klargestellt, dass die Übermittlung per Telefax kein angemessenes Schutzniveau bietet (OVG Lüneburg v. 22.7.2020 – 11 LA 104/19, NJW 2020, 2743). Zwar betrifft die Entscheidung zunächst nur § 7 NDSG a.F. Sie dürfte jedoch auf die Anforderungen der DS-GVO übertragbar sein und auch dann greifen, wenn der Absender keine Behörde ist, da in § 7 Abs. 2 NDSG a.F. bereits eine Vielzahl der Komponenten des heutigen Art. 32 DS-GVO enthalten war.

Neben der Nutzung von Fax-Standgeräten wird heute häufig das Computerfax verwendet. Hierbei besteht grundsätzlich die Möglichkeit eine Verschlüsselungssoftware zu nutzen, um das Sicherheitsrisiko zu begrenzen. Dies ist gerade bei der Nutzung von Voice- over IP-Systemen dringend notwendig, da hier die Situation einer unverschlüsselten E-Mail gleichzustellen ist (s. LfD Bremen, Orientierungshilfe:

https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111).

Problematisch wird das Ganze jedoch, wenn der Empfänger (insb. das FA) keine verschlüsselten Dokumente empfangen kann.

c) EâEUR‘Mail

Bei der Nutzung von E-Mails gibt es verschiedene Verschlüsselungsmethoden (Überblick bei Bethke, DStR 2019, 1228). Alle Standardprogramme bieten heute zumindest eine Transportverschlüsselung an, so dass eine im technischen Sinne unverschlüsselte Kommunikation kaum mehr vorkommen dürfte. Auch wenn die Transportverschlüsselung eine direkte Kenntnisnahme der personenbezogenen Daten verhindert, stellt sie kein großes Hindernis für einen Datenzugriff dar. Es stellt sich daher die Frage, ob bzw. wann eine höhere Verschlüsselung erforderlich ist.

Beraterhinweis Landläufig wird die Transportverschlüsselung nicht als "Verschlüsselung" gewertet. Daher ist bei der Formulierung von Einwilligungserklärungen auf eine rechtliche klare Terminologie zu achten.

Bereits im Februar 2019 hat die Bundessteuerberaterkammer Hinweise zur E-Mail-Kommunikation veröffentlicht. Sie empfiehlt die Transportverschlüsselung, sowie bei besonderer Schutzwürdigkeit eine Ende-zu-Ende-Verschlüsselung. Im Wege der Einwilligung sei weiterhin die unverschlüsselte Kommunikation möglich. Bei den Aufsichtsbehörden war die Einschätzung zunächst nicht einheitlich. Es wurde vertreten, dass eine Ende-zu-Ende-Verschlüsselung immer erforderlich ist. Nun hat die DSK mit ihrer Orientierungshilfe zur Datenübermittlung per E-Mail vom 13.3.2020 ausführlich Stellung bezogen. Dem Verantwortlichen als Sender bzw. Empfänger von Nachrichten mit personenbezogenen Daten wird zunächst die Prüfung auferlegt, ob ein Bruch der Vertraulichkeit ein "normales" oder ein "hohes" Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Anknüpfend daran muss die Verschlüsselungsart gewählt werden. Die Risikoeinschätzung wird im Kurzpapier Nr. 18 der DSK konkretisiert. Dieser Auffassung ist auch das VG Mainz in seiner Entscheidung vom 17.12.2020 gefolgt (VG Mainz v. 17.12.2020 – 1 K 778/19.MZ). Es hob eine Verwarnung der Aufsichtsbehörde gegenüber einem Rechtsanwalt auf, da nicht nachgewiesen werden konnte, dass in dem versendeten Schreiben besonders schutzwürdige personenbezogenen Daten enthalten gewesen wären, bei deren Versand eine einfache Transportverschlüsselung nicht ausreichend gewesen wäre. Gleichzeitig führte das VG aus, dass nicht jede Kommunikation eines Berufs...