Faxe, E-Mail und der Datenschutz (AO-StB 2021, Heft 8, S ... / c) EâEUR‘Mail

Bei der Nutzung von E-Mails gibt es verschiedene Verschlüsselungsmethoden (Überblick bei Bethke, DStR 2019, 1228). Alle Standardprogramme bieten heute zumindest eine Transportverschlüsselung an, so dass eine im technischen Sinne unverschlüsselte Kommunikation kaum mehr vorkommen dürfte. Auch wenn die Transportverschlüsselung eine direkte Kenntnisnahme der personenbezogenen Daten verhindert, stellt sie kein großes Hindernis für einen Datenzugriff dar. Es stellt sich daher die Frage, ob bzw. wann eine höhere Verschlüsselung erforderlich ist.

Beraterhinweis Landläufig wird die Transportverschlüsselung nicht als "Verschlüsselung" gewertet. Daher ist bei der Formulierung von Einwilligungserklärungen auf eine rechtliche klare Terminologie zu achten.

Bereits im Februar 2019 hat die Bundessteuerberaterkammer Hinweise zur E-Mail-Kommunikation veröffentlicht. Sie empfiehlt die Transportverschlüsselung, sowie bei besonderer Schutzwürdigkeit eine Ende-zu-Ende-Verschlüsselung. Im Wege der Einwilligung sei weiterhin die unverschlüsselte Kommunikation möglich. Bei den Aufsichtsbehörden war die Einschätzung zunächst nicht einheitlich. Es wurde vertreten, dass eine Ende-zu-Ende-Verschlüsselung immer erforderlich ist. Nun hat die DSK mit ihrer Orientierungshilfe zur Datenübermittlung per E-Mail vom 13.3.2020 ausführlich Stellung bezogen. Dem Verantwortlichen als Sender bzw. Empfänger von Nachrichten mit personenbezogenen Daten wird zunächst die Prüfung auferlegt, ob ein Bruch der Vertraulichkeit ein "normales" oder ein "hohes" Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Anknüpfend daran muss die Verschlüsselungsart gewählt werden. Die Risikoeinschätzung wird im Kurzpapier Nr. 18 der DSK konkretisiert. Dieser Auffassung ist auch das VG Mainz in seiner Entscheidung vom 17.12.2020 gefolgt (VG Mainz v. 17.12.2020 – 1 K 778/19.MZ). Es hob eine Verwarnung der Aufsichtsbehörde gegenüber einem Rechtsanwalt auf, da nicht nachgewiesen werden konnte, dass in dem versendeten Schreiben besonders schutzwürdige personenbezogenen Daten enthalten gewesen wären, bei deren Versand eine einfache Transportverschlüsselung nicht ausreichend gewesen wäre. Gleichzeitig führte das VG aus, dass nicht jede Kommunikation eines Berufsgeheimnisträgers besonderer Schutzmaßnahmen bedürfe. Jedenfalls wenn Daten i.S.v. Art. 9, 10 DS-GVO betroffen seien, bedürfe es weiterer Schutzmaßnahmen, da hier immer von einem hohen Risiko auszugehen sei.

Beraterhinweis Dieser Aspekt hat in der steuerlichen Tätigkeit besondere Bedeutung. Für die Abwägungsentscheidung können die zu Art. 33 DS-GVO entwickelten Kriterien herangezogen werden (s. z.B. Wilhelm in Sydow, DS-GVO, 2. Aufl. 2018, Art. 33 Rz. 9 ff.; Hladjk in Ehrmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 33 Rz. 11 f.). Dabei ist zu beachten, dass Berufsgeheimnisträger zwar nicht ausschließlich besonders schützenswerte Daten verarbeiten, solche ihnen jedoch zumindest deutlich häufiger vorliegen als in "normalen" Geschäftsbeziehungen.

Zusammenfassend lässt sich sagen, dass der Steuerberater für jede Verarbeitung personenbezogener Daten prüfen muss, welches Schutzniveau erforderlich ist, um eine elektronische Kommunikation datenschutzkonform durchzuführen und dies unabhängig vom Empfänger. Um diese Prüfung zu vereinfachen, kann mit Einwilligungen in bestimmte "Versandarten" gearbeitet werden, wobei jedoch bei Einschränkungen des Schutzniveaus immer eine explizite Einwilligung mit ausreichender Information erforderlich ist.