Faxe, E-Mail und der Datenschutz (AO-StB 2021, Heft 8, S ... / II. Korrespondenz im Lichte von AO und DS-GVO

1. Verarbeitung personenbezogener Daten durch einen Verantwortlichen

Bedient sich der Steuerberater zur Kommunikation mit Mandanten, Dritten oder dem FA der Möglichkeiten von Fax oder E-Mail, so unterliegen diese Handlungen zunächst der Datenschutzgrundverordnung (DS-GVO). Schreiben, die auf steuerliche Tatbestände Bezug nehmen und mittels automatisierter Verfahren erstellt bzw. übermittelt werden, stellen eine Verarbeitung personenbezogener Daten dar (Art. 4 Abs. 1 Nr. 1, 2 DS-GVO). Steuerliche Daten sind in aller Regel personenbezogen bzw. erlauben die Identifizierung einer natürlichen Person (so bereits EuGH v. 1.10.2015 – C-201/14, NVwZ 2016, 375). Im Einzelfall können sogar besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO betroffen sein. Dies kommt nicht nur bei Fragen zur Kirchensteuer in Betracht, sondern gerade auch mit Blick auf steuerlich relevante Sachverhalte aus den Bereichen Gesundheit (Sonderausgabenabzug), politische Meinung (Spendenabzug) oder Gewerkschaftszugehörigkeit (Werbungskostenabzug). Die Verarbeitung dieser Daten unterliegt weiteren Beschränkungen.

Die Verarbeitung und damit zuerst das "Ob" der Datenverarbeitung im Hinblick auf einen bestimmten Zweck ist nur erlaubt, wenn ein Erlaubnissatz nach Art. 6, 9 DS-GVO vorliegt. Hier kommt für den Steuerberater eine vertragliche Grundlage im Verhältnis zu seinem Mandanten in Betracht (Art. 6 Abs. 1 S. 1 lit. a, Art. 9 Abs. 2 lit. a DS-GVO). Teil des Vertrages ist die Einwilligung in die Datenverarbeitung. Die Datenverarbeitung kann aber auch im öffentlichen Interesse (Art. 6 Abs. 1 S. 1 lit. e, Art. 9 Abs. 2 lit. g DS-GVO) liegen. Insoweit enthält § 11 StBerG seit dem 18.12.2019 eine ausdrückliche Ermächtigungsgrundlage.

Berechtigt zur Datenverarbeitung und insoweit auch Verantwortlicher für die Einhaltung datenschutzrechtlicher Bestimmungen (s. Art. 4 Nr. 7 DS-GVO) ist grundsätzlich der Steuerberater selbst. Ihm gleichgestellt sind Personen und Gesellschaften nach § 3 StBerG, also insb. aufgrund der Gleichstellung in § 4 Nr. 11 StBerG auch die Lohnsteuerhilfevereine.

Beraterhinweis Ob die Verantwortlichkeit nach der DS-GVO nur den Lohnsteuerhilfeverein selbst, nur den Beratungsstellenleiter oder beide gemeinsam trifft, ist bisher gerichtlich nicht entschieden (derzeit anhängig: VG Mainz – 4 K 1004/20.MZ). Auch wenn der Lohnsteuerhilfeverein allein Verantwortlicher sein könnte (Argument: Festlegung von Mittel und Zwecken der Verarbeitung bereits in der Satzung), sollten die Beratungsstellenleiter selbst besonders auf datenschutzkonforme Kommunikation achten.

Im Rahmen der Verantwortlichkeit muss ein Bewusstsein dafür geschaffen werden, dass ein Fehlverhalten der Mitarbeitenden des Steuerberaters diesem selbst zuzurechnen ist. Die DS-GVO rechnet dem Verantwortlichen hier konsequent das Handeln der Mitarbeitenden zu, solange diese nicht im sog. Mitarbeiter-Exzess tätig werden (Funktionsträgerprinzip, Entschließung der Datenschutzkonferenz (DSK) v. 3.4.2019).

2. Einwilligung für die Kommunikationsgestaltung ("Wie" der Datenverarbeitung)

a) Keine ausdrücklichen Regelungen im StBerG und in der DS-GVO

Weder das StBerG noch die DS-GVO stellen ausdrückliche Regelungen für den Austausch von Informationen bereit. Daher gelten für die Nutzung von Fax-Verbindungen oder E-Mail-Versand die allgemeinen Regelungen. Gemäß Art. 32 Abs. 1 DS-GVO muss die Sicherheit der Verarbeitung durch geeignete technische und organisatorische Maßnahmen gewährleistet sein, wobei die Verschlüsselung unter lit. a ausdrücklich genannt ist. Dies ist für die Einwilligung zu berücksichtigen.

b) Rechtsgrundlage für eigene Kommunikationsregelungen

Als Rechtsgrundlage für das "Wie" der Verarbeitung von personenbezogenen Daten über diese Kommunikationswege hat vor allem eine Einwilligung des Mandanten im Rahmen des Vertragsschlusses Bedeutung. Es bedarf hier einer ausdrücklichen Einwilligung nach Art. 7 DS-GVO. Allein der Vertrag ist nicht ausreichend (Art. 6 Abs. 1 S. 1 lit. b DS-GVO), da eine bestimmte Kommunikationsform für dessen Erfüllung nicht erforderlich ist.

Es wird weiterhin diskutiert, ob Sicherheitsstandards, wie sie in Art. 32 DS-GVO niedergelegt sind, disponibel sind (Jandt in Kühling/Buchner, DSGVO, 3. Aufl. 2020, Art. 32 Rz. 39 ff.; Martini in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 32 Rz. 4b). In den meisten Fällen technischer Schutzmaßnahmen wird ein vertraglicher Verzicht im Einzelfall nicht möglich sein, da es hier um Aspekte geht, die ein Gesamtsystem betreffen. Anders ist dies jedoch gerade für Verschlüsselungstechnologien zu werten. Ob und wie ein Dokument vor dem Versand verschlüsselt wird, kann in jedem Einzelfall ausgewählt und entschieden werden. Auch ist eine ausreichende Information der betroffenen Person möglich. Es ist daher nicht zwingend geboten, eine Einwilligung auszuschließen.

Eine Einwilligung betrifft darüber hinaus nicht nur den Verarbeitungszweck, sondern immer auch die Verarbeitungsform, so dass im Rahmen einer freiwilligen, informierten Entscheidung auch ein Verzicht auf Sicherheitsmerkmale möglich sein muss (vgl. Klement in Simitis/Hornung/Spieker, DSGVO, 1. Aufl. 2019, Art. 7 Rz. 68).

c) Form der Einwilligung

Für die Einholung der Einwilligung ist es erforderlich, dass diese in informierter, ausdrücklicher und ...