Schwarz/Pahlke/Keß, AO § 87a Elektronische Kommunikation / 4 Verschlüsselungspflicht

Rz. 12

§ 87a Abs. 1 S. 3 AO ordnet für die Übermittlung von Daten, die dem Steuergeheimnis unterliegen, eine Verschlüsselungspflicht an. Die Regelung hat nur deklaratorischen Charakter. Die Notwendigkeit einer Verschlüsselung ergibt sich bereits aus § 30 AO.^[1] Der unverschlüsselte Datenversand begründet für sich eine Verletzung des Steuergeheimnisses in der Alternative der unbefugten Offenbarung geschützter Verhältnisse.^[2] Insoweit ist das unerlaubte Bekanntwerden der Daten allein durch die Möglichkeit der unerkannten Einsichtnahme während des elektronischen Datenversands zu unterstellen.

Rz. 12a

Aufgrund der Nähe zu § 30 AO wird die Auffassung vertreten, dass nach Aufklärung des Stpfl. über die datenschutzrechtlichen Risiken einer unverschlüsselten elektronischen Kommunikation und seines gleichwohl erteilten Einverständnisses auf die Verschlüsselung verzichtet werden kann.^[3] Ein Bedarf für die schnelle und unkomplizierte elektronische Kommunikation mag es beiderseits in erster Linie im Bereich der Betriebsprüfung geben. So bieten einige Länder^[4] mit Einverständnis des Stpfl. die – unverschlüsselte – elektronische Kommunikation an. Zweifel an der Zulässigkeit dieser Vorgehensweise sind durchaus angebracht, da anders als bei der Zustimmung nach § 30 Abs. 4 Nr. 3 AO der Stpfl. nicht zur Genehmigung der Offenbarung gegenüber einem bestimmbaren Personenkreis gebeten wird, sondern mit Blick auf das unkalkulierbare Risiko unverschlüsselter Kommunikation zum Verzicht auf wesentliche, verfassungsrechtlich verankerte Schutzpositionen. Einzuräumen ist indes, dass sich das De-Mail-Verfahren, das der Gesetzgeber den maßgebenden Regelungen zugrunde gelegt hat, bei elektronischem Kommunikationsverkehr nicht durchgesetzt hat und daher andere, weniger aufwendige Kommunikationskanäle geöffnet werden müssen. Letzteres ist zwar zeitgemäß und gut nachvollziehbar, nur auf Grundlage des geltenden Rechts nicht herleitbar.

Ein Verstoß gegen die Verschlüsselungspflicht stellt indes keinen Nichtigkeitsgrund dar, sodass eine gegen das Gebot verstoßende elektronische Übermittlung eines Steuerverwaltungsakts keinen Einfluss auf die Wirksamkeit des Verwaltungsakts nimmt.^[5] Dem Sinn und Zweck der Regelung nach ist dieser Verstoß mit einem einfachen Verfahrens- bzw. Formfehler gleichzusetzen, der nicht zur Aufhebung des Verwaltungsakts führt, wenn in der Sache keine andere Entscheidung hätte getroffen werden können.^[6]

Rz. 13

Verschlüsselungspflichtig sind nur die zur Wahrung des Steuergeheimnisses verpflichteten Finanzbehörden, und zwar auch nur insoweit, als das Dokument dem Steuergeheimnis unterliegende Verhältnisse beinhaltet. Vom Stpfl. an die Finanzbehörde zu übermittelnde Daten werden von der Vorschrift nicht erfasst.^[7] Ein besonderes Verschlüsselungsverfahren ist nicht vorgeschrieben. Das Verfahren sollte dem Stand der Technik entsprechen und hinreichend Sicherheit bieten. In Anbetracht der sich ständig erhöhenden Sicherheitsstandards kann von der Finanzbehörde nicht verlangt werden, stets das sicherste Verfahren zu verwenden.^[8] Die Finanzbehörde sollte aber im Zweifel ein technisches Gutachten über die Eignung eines von ihr für den Einsatz vorgesehenen Verschlüsselungsverfahrens einholen.^[9]

Rz. 13a

Durch das Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften v. 25.7.2013, BGBl I 2013, 2749 wurde § 87a Abs. 1 AO ein S. 4 hinzugefügt. Danach verstößt eine kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht^[10] durch den akkreditierten Anbieter zum Zweck der Überprüfung auf Schadsoftware sowie zum Zweck der Weiterleitung an den Adressaten der Nachricht erfolgt, nicht gegen das in S. 3 postulierte Verschlüsselungsgebot.^[11] Die Aufnahme dieser klarstellenden Regelung wurde nötig, da unterschiedliche De-Mail-Provider ihre Dienste am Markt anbieten. Soll eine De-Mail zu einem Server versandt werden, der bei einem anderen Provider gehostet wird, so muss die De-Mail zur Übergabe für einen kurzen Augenblick entschlüsselt werden, bevor sie vom Provider des Empfängers wieder verschlüsselt wird. Eine Ende-zu Ende-Verschlüsselung ist aus technischen Gründen nicht möglich.

Rz. 13b

Der neu in § 87a Abs. 1 AO eingefügte S. 5 befreit die Finanzbehörde von der Verschlüsselungspflicht für die dort genannten Bereitstellungsnachrichten. Gemeint sind die vom Elsteronlineportal im Fall der Ablage eines Steuerbescheids auf das hinterlegte E-Mail-Postfach verschickten Nachrichten, dass der Bescheid nunmehr zum Abruf bereitsteht. Mit der Neuregelung des § 122a Abs. 6 AO, nach der die Absendung der Bereitstellungsnachricht zuzüglich der obligaten Drei-Tages-Frist die Bekanntgabefiktion bei Steuerbescheiden und diesen gleichgestellten Bescheiden auslöst, kommt der Wirksamkeit der Bereitstellungsnachricht besondere Bedeutung zu. Gemessen am Schutzzweck des § 30 AO kommt den in der Bereitstellungsnachricht enthaltenen Daten kein allzu hoher Schutzbedarf zu, da sie keine individuellen...