In Seminaren zur DSGVO und in den neuen Hinweisen der BStBK und des DStV für den Umgang mit personenbezogenen Daten durch den Steuerberater (Stand: April 2018) wird zurzeit der Eindruck vermittelt, dass Steuerberater mit ihren Mandanten nur noch per verschlüsselter E-Mail kommunizieren dürfen. In den Hinweisen heißt es auf Seite 40, dass vertrauliche Nachrichten und Anlagen nur verschlüsselt zu versenden sind.
Nur in Ausnahmefällen könne mit dem Mandanten vereinbart werden, dass vertrauliche Nachrichten und Anlagen, die keine personenbezogenen Daten Dritter enthalten, unverschlüsselt versendet werden dürfen. Dies solle von dem Berater unbedingt dokumentiert werden. Die Verunsicherung im Kreis der Steuerberater ist groß, zumal viele Mandanten keinen verschlüsselten E-Mail-Verkehr wünschen. Im Folgenden gehen wir der Frage nach, wie dennoch ein berufsrechtlich unbedenklicher unverschlüsselter E-Mail-Verkehr sichergestellt werden kann.
Die DSGVO sieht grundsätzliche Pflicht zur Verschlüsselung personenbezogener Daten vor
Steuerberater unterliegen einer beruflichen Verschwiegenheitspflicht. Weder das Steuerberatungsgesetz, noch die Berufsordnung machen aber konkrete Vorgaben zur elektronischen Kommunikation.
In der DSGVO finden sich in Art 32 Abs. 1 a) und b) allgemeine Vorgaben zur Sicherheit der Verarbeitung. Im Speziellen geht es hier um die Pflicht zur Verschlüsselung personenbezogener Daten und eine Pflicht zur Vertraulichkeit und Integrität. Schon das alte Bundesdatenschutzgesetz (BDSG) sah vor, dass technische und organisatorische Maßnahmen zu treffen sind, die je nach Art der zu schützenden personenbezogenen Daten gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Das neue BDSG orientiert sich an der DSGVO und nennt als konkrete technische und organisatorische Maßnahmen u. a. die Verschlüsselung (Art. 64 Abs. 2 Satz 1 BDSG neu).
Art der Verschlüsselung gesetzlich nicht geregelt
Welche Maßnahmen konkret mit der Verschlüsselung gemeint sind, wird weder in der DSGVO (Art. 32 DSGVO) noch im BDSG (Art. 64 BDSG) deutlich. Insbesondere werden keine Vorgaben zur Art der Verschlüsselung gemacht. Grundsätzlich genügt mithin eine „einfache“ Verschlüsselung personenbezogener Daten. Schlüssellängen von 128 Bit sind per se ebenso geeignet, wie jene von 256 Bit.
Grundsätzlich können sensible Nachrichten durch einen sicheren Transportkanal, einen sogenannten TLS-gesicherten Kommunikationskanal geschützt werden. Die Inhalte einer E-Mail bzw. eines E-Mail-Anhangs können mindestens durch ein Passwort, besser aber noch durch Ende-zu-Ende-Verschlüsselung geschützt werden. Ausgenommen sind die Betreff-Zeile und das E-Mail-Datum. Voraussetzung dafür ist, dass auf dem Rechner des Versenders und des Empfängers der Nachricht eine entsprechende Verschlüsselungssoftware installiert ist z. B. Postfach- und Versanddienst de-Mail oder DATEV E-Mail-Verschlüsselung. Allerdings muss man konstatieren, dass nach einer aktuellen Umfrage des Bundeswirtschaftsministeriums ein Viertel der Unternehmen noch keine Verschlüsselungstechnik nutzt. Gerade KMU und bestimmte Branchen, insbesondere der Handel, hinken in puncto Sicherheit – aus den unterschiedlichsten Gründen – hinterher (FAZ 26.2.18). Die hohen Sicherheitsanforderungen lassen sich also in der Lebenswirklichkeit nicht ohne Weiteres erfüllen.
Unverschlüsselter Versand mit Einwilligung des Mandanten grundsätzlich zulässig
Wenn Sie es mit Mandanten zu tun haben, die einen unverschlüsselten E-Mail-Verkehr wünschen, konnte man bisher die Hinweise der Bundessteuerberaterkammer zum Datenschutz und zur Datensicherheit in der Steuerberaterpraxis heranziehen (Berufsrechtliches Handbuch 5.2.4, II. Anhang, Anlage 1). Unter dem Stichwort „E-Mail-Verschlüsselung“ heißt es: „Grundsätzlich gilt: Eine Pflicht, nur verschlüsselte E-Mails zu versenden, besteht nicht, wenn der Mandant einem ungeschützten E-Mail-Verkehr zugestimmt hat. Hierfür reicht grundsätzlich die allgemeine Zustimmung des Mandanten aus. Etwas anderes gilt, wenn es sich um sensible Daten bzw. Dokumente handelt z. B. Jahresabschluss, Steuererklärung, betriebswirtschaftliche Auswertungen. In diesen Fällen muss der Mandant einer unverschlüsselten Übermittlung ausdrücklich zustimmen. Es empfiehlt sich, zu vereinbaren, hinsichtlich welcher Daten bzw. Dokumente ein verschlüsselter bzw. ein unverschlüsselter E-Mail-Verkehr zu erfolgen hat. Bestenfalls erfolgt dies bereits bei Abschluss des Steuerberatungsvertrags.“
Neue Hinweise von BStBK und DStV sorgen für Unsicherheit
Wenn sensible Daten auch an Dritte übermittelt werden (Banken etc.), konnte nach bisherigem Verständnis im Rahmen eines schriftlichen Steuerberatungsvertrags, in den AGB oder in einer schriftlichen Sondervereinbarung ausdrücklich klargestellt werden, ob auch mit Dritten unverschlüsselt kommuniziert werden darf. Durch die neuen Hinweise der BStBK und des DStV aus April 2018 (s. o.), nach denen nur in „Ausnahmefällen“ ein unverschlüsselter E-Mail-Versand zulässig sein soll, wird dies allerdings infrage gestellt.
Wann ein „Ausnahmefall“ vorliegen soll und wo dieses Kriterium gesetzlich verankert ist, bleibt unklar. Die DSGVO und das BDSG kennen keinen „Ausnahmefall“. Allerdings finden sich in Art. 7 DSGVO und in § 51 BDSG Bedingungen für eine Einwilligung. Der Steuerberater muss die Einwilligung nachweisen können. Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von anderen Sachverhalten klar zu unterscheiden ist. Außerdem hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen.
Möglicherweise verstehen BStBK und DStV diese Bedingungen als „Ausnahmefall“. Dann läge kein Widerspruch zu den bisherigen Hinweisen der BStBK im Berufsrechtlichen Handbuch vor. Für weitere Voraussetzungen an eine Einwilligung als die in Art. 7 DSGVO und § 51 BDSG genannten fehlt es an einer Rechtsgrundlage. Da der Mandant Herr seiner personenbezogenen Daten ist und das von ihm gewünschte Schutzniveau im Falle elektronischer Kommunikation selbst frei bestimmen kann, muss der Steuerberater nur sicherstellen, dass die gesetzlich vorgesehenen Bedingungen für eine Einwilligung gegeben sind.
Sonderfall: Sensible Daten Dritter
Sensible Daten Dritter, z. B. im Bereich Lohn, dürfen grundsätzlich nur verschlüsselt per E-Mail verschickt werden. Die Einwilligung des Mandanten ersetzt im Übrigen in diesen Fällen nicht die fehlende Einwilligung der Drittbetroffenen. Die einschlägigen EDV-Programme bieten einen solchen verschlüsselten Versand jedoch an.
Der nachfolgende Text kann in einen schriftlichen Steuerberatungsvertrag oder in AGB integriert werden. Dabei wird unterstellt, dass die Sprache einfach ist und der Sachverhalt klar von anderen Regelungen des Vertrags zu unterscheiden ist (vgl. Art. 7 Abs. 2 DSGVO, § 51 Abs. 2 BDSG), z. B. durch eine entsprechende Überschrift. Er kann dem Mandanten auch als „Sondervereinbarung zur elektronischen Kommunikation per E-Mail“ zur Unterschrift vorgelegt werden.
Formulierungsvorschlag / Regelungen zur elektronischen Kommunikation zwischen Auftraggeber und Auftragnehmer
Wird im Rahmen der elektronischen Kommunikation zwischen Auftraggeber und Auftragnehmer oder sonstigen Dritten (z. B. Kreditinstituten) die Übermittlung von Daten nicht durch eine geeignete Verschlüsselung geschützt, besteht die grundsätzliche Gefahr, dass Daten von Dritten abgefangen und gelesen werden können. In Kenntnis dieser Gefahr wünscht der Auftraggeber die Korrespondenz per E-Mail
- gleichwohl ohne weitere Sicherungsmaßnahmen an die folgende E-Mail-Adresse: …
- passwortgeschützt an folgende E-Mail-Adresse: …
- unter Einsatz zeitgemäßer Verschlüsselungstechnik an folgende E-Mail-Adresse: …
Der Auftragnehmer darf sensible Daten (z. B. Jahresabschlüsse, Steuererklärungen, betriebswirtschaftliche Auswertungen) an den Auftraggeber und an Dritte, mit denen der Auftraggeber in Geschäftsbeziehung steht (z. B. Kreditinstitute)
- nur verschlüsselt
- passwortgeschützt ⃞
- unverschlüsselt
versenden oder von diesen empfangen, wenn die Übermittlung oder der Empfang vom Auftrag umfasst ist.
Sind sensible Daten Dritter betroffen (z. B. im Lohnbereich), erfolgt kein unverschlüsselter Versand. Die Daten werden dem Auftraggeber wie folgt zur Verfügung gestellt:
- verschlüsselter E-Mail-Versand ⃞
- Cloud ⃞
- Postweg ⃞ …
Der Auftraggeber wünscht keine Korrespondenz
- per SMS, WhatsApp oder sonstige Messenger Dienste
- per E-Mail
- per Telefax.
Der Auftraggeber kann diese Einwilligung jederzeit widerrufen.
Unterschrift Auftraggeber
von Dr. Gregor Feiter, Geschäftsführer der Steuerberaterkammer Düsseldorf
Verwandte Themen:
Obacht bei der Veröffentlichung von Arbeitnehmerdaten unter der neuen DSGVO