Die E-Mail-Kommunikation mit dem Mandanten sorgt gerade im Zeitalter der Digitalisierung und des Datenschutzes für zunehmende Diskussionen. Wir klären im Folgenden, was sich durch die DSGVO geändert hat und wie steuerliche Berater mit diesem Thema umgehen sollten. |
Verschwiegenheitspflicht
Nach dem StBerG haben Steuerberater und Steuerbevollmächtigte ihren Beruf verschwiegen auszuüben. § 5 BOStB ergänzt diese Pflicht und führt an, dass sich die Pflicht zur Verschwiegenheit auf alles erstreckt, was dem Steuerberater in Ausübung seines Berufs oder bei Gelegenheit der Berufstätigkeit anvertraut worden oder bekannt geworden ist. Dies gilt gegenüber jedem Dritten, auch gegenüber Behörden und Gerichten. Nach Abs. 2 kann der Mandant den Steuerberater von seiner Schweigepflicht entbinden. Nach Abs. 4 muss der Steuerberater dafür Sorge tragen, dass Unbefugte während und nach Beendigung der beruflichen Tätigkeit keinen Einblick in Mandantenunterlagen und die Mandanten betreffende Unterlagen erhalten.
Datenschutz
Gemäß DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Ergänzt wird dies durch das BDSG. Danach haben im Falle einer automatisierten Verarbeitung der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden („Transportkontrolle“).
Hinweise der BStBK
Am 7.2.2019 hat die BStBK Hinweise zur E-Mail-Kommunikation mit dem Mandanten herausgegeben. Die BStBK kommt – in Übereinstimmung mit den derzeitigen Auffassungen der Landesdatenschutzbeauftragten – zu dem Ergebnis, dass keine Ende-zu-Ende-Verschlüsselung notwendig ist und eine Transportverschlüsselung genügt.
Die Transportverschlüsselung ist grundsätzlich eine Punkt-zu-Punkt-Verschlüsselung, die man sich wie einen Briefumschlag vorstellen kann. Der Inhalt wird bei der Übermittlung zwischen dem Absender und seinem E-Mail-Anbieter sowie zwischen zwei E-Mail-Anbietern untereinander und zwischen E-Mail-Anbieter und Empfänger verschlüsselt bzw. durch einen „Briefumschlag“ geschützt.
Zwischen dem Berufsstand und den Datenschützern ist jedoch streitig, ob der Mandant in eine unverschlüsselte und damit unsichere E-Mail-Kommunikation einwilligen kann. Da der Mandant jedoch „Herr seiner Daten“ ist, kann er in eine unverschlüsselte E-Mail-Kommunikation einwilligen. Voraussetzung dafür ist, dass er zuvor auf die Risiken – zumindest pauschal – hingewiesen werden muss.
Praxistipp | Um den Mandanten auf die Risiken einer unverschlüsselten E-Mail-Kommunikation hinzuweisen, können die „Hinweise zur E-Mail-Kommunikation“ der BStBK herangezogen werden. Oder es wird in Anlehnung an den neu geschaffenen § 2 Abs. 4 BORA ein kurzer Hinweis in den Mandatsvertrag aufgenommen.
Musterformulierung
Wir empfehlen daher, wenn keine Einwilligung des Mandanten vorliegt, auf eine unverschlüsselte E-Mail-Kommunikation mit sensiblen Steuerdaten oder besonders schutzwürdigen personenbezogenen Daten nach Art. 9 DSGVO zu verzichten. Normale E-Mail-Kommunikation zur Terminabsprache o. Ä. ist auch dann weiterhin zulässig.
Der Steuerberater sollte zur Reduzierung von Haftungsrisiken und Vermeidung eines Berufspflichtverstoßes im Mandatsvertrag sinngemäß folgende Einwilligungsklausel aufnehmen:
Musterformulierung / E-Mail-Kommunikation mit dem Mandanten
„Wir weisen darauf hin, dass die unverschlüsselte elektronische Kommunikation via E-Mail mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist. Wir gehen zunächst von einer Zustimmung aus, wenn Sie diesen Kommunikationsweg vorschlagen oder beginnen und ihn fortsetzen, nachdem wir Sie zumindest pauschal und ohne technische Details auf die Risiken hingewiesen haben. Durch Ihre nachfolgende Unterschrift willigen Sie zudem in die Verwendung der unverschlüsselten E-Mail-Kommunikation ausdrücklich nach Art. 6 Abs. S. 1 lit. a DSGVO ein. Ihnen ist bekannt, dass Sie diese Einwilligung jederzeit für die Zukunft widerrufen können. Im Übrigen gelten unsere Datenschutzinformationen.“
Unterschrift des Mandanten
Ausblick
Ob die unverschlüsselte E-Mail-Korrespondenz demgegenüber auch mit Einwilligung des Mandanten tatsächlich DSGVO-konform ist, was nach Art. 6 Abs. 1 S. 1 lit. a DSGVO aufgrund der Einwilligung zu bejahen wäre, wird weiterhin Gegenstand juristischer Debatten sein.
Weiterführender Hinweis
* „Hinweise zur E-Mail-Kommunikation“ der BStBK vom 7.2.19