Steuerberater unterliegen der berufsrechtlichen auch strafbewehrten Pflicht zur Verschwiegenheit. Unklar war bisher, welches Sicherheitsniveau bzw. welche Art der E-Mail-Verschlüsselung berufsrechtlich zulässig ist. Im Oktober 2018 hat die BStBK die Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften zusammen mit dem DStV e.V. aktualisiert. Hierin wird im Hinblick auf die berufsrechtlichen Verschwiegenheitspflichten von Seiten der BStBK grundsätzlich eine verschlüs-selte E-Mail-Kommunikation mit dem Mandanten empfohlen.
Transportverschlüsselung ist ausreichend und eine Ende-zu-Ende-Verschlüsselung nicht erforderlich
Ausreichend ist nach den Hinweisen der BStBK die sog. „Transportverschlüsselung“ (vgl. Schöttle / BRAK Mitteilungen 3/2018). Hierzu muss der Steuerberater sicherstellen, dass die E-Mail auf dem Transportweg verschlüsselt ist und sich die Server der E-Mail-Provider des Steuerberaters und des Mandanten in Deutschland befinden. Dies sollte sorgfältig mit dem Mandanten besprochen werden. Bei einem KMU-Mandat könnte beispielsweise darauf geachtet werden, dass von Seiten des Mandanten ein deutscher E-Mail-Provider für die Kommunikation mit dem Steuerberater genutzt wird. Viele deutsche E-Mail-Provider haben sich der Initiative E-Mail MADE IN GERMANY angeschlossen und bieten die Transportverschlüsselung und die Datenspeicherung in Deutschland nach den deutschen Datenschutzstandards standardmäßig an. Weitere Informationen findet man hierzu unter: www.e-mail-made-in-germany.de.
Auch De-Mail nutzt grundsätzlich eine Transportverschlüsselung und ist per Gesetz als „sicher“ eingestuft (vgl. § 130a Abs. 4 ZPO). Grundlegender Unterschied zwischen einer einfachen transportverschlüsselten E-Mail und einer De-Mail ist die Tatsache, dass bei De-Mail der Absender und der Empfänger vorher verifiziert und somit eindeutig zugeordnet werden können. Auch in § 87a AO ist geregelt, dass bei der Übermittlung von Daten, die dem Steuergeheimnis unterliegen, ein geeignetes Verfahren zur Verschlüsselung zu verwenden ist. Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Dienstanbieter zum Zweck der Überprüfung auf Schadsoftware und zur Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt (Transportverschlüsselung), verstößt nicht gegen dieses Verschlüsselungsgebot. Somit steht der Versendung von E-Mails, die mit einer Transportverschlüsselung versehen sind, das Berufs- und Steuergeheimnis nicht entgegen.
Um das Sicherheitsniveau zu erhöhen, können E-Mail-Anhänge zusätzlich mit einem Passwort geschützt werden oder E-Mails mit einer Ende-zu-Ende-Verschlüsselung übermittelt werden. Dies sollte individuell beurteilt werden. Dabei ist der Schutzbedarf der übermittelten Daten zu berücksichtigen.
Einwilligung des Mandanten in einen unverschlüsselten E-Mail-Verkehr ist berufsrechtlich zulässig
Grundsätzlich ist eine verschlüsselte E-Mail-Kommunikation mit dem Mandanten vorzuziehen. Wenn der Mandant dies jedoch ausdrücklich wünscht, ist auch eine unverschlüsselte E-Mail-Kommunikation berufsrechtlich zulässig. Der Mandant sollte dann auf die Gefahren einer unverschlüsselten E-Mail-Kommunikation hingewiesen werden. Wenn es sich um sensible Daten bzw. Dokumente handelt (z. B. Jahresabschluss, Steuererklärung, betriebswirtschaftliche Auswertungen) ist es erforderlich, dass sich der Steuerberater beim Mandanten bezüglich dieser Daten bzw. Dokumente die konkrete Einwilligung zum unverschlüsselten Versand einholt.
Es ist zu empfehlen, dass bei Abschluss des Mandatsvertrages die Wege und Regeln der elektronischen Kommunikation mit dem Mandanten vereinbart werden. Bei Daten Dritter (z. B. Unterlagen zur Lohnbuchhaltung, Daten des Ehepartners) kann der Verzicht auf die E-Mail-Verschlüsselung grundsätzlich nur vom Dritten selbst eingeholt werden. Daher sollte in der Vereinbarung erläutert werden, dass die Zustimmung des Mandanten nicht für Daten Dritter gilt. Eine Mustervereinbarung ist diesem Dokument beigefügt.
Hinweise zum Datenschutz
Unter den Datenschutzaufsichtsbehörden besteht derzeit keine einheitliche und klare Auffassung darüber, welches Sicherheitsniveau bzw. welche Art der E-Mail-Verschlüsselung datenschutzrechtlich zulässig ist. Der Hamburgische Landesdatenschutzbeaufauftragte führt zu dieser Frage aus, dass aus datenschutzrechtlicher Sicht eine Ende-zu-Ende-Verschlüsselung zu bevorzugen sei. Dabei ist jedoch auch eine Abwägung zwischen Schutzbedarf auf der einen und der Aufwand auf der anderen Seite zu treffen. Am Ende kommt dieser zur Erkenntnis, dass aber auch auf die Nutzung von De-Mail, welche den Einsatz von Transportverschlüsselung garantiert, zurückgegriffen werden kann.
Zu der Frage, ob datenschutzrechtlich ein Verzicht auf die Verschlüsselung möglich ist, wird überwiegend die Auffassung vertreten, dass ein Verzicht auf Standards der Datensicherheit möglich ist, da ein Betroffener freiwillig bestimmen kann, wie weit er den Schutz des informationellen Selbstbestimmungsrecht zieht (vgl. VG Berlin 24. Mai 2011, Az. 1 K 133/10, Pott-hoff, NWB 2018, S. 287 vgl. 2b) datenschutzrechtliche Beurteilung).