· Fachbeitrag · Datenschutzgrundverordnung
Unverschlüsselten E-Mail-Verkehr gem. DSGVO berufsrechtlich unbedenklich gestalten
von RA Dr. Gregor Feiter, Düsseldorf
| In Seminaren zur DSGVO und in den Hinweisen der BStBK und des DStV für den Umgang mit personenbezogenen Daten durch den Steuerberater wird zurzeit der Eindruck vermittelt, dass Steuerberater mit ihren Mandanten nicht mehr unverschlüsselt per E-Mail kommunizieren dürfen. Die Ver-unsicherung im Kreis der Steuerberater ist groß, zumal viele Mandanten keinen verschlüsselten E-Mail-Verkehr wünschen. Der folgende Beitrag geht der Frage nach, wie dennoch ein berufsrechtlich unbedenklicher unverschlüsselter E-Mail-Verkehr sichergestellt werden kann. |
Pflicht zur Verschlüsselung personenbezogener Daten
Steuerberater unterliegen einer beruflichen Verschwiegenheitspflicht, die auch strafbewehrt ist. Weder das Steuerberatungsgesetz, noch die Berufsordnung machen aber konkrete Vorgaben zur elektronischen Kommunikation.
In der DSGVO finden sich in Art 32 Abs. 1 a) und b) allgemeine Vorgaben zur Sicherheit der Verarbeitung. Es besteht u. a. die Pflicht zur Verschlüsselung personenbezogener Daten und eine Pflicht zur Vertraulichkeit und Integrität. Das alte Bundesdatenschutzgesetz (BDSG) sah schon bisher in § 9 und in der Anlage zu § 9 Satz 1 unter Ziffer 4 vor, dass technische und organisatorische Maßnahmen zu treffen sind, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Das neue BDSG orientiert sich an Art. 32 DSGVO und nennt als konkrete technische und organisatorische Maßnahmen u. a. die Verschlüsselung, Art. 64 Abs. 2 Satz 1 BDSG neu.
Art der Verschlüsselung gesetzlich nicht geregelt
Welche Maßnahmen konkret die DSGVO und das BDSG mit der Verschlüsselung im Blick hat, wird in Art. 32 DSGVO und in Art. 64 BDSG nicht deutlich. Insbesondere werden keine Vorgaben zur Art der Verschlüsselung gemacht.
Grundsätzlich genügt mithin eine „einfache“ Verschlüsselung personenbezogener Daten. Schlüssellängen von 128 Bit sind per se ebenso geeignet, wie jene von 256 Bit. Grundsätzlich können (sensible) Nachrichten durch einen sicheren Transportkanal (TLS-gesicherter Kommunikationskanal) geschützt werden. Die Inhalte einer E-Mail bzw. eines E-Mail-Anhangs (aber ggf. nicht die Betreff-Zeile und das E-Mail-Datum) können mindestens durch ein Passwort, besser aber noch durch Ende-zu-Ende-Verschlüsselung geschützt werden.
Voraussetzung dafür ist, dass auf den Rechnern von Versender und Empfänger der Nachricht eine entsprechende Verschlüsselungssoftware installiert ist (z. B. Postfach- und Versanddienst De-mail oder DATEV E-Mail-Verschlüsselung). Allerdings muss man konstatieren, dass nach einer aktuellen Umfrage des Bundeswirtschaftsministeriums ein Viertel der Unternehmen noch keine Verschlüsselungstechnik nutzt. Gerade KMU und bestimmte Branchen, insbesondere der Handel, hinken in puncto Sicherheit ‒ aus den unterschiedlichsten Gründen ‒ hinterher (FAZ 26.2.18). Die hohen Sicherheitsanforderungen lassen sich also in der Lebenswirklichkeit nicht ohne Weiteres erfüllen.
Unverschlüsselter Versand mit Einwilligung des Mandanten
Wenn Sie es mit Mandanten zu tun haben, die einen unverschlüsselten E-Mail Verkehr wünschen, konnten Sie bisher die Hinweise der Bundes-steuerberaterkammer zum Datenschutz und zur Datensicherheit in der Steuer-beraterpraxis heranziehen (Berufsrechtliches Handbuch 5.2.4, II. Anhang, Anlage 1). Unter dem Stichwort „E-Mail Verschlüsselung“ heißt es: „Grundsätzlich gilt: Eine Pflicht, nur verschlüsselte E-Mails zu versenden, besteht nicht, wenn der Mandant einem ungeschützten E-Mail-Verkehr zugestimmt hat. Hierfür reicht grundsätzlich die allgemeine Zustimmung des Mandanten aus.
Etwas anderes gilt, wenn es sich um sensible Daten bzw. Dokumente handelt (z. B. Jahresabschluss, Steuererklärung, betriebswirtschaftliche Auswertungen). In diesen Fällen muss der Mandant einer unverschlüsselten Übermittlung ausdrücklich zustimmen. Es empfiehlt sich ‒ bestenfalls bereits bei Abschluss des Steuerberatungsvertrags ‒ zu vereinbaren, hinsichtlich welcher Daten bzw. Dokumente ein verschlüsselter bzw. ein unverschlüsselter E-Mail-Verkehr zu erfolgen hat.“
Neue Hinweise von BStBK und DStV sorgen für Unsicherheit
Wenn sensible Daten auch an Dritte übermittelt werden (Banken etc.), konnte nach bisherigem Verständnis im Rahmen eines schriftlichen Steuerberatungsvertrags, in AGB oder in einer schriftlichen Sondervereinbarung ausdrücklich klargestellt werden, ob auch mit Dritten unverschlüsselt kommuniziert werden darf.
Durch die neuen Hinweise der BStBK und des DStV aus April 2018, nach denen nur in „Ausnahmefällen“ ein unverschlüsselter E-Mail-Versand zulässig sein soll, wird dies infrage gestellt. Wann ein „Ausnahmefall“ vorliegen soll und wo dieses Kriterium gesetzlich verankert ist, bleibt unklar.
Die DSGVO und das BDSG kennen keinen „Ausnahmefall“. Allerdings finden sich in Art. 7 DSGVO und in § 51 BDSG Bedingungen für eine Einwilligung. Der Verantwortliche (Steuerberater) muss die Einwilligung nachweisen können. Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von anderen Sachverhalten klar zu unterscheiden ist. Außerdem hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen.
Möglicherweise verstehen BStBK und DStV diese Bedingungen als „Ausnahmefall“. Dann läge kein Widerspruch zu den bisherigen Hinweisen der BStBK im Berufsrechtlichen Handbuch vor. Für weitere Voraussetzungen an eine Einwilligung als die in Art. 7 DSGVO und § 51 BDSG genannten fehlt es an einer Rechtsgrundlage. Da der Mandant Herr seiner personenbezogenen Daten ist und das von ihm gewünschte Schutzniveau im Falle elektronischer Kommunikation selbst frei bestimmen kann, muss der Berater nur sicherstellen, dass die gesetzlich vorgesehenen Bedingungen für eine Einwilligung gegeben sind.
Sonderfall: Sensible Daten Dritter
Sensible Daten Dritter, z. B. im Bereich Lohn, dürfen grundsätzlich nur verschlüsselt per E-Mail verschickt werden. Die Einwilligung des Mandanten ersetzt in diesen Fällen nicht die fehlende Einwilligung der Drittbetroffenen. Die einschlägigen EDV-Programme bieten einen solchen verschlüsselten Versand auch an.
Der nachfolgende Text kann in einen schriftlichen Steuerberatungsvertrag oder in AGB integriert werden. Dabei wird unterstellt, dass die Sprache einfach ist und der Sachverhalt klar von anderen Regelungen des Vertrags zu unterscheiden ist (vgl. Art 7 Abs. 2 DSGVO, § 51 Abs. 2 BDSG), z. B. durch eine entsprechende Überschrift. Er kann dem Mandanten auch als „Sondervereinbarung zur elektronischen Kommunikation per E-Mail“ zur Unterschrift vorgelegt werden.
Formulierungsvorschlag / Sondervereinbarung zur elektronischen Kommunikation |
Regelungen zur elektronischen Kommunikation zwischen Auftraggeber und Auftragnehmer
Wird im Rahmen der elektronischen Kommunikation zwischen Auftraggeber und Auftragnehmer oder sonstigen Dritten (z. B. Kreditinstituten) die Übermittlung von Daten nicht durch eine geeignete Verschlüsselung geschützt, besteht die grundsätzliche Gefahr, dass Daten von Dritten abgefangen und gelesen werden können.
In Kenntnis dieser Gefahr wünscht der Auftraggeber die Korrespondenz per E-Mail
Der Auftragnehmer darf sensible Daten (z. B. Jahresabschlüsse, Steuererklärungen, betriebswirtschaftliche Auswertungen) an den Auftraggeber und an Dritte, mit denen der Auftraggeber in Geschäftsbeziehung steht (z. B. Kreditinstitute) ⃞ nur verschlüsselt ⃞ passwortgeschützt ⃞ unverschlüsselt versenden oder von diesen empfangen, wenn die Übermittlung oder der Empfang vom Auftrag umfasst ist.
Sind sensible Daten Dritter betroffen (z. B. im Lohnbereich), erfolgt kein unverschlüsselter Versand. Die Daten werden dem Auftraggeber wie folgt zur Verfügung gestellt: ⃞ verschlüsselter E-Mail-Versand ⃞ Cloud ⃞ Postweg ⃞ …
Der Auftraggeber wünscht keine Korrespondenz ⃞ per SMS, WhatsApp oder sonstige Messenger Dienste ⃞ per E-Mail ⃞ per Telefax.
Der Auftraggeber kann diese Einwilligung jederzeit widerrufen.
Unterschrift des Auftraggebers |