Verschlüsselungspflicht? Intensität? Befreiung? Berufs-, Straf- oder Datenschutzrecht? – Was denn nun?!
Teil 2: Befreiung von der Verschlüsselungspflicht
Aus Sicht der Steuerkanzlei (und auch anderer Berufsgeheimnisträger) stellen sich im Zusammenhang mit der Verschlüsselung von E-Mails primär zwei Fragen:
Erstens: Besteht eine grundsätzliche Pflicht zur E-Mail-Verschlüsselung und wenn ja, welche Art der Verschlüsselung bzw. welches Sicherheitsniveau ist erforderlich? (Erster Teil dieser Blogreihe).
Zweitens: Kann eine etwaige Pflicht durch Verzicht (des Mandanten) entfallen? (Zweiter Teil).Angaben der Datenschutzbehörden und Berufskammern
Auch für die zweite Frage, die Befreiungsmöglichkeit betreffend, sorgen die Ausführungen der datenschutzrechtlichen Aufsichtsbehörden und Berufskammern nicht immer für Klarheit und sind nicht einheitlich.
Datenschutzbehörden führen diesbezüglich aus: „Die Einhaltung der technischen und organisatorischen Maßnahmen wird grundsätzlich für nicht abdingbar gehalten. Betroffene können auch nicht darin einwilligen, dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der Technik verarbeitet werden. […] Daher scheidet auch die elektronische Übertragung sensibler personenbezogener Daten ohne Verschlüsselung etwa per Mail aus, auch wenn der Betroffene explizit um die Übersendung per Mail bittet […].“ (Datenschutzbeauftragter Hamburg, Stand: Januar 2018). Die Ausführungen sorgen insoweit für Unklarheit, als dass der Datenschutzbeauftragte zum einen (nur) „grundsätzlich“ und (auch möglicherweise ausschließlich oder regelmäßig) für den Fall „sensibler personenbezogener Daten“, zum anderen aber (scheinbar) ausschließlich von der fehlenden Möglichkeit einer Einwilligung in einen unverschlüsselten E-Mail-Verkehr ausgeht.
Nach Angaben der Steuerberaterkammern könne in „Ausnahmefällen“ „mit dem Mandanten vereinbart werden, dass vertrauliche Nachrichten und Anlagen, die keine personenbezogenen Daten Dritter enthalten, unverschlüsselt versendet werden.“ (BStBK, DStV, Stand: April 2018, unter: 12.2). Auch hier ergibt sich eine gewisse Unklarheit, da eine Einwilligung (nur) in „Ausnahmefällen“ in Betracht kommen soll. Offen bleibt, ob hiermit nur die Ausnahme vom Grundsatz einer Pflicht zur Verschlüsselung oder weitere, nicht benannte Ausnahme-Voraussetzungen gemeint sind.
Berufs-, straf- und datenschutzrechtliche Betrachtung
Bei der Beantwortung der Frage bzgl. der Befreiungsmöglichkeit von einer etwaigen Pflicht zur E-Mail-Verschlüsselung in der Steuerkanzlei sind sowohl das Berufs- (bzw. Straf-) als auch das (neue) Datenschutzrecht heranzuziehen – soweit man insoweit von deren parallelen sich ergänzenden Anwendbarkeit ausgeht (bzw. jedenfalls vorsichtshalber ausgehen sollte). Anders als häufig in der öffentlichen Diskussion wahrnehmbar, gilt es sauber zu differenzieren. Rechtssicherheit kann nur bestehen, soweit die Fragen für sämtliche Rechtsbereiche beantwortet werden.
Berufsrechtlich (und in engeren Grenzen auch strafrechtlich) unterliegen Steuerberater – wie Rechtsanwälte und Wirtschaftsprüfer – (dem Mandanten gegenüber) der Pflicht zur Verschwiegenheit. Konkrete Vorgaben zur E-Mail-Verschlüsselung machen weder das StBerG noch die BOStB. Der Steuerberater kann durch den Mandanten (als „Herr des Geheimnisses“) von der Verschwiegenheitspflicht entbunden werden.
Datenschutzrechtlich sind durch den verantwortlichen Steuerberater (vgl. Art. 4 Ziff. 7 DSGVO) technisch- und organisatorische Maßnahmen zu treffen, um ein angemessenes Datensicherheitsniveau zu gewährleisten. Die DSGVO sieht eine Einwilligungsmöglichkeit ausdrücklich zunächst nur als Rechtfertigung für die Verarbeitung personenbezogener Daten vor; nicht allerdings für den Verzicht auf ein bestimmtes Datensicherheitsniveau, etwa in Form einer bestimmten Verschlüsselung (vgl. Art. 6 Abs. 1 Satz 1 a) DSGVO). Fraglich ist, inwieweit eine Verzicht auf eine bestimmte E-Mail-Verschlüsselung dennoch zulässig ist.
In der Zeitschrift NWB werde ich voraussichtlich im letzten September-Heft einen ausführlichen Beitrag zur Thematik veröffentlichen. In diesem versuche ich, basierend auf den derzeit ersichtlichen Stimmen der Datenschutzbehörden und Berufskammern, praktische Orientierung zu bieten. Insoweit gehe ich der Frage nach, inwieweit ein Verzicht auf eine etwaige Pflicht zur E-Mail-Verschlüsselung von Gesetzes wegen, nach dem juristischen Meinungsstand und der Rechtsprechung zulässig ist.
Update:
Inzwischen ist der angekündigte Beitrag unter dem Titel „Nur noch verschlüsselte Versendung von E-Mails an Mandanten?“ erschienen (NWB 39/2018 v. 24.09.2018, S. 2870). Abonnenten können ihn kostenfrei abrufen.