In seinen Blog-Beiträgen E-Mail-Verschlüsselung in der Steuerkanzlei hat Alexander Potthoff einen ausführlichen Aufsatz in der Zeitschrift NWB angekündigt.

Dieser ist nun unter dem Titel „Nur noch verschlüsselte Versendung von E-Mails an Mandanten?“ erschienen (NWB 39/2018 v. 24.09.2018, S. 2870). Abonnenten können ihn kostenfrei abrufen.

Viele Grüße vom
NWB Experten-Blog Team

E-Mail-Verschlüsselung in der Steuerkanzlei I

Verschlüsselungspflicht? Intensität? Befreiung? Berufs-, Straf- oder Datenschutzrecht? – Was denn nun?!

Teil 1: Verschlüsselungspflicht und deren Intensität

Aus Sicht der Steuerkanzlei (und auch anderer Berufsgeheimnisträger) stellen sich im Zusammenhang mit der Verschlüsselung von E-Mails primär zwei Fragen.

Erstens: Besteht eine grundsätzliche Pflicht zur E-Mail-Verschlüsselung und wenn ja, welche Art der Verschlüsselung bzw. welches Sicherheitsniveau ist erforderlich? (Erster Teil dieser Blogreihe).
Zweitens: Kann eine etwaige Pflicht durch Verzicht (des Mandanten) entfallen? (Diese Frage wird im zweiten Teil dieser Blogreihe, der in Kürze erscheint, behandelt),

Transport vs. End-to-End-Verschlüsselung
Setzt man sich aus praktischer Sicht mit der Verschlüsselung des E-Mail-Verkehrs in der Steuerkanzlei auseinander, ist zwischen Transport- und End-to-End-Verschlüsselung zu unterscheiden. Die Standard-Verschlüsselung beim E-Mail-Verkehr ist die sog. Transportverschlüsselung (SSL /TLS –Verschlüsselung). Hierbei wird der gesamte Transportweg durch das Internet verschlüsselt. Auf den E-Mail-Servern und den Rechnern des Absenders und Empfängers liegen die Nachrichten und deren Inhalt jedoch unverschlüsselt vor. Eine sicherere Form der E-Mail-Verschlüsselung ist die sog. End-to-End-Verschlüsselung (etwa PGP, GPG oder S/MIME). Hierbei werden zusätzlich auch die Inhalte der Nachricht verschlüsselt und sind damit auf den Servern und Rechnern erst nach ihrer Entschlüsselung einsehbar. Hier müssen beide Kommunikationspartner allerdings den gleichen abgestimmten Standard nutzen und grundsätzlich zunächst sog. öffentliche Schlüssel auszutauschen.

Pflicht zur Verschlüsselung des E-Mail-Verkehrs
Bezüglich der ersten Frage einer E-Mail-Verschlüsselung durch Berufsgeheimnisträger, wie Steuerberater, besteht derzeit kein eindeutiges und einheitliches Meinungsbild. Hinzu kommen noch teilweise wenig eindeutige und nicht immer vereinbare Angaben und Hinweise sowohl seitens der Datenschutzbehörden, als auch seitens der Berufskammern. Brisanz gewinnt die Thematik der E-Mail-Verschlüsselung dadurch, dass aus datenschutzrechtlicher Sicht ein Verstoß gegen technisch und organisatorischen Maßnahmen, wie der E-Mail-Verschlüsselung, nunmehr bußgeldbewehrt ist (vgl.  Art. 83 Abs. 4 lit. a) DSGVO).

In Angaben von Datenschutzbehörden heißt es etwa, dass bei Berufsgeheimnisträgern eine „elektronische Übertragung sensibler personenbezogener Daten per E-Mail ohne Verschlüsselung ausscheide“. Die Versendung von unverschlüsselten E-Mails durch Berufsgeheimnisträger  sei „bedenklich“ und stelle ein „ungeeignetes Kommunikationsmittel“ dar (Datenschutzbeauftragter Hamburg, Stand: Januar 2018). Unsicherheit ergibt sich etwa bezogen darauf, dass der Datenschutzbeauftragte nur davon spricht, dass die unverschlüsselte E-Mail-Versendung „bedenklich und ungeeignet“ (nicht verboten) sei. Auch wird keine eindeutige Antwort darauf gegeben, wie sich die Situation bei sonstigen, nicht „sensiblen personenbezogenen Daten“ darstellen soll und was genau mit „sensiblen personenbezogenen Daten“ gemeint ist.

Nach Hinweisen von Steuerberaterkammern, seien „vertrauliche E-Mail-Nachrichten und -Anlagen nur verschlüsselt zu versenden“(BStBK, DStV, Stand: April 2018, unter: 12.2). Grundsätzlich könnten „(sensible) Nachrichten durch eine Transportverschlüsselung geschützt werden“ (StBK Hessen, Stand April: 2018). Auch insoweit ergibt sich keine abschließende Klarheit. Es bleibt offen, was genau unter “vertraulichen“ und „sensiblen“ E-Mail-Nachrichte, in Abgrenzung zu nicht vertraulichen E-Mail-Nachrichten zu verstehen ist und wo genau die Grenze verläuft.

Intensität und Grad der E-Mail-Verschlüsselung
Nach Äußerungen von Datenschutzbehörden sei bezogen auf den Grad der E-Mail-Verschlüsselung eine „End-to-End-Verschlüsselung [gegenüber einer Transportverschlüsselung nach Maßgabe einer Abwägung] zu bevorzugen“ (Datenschutzbeauftragter Hamburg, Stand: Januar 2018). Unsicherheit ergibt sich im Hinblick darauf, dass durch den Begriff „zu bevorzugen“ keine Pflicht beschrieben wird. Allerdings findet eine gewisse Klarstellung dahingehend statt, dass bei „Daten mit hohem oder sehr hohem Schutzbedarf“ eine „End-to-End-Verschlüsselung erforderlich“ sei (Datenschutzbeauftragter NRW, Stand: August 2018)

Steuerberaterkammern geben an, dass „grundsätzlich“(sensible) Nachrichten durch eine Transportverschlüsselung geschützt werden können“. Die Inhalte einer E-Mail bzw. eines E-Mail-Anhangs könnten „mindestens durch ein Passwort, besser aber noch durch End-to-End- Verschlüsselung“ geschützt werden (Steuerberaterkammer Hessen, Stand: April 2018, s.o.). Auch hieraus lässt sich nicht eindeutig entnehmen, für welche Art von Daten konkret eine E-Mail-Verschlüsselung, in welcher Form verpflichtend sein soll.

Bei der Beantwortung der Frage der E-Mail-Verschlüsselung und deren Intensität in der Steuerkanzlei sind sowohl das Berufs- (bzw. Straf-) als auch das (neue) Datenschutzrecht heranzuziehen – soweit man insoweit von deren parallelen sich ergänzenden Anwendbarkeit ausgeht (bzw. jedenfalls vorsichtshalber ausgehen sollte). Anders als häufig in der öffentlichen Diskussion wahrnehmbar, gilt es sauber zu differenzieren. Rechtssicherheit kann nur bestehen soweit die Fragen für sämtliche Rechtsbereiche beantwortet werden.

In der Zeitschrift NWB werde ich voraussichtlich im letzten September-Heft einen ausführlichen Beitrag zur Thematik veröffentlichen. In diesem versuche ich, basierend auf den derzeit ersichtlichen Stimmen der Datenschutzbehörden und Berufskammern, praktische Orientierung zu bieten. Ausgehend von der Betrachtung des Sicherheitsniveaus einzelner Verschlüsselungsvarianten, gehe ich der Frage nach, inwieweit eine E-Mail-Verschlüsselung von Gesetzes wegen, nach dem juristischen Meinungsstand und der Rechtsprechung vorgeschrieben ist.