Die Kommunikation mit einem Finanzamt per E-Mail erfolgt typischerweise unverschlüsselt, so dass diese durch Dritte mitgelesen oder verändert werden könnte. Manche Finanzämter versenden vorab einen Vordruck, in dem die Bürgerinnen und Bürger einer unverschlüsselten E-Mail-Kommunikation durch das Finanzamt zustimmen können. Mit dieser Einwilligung versuchen die Finanzämter, dem Datenschutzrecht Rechnung zu tragen und das Steuergeheimnis zu wahren. Eine wirksame Einwilligung in unverschlüsselten E-Mail-Verkehr gegenüber einer Behörde ist aber datenschutzrechtlich nicht möglich.
Die Bürgerinnen und Bürger haben ein wachsendes Bedürfnis, ihre Kommunikation mit dem Finanzamt digital zu führen. Dazu stehen derzeit nur eingeschränkte technische Möglichkeiten zur Verfügung. Die Verantwortung, einen sicheren Übertragungsweg anzubieten, liegt bei den Finanzämtern. Möchte ein Finanzamt ein Dokument digital senden, muss es nach Art. 32 Abs. 1 lit. a) Datenschutz-Grundverordnung (DSGVO) dafür sorgen, dass die angewendeten technischen und organisatorischen Maßnahmen ein dem Risiko der Datenübermittlung angepasstes Schutzniveau gewährleisten. Für die Praxis bedeutet das, dass unkritische Daten unverschlüsselt per Mail gesendet werden dürfen, weitergehende Informationen müssen verschlüsselt übertragen werden.
Gemäß dem seit 12. Dezember 2019 neu ins Gesetz eingefügten § 87a Absatz 1 Satz 3 2. Halbsatz Abgabenordnung (AO) ist ein unverschlüsselter E-Mail-Verkehr des Finanzamts mit Einwilligung aller Beteiligten zulässig. Der BfDI hält diese Regelung jedoch für unvereinbar mit der DSGVO und damit für EU-rechtswidrig. Eine Einwilligung kann sich nicht auf die gesetzliche Verpflichtung zur Einhaltung der notwendigen technischen und organisatorischen Maßnahmen beziehen. Das liegt daran, dass die vom Verantwortlichen zu treffenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO frei wählbar und damit nicht einwilligungsfähig sind. Ich hatte bereits im Gesetzgebungsverfahren meine Bedenken geäußert und ausdrücklich empfohlen, von der geplanten Neufassung des § 87a Absatz 1 Satz 3 AO abzusehen.
Die Datenschutzbehörde hat die Finanzverwaltungen von ihrer Haltung in Kenntnis gesetzt. Für den Fall einer unverschlüsselten Datenübermittlung per E-Mail durch ein Finanzamt behält sie sich die Ausübung ihrer Abhilfebefugnisse vor.
Die Interessen der Bürgerinnen und Bürger am Schutz ihrer personenbezogenen Daten und gleichzeitig an einer unkomplizierten Kommunikation mit dem Finanzamt können gewahrt werden, indem die Finanzverwaltung sichere Kommunikationswege bereitstellt, wie dies andere Behörden und Privatunternehmen heute regelmäßig tun. Zurzeit können die Bürgerinnen und Bürger meistens nur zwischen einer unverschlüsselten digitalen Übermittlung und einer Sendung per Brief durch das Finanzamt wählen. Der Staat sollte nicht aus der Pflicht entlassen werden, die notwendigen technisch-organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO zu treffen. Die in § 87a AO vorgesehene Einwilligungslösung ist praktisch ungeeignet, das Problem der unverschlüsselten E-Mail-Kommunikation zu lösen. Die Einwilligung ist von erheblichen Unsicherheiten geprägt, wie etwa von der Frage der Freiwilligkeit bis hin zu möglicherweise betroffenen Rechten Dritter. Das Finanzamt trägt bei der Übermittlung das Risiko, dass eine Einwilligung wirksam erteilt wurde und überhaupt relevant ist.
Bei Anfragen von Bürgerinnen und Bürgern rät die Datenschutzbehörde regelmäßig davon ab, einem Finanzamt eine Einwilligung für unverschlüsselte E-Mail-Kommunikation zu erteilen.
Die Datenschutzaufsicht geht davon aus, dass geplante IT-Verfahren für eine sichere Übermittlung durch die Finanzverwaltung zeitnah und datenschutzkonform umgesetzt werden.
Quelle: BfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks