E-Mail-Verschlüsselung in der Steuerkanzlei I

Verschlüsselungspflicht? Intensität? Befreiung? Berufs-, Straf- oder Datenschutzrecht? – Was denn nun?!

Teil 1: Verschlüsselungspflicht und deren Intensität

Aus Sicht der Steuerkanzlei (und auch anderer Berufsgeheimnisträger) stellen sich im Zusammenhang mit der Verschlüsselung von E-Mails primär zwei Fragen.

Erstens: Besteht eine grundsätzliche Pflicht zur E-Mail-Verschlüsselung und wenn ja, welche Art der Verschlüsselung bzw. welches Sicherheitsniveau ist erforderlich? (Erster Teil dieser Blogreihe).
Zweitens: Kann eine etwaige Pflicht durch Verzicht (des Mandanten) entfallen? (Diese Frage wird im zweiten Teil dieser Blogreihe, der in Kürze erscheint, behandelt),

Transport vs. End-to-End-Verschlüsselung
Setzt man sich aus praktischer Sicht mit der Verschlüsselung des E-Mail-Verkehrs in der Steuerkanzlei auseinander, ist zwischen Transport- und End-to-End-Verschlüsselung zu unterscheiden. Die Standard-Verschlüsselung beim E-Mail-Verkehr ist die sog. Transportverschlüsselung (SSL/TLS-Verschlüsselung). Hierbei wird der gesamte Transportweg durch das Internet verschlüsselt. Auf den E-Mail-Servern und den Rechnern des Absenders und Empfängers liegen die Nachrichten und deren Inhalt jedoch unverschlüsselt vor.Eine sicherere Form der E-Mail-Verschlüsselung ist die sog. End-to-End-Verschlüsselung (etwa PGP, GPG oder S/MIME). Hierbei werden zusätzlich auch die Inhalte der Nachricht verschlüsselt und sind damit auf den Servern und Rechnern erst nach ihrer Entschlüsselung einsehbar. Hier müssen beide Kommunikationspartner allerdings den gleichen abgestimmten Standard nutzen und grundsätzlich zunächst sog. öffentliche Schlüssel auszutauschen.

Pflicht zur Verschlüsselung des E-Mail-Verkehrs
Bezüglich der ersten Frage einer E-Mail-Verschlüsselung durch Berufsgeheimnisträger, wie Steuerberater, besteht derzeit kein eindeutiges und einheitliches Meinungsbild. Hinzu kommen noch teilweise wenig eindeutige und nicht immer vereinbare Angaben und Hinweise sowohl seitens der Datenschutzbehörden, als auch seitens der Berufskammern. Brisanz gewinnt die Thematik der E-Mail-Verschlüsselung dadurch, dass aus datenschutzrechtlicher Sicht ein Verstoß gegen technisch und organisatorischen Maßnahmen, wie der E-Mail-Verschlüsselung, nunmehr bußgeldbewehrt ist (vgl.  Art. 83 Abs. 4 lit. a) DSGVO).

In Angaben von Datenschutzbehörden heißt es etwa, dass bei Berufsgeheimnisträgern eine „elektronische Übertragung sensibler personenbezogener Daten per E-Mail ohne Verschlüsselung ausscheide“. Die Versendung von unverschlüsselten E-Mails durch Berufsgeheimnisträger  sei „bedenklich“ und stelle ein „ungeeignetes Kommunikationsmittel“ dar (Datenschutzbeauftragter Hamburg, Stand: Januar 2018). Unsicherheit ergibt sich etwa bezogen darauf, dass der Datenschutzbeauftragte nur davon spricht, dass die unverschlüsselte E-Mail-Versendung „bedenklich und ungeeignet“ (nicht verboten) sei. Auch wird keine eindeutige Antwort darauf gegeben, wie sich die Situation bei sonstigen, nicht „sensiblen personenbezogenen Daten“ darstellen soll und was genau mit „sensiblen personenbezogenen Daten“ gemeint ist.

Nach Hinweisen von Steuerberaterkammern, seien „vertrauliche E-Mail-Nachrichten und -Anlagen nur verschlüsselt zu versenden“(BStBK, DStV, Stand: April 2018, unter: 12.2). Grundsätzlich könnten „(sensible) Nachrichten durch eine Transportverschlüsselung geschützt werden“ (StBK Hessen, Stand April: 2018). Auch insoweit ergibt sich keine abschließende Klarheit. Es bleibt offen, was genau unter “vertraulichen“ und „sensiblen“ E-Mail-Nachrichte, in Abgrenzung zu nicht vertraulichen E-Mail-Nachrichten zu verstehen ist und wo genau die Grenze verläuft.

Intensität und Grad der E-Mail-Verschlüsselung
Nach Äußerungen von Datenschutzbehörden sei bezogen auf den Grad der E-Mail-Verschlüsselung eine „End-to-End-Verschlüsselung [gegenüber einer Transportverschlüsselung nach Maßgabe einer Abwägung] zu bevorzugen“ (Datenschutzbeauftragter Hamburg, Stand: Januar 2018). Unsicherheit ergibt sich im Hinblick darauf, dass durch den Begriff „zu bevorzugen“ keine Pflicht beschrieben wird. Allerdings findet eine gewisse Klarstellung dahingehend statt, dass bei „Daten mit hohem oder sehr hohem Schutzbedarf“ eine „End-to-End-Verschlüsselung erforderlich“ sei (Datenschutzbeauftragter NRW, Stand: August 2018)

Steuerberaterkammern geben an, dass „grundsätzlich“(sensible) Nachrichten durch eine Transportverschlüsselung geschützt werden können“. Die Inhalte einer E-Mail bzw. eines E-Mail-Anhangs könnten „mindestens durch ein Passwort, besser aber noch durch End-to-End- Verschlüsselung“ geschützt werden (Steuerberaterkammer Hessen, Stand: April 2018, s.o.). Auch hieraus lässt sich nicht eindeutig entnehmen, für welche Art von Daten konkret eine E-Mail-Verschlüsselung, in welcher Form verpflichtend sein soll.

Bei der Beantwortung der Frage der E-Mail-Verschlüsselung und deren Intensität in der Steuerkanzlei sind sowohl das Berufs- (bzw. Straf-) als auch das (neue) Datenschutzrecht heranzuziehen – soweit man insoweit von deren parallelen sich ergänzenden Anwendbarkeit ausgeht (bzw. jedenfalls vorsichtshalber ausgehen sollte). Anders als häufig in der öffentlichen Diskussion wahrnehmbar, gilt es sauber zu differenzieren. Rechtssicherheit kann nur bestehen soweit die Fragen für sämtliche Rechtsbereiche beantwortet werden.

In der Zeitschrift NWB werde ich voraussichtlich im letzten September-Heft einen ausführlichen Beitrag zur Thematik veröffentlichen. In diesem versuche ich, basierend auf den derzeit ersichtlichen Stimmen der Datenschutzbehörden und Berufskammern, praktische Orientierung zu bieten. Ausgehend von der Betrachtung des Sicherheitsniveaus einzelner Verschlüsselungsvarianten, gehe ich der Frage nach, inwieweit eine E-Mail-Verschlüsselung von Gesetzes wegen, nach dem juristischen Meinungsstand und der Rechtsprechung vorgeschrieben ist.

Lesen Sie hierzu auch Teil 2.

Update:
Inzwischen ist der angekündigte Beitrag unter dem Titel „Nur noch verschlüsselte Versendung von E-Mails an Mandanten?“ erschienen (NWB 39/2018 v. 24.09.2018, S. 2870). Abonnenten können ihn kostenfrei abrufen.

 

 

5 Gedanken zu “E-Mail-Verschlüsselung in der Steuerkanzlei I

  1. Als einfaches Verfahren zur Verschlüsselung von vertraulichen E-Mails bietet sich PGP an. PGP benutzt ein sogenanntes Public-Key-Verfahren, in dem es ein eindeutig zugeordnetes Schlüsselpaar gibt:

    Genutzt werden ein öffentlicher Schlüssel, mit dem jeder Daten für den Empfänger verschlüsseln und dessen Signaturen prüfen kann, und ein privater geheimer Schlüssel, den nur der Empfänger besitzt und der normalerweise durch ein Passwort geschützt ist. Nachrichten an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann ausschließlich mittels seines privaten Schlüssels entschlüsselt werden. Diese Verfahren werden auch asymmetrische Verfahren genannt, da Sender und Empfänger zwei unterschiedliche Schlüssel verwenden.

    Die erste Version wurde 1991 geschrieben und verwendete einen RSA-Algorithmus zur Verschlüsselung der Daten. Spätere Versionen benutzten den Elgamal-Algorithmus.

    Bei PGP wird aber nicht die ganze Nachricht asymmetrisch verschlüsselt, denn dies wäre viel zu rechenintensiv und es wäre nicht praktikabel, dieselbe Nachricht an mehrere Empfänger zu schicken. Stattdessen wird die eigentliche Nachricht symmetrisch und nur der verwendete Schlüssel asymmetrisch verschlüsselt (Hybride Verschlüsselung). Dazu wird jedes Mal ein symmetrischer Schlüssel (session key) zufällig erzeugt.

    Dieser symmetrische Schlüssel wird dann z. B. per RSA- oder Elgamal-Kryptosystem mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Nachricht hinzugefügt.

  2. Können Sie noch eine klare Aussage darüber treffen, ob die Transportverschlüsselung für die Mandantenkommunikation ausreichend ist? Soweit ich die aktuellen Stimmen aus der Anwaltschaft verstanden habe, sei die Transportverschlüsselung (noch) state of the art. Daher wäre keine weitergehende Verschlüsselung erforderlich. Für Steuerberater sollte da ja entsprechendes gelten.

  3. Hi zusammen,

    vielen Dank für den Beitrag. Mir war bewusst wie wichtig eine sichere Verbindung ist aber der Artikel bezüglich der Transportverschlüsselung für Mandantenkommunikation hat mir defininit weitergheolfen.

    LG
    Uwe

  4. Auch wenn es bis dato dazu anscheinend keine gesetzliche Festlegung gibt, finde ich es dennoch sehr gut, dass die Tendenz in Richtung der Verschlüsselung persönlicher Daten beim E-Mail-Verkehr von einem Steuerberater geht. Die sogenannte End-to-End-Verschlüsselung erachte ich hier als sinnvoll und gerechtfertigt. Denn gerade die Daten mit denen mein Steuerberater arbeitet, sind für mich als Privatperson und auch als Unternehmer von größter Wichtigkeit und Intimität.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

+ 50 = 51