Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Unverschlüsselte E-Mail vom Finanzamt

Steuerdaten per unverschlüsselter E-Mail - ist das zulässig?

Ich habe von meinem Finanzamt ein Formular erhalten, in dem ich mich damit einverstanden erklären soll, dass mein Finanzamt mir unverschlüsselte E-Mails mit meinen Steuerdaten sendet. Muss ich das unterschreiben?

Nein, der BfDI rät Ihnen dringend davon ab, dem Finanzamt diese Einwilligung zu erteilen.

Eine unverschlüsselte E-Mail kann theoretisch durch Dritte mitgelesen oder verändert werden. Möchte das Finanzamt Ihnen digital Nachrichten übersenden, so fehlt es derzeit oftmals noch an geeigneten Kommunikationskanälen. Aus diesem Grund versenden manche Finanzämter einen Vordruck, in dem die Bürgerinnen und Bürger ihre Einwilligung zu einer unverschlüsselten E-Mail-Kommunikation durch das Finanzamt erteilen können. Mit der Einwilligung versuchen die Finanzämter, dem Datenschutz Rechnung zu tragen und das Steuergeheimnis zu wahren. Datenschutzrechtlich ist eine wirksame Einwilligung in die unverschlüsselte Übersendung durch E-Mail gegenüber einer Behörde nicht möglich.

Gesetzliche Grundlagen

Die Verantwortung, einen sicheren Übermittlungsweg anzubieten, liegt bei den Finanzämtern. Möchte ein Finanzamt ein Dokument digital übersenden, so muss es nach Art. 32 Abs. 1 Buchstabe a) DSGVO dafür Sorge tragen, dass die angewendeten technischen und organisatorischen Maßnahmen ein dem jeweiligen Risiko der Datenübermittlung angepasstes Schutzniveau gewährleisten. Dies bedeutet praktisch, dass unkritische Daten unverschlüsselt per Mail gesendet werden dürfen, weitergehende Informationen jedoch verschlüsselt übertragen werden müssen. Zwar ist gemäß dem seit 12. Dezember 2019 neu ins Gesetz eingefügten § 87a Abs. 1 Satz 3 2. Halbsatz AO ein unverschlüsselter E-Mail-Verkehr des Finanzamts im Falle einer Einwilligung aller Beteiligten zulässig. Diese Regelung ist nach meiner Auffassung europarechtskonform auszulegen. Ein unverschlüsselter Versand sensibler personenbezogener Daten verstößt gegen die DSGVO. Daran ändert aufgrund des Anwendungsvorrangs der DSGVO und der nicht vorhandenen Öffnungsklausel auch die Neuregelung des § 87a Abs. 1 Satz 3 2. Halbsatz AO nichts. Das nationale Recht darf im Kollisionsfall nicht angewendet werden. Diese Pflicht zur Nichtanwendung haben nationale Gerichte jeder Instanz und auch alle nationalen Behörden  zu beachten. Eine Einwilligung kann sich nicht auf die gesetzliche Verpflichtung zur Einhaltung der notwendigen technischen und organisatorischen Maßnahmen beziehen, da die vom Verantwortlichen zu treffenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO nicht disponibel und damit nicht einwilligungsfähig sind.

Position des BfDI

Der BfDI hatte bereits im Gesetzgebungsverfahren seine Bedenken geäußert und ausdrücklich empfohlen, von der geplanten Neufassung des § 87a Abs. 1 Satz 3 AO abzusehen. Die Stellungnahme vom 11. Oktober 2019 findet sich auf der Internetseite. Der Datenschutzbeauftragte hat die Finanzverwaltungen von seiner Haltung in Kenntnis gesetzt und behält sich für den Fall einer unverschlüsselten Datenübermittlung per E-Mail durch ein Finanzamt die Ausübung seiner Abhilfebefugnisse vor. Die Interessen der betroffenen Bürgerinnen und Bürger an einem Schutz ihrer personenbezogenen Daten und gleichzeitig einer unkomplizierten Kommunikation mit dem Finanzamt können am besten durch die Bereitstellung sicherer Kommunikationswege durch die Finanzverwaltung gewährleistet werden. Zurzeit können die Bürgerinnen und Bürger in vielen Fällen nur zwischen einer unverschlüsselten digitalen Übermittlung und einer Übersendung per Brief durch das Finanzamt wählen. Der Staat sollte nicht aus der Pflicht entlassen werden, die notwendigen technisch-organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO zu treffen. Die in § 87a AO vorgesehene Einwilligungslösung ist praktisch ungeeignet, das Problem der unverschlüsselten E-Mail-Kommunikation zu lösen. Die Einwilligung ist von erheblichen Unsicherheiten geprägt wie etwa von der Frage der Freiwilligkeit bis hin zu möglicherweise betroffenen Rechten Dritter. Das Finanzamt trägt bei der Übermittlung das Risiko, dass eine Einwilligung wirksam erteilt wurde und überhaupt relevant ist.

Der BfDI rät deshalb regelmäßig Bürgerinnen und Bürgern, die an ihn entsprechende Anfragen richten, davon ab, einem Finanzamt eine Einwilligung für die unverschlüsselte E-Mail-Kommunikation zu erteilen.