Warum E-Mail kein sicherer Belegkanal mehr ist

E-Mail ist aus dem Kanzleialltag kaum wegzudenken. Doch wenn es um den Austausch von Belegen, Steuererklärungen oder anderen sensiblen Dokumenten geht, wird es rechtlich heikel. Datenschutzbehörden und Gerichte sehen unverschlüsselte E-Mails zunehmend kritisch. Für Steuerkanzleien stellt sich die Frage: Ist der gewohnte Kommunikationsweg noch vertretbar?

Das Problem: Fehlende Verschlüsselung

Eine Standard-E-Mail ist vergleichbar mit einer Postkarte – der Inhalt kann auf dem Transportweg theoretisch mitgelesen werden. Zwar nutzen die meisten E-Mail-Anbieter inzwischen Transportverschlüsselung (TLS), die den Übertragungsweg absichert. Doch diese Verschlüsselung schützt nicht die Nachricht selbst: Auf den Servern der Anbieter liegt sie im Klartext vor.

Für echten Schutz wäre eine Ende-zu-Ende-Verschlüsselung nötig, bei der nur Sender und Empfänger die Nachricht lesen können. Verfahren wie PGP oder S/MIME existieren seit Jahrzehnten, haben sich aber nie breit durchgesetzt – zu kompliziert in der Einrichtung, zu fehleranfällig im Alltag.

Rechtliche Einordnung: Was die DSGVO verlangt

Artikel 32 der Datenschutz-Grundverordnung fordert „geeignete technische und organisatorische Maßnahmen", um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Verarbeitung von Steuerdaten – die regelmäßig Informationen zu Einkommen, Vermögen, Gesundheit oder Familienstand enthalten – ist dieses Risiko hoch.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden hat klargestellt: Je sensibler die Daten, desto höher die Anforderungen an die Übertragungssicherheit. Steuerdaten gelten als besonders schützenswert.

Gerichtliche Einschätzungen

Das Arbeitsgericht Suhl hat im Dezember 2023 entschieden, dass der Versand unverschlüsselter E-Mails die Sicherheitsanforderungen der DSGVO nicht erfüllt. Das Gericht folgte damit der Auffassung des Thüringer Datenschutzbeauftragten.

Auch die Bundessteuerberaterkammer und der Deutsche Steuerberaterverband haben in ihren Hinweisen zum Umgang mit personenbezogenen Daten auf die Problematik hingewiesen: Bei sensiblen Dokumenten wie Jahresabschlüssen oder Steuererklärungen reicht eine allgemeine Zustimmung des Mandanten zur unverschlüsselten Übermittlung nach Einschätzung der Datenschutzbehörden nicht aus.

Die Praxis: Einwilligungen und ihre Grenzen

Viele Kanzleien versuchen, das Problem durch Einwilligungserklärungen zu lösen. Der Mandant stimmt zu, dass Dokumente per unverschlüsselter E-Mail übermittelt werden. Doch diese Lösung hat Haken:

1. Wirksamkeit fraglich: Datenschutzbehörden vertreten die Auffassung, dass bei hochsensiblen Daten keine wirksame Einwilligung in ein unzureichendes Schutzniveau möglich ist.

2. Verantwortung bleibt: Auch mit Einwilligung bleibt die Kanzlei als Verantwortlicher für die Einhaltung der DSGVO zuständig.

3. Haftungsrisiko: Im Schadensfall – etwa bei einem Datenleck – könnte die Einwilligung als unzureichende Schutzmaßnahme gewertet werden.

BSI-Anforderungen an E-Mail-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert in der Technischen Richtlinie TR 03108 Mindeststandards für E-Mail-Diensteanbieter. Diese umfassen unter anderem:

• Transportverschlüsselung als Mindestanforderung
• Schutz vor unbefugtem Zugriff auf gespeicherte Nachrichten
• Authentifizierung der Kommunikationspartner

Für Berufsgeheimnisträger wie Steuerberater gelten zusätzlich die Anforderungen des Berufsrechts. Die Verschwiegenheitspflicht nach § 57 StBerG umfasst auch den Schutz anvertrauter Informationen bei der Übermittlung.

Alternative: Sichere Kommunikationsplattformen

Statt auf E-Mail-Verschlüsselung zu setzen, die in der Praxis oft scheitert, bieten sich spezialisierte Plattformen für den Mandantenkontakt an. Diese lösen mehrere Probleme gleichzeitig:

Verschlüsselung ohne Konfigurationsaufwand

Moderne Mandantenportale wie Taxaro verschlüsseln Daten automatisch – sowohl bei der Übertragung als auch bei der Speicherung. Der Mandant muss keine Software installieren oder Zertifikate verwalten. Die Sicherheit ist in die Plattform eingebaut.

Strukturierter Belegaustausch

Anders als bei E-Mail landen Dokumente nicht in einem unsortierten Posteingang, sondern werden direkt dem richtigen Vorgang oder Mandanten zugeordnet. Das spart Zeit bei der Verarbeitung und reduziert Fehler.

Nachvollziehbarkeit

Wer hat wann welches Dokument hochgeladen? Bei einer sicheren Plattform lässt sich das nachvollziehen – wichtig für die Dokumentation und im Streitfall.

Einfachheit für Mandanten

Der entscheidende Faktor für die Akzeptanz ist die Benutzerfreundlichkeit. Eine Lösung, die so einfach funktioniert wie bekannte Messenger-Apps, wird auch von technisch weniger versierten Mandanten genutzt.

Was Kanzleien jetzt tun sollten

1. Risikobewertung: Welche Daten werden aktuell per E-Mail ausgetauscht? Wie sensibel sind diese?

2. Alternativen prüfen: Gibt es eine Plattform, die zur Kanzleistruktur passt und von Mandanten akzeptiert wird?

3. Schrittweise Umstellung: Neue Mandate direkt über die sichere Plattform führen, bestehende Mandanten nach und nach migrieren.

4. Dokumentation: Die Entscheidung für einen bestimmten Kommunikationsweg und die getroffenen Schutzmaßnahmen dokumentieren.

Fazit: Der Wandel ist überfällig

E-Mail als Belegkanal war praktisch, ist aber aus Datenschutzsicht zunehmend problematisch. Die rechtlichen Anforderungen steigen, die Durchsetzung wird strenger. Steuerkanzleien, die auf sichere Alternativen umsteigen, schützen nicht nur ihre Mandanten, sondern auch sich selbst – vor Datenpannen, Bußgeldern und Haftungsrisiken. Und sie gewinnen nebenbei einen effizienteren Workflow.