Ist E-Mail für den Versand von Steuerunterlagen sicher?

Warum Standard-E-Mail unverschlüsselt ist

Viele Kanzleien verlassen sich auf die sogenannte Transportverschlüsselung (TLS), die heute von den meisten Mailservern unterstützt wird. TLS schützt die Verbindung zwischen zwei Mailservern – vergleichbar mit einem verschlossenen Umschlag, der aber an jedem Zwischenstopp geöffnet, gelesen und wieder versiegelt werden könnte. Die Nachricht selbst liegt auf den Mailservern des Absenders, des Empfängers und potenziell weiterer Relays im Klartext vor. Echte Ende-zu-Ende-Verschlüsselung – bei der ausschließlich Absender und Empfänger den Inhalt lesen können – erfordert Standards wie S/MIME oder PGP, die in der Praxis kaum verbreitet sind: Zertifikate müssen beschafft, gepflegt und ausgetauscht werden, und der Mandant muss dieselbe Infrastruktur vorhalten.

Ohne diese Maßnahmen ist eine E-Mail mit Steuerunterlagen aus technischer Sicht eine Postkarte: Der Inhalt ist für jeden lesbar, der Zugang zum Server oder zur Netzwerkinfrastruktur hat.

Was das für § 203 StGB und die DSGVO bedeutet

Steuerberater unterliegen nach § 57 StBerG einer gesetzlichen Verschwiegenheitspflicht. Wer Mandanteninformationen unbefugten Dritten zugänglich macht, riskiert eine Strafbarkeit nach § 203 StGB – unabhängig davon, ob der Verstoß absichtlich oder fahrlässig geschah. Die entscheidende Frage lautet: Ist das gewählte Kommunikationsmittel geeignet, Vertraulichkeit in zumutbarer Weise zu wahren?

Daneben greift die Datenschutz-Grundverordnung (DSGVO). Artikel 5 Abs. 1 lit. f verlangt angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugter Offenlegung zu schützen. Artikel 32 DSGVO konkretisiert dies: Verantwortliche müssen den Stand der Technik, die Art der verarbeiteten Daten und das Risiko für die betroffenen Personen berücksichtigen. Für Steuerunterlagen, die Gehaltsdaten, Kontonummern oder Gesundheitskosten enthalten können, ist der Schutzbedarf hoch. Ob unverschlüsselte E-Mail diesem Anspruch genügt, ist in Fachkreisen und von Aufsichtsbehörden wiederholt bezweifelt worden. Eine abschließende rechtliche Bewertung sollte im Zweifelsfall mit dem betrieblichen Datenschutzbeauftragten oder der zuständigen Berufskammer abgestimmt werden.

Konkrete Risiken: Abfangen, falscher Empfänger, Metadaten

Die theoretischen Schwachstellen der E-Mail werden in der Praxis durch drei Risikoklassen besonders relevant:

• Abfangen im Transit: Selbst mit TLS bleibt das Risiko eines „Man-in-the-Middle"-Angriffs bestehen, wenn Zertifikate nicht korrekt validiert werden oder ein Mailserver auf einer Zwischenstation kompromittiert ist. Staatliche oder kriminelle Akteure mit Zugang zu Netzwerkknoten können TLS-Verbindungen unter bestimmten Voraussetzungen entschlüsseln.
• Falsche Empfänger: Ein Tippfehler in der Adresszeile oder eine unbemerkte Autovervollständigung genügt, um eine Lohnsteuerbescheinigung an einen Fremden zu senden. E-Mail-Systeme können solche Pannen nicht verhindern, und eine einmal versendete Nachricht lässt sich nicht zurückrufen.
• Metadaten und Serverprotokolle: Auch wenn der Inhalt einer E-Mail verschlüsselt wäre, bleiben Absender, Empfänger, Betreff, Zeitstempel und Dateigrößen auf den beteiligten Mailservern gespeichert. Diese Metadaten können bereits sensible Rückschlüsse auf Mandantenbeziehungen erlauben – ein Aspekt, der in der DSGVO-Diskussion häufig unterschätzt wird.

Sichere Alternativen für den Dokumentenversand

Welche Alternativen stehen Steuerberatern zur Verfügung, wenn sie Unterlagen sicher übermitteln möchten? Die Antwort hängt von Schutzbedarf, technischem Aufwand und der Bereitschaft des Mandanten ab, neue Tools zu nutzen.

Transportverschlüsselung mit erzwungenem TLS (STARTTLS-Policy) ist eine Mindestanforderung und sollte in jeder Kanzlei aktiviert sein – reicht aber für hochsensible Inhalte allein nicht aus. Ende-zu-Ende-verschlüsselte E-Mail via S/MIME bietet echten Schutz des Nachrichteninhalts, setzt jedoch voraus, dass beide Seiten gültige Zertifikate vorhalten und korrekt konfiguriert haben – ein Aufwand, den die meisten Mandanten scheuen.

Verschlüsselte Mandantenportale, die von Kanzleisoftware-Anbietern angeboten werden, lösen das Infrastrukturproblem auf Absenderseite, verlagern es aber auf Serverseite: Die Dokumente liegen auf den Servern des Anbieters und sind damit potenziellem Datenleck, Serverangriff oder behördlichem Zugriff ausgesetzt.

Einen konzeptionell anderen Ansatz verfolgen Peer-to-Peer-Lösungen, bei denen die Daten ausschließlich direkt von Gerät zu Gerät übertragen werden und nichts zentral gespeichert wird. Der Verschlüsselungsschlüssel verlässt dabei nie den Browser – er existiert nur im URL-Fragment auf den Geräten der Beteiligten. Der Mandant benötigt weder ein Konto noch eine App; er klickt lediglich auf einen sicheren Link und kann direkt im Browser kommunizieren und Dokumente übertragen. Signalisierungsserver, die für den Verbindungsaufbau benötigt werden, können in Deutschland betrieben werden, was den DSGVO-Kontext erleichtert. Ob ein solcher Ansatz für die konkrete Kanzleisituation geeignet ist, hängt von weiteren Faktoren ab – er kann jedoch für Steuerberater, die einen schlanken und nachweislich serverfreien Übertragungsweg suchen, eine ernstzunehmende Option darstellen.