§ 30 VII AO, die De-Mail und das Steuergeheimnis

Veröffentlicht am von

Der Gesetzgeber pfeift laut im Walde: Die De-Mail ist sicher!

§ 30 Abs. 7 Abgabenordnung

Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger oder diesem nach Absatz 3 gleichgestellte Personen nach Maßgabe des § 87a Absatz 4 über De-Mail-Dienste im Sinne des § 1 des De-Mail-Gesetzes versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht stattfindet.

Den Steuerrechtler graust’s. Im „bekanntestesn und wichtigsten Standardwerk auf dem Gebiet des deutschen Steuerverfahrensrechts“, dem Tipke/Kruse, äußert Prof. Drüen der Universität München in Rdnr. 146d seiner Kommentierung zu § 30 Abgabenordnung ungewöhnlich deutliche Kritik an der gesetzlichen Fiktion:

§ 30 VII AO betrifft dabei den sensiblen finanzbehördlichen Informationsausgangsverkehr. Im Lichte jüngster Datenabschöpfung durch ausländische Geheimdienste ist die Regelung keineswegs Ausdruck einer besonderen legislatorischen Schutzmaßnahme für Steuerdaten. Das Vertrauen auf das Akkreditierungsverfahren scheint trotz einer nicht sicher auszuschließenden Kooperation der Betreiber mit ausländischen Informationssammelstellen ungebrochen. …  [Es] bedarf … eines qualifizierten Schutzes [von Steuerdaten], den eine Rechtsfiktion allein nicht gewährleistet. … Jede Relativierung des Steuerdatenschutzes [erscheint] angesichts des Schutzzweckes und der doppelten Schutzrichtung … verfehlt. Solange abstrakt bestehende Sicherheitsbedenken nicht ausgeräumt sind, muss die [Finanzbehörde] diese bei ihrer Ermessensentscheidung („kann“) nach § 87a IV 4 AO berücksichtigen.

Drüen fordert im Weiteren zurecht, dass die vom Gesetz gezogenen engen Grenzen eingehalten werden: die Entschlüsselung auf Anbieterseite dürfe wirklich nur zur Überprüfung auf Schadsoftware stattfinden. (Für die Weiterleitung an den Adressaten der De-Mail-Nachricht bedarf es nicht des Blickes auf ihren Inhalt, es genügt ihren Umschlag auszuwerten, den envelope).Wo ein anderweitiger Datenzugriff nicht „sicher auszuschließen“ sei und wo zudem „faktisch Sicherheitslücken aufgedeckt werden“, fehle der gesetzlichen Fiktion die gesetzliche Grundlage mit der Folge einer unbefugten Offenbarung von Steuerdaten durch die Finanzbehörde.

Diesem Risiko sollten sich Amtsträger nicht unbedacht aussetzen.

Entsprechend der Handreichung des Bundesdatenschutzbeauftragten sollte die Finanzbehörde die Inhaltsdaten daher lieber von vornherein Ende zu Ende verschlüsseln, wenn sie auf De-Mail anstelle von ELSTER setzt.

Drüen in: Tipke/Kruse, AO/FGO, 142. Lieferung Oktober 2015, § 30 AO Rdnr. 146d.