Wenn der Mandant Steuerdaten per WhatsApp schickt
Warum die Übermittlung sensibler Steuerdaten über WhatsApp ein gravierendes Datenschutzrisiko darstellt und wie Steuerberater ihre Mandanten besser schützen können.
Das Szenario
Es ist ein ganz normaler Montagmorgen in der Steuerkanzlei Müller & Partner. Steuerberaterin Anna Müller öffnet ihr Smartphone und findet eine WhatsApp-Nachricht von ihrem langjährigen Mandanten Thomas Bergmann. Er schreibt: "Hallo Frau Müller, anbei meine Lohnsteuerbescheinigung und die Kontoauszüge für die Steuererklärung. Wollte das schnell rüberschicken, bevor ich es vergesse!"
Angehängt sind sechs Fotos: Die Lohnsteuerbescheinigung mit vollständigem Namen, Adresse, Steueridentifikationsnummer, Sozialversicherungsnummer und detaillierten Einkommensangaben. Dazu drei Kontoauszüge mit IBAN, sämtlichen Kontobewegungen der letzten drei Monate und dem aktuellen Kontostand. Außerdem ein Foto seines Personalausweises — "zur Sicherheit", wie er schreibt.
Anna Müller kennt das Problem. Es passiert jede Woche. Mandanten meinen es gut, wollen schnell und unkompliziert ihre Unterlagen einreichen. WhatsApp ist schließlich das, was sie jeden Tag nutzen. Aber was die meisten nicht wissen: Mit dieser einen Nachricht hat Thomas Bergmann gerade hochsensible personenbezogene Daten über einen Kanal gesendet, der für die professionelle Übermittlung solcher Informationen in keiner Weise geeignet ist.
Die Daten liegen jetzt auf den Servern von Meta (ehemals Facebook) — einem US-amerikanischen Unternehmen, das wiederholt wegen Datenschutzverstößen in der Kritik stand. Sie wurden über eine Infrastruktur transportiert, die Anna Müller weder kontrollieren noch auditieren kann. Und sie befinden sich auf einem privaten Smartphone, das möglicherweise kein Passwort hat, nicht verschlüsselt ist oder von mehreren Familienmitgliedern genutzt wird.
Die Risiken
Die Risiken dieser alltäglichen Situation sind weitreichender, als die meisten annehmen.
Datenverlust durch Gerätediebstahl: Smartphones gehen verloren oder werden gestohlen. Laut einer Bitkom-Studie hat jeder vierte Deutsche schon einmal ein Mobiltelefon verloren. Wenn das Gerät von Thomas Bergmann oder Anna Müller in falsche Hände gerät, sind sämtliche Steuerdaten frei zugänglich — sofern das Gerät nicht vollständig verschlüsselt ist.
Unkontrollierte Datenweitergabe: WhatsApp erstellt automatisch Backups in Google Drive oder iCloud. Diese Cloud-Backups sind standardmäßig nicht Ende-zu-Ende-verschlüsselt. Das bedeutet: Die Steuerdaten von Thomas Bergmann liegen möglicherweise unverschlüsselt in einer Cloud, auf die Dritte Zugriff erlangen könnten.
Kein Audit-Trail: Wer hat die Nachricht gelesen? Wurde sie weitergeleitet? Wurde ein Screenshot erstellt? Es gibt keine Möglichkeit, den Verbleib der Daten nachzuvollziehen. Für eine Steuerkanzlei, die zur Dokumentation verpflichtet ist, ein unhaltbarer Zustand.
Metadaten-Erfassung: Selbst wenn die Nachrichteninhalte verschlüsselt sind — Meta erfasst Metadaten: Wer kommuniziert wann mit wem, wie häufig und von welchem Standort. Diese Informationen können Rückschlüsse auf das Mandantenverhältnis ermöglichen.
Drittlandübermittlung: Die Übermittlung personenbezogener Daten in die USA über WhatsApp/Meta ist datenschutzrechtlich höchst problematisch. Seit dem Schrems-II-Urteil des EuGH bestehen erhebliche rechtliche Unsicherheiten bei Datentransfers in die USA.
Rechtliche Konsequenzen
Die DSGVO ist in diesem Szenario eindeutig: Als Verantwortliche für die Verarbeitung personenbezogener Daten ihrer Mandanten ist die Steuerkanzlei verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz dieser Daten zu treffen.
Art. 32 DSGVO — Sicherheit der Verarbeitung: Die Kanzlei muss ein dem Risiko angemessenes Schutzniveau gewährleisten. Die Nutzung von WhatsApp für die Übermittlung von Steuerdaten erfüllt diese Anforderung nicht.
Art. 5 Abs. 1 lit. f DSGVO — Integrität und Vertraulichkeit: Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist. Der unkontrollierte Versand über Messenger-Dienste steht dem entgegen.
Art. 28 DSGVO — Auftragsverarbeitung: Für die Nutzung von WhatsApp als Kommunikationskanal für personenbezogene Daten müsste ein Auftragsverarbeitungsvertrag mit Meta bestehen. Dieser existiert in der Praxis nicht in ausreichender Form.
Bußgelder: Die Datenschutzbehörden haben bei Verstößen gegen die DSGVO einen Bußgeldrahmen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Für eine mittelständische Steuerkanzlei mit 500.000 Euro Jahresumsatz wären das bis zu 20.000 Euro — ein existenzbedrohender Betrag. In der Praxis haben Aufsichtsbehörden bereits Bußgelder zwischen 5.000 und 50.000 Euro für vergleichbare Verstöße gegen Gesundheitsdienstleister und Berater verhängt.
Berufsrechtliche Folgen: Steuerberater unterliegen zudem dem Steuerberatungsgesetz (StBerG), das zur Verschwiegenheit verpflichtet. Ein Datenverlust über WhatsApp kann berufsrechtliche Konsequenzen bis hin zum Entzug der Zulassung nach sich ziehen.
Finanzielle Auswirkungen
Die finanziellen Folgen eines Datenschutzverstoßes durch WhatsApp-Nutzung gehen weit über eventuelle Bußgelder hinaus:
| Kostenposition | Geschätzter Betrag |
|---|---|
| DSGVO-Bußgeld (Erstverstoß) | 5.000 – 20.000 € |
| Anwaltliche Beratung & Vertretung | 3.000 – 8.000 € |
| Meldung an Aufsichtsbehörde & Betroffene | 1.000 – 3.000 € |
| IT-forensische Untersuchung | 2.000 – 5.000 € |
| Reputationsschaden (Mandantenverlust) | 20.000 – 80.000 € |
| Implementierung neuer Sicherheitsmaßnahmen | 2.000 – 5.000 € |
| Gesamtkosten | 33.000 – 121.000 € |
Zum Vergleich: Eine sichere Datentransfer-Lösung wie SendMeSafe kostet ab 19 € pro Monat. Die Investition in Prävention steht in keinem Verhältnis zu den potenziellen Kosten eines Vorfalls.
Die sichere Alternative
Mit SendMeSafe hätte dieses Szenario gar nicht erst entstehen können. So funktioniert der sichere Dokumentenaustausch:
1. Upload-Links erstellen: Steuerberaterin Anna Müller erstellt in wenigen Sekunden einen personalisierten Upload-Link für Thomas Bergmann. Der Link kann mit einem Passwort geschützt und mit einem Ablaufdatum versehen werden.
2. Sicherer Datentransport: Thomas Bergmann öffnet den Link in seinem Browser — keine App-Installation nötig. Er lädt seine Steuerdokumente hoch. Die Übertragung erfolgt über SSL/TLS-verschlüsselte Verbindungen. Die Dateien werden mittels Pre-Signed URLs direkt in den verschlüsselten Speicher übertragen.
3. Verschlüsselung at Rest: Alle Dateien werden auf europäischen Servern gespeichert und mit AES-256 verschlüsselt. Kein US-Unternehmen hat Zugriff auf die Daten.
4. Vollständiger Audit-Trail: Jeder Upload, jeder Zugriff und jede Aktion wird protokolliert. Bei einem DSGVO-Auskunftsersuchen kann die Kanzlei jederzeit nachweisen, wie mit den Daten umgegangen wurde.
5. Automatische Benachrichtigung: Anna Müller wird sofort benachrichtigt, wenn Thomas Bergmann seine Unterlagen hochgeladen hat. Keine Nachrichten mehr über unsichere Kanäle nötig.
6. Sichere Dateifreigabe: Wenn Anna Müller die fertige Steuererklärung zurücksenden möchte, nutzt sie die Freigabefunktion von SendMeSafe — mit Passwortschutz, Download-Limit und automatischem Ablauf.
Häufig gestellte Fragen
Ist WhatsApp nicht Ende-zu-Ende-verschlüsselt?
Ja, die Nachrichteninhalte sind verschlüsselt — aber das löst nur einen kleinen Teil des Problems. Die Verschlüsselung gilt nicht für Cloud-Backups (standardmäßig), Meta sammelt umfangreiche Metadaten, es gibt keinen Audit-Trail, und die Daten liegen auf privaten Endgeräten, die verloren gehen können. Für die professionelle Übermittlung sensibler Daten reicht WhatsApps Verschlüsselung bei Weitem nicht aus.
Kann ich als Steuerberater haftbar gemacht werden, wenn der Mandant von sich aus WhatsApp nutzt?
Ja. Als Verantwortlicher im Sinne der DSGVO sind Sie verpflichtet, angemessene Kommunikationskanäle bereitzustellen und Ihre Mandanten über sichere Alternativen zu informieren. Wenn Sie wissentlich Steuerdaten über WhatsApp entgegennehmen, ohne auf die Risiken hinzuweisen und eine sichere Alternative anzubieten, tragen Sie eine Mitverantwortung.
Wie überzeuge ich meine Mandanten, einen Upload-Link statt WhatsApp zu nutzen?
Die Erfahrung zeigt: Mandanten schätzen den Komfort eines Upload-Links. Sie müssen keine App installieren, keinen Account erstellen und können ihre Unterlagen von jedem Gerät hochladen. Kommunizieren Sie den Wechsel als Service-Verbesserung: "Ab sofort können Sie Ihre Unterlagen noch einfacher und sicherer über unseren Upload-Link einreichen." Die meisten Mandanten verstehen den Mehrwert sofort.
Was kostet es, eine sichere Lösung einzuführen?
SendMeSafe bietet Pläne ab 19 € pro Monat — ein Bruchteil dessen, was ein einziger Datenschutzvorfall kosten würde. Die Einrichtung dauert weniger als 10 Minuten, und Ihre Mandanten benötigen keine eigene Software oder Schulung.
Schützen Sie Ihr Unternehmen
Vermeiden Sie Datenschutzvorfälle mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen