Die Wahrung des Steuergeheimnisses behält auch bei der vorausgefüllten Steuererklärung oberste Priorität. Die Finanzverwaltung hat sich deshalb in Bezug auf die IT-Sicherheit nach der internationalen Norm für Informationssicherheits-Management (ISMS), der ISO 27001, zertifizieren lassen. Grundlage für die Zertifizierung ist der IT-Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnik. Die Verbindung zu ELSTER ist zudem elektronisch verschlüsselt.
Es wird auch dafür Sorge getragen, dass ausschließlich eine Person, die vom Steuerpflichtigen (Dateninhaber) autorisiert wurde – z. B. der Ehepartner – die Daten abrufen kann. Wer ausdrücklich autorisiert wurde, die Belege eines anderen, z. B. des Ehepartners, abzurufen, muss in seinem "Mein ELSTER"-Konto einen entsprechenden Antrag unter dem Menüpunkt "Formulare & Leistungen", Unterpunkte "Bescheinigungen verwalten", "Bescheinigungen anderer Personen", "Abrufberechtigung" stellen und dort die IdNr und das Geburtsdatum des Dateninhabers eintragen. Die autorisierte Person wird damit zum Abrufberechtigten für die betreffende Person. Es werden die Daten und Bescheinigungen der letzten 4 Jahre, die der Finanzverwaltung zu der Person vorliegen, bereitgestellt.
Abruf von Bescheinigungen für Dritte zulässig
Der Abruf von Bescheinigungen für Dritte ist zweifellos durch die steuerberatenden Berufe und für Angehörige i. S. d. § 15 der AO, d. h. für Verlobte, Ehegatten, Verwandte und Verschwägerte gerader Linie, Geschwister, Neffen und Nichten, Onkel und Tanten, Pflegeeltern und Pflegekinder zulässig. Der Steuerpflichtige kann aber auch jede andere dritte Personen zum Abruf autorisieren. Der Abruf von Bescheinigungen für Dritte führt, wenn es nicht zu weiterer Hilfeleistung bei der Erstellung der Einkommensteuererklärung kommt, nicht zu unzulässiger geschäftsmäßiger Hilfe in Steuersachen.
Die Person, für die Bescheinigungen abgerufen werden sollen, erhält einen Brief per Post, mit dem sie darüber informiert wird, dass eine andere Person beantragt hat, ihre Bescheinigungen abzurufen. Dieser Brief enthält einen 12-stelligen FSC mit dem Hinweis, dass dieser FSC an den Antragsteller weitergegeben werden muss, wenn dieser tatsächlich zum Abruf der Daten berechtigt sein soll. Dem Beauftragten wird mit dem FSC ermöglicht, die Bescheinigungen des Dateninhabers in seinem "Mein ELSTER" freizuschalten. Der FSC verfällt automatisch, wenn er nicht innerhalb von 90 Tagen weitergegeben und verwendet wird.
Wenn sich der Dateninhaber selbst in "Mein ELSTER" mit seiner persönlichen IdNr hat registrieren lassen, kann die Freischaltung für den Dritten auch auf elektronischem Weg erfolgen. Zur Genehmigung von Berechtigungen benötigt der Dateninhaber bei Verwendung der "Mein ELSTER"-Registrierung mit Zertifikatsdatei zusätzlich einen gültigen Abrufcode (AbC). Bei diesem Code handelt es sich um eine 10-stellige PIN, die ein zusätzliches Sicherheitsmerkmal darstellt. Sie wird regelmäßig von der Finanzverwaltung im Rahmen der Anmeldung zur Teilnahme am Verfahren zum Abruf von Bescheinigungen per Post zugesandt.