Datenschutz im Steuerverwaltungsverfahren seit dem 25. Mai 2018;
Seit dem 25. Mai 2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4. Mai 2016, S. 1; L 314 vom 22. November 2016, S. 72) - im Folgenden: DSGVO - unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Ziel der DSGVO ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten.
Ihrem Charakter als Grundverordnung folgend, enthält die DSGVO konkrete, an die Mitgliedstaaten gerichtete Regelungsaufträge sowie mehrere Öffnungsklauseln für den nationalen Gesetzgeber. Durch das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom 30. Juni 2017 (BGBl. I S. 2097) und das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017 (BGBl. I S. 2541) wurden das Bundesdatenschutzgesetz (BDSG), das FVG und die AO mit Wirkung ab dem 25. Mai 2018 an die DSGVO angepasst.
Im Einvernehmen mit den obersten Finanzbehörden der Länder gilt bei Anwendung der DSGVO und der AO seit dem 25. Mai 2018 in allen offenen Fällen Folgendes:
I. Anwendungsbereich der DSGVO und der Datenschutzvorschriften der AO sowie der Steuergesetze
1. Unmittelbare Anwendung der DSGVO | |
| 1 | Seit DSGVO gilt in ihrem Anwendungsbereich (vgl. Art. 2 DSGVO) unmittelbar. Dies bedeutet, dass ihre Regelungen in den Mitgliedstaaten der EU verbindlich sind, ohne dass es einer nationalen Umsetzung bedarf. Sie gehen nationalen Rechtsvorschriften vor. Dies ergibt sich aus Art. 288 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV). Darin heißt es: „Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Dies ist in § 2a Abs. 3 AO nochmals ausdrücklich als Hinweis aufgenommen worden (Anwendungsvorrang). Die Regelungen der DSGVO dürfen im nationalen Recht grundsätzlich nicht wiederholt werden (Wiederholungsverbot). |
| 2 | Die Regelungen der DSGVO sind auch im Verwaltungsverfahren in Steuersachen nach der AO unmittelbar anzuwenden. Sie gelten damit insbesondere für
|
| 3 | Zum Verwaltungsverfahren in Steuersachen nach der AO gehören insbesondere die Ermittlung der Steuerpflichtigen und der steuerrelevanten Sachverhalte (ggf. auch im Rahmen einer Außenprüfung, Lohnsteuer-Außenprüfung, Umsatzsteuer-Sonderprüfung, Lohnsteuer-Nachschau, Umsatzsteuer-Nachschau oder Kassen-Nachschau), die Festsetzung und Erhebung von Steuern, Steuervergütungen und steuerlichen Nebenleistungen einschließlich der Vollstreckung dieser Ansprüche, die Inanspruchnahme von Haftungsschuldnern sowie das außergerichtliche Rechtsbehelfsverfahren. |
| 4 | Die AO und die Steuergesetze enthalten ergänzende bereichsspezifische Regelungen zur Rechtmäßigkeit der Verarbeitung und Weiterverarbeitung personenbezogener Daten durch Finanzbehörden sowie andere öffentliche oder nicht-öffentliche Stellen (vgl. § 2a Abs. 1 Satz 1 AO). Außerdem enthält die AO Beschränkungen der Rechte der Betroffenen nach Kapitel III der DSGVO (siehe Rn. 29 ff.). |
| 5 | Die Regelungen des BDSG gelten für Finanzbehörden im Anwendungsbereich der AO nur, soweit dies in der AO ausdrücklich bestimmt ist (§ 2a Abs. 1 Satz 2 AO). Landesdatenschutzgesetze gelten im Anwendungsbereich der AO nicht. |
2. Entsprechende Anwendung der DSGVO - § 2a Abs. 5 AO | |
| 6 | Die DSGVO gilt unmittelbar nur für personenbezogene Daten lebender natürlicher Personen. § 2a Abs. 5 AO erweitert diesen Anwendungsbereich. Hiernach gelten die datenschutzrechtlichen Vorschriften der DSGVO, der AO und der Steuergesetze über die Verarbeitung personenbezogener Daten (lebender) natürlicher Personen des Weiteren entsprechend für Informationen, die sich auf identifizierte oder identifizierbare (vgl. Rn. 9)
beziehen. Soweit die AO (z. B. in § 30 Abs. 2 AO) oder dieses Schreiben die Begriffe „personenbezogene Daten“ oder „betroffene Person“ verwendet, gelten die jeweiligen Bestimmungen somit auch für Informationen entsprechend, die sich auf eine verstorbene natürliche Person oder auf eine Körperschaft, rechtsfähige oder nicht rechtsfähige Personenvereinigung oder Vermögensmasse beziehen. |
3. Keine Anwendung der DSGVO in Steuerstraf- und -bußgeldverfahren - § 2a Abs. 4 AO | |
| 7 | Die DSGVO gilt nicht für die Verarbeitung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Steuerstraftaten oder Steuerordnungswidrigkeiten (Art. 2 Abs. 2 Buchst. d DSGVO). Insoweit gelten die Vorschriften des Ersten und des Dritten Teils des BDSG, soweit gesetzlich nichts anderes bestimmt ist (§ 2a Abs. 4 AO). Abweichende gesetzliche Regelungen können sich z.B. aus der AO, der StPO oder über § 1 Abs. 1 Nr. 2 BDSG aus den Landesdatenschutzgesetzen ergeben. |
II. Verarbeitung und Weiterverarbeitung personenbezogener Daten durch Finanzbehörden
1. Begriffsdefinitionen - Art. 4 und 9 Abs. 1 DSGVO | |
| 8 | Soweit die AO oder die Steuergesetze Begriffe i. S. d. Art. 4 DSGVO verwenden (z. B. „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“ oder „Dateisystem“), sind die Legaldefinitionen der DSGVO verbindlich. |
| 9 | „Personenbezogene Daten“ definiert Art. 4 Nr. 1 DSGVO als Informationen, die sich auf eine identifizierte oder identifizierbare (lebende) natürliche Person (= „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. |
| 10 | „Besondere Kategorien personenbezogener Daten“ definiert Art. 9 Abs. 1 DSGVO als Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht, sowie genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Laut Erwägungsgrund 10 Satz 5 der DSGVO werden besondere Kategorien personenbezogener Daten auch als sensible Daten bezeichnet. Im Folgenden sollen diese Daten der besseren Lesbarkeit halber als „sensible Daten“ bezeichnet werden. |
| 11 | Die „Verarbeitung personenbezogener Daten“ ist der Oberbegriff und umfasst nach Art. 4 Nr. 2 DSGVO insbesondere folgende Vorgänge oder Vorgangsreihen:
|
| 12 | Unter „Erheben“ ist das Beschaffen von personenbezogenen Daten zu verstehen, wenn die erhebende Stelle Kenntnis von den personenbezogenen Daten oder Verfügungsmacht über die Daten erlangt, beispielweise durch die Steuererklärung, eine Auskunft nach § 93 AO, eine Außenprüfung, eine gesetzlich vorgeschriebene Anzeige/Mitteilung oder eine Recherche in Zeitungen oder in elektronischen Medien/Abrufverfahren. |
| 13 | Die „Offenlegung“ kann durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen. Sie umfasst jeden bewussten Vorgang, durch den personenbezogene Daten vom Bereich des Verantwortlichen in den Bereich eines Dritten gelangen können. Anlass, Zweck und Rechtsgrundlage des Offenlegens sind unerheblich. Der im Steuerrecht verwendete Begriff des Offenbarens i. S. d. § 30 AO ist eine Form des Offenlegens geschützter Daten i. S. d. Art. 4 Nr. 2 DSGVO (vgl. Nr. 3 des AEAO zu § 30). |
| 14 | „Verantwortlicher“ ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Soweit im Folgenden die „verantwortliche Finanzbehörde“ angesprochen wird, ist die Finanzbehörde gemeint, die jeweils über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Regelfall ist dies die im Einzelfall sachlich und örtlich zuständige Finanzbehörde. Stellen, die nach § 20 Abs. 3 FVG technische Hilfstätigkeiten für die sachlich und örtlich zuständigen Finanzbehörden erbringen, sind nicht „Verantwortliche“ i. S. d. Art. 4 Nr. 7 DSGVO, sondern „Auftragsverarbeiter“ i. S. d. Art. 4 Nr. 8 DSGVO. In den Fällen des § 29a AO bleibt also verantwortliche Finanzbehörde das örtlich zuständige Finanzamt und nicht das unterstützende Finanzamt. |
2. Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten - Art. 5 DSGVO | |
| 15 | Art. 5 DSGVO bestimmt folgende Grundsätze für die Verarbeitung personenbezogener Daten:
|
3. Zulässigkeit der Verarbeitung personenbezogener Daten durch Finanzbehörden - § 29b AO | |
| 16 | Die DSGVO ist gesetzestechnisch als „Verbot mit Erlaubnisvorbehalt“ konzipiert worden. Deswegen benötigen rechtmäßige Datenverarbeitungen immer eine Erlaubnis, andernfalls sind sie „datenschutzwidrig“ und damit rechtswidrig. Im öffentlichen Bereich (d.h. auch in Verwaltungsverfahren in Steuersachen nach der AO) ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die Verarbeitung
|
| 17 | Die Rechtsgrundlage für Verarbeitungen gem. Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO muss durch Unionsrecht (z. B. EU-Verordnungen wie die Zusammenarbeitsverordnung - VO EU 904/2010) oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt sein (Art. 6 Abs. 3 Satz 1 DSGVO). |
| 18 | § 29b Abs. 1 AO ist die nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten i. S. d. Art. 6 Abs. 3 Satz 1 DSGVO durch Finanzbehörden in Verwaltungsverfahren in Steuersachen nach der AO. Hiernach dürfen Finanzbehörden personenbezogene Daten verarbeiten, wenn dies zur Erfüllung der ihnen obliegenden Aufgaben oder in Ausübung öffentlicher Gewalt, die ihnen übertragen wurde, erforderlich ist. Die den Finanzbehörden obliegenden Aufgaben und öffentlich-rechtlichen Befugnisse ergeben sich aus der AO (vgl. § 85 AO) und den Steuergesetzen. Die Zulässigkeit der Verarbeitung personenbezogener Daten zu anderen Zwecken durch Finanzbehörden richtet sich nach § 29c AO (siehe Rn. 23 ff.). |
| 19 | Sensible Daten (siehe Rn. 10) dürfen nur in den in Art. 9 Abs. 2 DSGVO genannten Fällen verarbeitet werden. |
| 20 | § 29b Abs. 2 AO ist die nationale Rechtsgrundlage für die Verarbeitung sensibler Daten i. S. d. Art. 9 Abs. 2 Buchst. g DSGVO in Verwaltungsverfahren in Steuersachen nach der AO durch Finanzbehörden. Die Verarbeitung sensibler Daten durch eine Finanzbehörde ist hiernach zulässig, soweit die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen. Ein erhebliches öffentliches Interesse liegt insbesondere vor, wenn Steuergesetze ausdrücklich an sensible Daten anknüpfen (sei es z. B. beim Abzug von Werbungskosten, Sonderausgaben oder außergewöhnlichen Belastungen). |
| 21 | In diesem Fall sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. § 22 Abs. 2 Satz 2 BDSG ist dabei entsprechend anzuwenden (§ 29b Abs. 2 Satz 2 2. HS AO). Im Hinblick auf den Schutz personenbezogener Daten nach § 30 AO und § 355 StGB ist sowohl für sensible Daten als auch für die übrigen personenbezogenen Daten das gleiche Datenschutzniveau zu wählen und es sind entsprechende Maßnahmen zu treffen. Das Datenschutzniveau orientiert sich am Schutzniveau für die Verarbeitung sensibler Daten. |
| Bei Verarbeitungstätigkeiten im Anwendungsbereich der AO ist daher aus rechtlicher Sicht keine zusätzliche Einteilung in datenschutzrechtliche Schutzstufen erforderlich. | |
| 22 | Art. 6 Abs. 4 DSGVO i. V. m. § 29b AO gestattet die Verarbeitung der Daten lediglich zu dem Zweck, zu dem sie erhoben worden sind. Zweck ist die Durchführung des jeweiligen Verwaltungsverfahrens in Steuersachen nach der AO (vgl. Rn. 2 und 3), differenziert nach Abgabeart (Steuer zuzüglich steuerliche Nebenleistungen), Besteuerungszeitraum/-zeitpunkt und Steuerschuldner. Für gesonderte und gesonderte und einheitliche Feststellungen gilt Entsprechendes. So ist z. B. Zweck der Verarbeitung der im Rahmen der Einkommensteuererklärung erhobenen personenbezogenen Daten für das Jahr 2017 die Festsetzung und Erhebung der Einkommensteuer für 2017 (ggf. einschließlich der Ermittlung der Besteuerungsgrundlagen durch eine Außenprüfung oder durch ein Auskunftsersuchen gegenüber einem Dritten, der Vollstreckung, der Haftungsinanspruchnahme eines Dritten oder der Durchführung eines außergerichtlichen Rechtsbehelfsverfahrens). |
4. Weiterverarbeitung personenbezogener Daten durch Finanzbehörden - § 29c AO | |
| 23 | Personenbezogene Daten, die zu einem bestimmten Zweck erhoben wurden, dürfen nicht einfach für andere Zwecke weiterverwendet werden. Werden personenbezogene Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben oder erfasst wurden, verarbeitet (sogen. Weiterverarbeitung), muss eine entsprechende Ermächtigung durch eine Rechtsvorschrift der Union (z. B. EU-Verordnungen wie die Zusammenarbeitsverordnung - VO EU 904/2010) oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt, vorhanden sein (Art. 6 Abs. 4 DSGVO). |
| 24 | § 29c Abs. 1 AO ist die nationale Rechtsgrundlage für die Weiterverarbeitung personenbezogener Daten i. S. d. Art. 6 Abs. 4 DSGVO durch Finanzbehörden. |
| 25 | Die Weiterverarbeitung personenbezogener Daten durch Finanzbehörden ist im Rahmen ihrer Aufgabenerfüllung insbesondere in folgenden Fällen zulässig:
|
| 26 | Eine Weiterverarbeitung i. S. d. § 29c Abs. 1 AO liegt auch dann vor, wenn sie durch denselben Amtsträger erfolgt, der die ursprüngliche Verarbeitung i. S. d. § 29b AO ausgeführt hat (z. B. Daten aus der ESt-Veranlagung werden durch denselben Amtsträger i. R. d. USt verwendet). Sofern die Daten darüber hinaus einem Dritten offenbart werden sollen, muss eine Befugnis i. S. d. § 30 Abs. 4 oder 5 AO gegeben sein. |
| 27 | Die Weiterverarbeitung sensibler Daten ist unter den Voraussetzungen des § 29c Abs. 2 AO zulässig. |
III. Steuergeheimnis - § 30 AO
| 28 | Auf die Regelungen im AEAO zu § 30 (vgl. BMF-Schreiben vom 12. Januar 2018 - IV A 3 - S 0062/18/10001-) wird verwiesen. |
IV. Rechte der betroffenen Person - Art. 12 bis 22 DSGVO, §§ 32a bis 32f AO
| 29 | Die von der Datenverarbeitung betroffenen Personen haben nach Art. 12 bis 22 DSGVO verschiedene Rechte, bzw. den Verantwortlichen obliegen hiernach gegenüber den betroffenen Personen bestimmte Pflichten. Der nationale Gesetzgeber hat im Anwendungsbereich der AO von der ihm eingeräumten Regelungsbefugnis Gebrauch gemacht und die Betroffenenrechte modifiziert. Die Betroffenenrechte werden ergänzend zur DSGVO durch §§ 32a bis 32f AO eingeschränkt. | ||||
1. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person - Art. 12 DSGVO, § 32d AO | |||||
| 30 | Die verantwortliche Finanzbehörde muss nach Art. 12 Abs. 1 Satz 1 DSGVO der betroffenen Person alle Informationen gem. den Art. 13 und 14 DSGVO und alle Mitteilungen gem. den Art. 15 bis 22 und Art. 34 DSGVO, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. | ||||
| 31 | Die Übermittlung der Informationen erfolgt nach Art. 12 Abs. 1 Satz 2 DSGVO schriftlich oder in anderer Form, ggf. auch elektronisch. Bei der elektronischen Übermittlung personenbezogener Daten ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO). | ||||
| 32 | Soweit der Erteilung der Information oder Auskunft keine Rechtsgründe entgegenstehen, bestimmt die Finanzbehörde die Form der Informations- oder Auskunftserteilung gem. § 32d AO grundsätzlich nach pflichtgemäßem Ermessen. Wenn sie es für zweckmäßig hält, kann die Information oder Auskunft auch im Wege der Akteneinsicht erteilt werden. | ||||
| 33 | Hat die betroffene Person einen Bevollmächtigten i. S. d. § 80 Abs. 1 AO bestellt, soll die Information bzw. die Auskunft dem Bevollmächtigten erteilt werden, sofern keine Anhaltspunkte für einen abweichenden Willen der betroffenen Person zu erkennen sind. Von einem abweichenden Willen der betroffenen Person ist z. B. auszugehen, wenn sie persönlich einen Auskunftsantrag nach Art. 15 DSGVO gestellt hat. | ||||
| 34 | Die verantwortliche Finanzbehörde muss der betroffenen Person nach Art. 12 Abs. 3 Satz 1 DSGVO Informationen über die auf Antrag gem. den Art. 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellen. | ||||
| 35 | Kann diese Frist wegen der Komplexität und der Anzahl der Anträge nicht eingehalten werden, sind die Informationen innerhalb von zwei weiteren Monaten zur Verfügung zu stellen (Art. 12 Abs. 3 Satz 2 DSGVO). Die betroffene Person ist hierüber innerhalb eines Monats nach Eingang des Antrags, zusammen mit den Gründen für die Verzögerung, zu unterrichten (Art. 12 Abs. 3 Satz 3 DSGVO). | ||||
| 36 | Wird die verantwortliche Finanzbehörde auf den Antrag der betroffenen Person hin nicht tätig, muss sie die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit unterrichten, Beschwerde bei der Datenschutzaufsichtsbehörde (vgl. Art. 77 DSGVO) oder einen gerichtlichen Rechtsbehelf (vgl. Art. 79 DSGVO) einzulegen (Art. 12 Abs. 4 DSGVO). | ||||
| 37 | Informationen gem. Art. 13 und 14 DSGVO sowie alle Mitteilungen und Maßnahmen gem. Art. 15 bis 22 und Art. 34 DSGVO werden grundsätzlich unentgeltlich zur Verfügung gestellt (Art. 12 Abs. 5 Satz 1 DSGVO). | ||||
| 38 | Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann die verantwortliche Finanzbehörde nach Art. 12 Abs. 5 Satz 2 Buchst. b DSGVO sich weigern, aufgrund des Antrags tätig zu werden. Die verantwortliche Finanzbehörde hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen (Art. 12 Abs. 5 Satz 3 DSGVO). | ||||
2. Informationspflicht bei Erhebung von personenbezogenen Daten | |||||
| 39 | Nach Art. 13 und 14 DSGVO obliegen der verantwortlichen Finanzbehörde Informationspflichten gegenüber der betroffenen Person, wenn sie personenbezogene Daten zu dieser Person erhebt oder beabsichtigt, diese weiterzuverarbeiten. Siehe dazu auch die Übersicht in Anlage 1. | ||||
a) Bei der betroffenen Person erhobene personenbezogene Daten - Art. 13 DSGVO, § 32a AO | |||||
aa) Informationspflicht von Amts wegen | |||||
| 40 | Im Fall der Erhebung personenbezogener Daten bei der betroffenen Person muss die verantwortliche Finanzbehörde nach Art. 13 Abs. 1 und 2 DSGVO der betroffenen Person die in diesen Regelungen genannten Daten und Informationen spätestens im Zeitpunkt der Erhebung von Amts wegen mitteilen. | ||||
| 41 | Mitzuteilen sind hiernach insbesondere:
| ||||
| 42 | Beabsichtigt die verantwortliche Finanzbehörde, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, muss sie der betroffenen Person vor dieser Weiterverarbeitung von Amts wegen Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen (Art. 13 Abs. 3 DSGVO). | ||||
| 43 | Diese Informationspflichten (Rn. 40 bis 42) können soweit möglich auch in allgemeiner Form (beispielsweise durch ein allgemeines Informationsschreiben mit Hinweis auf ein - z. B. im Internet - veröffentlichtes Merkblatt) erfüllt werden (§ 32d Abs. 2 AO). Im Fall elektronischer Übermittlung der Information ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO). | ||||
bb) Ausnahmen von der Informationspflicht | |||||
| 44 | Die o. g. Informationspflichten gem. Art. 13 Abs. 1 bis 3 DSGVO bestehen nach Art. 13 Abs. 4 DSGVO nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Hiervon ist auszugehen, soweit ein allgemeines Informations-schreiben gem. § 32d Abs. 2 AO mit Hinweis auf ein - z. B. im Internet - veröffentlichtes Merkblatt übermittelt worden ist. | ||||
| 45 | Darüber hinaus besteht die Informationspflicht bei beabsichtigter Weiterverarbeitung (vgl. Art. 13 Abs. 3 DSGVO) nach Art. 23 Abs. 1 DSGVO i. V. m. § 32a Abs. 1 AO in folgenden Fällen nicht: | ||||
| 46 |
| ||||
| 47 |
| ||||
| 48 |
| ||||
| 49 |
| ||||
| 50 | Die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben wird nach § 32a Abs. 2 Nr. 1 AO insbesondere gefährdet, wenn die Erteilung der Information den Betroffenen oder Dritte in die Lage versetzen könnte,
und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde.
| ||||
| 51 | Die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben wird nach § 32a Abs. 2 Nr. 2 AO insbesondere auch dann gefährdet, wenn die Erteilung der Information Rückschlüsse auf die Ausgestaltung automationsgestützter Risikomanagementsysteme oder auf geplante Kontroll- oder Prüfungsmaßnahmen zulassen und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde. | ||||
| 52 | Unterbleibt eine Information der betroffenen Person nach § 32a Abs. 1 Nr. 1 bis 4 AO, muss die verantwortliche Finanzbehörde nach § 32a Abs. 3 AO geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person (Recht auf Information) treffen (z. B. Wiedervorlage und erneute Prüfung bei einem nur vorübergehenden Hinderungsgrund). Die Gründe für die Entscheidung, die betroffene Person nicht zu informieren, sind zu dokumentieren. | ||||
| 53 | Im Fall eines vorübergehenden Hinderungsgrundes muss die verantwortliche Finanzbehörde der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes (z. B. Durchführung der Vollstreckungsmaßnahme) nachkommen, spätestens jedoch innerhalb von zwei Wochen (§ 32a Abs. 4 AO). | ||||
| 54 | Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch Finanzbehörden an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nach § 32a Abs. 5 AO nur mit Zustimmung dieser Stellen zulässig. | ||||
b) Bei Dritten erhobene personenbezogene Daten - Art. 14 DSGVO, § 32b AO | |||||
bb) Informationspflicht von Amts wegen | |||||
| 55 | Im Fall der Erhebung personenbezogener Daten bei Dritten muss die verantwortliche Finanzbehörde nach Art. 14 Abs. 1 und 2 DSGVO der betroffenen Person die in diesen Regelungen genannten Daten und Informationen von Amts wegen mitteilen. | ||||
| 56 | Ergänzend zu den nach Art. 13 DSGVO mitzuteilenden Daten und Informationen (vgl. Rn. 40 ff.) müssen der betroffenen Person hiernach insbesondere auch folgende Daten und Informationen mitgeteilt werden:
| ||||
| 57 | Die verantwortliche Finanzbehörde muss die vorgenannten Informationen grundsätzlich innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats mitteilen (Art. 14 Abs. 3 Buchst. a DSGVO). Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, müssen die vorgenannten Informationen spätestens zum Zeitpunkt der ersten Mitteilung an sie mitgeteilt werden (Art. 14 Abs. 3 Buchst. b DSGVO). Falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, müssen die vorgenannten Informationen spätestens zum Zeitpunkt der ersten Offenlegung mitgeteilt werden (Art. 14 Abs. 3 Buchst. c DSGVO). | ||||
| 58 | Im Fall elektronischer Übermittlung der Information ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO). | ||||
| 59 | Beabsichtigt die verantwortliche Finanzbehörde, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, muss sie der betroffenen Person vor dieser Weiterverarbeitung von Amts wegen Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen (Art. 14 Abs. 4 DSGVO). | ||||
bb) Ausnahmen von der Informationspflicht | |||||
| 60 | Die o. g. Informationspflichten gem. Art. 14 Abs. 1 bis 4 DSGVO bestehen nach Art. 14 Abs. 5 DSGVO nicht, wenn und soweit
| ||||
| 61 | Darüber hinaus besteht nach Art. 23 Abs. 1 DSGVO i. V. m. § 32b Abs. 1 AO in folgenden Fällen keine Informationspflicht:
| ||||
| 62 | Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch Finanzbehörden an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig (§ 32b Abs. 2 AO). | ||||
| 63 | Unterbleibt eine Information der betroffenen Person nach § 32b Abs. 1 Nr. 1 und 2 AO, gelten die Regelungen in Rn. 52 entsprechend. | ||||
3. Auskunftsrecht der betroffenen Person - Art. 15 DSGVO, § 32c AO | |||||
a) Auskunftspflicht auf Antrag | |||||
| 64 | Die betroffene Person hat das Recht, von der verantwortlichen Finanzbehörde eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten von der Finanzbehörde verarbeitet werden; ist dies der Fall, hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 Abs. 1 Buchst. a bis h DSGVO genannten Informationen (Auskunft auf Antrag). Der Antrag kann formlos gestellt werden und bedarf keiner Begründung (zur Benennung der Daten, über die Auskunft erteilt werden soll, vgl. Rn. 69). Der Insolvenzverwalter ist hinsichtlich der Steuerdaten des Insolvenzschuldners nicht „betroffene Person“ im Sinne des Art. 4 Nr. 1, Art. 15 Abs. 1 DSGVO, weil der Auskunftsanspruch des Insolvenzschuldners aus Art. 15 DSGVO nicht gemäß § 80 Abs. 1 InsO in die Verwaltungs- und Verfügungsbefugnis des Insolvenzverwalters übergeht (BVerwG-Urteil vom 16. September 2020, 6 C 10/19, BFH/NV 2021 S. 287). | ||||
| 65 | Soweit sich aus dem Antrag nicht etwas anderes ergibt, sind der betroffenen Person neben den verarbeiteten personenbezogenen Daten insbesondere folgende Informationen mitzuteilen:
| ||||
| 66 | Die verantwortliche Finanzbehörde muss der betroffenen Person eine Zusammenstellung der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, unentgeltlich zur Verfügung stellen (Art. 15 Abs. 3 Satz 1 DSGVO). Die Rechte Dritter - insbesondere auf Wahrung des Steuergeheimnisses - sind hierbei zu schützen (Art. 15 Abs. 4 DSGVO). | ||||
| Die Pflicht nach Art. 15 Abs. 3 Satz 1 DSGVO ist nicht mit einem allgemeinen Akteneinsichtsrecht gleichzusetzen. Ein grundsätzlicher Anspruch auf Akteneinsicht besteht im Verwaltungsverfahren in Steuersachen nach der AO nicht. Hält die Finanzbehörde es für zweckmäßig, kann sie eine Auskunft im Wege der Akteneinsicht erteilen (§ 32d Abs. 1 AO, vgl. Rn. 32). § 78 FGO, wonach die Beteiligten im finanzgerichtlichen Verfahren das Recht haben, die dem Gericht vorgelegten Akten einzusehen, bleibt unberührt. Zu diesen Akten gehören die den Streitfall betreffenden Akten, die die Finanzbehörde nach Empfang der Klageschrift an das Gericht zu übermitteln hat (§ 71 Abs. 2 FGO). | |||||
| 67 | Stellt die betroffene Person den Auskunftsantrag elektronisch, sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt (Art. 15 Abs. 3 Satz 3 DSGVO). Hierbei ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO). | ||||
b) Ausnahmen von der Auskunftspflicht | |||||
| 68 | Der nationale Gesetzgeber hat Ausnahmen von diesem Auskunftsrecht festgelegt. Nach Art. 23 Abs. 1 DSGVO i. V. m. § 32c Abs. 1 AO besteht insbesondere kein Auskunftsrecht der betroffenen Person, soweit
| ||||
| 69 | Pauschal gestellte Auskunftsanträge müssen im Regelfall durch die betroffene Person präzisiert werden. Denn die betroffene Person soll in dem Auskunftsantrag die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen (§ 32c Abs. 2 AO i. V. m. Erwägungsgrund 63 Satz 7 der DSGVO). Ein präzisierter Auskunftsantrag ist erforderlich, weil die Finanzbehörde zu einer betroffenen Person in der Regel eine große Menge personenbezogener Daten verarbeitet. Macht die betroffene Person auch auf Nachfrage keine sachdienlichen Angaben, kann ein Fall des Art. 12 Abs. 5 Satz 2 DSGVO vorliegen (vgl. Rn. 38). | ||||
| 70 | Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen. Eine Begründung unterbleibt, soweit der mit der Auskunftsablehnung verfolgte Zweck gefährdet würde (§ 32c Abs. 4 Satz 1 AO). | ||||
| 71 | Die zum Zweck der Auskunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet werden; für andere Zwecke ist die Verarbeitung nach Maßgabe des Art. 18 DSGVO einzuschränken (§ 32c Abs. 4 Satz 2 AO; vgl. Rn. 83 f.). | ||||
| 72 | Soweit eine Finanzbehörde die Erteilung einer Auskunft ablehnt, ist die Auskunft auf Verlangen der betroffenen Person grundsätzlich der oder dem BfDI zu erteilen. Dies gilt nicht, soweit die jeweils zuständige oberste Finanzbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde (§ 32c Abs. 5 Satz 1 AO). | ||||
| 73 | Die Mitteilung der oder des BfDI an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung der Auskunftsverweigerung darf keine Rückschlüsse auf den Erkenntnisstand der Finanzbehörde zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt (§ 32c Abs. 5 Satz 2 AO). | ||||
4. Auskunfts- und Informationsrechte nach dem Informationsfreiheitsgesetz (IFG) oder entsprechenden Landesgesetzen - § 32e AO | |||||
| 74 | Soweit die betroffene Person oder ein Dritter nach dem IFG oder nach entsprechenden Gesetzen der Länder gegenüber der Finanzbehörde einen Anspruch auf Zugang zu geschützten Daten i. S. d. § 30 Abs. 2 AO hat, gelten Art. 12 bis 15 DSGVO i. V. m. mit den §§ 32a bis 32d AO entsprechend (§ 32e Satz 1 AO). Weitergehende Informationsansprüche über geschützte Daten sind insoweit ausgeschlossen. Damit soll sichergestellt werden, dass anderweitige Informationszugangsansprüche insoweit nicht weitergehen als die Rechte der betroffenen Personen nach der DSGVO und der AO. Zum Rechtsweg siehe Rn. 106. | ||||
5. Recht auf Berichtigung - Art. 16 DSGVO, § 32f Abs. 1 AO | |||||
| 75 | Nach Art. 16 DSGVO hat die betroffene Person das Recht, von der verantwortlichen Finanzbehörde unverzüglich die Berichtigung sie betreffender unrichtiger personen-bezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person außerdem das Recht, die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu verlangen. | ||||
| 76 | Bestreitet die betroffene Person die Richtigkeit sie betreffender personenbezogener Daten und lässt sich weder die Richtigkeit noch die Unrichtigkeit der Daten feststellen, bewirkt dies nach § 32f Abs. 1 AO keine Einschränkung der Verarbeitung (vgl. Art. 4 Nr. 3 DSGVO), soweit die Daten einem Verwaltungsakt zugrunde liegen, der nicht mehr aufgehoben, geändert oder berichtigt werden kann. Die ungeklärte Sachlage ist in diesem Fall allerdings in geeigneter Weise festzuhalten (z. B. schriftlicher oder elektronischer Aktenvermerk). Die bestrittenen Daten dürfen nur mit einem Hinweis hierauf verarbeitet werden. | ||||
6. Recht auf Löschung - Art. 17 DSGVO, § 32f Abs. 2 AO | |||||
| 77 | Die betroffene Person hat das Recht, von der verantwortlichen Finanzbehörde zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist dann verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der in Art. 17 Abs. 1 Buchst. a bis f DSGVO genannten Gründe zutrifft. In Betracht kommen insbesondere folgende Gründe:
| ||||
| 78 | Das Recht der betroffenen Person, die Löschung personenbezogener Daten verlangen zu dürfen, und die damit verbundene Pflicht der verantwortlichen Finanzbehörde zur Löschung nach Art. 17 Abs. 1 DSGVO gelten nach Art. 17 Abs. 3 DSGVO allerdings insbesondere nicht, soweit die Verarbeitung erforderlich ist
| ||||
| 79 | Sind die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig, oder wurden sie unrechtmäßig verarbeitet, ist anstelle ihrer Löschung die Verarbeitung einzuschränken,
| ||||
| 80 | Im Fall nicht automatisierter Datenverarbeitung besteht das Recht der betroffenen Person auf und die Pflicht der Finanzbehörde zur Löschung personenbezogener Daten nicht, wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich (z. B. Verfilmung) und das Interesse der betroffenen Person an der Löschung als gering anzusehen ist (§ 32f Abs. 2 Satz 1 AO). In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gem. Art. 18 DSGVO (§ 32f Abs. 2 Satz 2 AO). Die Sätze 1 und 2 gelten nach § 32f Abs. 2 Satz 3 AO allerdings nicht, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden. | ||||
7. Recht auf Einschränkung der Verarbeitung - Art. 18 DSGVO | |||||
| 81 | Die betroffene Person hat nach Art. 18 Abs. 1 DSGVO das Recht, von der verantwortlichen Finanzbehörde die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 Abs. 1 Buchst. a bis d DSGVO genannten Voraussetzungen gegeben ist. Die Einschränkung der Verarbeitung bedeutet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (Art. 4 Nr. 3 DSGVO). | ||||
| 82 | Eine Einschränkung der Verarbeitung kommt nach Art. 18 Abs. 1 DSGVO insbesondere in Betracht, wenn
| ||||
| 83 | Wurde die Verarbeitung personenbezogener Daten gem. Art. 18 Abs. 1 DSGVO eingeschränkt, dürfen diese Daten - von ihrer Speicherung abgesehen - nach Art. 18 Abs. 2 DSGVO nur
| ||||
| 84 | Die betroffene Person, die eine Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 DSGVO erwirkt hat, wird von der verantwortlichen Finanzbehörde unterrichtet, bevor die Einschränkung der Verarbeitung aufgehoben wird (Art. 18 Abs. 3 DSGVO). | ||||
8. Mitteilungspflicht der verantwortlichen Finanzbehörde im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung - Art. 19 DSGVO | |||||
| 85 | Die verantwortliche Finanzbehörde muss nach Art. 19 DSGVO allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede auf Verlangen der betroffenen Person nach Art. 16, Art. 17 Abs. 1 und Art. 18 DSGVO erfolgte Berichtigung oder Löschung der personenbezogenen Daten oder Einschränkung ihrer Verarbeitung mitteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Die verantwortliche Finanzbehörde muss die betroffene Person über diese Empfänger informieren, wenn die betroffene Person dies verlangt. | ||||
9. Recht auf Datenübertragbarkeit - Art. 20 DSGVO | |||||
| 86 | Art. 20 DSGVO ist im Verwaltungsverfahren in Steuersachen nach der AO nicht anzuwenden, da die Verarbeitung personenbezogener Daten nicht auf Grundlage einer Einwilligung erfolgt (vgl. Erwägungsgrund 68 Satz 3 ff. der DSGVO). | ||||
10. Widerspruchsrecht - Art. 21 DSGVO, § 32f Abs. 5 AO | |||||
| 87 | Die betroffene Person hat nach Art. 21 Abs. 1 Satz 1 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt, Widerspruch einzulegen. Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Widerspruchsrecht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen (Art. 21 Abs. 4 DSGVO), beispielsweise durch Aufnahme in ein allgemeines Informationsschreiben gem. § 32d Abs. 2 AO mit Hinweis auf ein - z. B. im Internet - veröffentlichtes Merkblatt. | ||||
| 88 | Die verantwortliche Finanzbehörde verarbeitet nach Eingang eines solchen Widerspruchs die personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 Abs. 1 Satz 2 DSGVO). | ||||
| 89 | Das Recht auf Widerspruch gem. Art. 21 Abs. 1 DSGVO gegenüber einer Finanzbehörde besteht nach § 32f Abs. 5 AO außerdem nicht, soweit
| ||||
11. Automatisierte Entscheidungen im Einzelfall - Art. 22 DSGVO | |||||
| 90 | Die betroffene Person hat nach Art. 22 Abs. 1 DSGVO das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Art. 22 Abs. 1 DSGVO gilt nach Art. 22 Abs. 2 DSGVO allerdings nicht, wenn die Entscheidung aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die verantwortliche Finanzbehörde unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten (vgl. § 155 Abs. 4 AO). | ||||
| 91 | Nach Art. 22 Abs. 2 DSGVO zulässige, auf einer automatisierten Verarbeitung beruhende Entscheidungen dürfen auch auf der Verarbeitung sensibler Daten beruhen, sofern Art. 9 Abs. 2 Buchst. g DSGVO i. V. m. § 29b Abs. 2 AO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden (Art. 22 Abs. 4 DSGVO i. V. m. § 155 Abs. 4 AO). |
V. Datenschutzaufsicht
1. Datenschutzbeauftragte der Finanzbehörden - Art. 37 ff. DSGVO, § 32g AO, §§ 5 ff. BDSG | |
| 92 | Alle öffentlichen Stellen die personenbezogene Daten verarbeiten - mit Ausnahme der Gerichte, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln - müssen nach Art. 37 Abs. 1 DSGVO einen Datenschutzbeauftragten bestimmen. |
| 93 | Nach § 32g AO sind für die Benennung, Stellung und Aufgaben des Datenschutzbeauftragten der Finanzbehörden im Anwendungsbereich der AO § 5 Abs. 2 bis 5 sowie §§ 6 und 7 des BDSG entsprechend anzuwenden. |
| 94 | In diesem Zusammenhang gilt u. a. das Folgende:
|
2. Datenschutzaufsicht über Finanzbehörden - Art. 51 ff. DSGVO, § 32h Abs. 1 AO | |
| 95 | Für die datenschutzrechtliche Aufsicht über die Finanzbehörden hinsichtlich der Verarbeitung personenbezogener Daten im Anwendungsbereich der AO ist die oder der BfDI nach § 8 BDSG zuständig. Die §§ 13 bis 16 des BDSG gelten entsprechend (§ 32h Abs. 1 AO). |
3. Datenschutzaufsicht über andere öffentliche sowie nicht-öffentliche Stellen | |
| 96 | Nach § 9 BDSG ist die oder der BfDI für die Aufsicht über die anderen öffentlichen Stellen des Bundes zuständig, auch soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Dies gilt auch für Auftragsverarbeiter, soweit sie nicht-öffentliche Stellen sind, bei denen dem Bund die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle des Bundes ist. |
| 97 | Die Datenschutzaufsicht über andere öffentliche Stellen der Länder sowie nicht-öffentliche Stellen regeln die jeweiligen Landesdatenschutzgesetze. Dies gilt auch soweit diese anderen öffentlichen und nicht-öffentlichen Stellen gem. § 2a Abs. 1 Satz 1 AO die Vorschriften der AO und der Steuergesetze über die Verarbeitung personenbezogener Daten zu beachten haben. |
4. Datenschutz-Folgenabschätzung - Art. 35 DSGVO, § 32h Abs. 2 AO | |
| 98 | Die bisherige Vorabkontrolle wird durch die Datenschutz-Folgenabschätzung ersetzt. Die Datenschutz-Folgenabschätzung hat die Funktion, besonders gelagerte Datenverarbeitungsvorgänge bereits im Vorfeld auf mögliche Folgen hin zu untersuchen. Die Vorschriften sind Ausfluss des technischen und organisatorischen Datenschutzes. Sie richten sich nicht nur an die Verantwortlichen, sondern beziehen ebenso den Datenschutzbeauftragten und die Datenschutzaufsicht mit ein. Verantwortlicher ist insoweit nicht das örtlich zuständige Finanzamt, sondern die nach landesrechtlichen Bestimmungen für die datenschutzrechtliche Freigabe von automatisierten Datenverarbeitungsprogrammen zuständige Stelle. |
| 99 | Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten potentiell betroffener Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Eine Datenschutz-Folgenabschätzung ist nach Art. 35 Abs. 3 Buchst. b DSGVO immer erforderlich, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten erfolgt. |
| 100 | Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Datenschutz-Folgenabschätzung vorgenommen werden (Art. 35 Abs. 1 DSGVO). |
| 101 | Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 2 DSGVO den Rat des Datenschutzbeauftragten ein. |
| 102 | Eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung kann darüber hinaus durch die Datenschutzaufsichtsbehörde begründet werden. Diese kann besondere Verarbeitungsvorgänge in eine Liste aufnehmen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Die Liste wird veröffentlicht. |
| 103 | Nach Art. 35 Abs. 7 DSGVO muss die Datenschutz-Folgenabschätzung zumindest Folgendes enthalten:
|
| 104 | Entwickelt eine Finanzbehörde automatisierte Verfahren zur Verarbeitung personenbezogener Daten im Anwendungsbereich dieses Gesetzes für Finanzbehörden anderer Länder oder des Bundes, so ist von ihr die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Soweit die Verfahren, insbesondere bundeseinheitliche Programmbestandteile, von den Finanzbehörden der Länder und des Bundes im Hinblick auf die datenschutzrelevanten Funktionen unverändert übernommen werden, gilt diese Datenschutz-Folgenabschätzung auch für die übernehmenden Finanzbehörden (§ 32h Abs. 2 AO). In der Finanzverwaltung betrifft dies maßgeblich den Einsatz neuer IT-Verfahren, welche i. d. R. durch die Finanzbehörde eines Landes für den bundeseinheitlichen Einsatz entwickelt werden (§ 4 Abs. 1 KONSENS-Gesetz). Gleiches gilt für wesentliche Änderungen bereits eingesetzter IT-Verfahren. |
VI. Rechtsschutz
1. Beschwerdemöglichkeit - Art. 77 DSGVO | |
| 105 | Jede betroffene Person, die der Ansicht ist, dass die Verarbeitung sie betreffender personenbezogener Daten gegen das steuerliche Datenschutzrecht verstößt, kann sich unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs mit ihrem Anliegen an die nach Art. 77 Abs. 1 DSGVO zuständige Datenschutzaufsichtsbehörde wenden (Beschwerderecht). |
2. Gerichtliches Rechtsbehelfsverfahren - Art. 78 und 79 DSGVO, § 32i AO | |
a) Verfahrensrechtliche Regelungen | |
| 106 | Für Streitigkeiten, die das steuerliche Datenschutzrecht betreffen, ist grundsätzlich der Finanzrechtsweg gegeben. Dies gilt gleichermaßen für Klagen von betroffenen Personen (Steuerpflichtigen oder Dritten) gegenüber der verantwortlichen Finanzbehörde (z. B. auf Auskunft) oder zuständigen Datenschutzaufsichtsbehörde, wie für die gerichtliche Überprüfung von Anordnungen der Datenschutzaufsichtsbehörden gegenüber den Finanzbehörden oder einer anderen öffentlichen oder nicht-öffentlichen Stelle. |
| Der Finanzrechtsweg ist darüber hinaus auch hinsichtlich Streitigkeiten über Schadenersatzansprüche nach Art. 82 DSGVO gegeben, soweit diese die Verarbeitung personenbezogener Daten durch Finanzbehörden im Anwendungsbereich der AO betreffen (Art. 82 Abs. 6 und Art. 79 Abs. 2 DSGVO i. V. m. § 32i Abs. 2 AO). | |
| 107 | Für sämtliche Verfahren ist die Finanzgerichtsordnung (FGO) nach Maßgabe des § 32i Abs. 5 bis 10 AO, d. h. unter Berücksichtigung der Rn. 110 ff. anzuwenden (§ 32i Abs. 4 AO). |
| 108 | Für datenschutzrechtliche Streitigkeiten i. S. d. § 32i Abs. 1 bis 3 AO findet gem. § 32i Abs. 9 AO kein Vorverfahren (z. B. in Form eines außergerichtlichen Rechtsbehelfsverfahrens) statt. Daher ist z. B. gegen die Ablehnung einer Auskunft nach Art. 15 DSGVO (Rn. 70) kein Einspruch gegeben. Auseinandersetzungen sind ausschließlich gerichtlich zu klären. Dies gilt jedoch nicht für Auskunfts- und Informationszugangsansprüche, deren Umfang nach § 32e AO begrenzt wird. |
b) Klage gegen den Beschluss einer Datenschutzaufsichtsbehörde - Art. 78 DSGVO, § 32i Abs. 1 AO | |
| 109 | Nach Art. 78 Abs. 1 und 2 DSGVO i. V. m. § 32i Abs. 1 AO kann gegen einen rechtsverbindlichen Beschluss einer Datenschutzaufsichtsbehörde ein gerichtlicher Rechtsbehelf eingelegt werden. Rechtsbehelfsbefugt sind die betroffene Finanzbehörde oder ihr Rechtsträger sowie jede betroffene Person. Es kann daher künftig auch Klageverfahren zwischen öffentlichen Stellen zur Streitbeilegung geben. |
| 110 | Nach § 32i Abs. 5 Satz 1 AO ist das Finanzgericht örtlich zuständig, in dessen Bezirk die jeweils zuständige Datenschutzaufsichtsbehörde ihren Sitz hat. Da nach § 32h Abs. 1 AO die Datenschutzaufsicht über Finanzbehörden der oder dem BfDI mit Sitz in Bonn obliegt, ist das Finanzgericht Köln örtlich zuständig. |
| 111 | Beteiligte in dem o. g. Verfahren sind gem. § 32i Abs. 6 AO
|
| 112 | Eine Klage oder ein Antrag in dem o. g. Verfahren haben aufschiebende Wirkung. |
| 113 | Die Datenschutzaufsichtsbehörde kann nach § 32i Abs. 10 Satz 2 AO gegenüber einer Finanzbehörde oder ihrem Rechtsträger nicht die sofortige Vollziehung anordnen. |
c) Klage der betroffenen Person gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen - Art. 79 DSGVO, § 32i Abs. 2 AO | |
| 114 | Jede betroffene Person hat gem. Art. 79 Abs. 1 DSGVO das Recht auf einen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. |
| 115 | Nach § 32i Abs. 5 Satz 2 AO ist das Finanzgericht örtlich zuständig, in dessen Bezirk die beklagte Finanzbehörde ihren Sitz oder der beklagte Auftragsverarbeiter seinen Sitz hat. |
| 116 | Beteiligte in dem o. g. Verfahren sind gem. § 32i Abs. 7 AO
|
d) Feststellungsklage gegen einen Beschluss der Datenschutzaufsicht gegenüber einer anderen öffentlichen Stelle oder einer nicht-öffentlichen Stelle - § 32i Abs. 3 AO | |
| 117 | Die datenschutzrechtliche Aufsicht über öffentliche Stellen, die keine Finanzbehörden sind, sowie über nicht-öffentliche Stellen obliegt den nach dem BDSG oder den entsprechenden Landesgesetzen zuständigen Datenschutzaufsichtsbehörden. Dies gilt auch für Datenschutzfragen hinsichtlich steuerlicher Mitwirkungspflichten. |
| 118 | Vertritt die Datenschutzaufsichtsbehörde in einem solchen Fall eine andere Rechtsauffassung als die jeweils zuständige Finanzbehörde, kann diese nach § 32i Abs. 3 AO auf Feststellung des Bestehens einer Mitwirkungspflicht klagen, wenn die zuständige Datenschutzaufsichtsbehörde einen rechtsverbindlichen Beschluss erlassen hat, der eine Mitwirkungspflicht nach der AO oder den Einzelsteuergesetzen ganz oder teilweise verneint. |
| 119 | Die Feststellungsklage hat keine aufschiebende Wirkung. |
| 120 | Beteiligte in dem o. g. Verfahren sind gem. § 32i Abs. 8 AO
|
| 121 | Klagen vor dem Finanzgericht können - die o. g. Rechte betreffend - beispielsweise in folgender Fallkonstellation auftreten:
|
| 122 | Nach § 32i Abs. 5 Satz 1 AO ist das Finanzgericht örtlich zuständig, in dessen Bezirk die zuständige Datenschutzaufsichtsbehörde ihren Sitz hat. |
VII. Informationspflichten bei Verletzung des Schutzes personenbezogener Daten - Art. 33 und 34 DSGVO
1. Verletzung des Schutzes personenbezogener Daten | |
| 123 | Nach Art. 4 Nr. 12 DSGVO ist eine „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. |
2. Meldepflicht gegenüber der oder dem BfDI | |
| 124 | Im Falle einer solchen Verletzung des Schutzes personenbezogener Daten muss die verantwortliche Finanzbehörde nach Art. 33 Abs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihr die Verletzung bekannt wurde, diese der oder dem BfDI melden. Ausgenommen sind nur die Fälle, in denen die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten betroffener Personen führt. Erfolgt die Meldung nicht binnen 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen. |
| 125 | Diese Meldung muss nach Art. 33 Abs. 4 DSGVO zumindest folgende Informationen enthalten:
|
| 126 | Die verantwortliche Finanzbehörde muss nach Art. 33 Abs. 5 DSGVO Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, die Auswirkungen der Schutzverletzung und die ergriffenen Abhilfemaßnahmen dokumentieren. Diese Dokumentation muss der oder dem BfDI die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. |
| 127 | Wird dem Auftragsverarbeiter einer Finanzbehörde eine Verletzung des Schutzes personenbezogener Daten bekannt, muss er ihr diese unverzüglich melden (Art. 33 Abs. 2 DSGVO). |
3. Benachrichtigung der betroffenen Person | |
| 128 | Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge, muss die verantwortliche Finanzbehörde über die Meldung nach Art. 33 DSGVO hinaus auch die betroffene Person unverzüglich von der Verletzung benachrichtigen (Art. 34 Abs. 1 DSGVO). Diese Benachrichtigung muss in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und zumindest die in Art. 33 Abs. 3 Buchst. b, c und d DSGVO genannten Informationen und Maßnahmen enthalten (Art. 34 Abs. 2 DSGVO). |
| 129 | Eine Benachrichtigung der betroffenen Person ist nach Art. 34 Abs. 3 DSGVO allerdings nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
|
| 130 | Wenn die verantwortliche Finanzbehörde die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die oder der BfDI nach Art. 34 Abs. 4 DSGVO unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von der verantwortlichen Finanzbehörde verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Art. 34 Abs. 3 DSGVO genannten Voraussetzungen erfüllt sind. |
Dieses Schreiben tritt mit sofortiger Wirkung an die Stelle des BMF-Schreibens vom 12. Januar 2018 - IV A 3 - S 0030/16/10004-07 - (BStBl 2018 I S. 185). Die materiellen Änderungen gegenüber diesem Schreiben sind durch einen Randstrich gekennzeichnet.
Dieses Schreiben wird im Bundessteuerblatt Teil I veröffentlicht und steht ab sofort für eine Übergangszeit auf den Internetseiten des Bundesministeriums der Finanzen (http://www.bundesfinanzministerium.de) unter der Rubrik „Themen - Steuern - Steuerverwaltung & Steuerrecht - Abgabenordnung - BMF-Schreiben / Allgemeines“ zum Download bereit.
Seite teilen
Die aktuelle Seite in Ihren Sozialen Netzwerken teilen.