Datenschutz im Steuerverwaltungsverfahren ab dem ; Neuregelungen durch die Datenschutz-Grundverordnung und Änderungen der AO durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom
Ab dem ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl L 119 vom , S. 1; L 314 vom , S. 72) – im Folgenden: DSGVO – unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Ziel der DSGVO ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten.
Ihrem Charakter als Grundverordnung folgend, enthält die DSGVO konkrete, an die Mitgliedstaaten gerichtete Regelungsaufträge sowie mehrere Öffnungsklauseln für den nationalen Gesetzgeber. Durch das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom (BGBl 2017 I S. 2097) und das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom (BGBl 2017 I S. 2541) wurden das Bundesdatenschutzgesetz (BDSG), das FVG und die AO mit Wirkung ab dem an die DSGVO angepasst.
Im Einvernehmen mit den obersten Finanzbehörden der Länder gilt bei Anwendung der DSGVO und der AO ab dem in allen offenen Fällen Folgendes:
I. Anwendungsbereich der DSGVO und der Datenschutzvorschriften der AO sowie der Steuergesetze
1. Unmittelbare Anwendung der DSGVO
1 Die DSGVO gilt in ihrem Anwendungsbereich (vgl. Art. 2 DSGVO) unmittelbar. Dies bedeutet, dass ihre Regelungen in den Mitgliedstaaten der EU verbindlich sind, ohne dass es einer nationalen Umsetzung bedarf. Sie gehen nationalen Rechtsvorschriften vor. Dies ergibt sich aus Art. 288 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV). Darin heißt es: „Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.” Dies ist in § 2a Abs. 3 AO nochmals ausdrücklich als Hinweis aufgenommen worden (Anwendungsvorrang). Die Regelungen der DSGVO dürfen im nationalen Recht grundsätzlich nicht wiederholt werden (Wiederholungsverbot).
2 Die Regelungen der DSGVO sind auch im Verwaltungsverfahren in Steuersachen nach der AO unmittelbar anzuwenden. Sie gelten damit insbesondere für
Bundesfinanzbehörden, soweit sie bundesgesetzlich geregelte Steuern verwalten (§ 1 Abs. 1 Satz 1 AO) oder den grenzüberschreitenden Warenverkehr überwachen (§ 2a Abs. 2 AO),
Landesfinanzbehörden, soweit sie bundesgesetzlich geregelte Steuern verwalten (§ 1 Abs. 1 Satz 1 AO) und
Gemeinden, soweit sie Realsteuern verwalten (§ 1 Abs. 2 Nr. 1 AO).
3 Zum Verwaltungsverfahren in Steuersachen nach der AO gehören insbesondere die Ermittlung der Steuerpflichtigen und der steuerrelevanten Sachverhalte (ggf. auch im Rahmen einer Außenprüfung, Lohnsteuer-Außenprüfung, Umsatzsteuer-Sonderprüfung, Lohnsteuer-Nachschau, Umsatzsteuer-Nachschau oder Kassen-Nachschau), die Festsetzung und Erhebung von Steuern, Steuervergütungen und steuerlichen Nebenleistungen einschließlich der Vollstreckung dieser Ansprüche, die Inanspruchnahme von Haftungsschuldnern sowie das außergerichtliche Rechtsbehelfsverfahren.
4 Die AO und die Steuergesetze enthalten ergänzende bereichsspezifische Regelungen zur Rechtmäßigkeit der Verarbeitung und Weiterverarbeitung personenbezogener Daten durch Finanzbehörden sowie andere öffentliche oder nicht-öffentliche Stellen (vgl. § 2a Abs. 1 Satz 1 AO). Außerdem enthält die AO Beschränkungen der Rechte der Betroffenen nach Kapitel III der DSGVO (siehe Rn. 29 ff.).
5 Die Regelungen des BDSG gelten für Finanzbehörden im Anwendungsbereich der AO nur, soweit dies in der AO ausdrücklich bestimmt ist (§ 2a Abs. 1 Satz 2 AO). Landesdatenschutzgesetze gelten im Anwendungsbereich der AO nicht.
2. Entsprechende Anwendung der DSGVO – § 2a Abs. 5 AO
6 Die DSGVO gilt unmittelbar nur für personenbezogene Daten lebender natürlicher Personen. § 2a Abs. 5 AO erweitert diesen Anwendungsbereich. Hiernach gelten die datenschutzrechtlichen Vorschriften der DSGVO, der AO und der Steuergesetze über die Verarbeitung personenbezogener Daten (lebender) natürlicher Personen des Weiteren entsprechend für Informationen, die sich auf identifizierte oder identifizierbare (vgl. Rn. 9)
verstorbene natürliche Personen oder
Körperschaften, rechtsfähige oder nicht rechtsfähige Personenvereinigungen oder Vermögensmassen
beziehen.
Soweit die AO (z. B. in § 30 Abs. 2 AO) oder dieses Schreiben die Begriffe „personenbezogene Daten” oder „betroffene Person” verwendet, gelten die jeweiligen Bestimmungen somit auch für Informationen entsprechend, die sich auf eine verstorbene natürliche Person oder auf eine Körperschaft, rechtsfähige oder nicht rechtsfähige Personenvereinigung oder Vermögensmasse beziehen.
3. Keine Anwendung der DSGVO in Steuerstraf- und -bußgeldverfahren – § 2a Abs. 4 AO
7 Die DSGVO gilt nicht für die Verarbeitung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Steuerstraftaten oder Steuerordnungswidrigkeiten (Art. 2 Abs. 2 Buchst. d DSGVO). Insoweit gelten die Vorschriften des Ersten und des Dritten Teils des BDSG, soweit gesetzlich nichts anderes bestimmt ist (§ 2a Abs. 4 AO). Abweichende gesetzliche Regelungen können sich z. B. aus der AO, der StPO oder über § 1 Abs. 1 Nr. 2 BDSG aus den Landesdatenschutzgesetzen ergeben.
II. Verarbeitung und Weiterverarbeitung personenbezogener Daten durch Finanzbehörden
1. Begriffsdefinitionen – Art. 4 und 9 Abs. 1 DSGVO
8 Soweit die AO oder die Steuergesetze Begriffe i. S. d. Art. 4 DSGVO verwenden (z. B. „personenbezogene Daten”, „Verarbeitung”, „Verantwortlicher” oder „Dateisystem”), sind die Legaldefinitionen der DSGVO verbindlich.
9 „Personenbezogene Daten” definiert Art. 4 Nr. 1 DSGVO als Informationen, die sich auf eine identifizierte oder identifizierbare (lebende) natürliche Person (= „betroffene Person”) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
10 „Besondere Kategorien personenbezogener Daten” definiert Art. 9 Abs. 1 DSGVO als Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht, sowie genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Laut Erwägungsgrund 10 Satz 5 der DSGVO werden besondere Kategorien personenbezogener Daten auch als sensible Daten bezeichnet. Im Folgenden sollen diese Daten der besseren Lesbarkeit halber als „sensible Daten” bezeichnet werden.
11 Die „Verarbeitung personenbezogener Daten” ist der Oberbegriff und umfasst nach Art. 4 Nr. 2 DSGVO insbesondere folgende Vorgänge oder Vorgangsreihen:
das Erheben (vgl. Rn. 12),
das Erfassen,
die Organisation,
das Ordnen,
die Speicherung,
die Anpassung oder Veränderung,
das Auslesen,
das Abfragen,
die Verwendung,
die Offenlegung (vgl. Rn. 13),
den Abgleich oder die Verknüpfung,
die Einschränkung, das Löschen oder die Vernichtung.
Dabei ist es unbeachtlich, ob diese Verarbeitung mit Hilfe automatisierter Verfahren oder manuell ausgeführt werden.
12 Unter „Erheben” ist das Beschaffen von personenbezogenen Daten zu verstehen, wenn die erhebende Stelle Kenntnis von den personenbezogenen Daten oder Verfügungsmacht über die Daten erlangt, beispielweise durch die Steuererklärung, eine Auskunft nach § 93 AO, eine Außenprüfung, eine gesetzlich vorgeschriebene Anzeige/Mitteilung oder eine Recherche in Zeitungen oder in elektronischen Medien/Abrufverfahren.
13 Die „Offenlegung” kann durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen. Sie umfasst jeden bewussten Vorgang, durch den personenbezogene Daten vom Bereich des Verantwortlichen in den Bereich eines Dritten gelangen können. Anlass, Zweck und Rechtsgrundlage des Offenlegens sind unerheblich. Der im Steuerrecht verwendete Begriff des Offenbarens i. S. d. § 30 AO ist eine Form des Offenlegens geschützter Daten i. S. d. Art. 4 Nr. 2 DSGVO (vgl. Nr. 3 des AEAO zu § 30).
14 „Verantwortlicher ” ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Soweit im Folgenden die „verantwortliche Finanzbehörde ” angesprochen wird, ist die Finanzbehörde gemeint, die jeweils über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Regelfall ist dies die im Einzelfall sachlich und örtlich zuständige Finanzbehörde. Stellen, die nach § 20 Abs. 3 FVG technische Hilfstätigkeiten für die sachlich und örtlich zuständigen Finanzbehörden erbringen, sind nicht „Verantwortliche” i. S. d. Art. 4 Nr. 7 DSGVO, sondern „Auftragsverarbeiter” i. S. d. Art. 4 Nr. 8 DSGVO. In den Fällen des § 29a AO bleibt also verantwortliche Finanzbehörde das örtlich zuständige Finanzamt und nicht das unterstützende Finanzamt.
2. Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten – Art. 5 DSGVO
15 Art. 5 DSGVO bestimmt folgende Grundsätze für die Verarbeitung personenbezogener Daten:
Rechtmäßigkeit,
Verarbeitung nach Treu und Glauben,
Transparenz,
Zweckbindung,
Datenminimierung,
Richtigkeit,
Speicherbegrenzung,
Integrität und Vertraulichkeit sowie
Rechenschaftspflicht des Verantwortlichen.
3. Zulässigkeit der Verarbeitung personenhezogener Daten durch Finanzhelzärden – § 29b AO
16 Die DSGVO ist gesetzestechnisch als „Verbot mit Erlaubnisvorbehalr’ konzipiert worden. Deswegen benötigen rechtmäßige Datenverarbeitungen immer eine Erlaubnis, andernfalls sind sie „datenschutzwidrig” und damit rechtswidrig. Im öffentlichen Bereich (d. h. auch in Verwaltungsverfahren in Steuersachen nach der AO) ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die Verarbeitung
zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Art. 6 Abs. 1 Satz 1 Buchst. c DSGVO) oder
für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO).
17 Die Rechtsgrundlage für Verarbeitungen gem. Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO muss durch Unionsrecht (z. B. EU-Verordnungen wie die Zusammenarbeitsverordnung – VO EU 904/2010) oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt sein (Art. 6 Abs. 3 Satz 1 DSGVO).
18 § 29b Abs. 1 AO ist die nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten i. S. d. Art. 6 Abs. 3 Satz 1 DSGVO durch Finanzbehörden in Verwaltungsverfahren in Steuersachen nach der AO. Hiernach dürfen Finanzbehörden personenbezogene Daten verarbeiten, wenn dies zur Erfüllung der ihnen obliegenden Aufgaben oder in Ausübung öffentlicher Gewalt, die ihnen übertragen wurde, erforderlich ist. Die den Finanzbehörden obliegenden Aufgaben und öffentlich-rechtlichen Befugnisse ergeben sich aus der AO (vgl. § 85 AO) und den Steuergesetzen. Die Zulässigkeit der Verarbeitung personenbezogener Daten zu anderen Zwecken durch Finanzbehörden richtet sich nach § 29c AO (siehe Rn. 23 ff.).
19 Sensible Daten (siehe Rn. 10) dürfen nur in den in Art. 9 Abs. 2 DSGVO genannten Fällen verarbeitet werden.
20 § 29b Abs. 2 AO ist die nationale Rechtsgrundlage für die Verarbeitung sensibler Daten im Sinne des Art. 9 Abs. 2 Buchst. g DSGVO in Verwaltungsverfahren in Steuersachen nach der AO durch Finanzbehörden. Die Verarbeitung sensibler Daten durch eine Finanzbehörde ist hiernach zulässig, soweit die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen. Ein erhebliches öffentliches Interesse liegt insbesondere vor, wenn Steuergesetze ausdrücklich an sensible Daten anknüpfen (sei es z. B. beim Abzug von Werbungskosten, Sonderausgaben oder außergewöhnlichen Belastungen).
21 In diesem Fall sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. § 22 Abs. 2 Satz 2 BDSG ist dabei entsprechend anzuwenden (§ 29b Abs. 2 Satz 2 2. HS AO). Im Hinblick auf den Schutz personenbezogener Daten nach § 30 AO und § 355 StGB ist sowohl für sensible Daten als auch für die übrigen personenbezogenen Daten das gleiche Datenschutzniveau zu wählen und es sind entsprechende Maßnahmen zu treffen. Das Datenschutzniveau orientiert sich am Schutzniveau für die Verarbeitung sensibler Daten.
22 Art. 6 Abs. 4 DSGVO i. V. m. § 29b AO gestattet die Verarbeitung der Daten lediglich zu dem Zweck, zu dem sie erhoben worden sind. Zweck ist die Durchführung des jeweiligen Verwaltungsverfahrens in Steuersachen nach der AO (vgl. Rn. 2 und 3), differenziert nach Abgabeart (Steuer zuzüglich steuerliche Nebenleistungen), Besteuerungszeitraum/-zeitpunkt und Steuerschuldner. Für gesonderte und gesonderte und einheitliche Feststellungen gilt Entsprechendes.
So ist z. B. Zweck der Verarbeitung der im Rahmen der Einkommensteuererklärung erhobenen personenbezogenen Daten für das Jahr 2017 die Festsetzung und Erhebung der Einkommensteuer für 2017 (ggf. einschließlich der Ermittlung der Besteuerungsgrundlagen durch eine Außenprüfung oder durch ein Auskunftsersuchen gegenüber einem Dritten, der Vollstreckung, der Haftungsinanspruchnahme eines Dritten oder der Durchführung eines außergerichtlichen Rechtsbehelfsverfahrens).
4. Weiterverarbeitung personenbezogener Daten durch Finanzbehörden – § 29c AO
23 Personenbezogene Daten, die zu einem bestimmten Zweck erhoben wurden, dürfen nicht einfach für andere Zwecke weiterverwendet werden. Werden personenbezogene Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben oder erfasst wurden, verarbeitet (sogen. Weiterverarbeitung), muss eine entsprechende Ermächtigung durch eine Rechtsvorschrift der Union (z. B. EU-Verordnungen wie die Zusammenarbeitsverordnung – VO EU 904/2010) oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt, vorhanden sein (Art. 6 Abs. 4 DSGVO).
24 § 29c Abs. 1 AO ist die nationale Rechtsgrundlage für die Weiterverarbeitung personenbezogener Daten i. S. d. Art. 6 Abs. 4 DSGVO durch Finanzbehörden.
25 Die Weiterverarbeitung personenbezogener Daten durch Finanzbehörden ist im Rahmen ihrer Aufgabenerfüllung insbesondere in folgenden Fällen zulässig:
Die Weiterverarbeitung dient einem
anderen Verwaltungsverfahren in Steuersachen,
Rechnungsprüfungsverfahren in Steuersachen,
gerichtlichen Verfahren in Steuersachen,
Strafverfahren wegen einer Steuerstraftat oder
Bußgeldverfahren wegen einer Steuerordnungswidrigkeit
Es liegen die gesetzlichen Voraussetzungen vor, die nach § 30 Abs. 4 oder 5 AO eine Offenbarung der Daten zulassen würden, oder es ist zu prüfen, ob diese Voraussetzungen vorliegen (§ 29c Abs. 1 Satz 1 Nr. 2 AO).
Die Weiterverarbeitung ist für die Wahrnehmung von Aufsichts-, Steuerungs- und Disziplinarbefugnissen der Finanzbehörde erforderlich (§ 29c Abs. 1 Satz 1 Nr. 6 1. Alt. AO). Hierbei dürfen die Daten nur durch Personen verarbeitet werden, die nach § 30 AO zur Wahrung des Steuergeheimnisses verpflichtet sind (§ 29c Abs. 1 Satz 3 AO). Eine Weiterverarbeitung für die Wahrnehmung von Disziplinarbefugnissen anderer Behörden ist unter den Voraussetzungen des § 29c Abs. 1 Satz 1 Nr. 2 AO i. V. m. § 30 Abs. 4 Nr. 5 AO zulässig.
Die Veränderung oder Nutzung personenbezogener Daten ist zu Ausbildungs- und Prüfungszwecken durch die Finanzbehörde erforderlich und überwiegende schutzwürdige Interessen der betroffenen Person stehen dem nicht entgegen (§ 29c Abs. 1 Satz 1 Nr. 6 2. Alt. AO). Hierbei dürfen die Daten nur durch Personen verarbeitet werden, die nach § 30 AO zur Wahrung des Steuergeheimnisses verpflichtet sind (§ 29c Abs. 1 Satz 3 AO).
26 Eine Weiterverarbeitung im Sinne des § 29c Abs. 1 AO liegt auch dann vor, wenn sie durch denselben Amtsträger erfolgt, der die ursprüngliche Verarbeitung i. S. d. § 29b AO ausgeführt hat (z. B. Daten aus der ESt-Veranlagung werden durch denselben Amtsträger i. R. d. USt-Festsetzung verwendet). Sofern die Daten darüber hinaus einem Dritten offenbart werden sollen, muss eine Befugnis im Sinne des § 30 Abs. 4 oder 5 AO gegeben sein.
27 Die Weiterverarbeitung sensibler Daten ist unter den Voraussetzungen des § 29c Abs. 2 AO zulässig.
III. Steuergeheimnis – § 30 AO
28 Auf die Regelungen im AEAO zu § 30 (vgl. ) wird verwiesen.
IV. Rechte der betroffenen Person – Art. 12 bis 22 DSGVO, §§ 32a bis 32f AO
29 Die von der Datenverarbeitung betroffenen Personen haben nach Art. 12 bis 22 DSGVO verschiedene Rechte, bzw. den Verantwortlichen obliegen hiernach gegenüber den betroffenen Personen bestimmte Pflichten. Der nationale Gesetzgeber hat im Anwendungsbereich der AO von der ihm eingeräumten Regelungsbefugnis Gebrauch gemacht und die Betroffenenrechte modifiziert. Die Betroffenenrechte werden ergänzend zur DSGVO durch §§ 32a bis 32f AO eingeschränkt.
1. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person – Art. 12 DSGVO, § 32d AO
30 Die verantwortliche Finanzbehörde muss nach Art. 12 Abs. 1 Satz 1 DSGVO der betroffenen Person alle Informationen gem. den Art. 13 und 14 DSGVO und alle Mitteilungen gem. den Art. 15 bis 22 und Art. 34 DSGVO, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln.
31 Die Übermittlung der Informationen erfolgt nach Art. 12 Abs. 1 Satz 2 DSGVO schriftlich oder in anderer Form, ggf. auch elektronisch. Bei der elektronischen Übermittlung personenbezogener Daten ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO).
32 Soweit der Erteilung der Information oder Auskunft keine Rechtsgründe entgegenstehen, bestimmt die Finanzbehörde die Form der Informations- oder Auskunftserteilung gem. § 32d AO grundsätzlich nach pflichtgemäßem Ermessen. Wenn sie es für zweckmäßig hält, kann die Information oder Auskunft auch im Wege der Akteneinsicht erteilt werden.
33 Hat die betroffene Person einen Bevollmächtigten i. S. d. § 80 Abs. 1 AO bestellt, soll die Information bzw. die Auskunft dem Bevollmächtigten erteilt werden, sofern keine Anhaltspunkte für einen abweichenden Willen der betroffenen Person zu erkennen sind. Von einem abweichenden Willen der betroffenen Person ist z. B. auszugehen, wenn sie persönlich einen Auskunftsantrag nach Art. 15 DSGVO gestellt hat.
34 Die verantwortliche Finanzbehörde muss der betroffenen Person nach Art. 12 Abs. 3 Satz 1 DSGVO Informationen über die auf Antrag gem. den Art. 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellen.
35 Kann diese Frist wegen der Komplexität und der Anzahl der Anträge nicht eingehalten werden, sind die Informationen innerhalb von zwei weiteren Monaten zur Verfügung zu stellen (Art. 12 Abs. 3 Satz 2 DSGVO). Die betroffene Person ist hierüber innerhalb eines Monats nach Eingang des Antrags, zusammen mit den Gründen für die Verzögerung, zu unterrichten (Art. 12 Abs. 3 Satz 3 DSGVO).
36 Wird die verantwortliche Finanzbehörde auf den Antrag der betroffenen Person hin nicht tätig, muss sie die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit unterrichten, Beschwerde bei der Datenschutzaufsichtsbehörde (vgl. Art. 77 DSGVO) oder einen gerichtlichen Rechtsbehelf (vgl. Art. 79 DSGVO) einzulegen (Art. 12 Abs. 4 DSGVO).
37 Informationen gem. Art. 13 und 14 DSGVO sowie alle Mitteilungen und Maßnahmen gem. Art. 15 bis 22 und Art. 34 DSGVO werden grundsätzlich unentgeltlich zur Verfügung gestellt (Art. 12 Abs. 5 Satz 1 DSGVO).
38 Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann die verantwortliche Finanzbehörde nach Art. 12 Abs. 5 Satz 2 Buchst. b DSGVO sich weigern, aufgrund des Antrags tätig zu werden. Die verantwortliche Finanzbehörde hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen (Art. 12 Abs. 5 Satz 3 DSGVO).
2. Informationspflicht bei Erhebung von personenbezogenen Daten
39 Nach Art. 13 und 14 DSGVO obliegen der verantwortlichen Finanzbehörde Informationspflichten gegenüber der betroffenen Person, wenn sie personenbezogene Daten zu dieser Person erhebt oder beabsichtigt, diese weiterzuverarbeiten. Siehe dazu auch die Übersicht in Anlage 1.
a) Bei der betroffenen Person erhobene personenbezogene Daten – Art. 13 DSGVO, § 32a AO
aa) Informationspflicht von Amts wegen
40 Im Fall der Erhebung personenbezogener Daten bei der betroffenen Person muss die verantwortliche Finanzbehörde nach Art. 13 Abs. 1 und 2 DSGVO der betroffenen Person die in diesen Regelungen genannten Daten und Informationen spätestens im Zeitpunkt der Erhebung von Amts wegen mitteilen.
41 Mitzuteilen sind hiernach insbesondere:
der Name und die Kontaktdaten der verantwortlichen Finanzbehörde sowie ggf. ihres Vertreters oder ihres Datenschutzbeauftragten;
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen (vgl. Rn. 25);
die Rechtsgrundlage für die Verarbeitung;
ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
das Bestehen eines Rechts auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung;
das Bestehen eines Beschwerderechts bei der oder dem Bundesbeauftragen für den Datenschutz und die Informationsfreiheit (BfDI);
ggf. das Bestehen einer gesetzlichen Pflicht zur Bereitstellung der personenbezogenen Daten durch die betroffene Person;
ggf. welche mögliche Folgen die Nichtbereitstellung hätte.
42 Beabsichtigt die verantwortliche Finanzbehörde, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, muss sie der betroffenen Person vor dieser Weiterverarbeitung von Amts wegen Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen (Art. 13 Abs. 3 DSGVO).
43 Diese Informationspflichten (Rn. 40 bis 42) können soweit möglich auch in allgemeiner Form (beispielsweise durch ein allgemeines Informationsschreiben mit Hinweis auf ein – z. B. im Internet – veröffentlichtes Merkblatt) erfüllt werden (§ 32d Abs. 2 AO). Im Fall elektronischer Übermittlung der Information ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO).
bb) Ausnahmen von der Informationspflicht
44 Die o. g. Informationspflichten gem. Art. 13 Abs. 1 bis 3 DSGVO bestehen nach Art. 13 Abs. 4 DSGVO nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Hiervon ist auszugehen, soweit ein allgemeines Informationsschreiben gem. § 32d Abs. 2 AO mit Hinweis auf ein – z. B. im Internet – veröffentlichtes Merkblatt übermittelt worden ist.
45 Darüber hinaus besteht die Informationspflicht bei beabsichtigter Weiterverarbeitung (vgl. Art. 13 Abs. 3 DSGVO) nach Art. 23 Abs. 1 DSGVO i. V. m. § 32a Abs. 1 AO in folgenden Fällen nicht:
46 die Erteilung der Information würde die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben gefährden (vgl. Rn. 50 und 51) und die Interessen der Finanzbehörden an der Nichterteilung der Information überwiegen die Interessen der betroffenen Person (§ 32a Abs. 1 Nr. 1 i. V. m. Abs. 2 AO),
47 die Erteilung der Information würde die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten und die Interessen der Finanzbehörde an der Nichterteilung der Information überwiegen die Interessen der betroffenen Person (§ 32a Abs. 1 Nr. 2 AO),
48 die Erteilung der Information würde den Rechtsträger der Finanzbehörde (d. h. Bund, Land oder Gemeinde) in der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche oder in der Verteidigung gegen ihn geltend gemachter zivilrechtlicher Ansprüche (z. B. Amtshaftungsansprüche, Schadenersatzansprüche, Insolvenzanfechtungsansprüche) beeinträchtigen (§ 32a Abs. 1 Nr. 3 AO); diese Ausnahme gilt allerdings nicht, wenn die Finanzbehörde nach dem Zivilrecht zur Information verpflichtet ist, oder
49 die Erteilung der Information würde eine vertrauliche Offenbarung geschützter Daten gegenüber öffentlichen Stellen gefährden (§ 32a Abs. 1 Nr. 4 AO). Beispiele:
50 Die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben wird nach § 32a Abs. 2 Nr. 1 AO insbesondere gefährdet, wenn die Erteilung der Information den Betroffenen oder Dritte in die Lage versetzen könnte,
steuerlich bedeutsame Sachverhalte zu verschleiern,
steuerlich bedeutsame Spuren zu verwischen oder
Art und Umfang der Erfüllung steuerlicher Mitwirkungspflichten auf den Kenntnisstand der Finanzbehörden einzustellen,
und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde.
Mitteilungen an die Steuerfahndung,
Mitteilungen an die für Steuerstrafverfahren und Steuerordnungswidrigkeitenverfahren zuständigen Stellen,
Kontrollmitteilungen,
Verwendung von Informationen (Bankverbindung, Vermögen usw.) für die Vollstreckung anderer Steuern derselben betroffenen Person.
51 Die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben wird nach § 32a Abs. 2 Nr. 2 AO insbesondere auch dann gefährdet, wenn die Erteilung der Information Rückschlüsse auf die Ausgestaltung automationsgestützter Risikomanagementsysteme oder auf geplante Kontroll- oder Prüfungsmaßnahmen zulassen und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde.
52 Unterbleibt eine Information der betroffenen Person nach § 32a Abs. 1 Nr. 1 bis 4 AO, muss die verantwortliche Finanzbehörde nach § 32a Abs. 3 AO geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person (Recht auf Information) treffen (z. B. Wiedervorlage und erneute Prüfung bei einem nur vorübergehenden Hinderungsgrund). Die Gründe für die Entscheidung, die betroffene Person nicht zu informieren, sind zu dokumentieren.
53 Im Fall eines vorübergehenden Hinderungsgrundes muss die verantwortliche Finanzbehörde der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes (z. B. Durchführung der Vollstreckungsmaßnahme) nachkommen, spätestens jedoch innerhalb von zwei Wochen (§ 32a Abs. 4 AO).
54 Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch Finanzbehörden an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nach § 32a Abs. 5 AO nur mit Zustimmung dieser Stellen zulässig.
b) Bei Dritten erhobene personenbezogene Daten – Art. 14 DSGVO, § 32b AO
aa) Informationspflicht von Amts wegen
55 Im Fall der Erhebung personenbezogener Daten bei Dritten muss die verantwortliche Finanzbehörde nach Art. 14 Abs. 1 und 2 DSGVO der betroffenen Person die in diesen Regelungen genannten Daten und Informationen von Amts wegen mitteilen.
56 Ergänzend zu den nach Art. 13 DSGVO mitzuteilenden Daten und Informationen (vgl. Rn. 40 ff.) müssen der betroffenen Person hiernach insbesondere auch folgende Daten und Informationen mitgeteilt werden:
die Kategorien personenbezogener Daten,
aus welcher Quelle die personenbezogenen Daten stammen und
ggf. ob sie aus öffentlich zugänglichen Quellen stammen.
57 Die verantwortliche Finanzbehörde muss die vorgenannten Informationen grundsätzlich innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats mitteilen (Art. 14 Abs. 3 Buchst. a DSGVO). Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, müssen die vorgenannten Informationen spätestens zum Zeitpunkt der ersten Mitteilung an sie mitgeteilt werden (Art. 14 Abs. 3 Buchst. b DSGVO). Falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, müssen die vorgenannten Informationen spätestens zum Zeitpunkt der ersten Offenlegung mitgeteilt werden (Art. 14 Abs. 3 Buchst. c DSGVO).
58 Im Fall elektronischer Übermittlung der Information ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO).
59 Beabsichtigt die verantwortliche Finanzbehörde, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, muss sie der betroffenen Person vor dieser Weiterverarbeitung von Amts wegen Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen (Art. 14 Abs. 4 DSGVO).
bb) Ausnahmen von der Informationspflicht
60 Die o. g. Informationspflichten gem. Art. 14 Abs. 1 bis 4 DSGVO bestehen nach Art. 14 Abs. 5 DSGVO nicht, wenn und soweit
die betroffene Person bereits über die Informationen verfügt (hiervon ist auszugehen, soweit ein allgemeines Informationsschreiben gem. § 32d Abs. 2 AO mit Hinweis auf ein – z. B. im Internet – veröffentlichtes Merkblatt übermittelt worden ist);
die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde (vgl. dazu im Einzelnen Art. 14 Abs. 5 Buchst. b DSGVO);
die Erlangung der Information durch die Finanzbehörde oder die Offenlegung der Information gegenüber Dritten durch Rechtsvorschriften der Union oder der Mitgliedstaaten ausdrücklich geregelt ist (z. B. § 22a EStG i. V. m. § 93c AO) oder
die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
61 Darüber hinaus besteht nach Art. 23 Abs. 1 DSGVO i. V. m. § 32b Abs. 1 AO in folgenden Fällen keine Informationspflicht:
soweit die Erteilung der Information
die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden (vgl. dazu § 32a Abs. 2 AO sowie Rn. 50 und 51) oder anderer öffentlicher Stellen liegenden Aufgaben i. S. d. Art. 23 Abs. 1 Buchst. d bis h DSGVO gefährden würde oder
die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde
oder
wenn die Daten, ihre Herkunft, ihre Empfänger oder die Tatsache ihrer Verarbeitung nach § 30 AO oder einer anderen Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen überwiegender berechtigter Interessen eines Dritten i. S. d. Art. 23 Abs. 1 Buchst. i DSGVO, geheim gehalten werden müssen
und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss.
62 Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch Finanzbehörden an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig (§ 32b Abs. 2 AO).
63 Unterbleibt eine Information der betroffenen Person nach § 32b Abs. 1 Nr. 1 und 2 AO, gelten die Regelungen in Rn. 52 entsprechend.
3. Auskunftsrecht der betroffenen Person – Art. 15 DSGVO, § 32c AO
a) Auskunftspflicht auf Antrag
64 Die betroffene Person hat das Recht, von der verantwortlichen Finanzbehörde eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten von der Finanzbehörde verarbeitet werden; ist dies der Fall, hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 Abs. 1 Buchst. a bis h DSGVO genannten Informationen (Auskunft auf Antrag). Der Antrag kann formlos gestellt werden und bedarf keiner Begründung (zur Benennung der Daten, über die Auskunft erteilt werden soll, vgl. Rn. 69).
65 Soweit sich aus dem Antrag nicht etwas anderes ergibt, sind der betroffenen Person neben den verarbeiteten personenbezogenen Daten insbesondere folgende Informationen mitzuteilen:
die Zwecke der Verarbeitung (vgl. Rn. 25);
die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere Empfänger in Drittländern oder internationale Organisationen;
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (vgl. hierzu § 17 BuchO i. V. m. AufbewBest-FV).
66 Die verantwortliche Finanzbehörde muss der betroffenen Person eine Zusammenstellung der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, unentgeltlich zur Verfügung stellen (Art. 15 Abs. 3 Satz 1 DSGVO). Die Rechte Dritter – insbesondere auf Wahrung des Steuergeheimnisses – sind hierbei zu schützen (Art. 15 Abs. 4 DSGVO).
67 Stellt die betroffene Person den Auskunftsantrag elektronisch, sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt (Art. 15 Abs. 3 Satz 3 DSGVO). Hierbei ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO).
b) Ausnahmen von der Auskunftspflicht
68 Der nationale Gesetzgeber hat Ausnahmen von diesem Auskunftsrecht festgelegt. Nach Art. 23 Abs. 1 DSGVO i. V. m. § 32c Abs. 1 AO besteht insbesondere kein Auskunftsrecht der betroffenen Person, soweit
die betroffene Person nach § 32b Abs. 1 Nr. 1 oder 2 oder Abs. 2 AO nicht zu informieren ist (vgl. dazu im Einzelnen Rn. 61 f.),
die Auskunftserteilung den Rechtsträger der Finanzbehörde in der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche oder in der Verteidigung gegen ihn geltend gemachter zivilrechtlicher Ansprüche i. S. d. Art. 23 Abs. 1 Buchst. j DSGVO beeinträchtigen würde; Auskunftspflichten der Finanzbehörde nach dem Zivilrecht bleiben hiervon allerdings unberührt (vgl. Rn. 48),
die personenbezogenen Daten ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen (vgl. z. B. § 6 StDAV) und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
69 Pauschal gestellte Auskunftsanträge müssen im Regelfall durch die betroffene Person präzisiert werden. Denn die betroffene Person soll in dem Auskunftsantrag die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen (§ 32c Abs. 2 AO i. V. m. Erwägungsgrund 63 Satz 7 der DSGVO). Ein präzisierter Auskunftsantrag ist erforderlich, weil die Finanzbehörde zu einer betroffenen Person in der Regel eine große Menge personenbezogener Daten verarbeitet. Macht die betroffene Person auch auf Nachfrage keine sachdienlichen Angaben, kann ein Fall des Art. 12 Abs. 5 Satz 2 DSGVO vorliegen (vgl. Rn. 38).
70 Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen. Eine Begründung unterbleibt, soweit der mit der Auskunftsablehnung verfolgte Zweck gefährdet würde (§ 32c Abs. 4 Satz 1 AO).
71 Die zum Zweck der Auskunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet werden; für andere Zwecke ist die Verarbeitung nach Maßgabe des Art. 18 DSGVO einzuschränken (§ 32c Abs. 4 Satz 2 AO; vgl. Rn. 83 f.).
72 Soweit eine Finanzbehörde die Erteilung einer Auskunft ablehnt, ist die Auskunft auf Verlangen der betroffenen Person grundsätzlich der oder dem BfDI zu erteilen. Dies gilt nicht, soweit die jeweils zuständige oberste Finanzbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde (§ 32c Abs. 5 Satz 1 AO).
73 Die Mitteilung der oder des BfDI an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung der Auskunftsverweigerung darf keine Rückschlüsse auf den Erkenntnisstand der Finanzbehörde zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt (§ 32c Abs. 5 Satz 2 AO).
4. Auskunfts- und Informationsrechte nach dem Informationsfreiheitsgesetz (IFG) oder entsprechenden Landesgesetzen – § 32e AO
74 Soweit die betroffene Person oder ein Dritter nach dem IFG oder nach entsprechenden Gesetzen der Länder gegenüber der Finanzbehörde einen Anspruch auf Zugang zu geschützten Daten i. S. d. § 30 Abs. 2 AO hat, gelten die Art. 12 bis 15 der DSGVO in Verbindung mit den §§ 32a bis 32d AO entsprechend (§ 32e Satz 1 AO). Weitergehende Informationsansprüche über geschützte Daten sind insoweit ausgeschlossen. Damit soll sichergestellt werden, dass anderweitige Informationszugangsansprüche insoweit nicht weitergehen als die Rechte der betroffenen Personen nach der DSGVO und der AO.
5. Recht auf Berichtigung – Art. 16 DSGVO, § 32f Abs. 1 AO
75 Nach Art. 16 DSGVO hat die betroffene Person das Recht, von der verantwortlichen Finanzbehörde unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person außerdem das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
76 Bestreitet die betroffene Person die Richtigkeit sie betreffender personenbezogener Daten und lässt sich weder die Richtigkeit noch die Unrichtigkeit der Daten feststellen, bewirkt dies nach § 32f Abs. 1 AO keine Einschränkung der Verarbeitung (vgl. Art. 4 Nr. 3 DSGVO), soweit die Daten einem Verwaltungsakt zugrunde liegen, der nicht mehr aufgehoben, geändert oder berichtigt werden kann. Die ungeklärte Sachlage ist in diesem Fall allerdings in geeigneter Weise festzuhalten (z. B. schriftlicher oder elektronischer Aktenvermerk). Die bestrittenen Daten dürfen nur mit einem Hinweis hierauf verarbeitet werden.
6. Recht auf Löschung – Art. 17 DSGVO, § 32f Abs. 2 AO
77 Die betroffene Person hat das Recht, von der verantwortlichen Finanzbehörde zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist dann verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der in Art. 17 Abs. 1 Buchst. a bis f DSGVO genannten Gründe zutrifft. In Betracht kommen insbesondere folgende Gründe:
Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. Anhaltspunkte für die Dauer der Notwendigkeit der Datenspeicherung ergeben sich aus § 17 BuchO i. V. m. AufbewBest-FV.
Die betroffene Person legt gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor (vgl. Rn. 88).
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
78 Das Recht der betroffenen Person, die Löschung personenbezogener Daten verlangen zu dürfen, und die damit verbundene Pflicht der verantwortlichen Finanzbehörde zur Löschung nach Art. 17 Abs. 1 DSGVO gelten nach Art. 17 Abs. 3 DSGVO allerdings insbesondere nicht, soweit die Verarbeitung erforderlich ist
zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten durch die verantwortliche Finanzbehörde erfordert,
zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der verantwortlichen Finanzbehörde übertragen wurde, oder
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
79 Sind die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig, oder wurden sie unrechtmäßig verarbeitet, ist anstelle ihrer Löschung die Verarbeitung einzuschränken,
soweit die Daten einem Verwaltungsakt zugrunde liegen, der nicht mehr aufgehoben, geändert oder berichtigt werden kann, und
die Finanzbehörde Grund zu der Annahme hat, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden
(§ 32f Abs. 3 Satz 1 AO). Dies ist in geeigneter Weise festzuhalten (z. B. schriftlicher oder elektronischer Aktenvermerk). Die Finanzbehörde unterrichtet außerdem die betroffene Person über die Einschränkung der Verarbeitung, sofern sich die Unterrichtung nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
80 Im Fall nicht automatisierter Datenverarbeitung besteht das Recht der betroffenen Person auf und die Pflicht der Finanzbehörde zur Löschung personenbezogener Daten nicht, wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich (z. B. Verfilmung) und das Interesse der betroffenen Person an der Löschung als gering anzusehen ist (§ 32f Abs. 2 Satz 1 AO). In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gem. Art. 18 DSGVO (§ 32f Abs. 2 Satz 2 AO). Die Sätze 1 und 2 gelten nach § 32f Abs. 2 Satz 3 AO allerdings nicht, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
7. Recht auf Einschränkung der Verarbeitung – Art. 18 DSGVO
81 Die betroffene Person hat nach Art. 18 Abs. 1 DSGVO das Recht, von der verantwortlichen Finanzbehörde die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 Abs. 1 Buchst. a bis d DSGVO genannten Voraussetzungen gegeben ist. Die Einschränkung der Verarbeitung bedeutet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (Art. 4 Nr. 3 DSGVO).
82 Eine Einschränkung der Verarbeitung kommt nach Art. 18 Abs. 1 DSGVO insbesondere in Betracht, wenn
die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird (vgl. Rn. 75), und zwar für eine Dauer, die es der verantwortlichen Finanzbehörde ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten nach Art. 17 DSGVO ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt,
die verantwortliche Finanzbehörde die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
die betroffene Person Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe der verantwortlichen Finanzbehörde gegenüber denen der betroffenen Person überwiegen.
83 Wurde die Verarbeitung personenbezogener Daten gem. Art. 18 Abs. 1 DSGVO eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nach Art. 18 Abs. 2 DSGVO nur
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder
aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats
verarbeitet werden. Ein wichtiges öffentliches Interesse in diesem Sinne ist die gesetzmäßige und gleichmäßige Besteuerung (vgl. Art. 23 Abs. 1 Buchst. e DSGVO).
84 Die betroffene Person, die eine Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 DSGVO erwirkt hat, wird von der verantwortlichen Finanzbehörde unterrichtet, bevor die Einschränkung der Verarbeitung aufgehoben wird (Art. 18 Abs. 3 DSGVO).
8. Mitteilungspflicht der verantwortlichen Finanzbehörde im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung – Art. 19 DSGVO
85 Die verantwortliche Finanzbehörde muss nach Art. 19 DSGVO allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede auf Verlangen der betroffenen Person nach Art. 16, Art. 17 Abs. 1 und Art. 18 DSGVO erfolgte Berichtigung oder Löschung der personenbezogenen Daten oder Einschränkung ihrer Verarbeitung mitteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Die verantwortliche Finanzbehörde muss die betroffene Person über diese Empfänger informieren, wenn die betroffene Person dies verlangt.
9. Recht auf Datenübertragbarkeit – Art. 20 DSGVO
86 Art. 20 DSGVO ist im Verwaltungsverfahren in Steuersachen nach der AO nicht anzuwenden, da die Verarbeitung personenbezogener Daten nicht auf Grundlage einer Einwilligung erfolgt (vgl. Erwägungsgrund 68 Satz 3 ff. der DSGVO).
10. Widerspruchsrecht – Art. 21 DSGVO, § 32f Abs. 5 AO
87 Die betroffene Person hat nach Art. 21 Abs. 1 Satz 1 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt, Widerspruch einzulegen. Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Widerspruchsrecht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen (Art. 21 Abs. 4 DSGVO), beispielsweise durch Aufnahme in ein allgemeines Informationsschreiben gem. § 32d Abs. 2 AO mit Hinweis auf ein – z. B. im Internet – veröffentlichtes Merkblatt.
88 Die verantwortliche Finanzbehörde verarbeitet nach Eingang eines solchen Widerspruchs die personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 Abs. 1 Satz 2 DSGVO).
89 Das Recht auf Widerspruch gem. Art. 21 Abs. 1 DSGVO gegenüber einer Finanzbehörde besteht nach § 32f Abs. 5 AO außerdem nicht, soweit
an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder
eine Rechtsvorschrift zur Verarbeitung verpflichtet.
Ein zwingendes öffentliches Interesse liegt insbesondere in den Fällen des § 30 Abs. 4 Nr. 5 AO vor. Rechtsvorschriften, die zur Verarbeitung verpflichten, sind z. B. §§ 85, 88 AO, aber auch gesetzliche Regelungen, die die Finanzbehörde zur Offenbarung verpflichten (z. B. §§ 31a, 31b AO).
11. Automatisierte Entscheidungen im Einzelfall – Art. 22 DSGVO
90 Die betroffene Person hat nach Art. 22 Abs. 1 DSGVO das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Art. 22 Abs. 1 DSGVO gilt nach Art. 22 Abs. 2 DSGVO allerdings nicht, wenn die Entscheidung aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die verantwortliche Finanzbehörde unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten (vgl. § 155 Abs. 4 AO).
91 Nach Art. 22 Abs. 2 DSGVO zulässige, auf einer automatisierten Verarbeitung beruhende Entscheidungen dürfen auch auf der Verarbeitung sensibler Daten beruhen, sofern Art. 9 Abs. 2 Buchst. g DSGVO i. V. m. § 29b Abs. 2 AO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden (Art. 22 Abs. 4 DSGVO i. V. m. § 155 Abs. 4 AO).
V. Datenschutzaufsicht
1. Datenschutzbeauftragte der Finanzbehörden – Art. 37 ff. DSGVO, § 32g AO, §§ 5 ff. BDSG
92 Alle öffentlichen Stellen die personenbezogene Daten verarbeiten – mit Ausnahme der Gerichte, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln – müssen nach Art. 37 Abs. 1 DSGVO einen Datenschutzbeauftragten bestimmen.
93 Nach § 32g AO sind für die Benennung, Stellung und Aufgaben des Datenschutzbeauftragten der Finanzbehörden im Anwendungsbereich der AO § 5 Abs. 2 bis 5 sowie §§ 6 und 7 des BDSG entsprechend anzuwenden.
94 In diesem Zusammenhang gilt u. a. das Folgende:
Für mehrere Finanzbehörden kann unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden (§ 5 Abs. 2 BDSG).
Der Datenschutzbeauftragte kann gem. Art. 37 Abs. 6 DSGVO Beschäftigter des Verantwortlichen bzw. des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (§ 5 Abs. 4 BDSG).
Der Verantwortliche oder der Auftragsverarbeiter hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese der Datenschutzaufsichtsbehörde mitzuteilen (§ 5 Abs. 5 BDSG).
Die Finanzbehörde hat sicherzustellen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält (§ 6 Abs. 3 BDSG). Er handelt insoweit weisungsfrei.
2. Datenschutzaufsicht über Finanzbehörden – Art. 51 ff. DSGVO, § 32h Abs. 1 AO
95 Für die datenschutzrechtliche Aufsicht über die Finanzbehörden hinsichtlich der Verarbeitung personenbezogener Daten im Anwendungsbereich der AO ist die oder der BfDI nach § 8 BDSG zuständig. Die §§ 13 bis 16 des BDSG gelten entsprechend (§ 32h Abs. 1 AO).
3. Datenschutzaufsicht über andere öffentliche sowie nicht-öffentliche Stellen
96 Nach § 9 BDSG ist die oder der BfDI für die Aufsicht über die anderen öffentlichen Stellen des Bundes zuständig, auch soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Dies gilt auch für Auftragsverarbeiter, soweit sie nicht-öffentliche Stellen sind, bei denen dem Bund die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle des Bundes ist.
97 Die Datenschutzaufsicht über andere öffentliche Stellen der Länder sowie nicht-öffentliche Stellen regeln die jeweiligen Landesdatenschutzgesetze. Dies gilt auch soweit diese anderen öffentlichen und nicht-öffentlichen Stellen gem. § 2a Abs. 1 Satz 1 AO die Vorschriften der AO und der Steuergesetze über die Verarbeitung personenbezogener Daten zu beachten haben.
4. Datenschutz-Folgenabschätzung – Art. 35 DSGVO, § 32h Abs. 2 AO
98 Die bisherige Vorabkontrolle wird durch die Datenschutz-Folgenabschätzung ersetzt. Die Datenschutz-Folgenabschätzung hat die Funktion, besonders gelagerte Datenverarbeitungsvorgänge bereits im Vorfeld auf mögliche Folgen hin zu untersuchen. Die Vorschriften sind Ausfluss des technischen und organisatorischen Datenschutzes. Sie richten sich nicht nur an die Verantwortlichen, sondern beziehen ebenso den Datenschutzbeauftragten und die Datenschutzaufsicht mit ein. Verantwortlicher ist insoweit nicht das örtlich zuständige Finanzamt, sondern die nach landesrechtlichen Bestimmungen für die datenschutzrechtliche Freigabe von automatisierten Datenverarbeitungsprogrammen zuständige Stelle.
99 Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten potentiell betroffener Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Eine Datenschutz-Folgenabschätzung ist nach Art. 35 Abs. 3 Buchst. b DSGVO immer erforderlich, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten erfolgt.
100 Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Datenschutz-Folgenabschätzung vorgenommen werden (Art. 35 Abs. 1 DSGVO).
101 Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 2 DSGVO den Rat des Datenschutzbeauftragten ein.
102 Eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung kann darüber hinaus durch die Datenschutzaufsichtsbehörde begründet werden. Diese kann besondere Verarbeitungsvorgänge in eine Liste aufnehmen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Die Liste wird veröffentlicht.
103 Nach Art. 35 Abs. 7 DSGVO muss die Datenschutz-Folgenabschätzung zumindest Folgendes enthalten:
eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
104 Entwickelt eine Finanzbehörde automatisierte Verfahren zur Verarbeitung personenbezogener Daten im Anwendungsbereich dieses Gesetzes für Finanzbehörden anderer Länder oder des Bundes, so ist von ihr die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Soweit die Verfahren, insbesondere bundeseinheitliche Programmbestandteile, von den Finanzbehörden der Länder und des Bundes im Hinblick auf die datenschutzrelevanten Funktionen unverändert übernommen werden, gilt diese Datenschutz-Folgenabschätzung auch für die übernehmenden Finanzbehörden (§ 32h Abs. 2 AO). In der Finanzverwaltung betrifft dies maßgeblich den Einsatz neuer IT-Verfahren, welche i. d. R. durch die Finanzbehörde eines Landes für den bundeseinheitlichen Einsatz entwickelt werden (§ 4 Abs. 1 KONSENS-Gesetz). Gleiches gilt für wesentliche Änderungen bereits eingesetzter IT-Verfahren.
VI. Rechtsschutz
1. Beschwerdemöglichkeit – Art. 77 DSGVO
105 Jede betroffene Person, die der Ansicht ist, dass die Verarbeitung sie betreffender personenbezogener Daten gegen das steuerliche Datenschutzrecht verstößt, kann sich unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs mit ihrem Anliegen an die nach Art. 77 Abs. 1 DSGVO zuständige Datenschutzaufsichtsbehörde wenden (Beschwerderecht).
2. Gerichtliches Rechtsbehelfsverfahren – Art. 78 und 79 DSGVO, § 32i AO
a) Verfahrensrechtliche Regelungen
106 Für Streitigkeiten, die das steuerliche Datenschutzrecht betreffen, ist grundsätzlich der Finanzrechtsweg gegeben. Dies gilt gleichermaßen für Klagen von betroffenen Personen (Steuerpflichtigen oder Dritten) gegenüber der verantwortlichen Finanzbehörde (z. B. auf Auskunft) oder zuständigen Datenschutzaufsichtsbehörde, wie für die gerichtliche Überprüfung von Anordnungen der Datenschutzaufsichtsbehörden gegenüber den Finanzbehörden oder einer anderen öffentlichen oder nicht-öffentlichen Stelle.
107 Für sämtliche Verfahren ist die Finanzgerichtsordnung (FGO) nach Maßgabe des § 32i Abs. 5 bis 10 AO, d. h. unter Berücksichtigung der Rn. 110 ff. anzuwenden (§ 32i Abs. 4 AO).
108 Für datenschutzrechtliche Streitigkeiten i. S. d. § 32i Abs. 1 bis 3 AO findet gem. § 32i Abs. 9 AO kein Vorverfahren (z. B. in Form eines außergerichtlichen Rechtsbehelfsverfahrens) statt. Daher ist z. B. gegen die Ablehnung einer Auskunft nach Art. 15 DSGVO (Rn. 70) kein Einspruch gegeben. Auseinandersetzungen sind ausschließlich gerichtlich zu klären.
b) Klage gegen den Beschluss einer Datenschutzaufsichtsbehörde – Art. 78 DSGVO, § 32i Abs. 1 AO
109 Nach Art. 78 Abs. 1 und 2 DSGVO i. V. m. § 32i Abs. 1 AO kann gegen einen rechtsverbindlichen Beschluss einer Datenschutzaufsichtsbehörde ein gerichtlicher Rechtsbehelf eingelegt werden. Rechtsbehelfsbefugt sind die betroffene Finanzbehörde oder ihr Rechtsträger sowie jede betroffene Person. Es kann daher künftig auch Klageverfahren zwischen öffentlichen Stellen zur Streitbeilegung geben.
110 Nach § 32i Abs. 5 Satz 1 AO ist das Finanzgericht örtlich zuständig, in dessen Bezirk die jeweils zuständige Datenschutzaufsichtsbehörde ihren Sitz hat. Da nach § 32h Abs. 1 AO die Datenschutzaufsicht über Finanzbehörden der oder dem BfDI mit Sitz in Bonn obliegt, ist das Finanzgericht Köln örtlich zuständig.
111 Beteiligte in dem o. g. Verfahren sind gem. § 32i Abs. 6 AO
die öffentliche oder nicht-öffentliche Stelle oder die betroffene Person als Klägerin oder Antragstellerin,
die zuständige Datenschutzaufsichtsbehörde des Bundes oder eines Landes als Beklagte oder Antragsgegnerin,
der nach § 60 FGO Beigeladene sowie
die oberste Bundes- oder Landesfinanzbehörde, die dem Verfahren nach § 122 Abs. 2 FGO beigetreten ist.
112 Eine Klage oder ein Antrag in dem o. g. Verfahren haben aufschiebende Wirkung.
113 Die Datenschutzaufsichtsbehörde kann nach § 32i Abs. 10 Satz 2 AO gegenüber einer Finanzbehörde oder ihrem Rechtsträger nicht die sofortige Vollziehung anordnen.
c) Klage der betroffenen Person gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen – Art. 79 DSGVO, § 32i Abs. 2 AO
114 Jede betroffene Person hat gem. Art. 79 Abs. 1 DSGVO das Recht auf einen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.
115 Nach § 32i Abs. 5 Satz 2 AO ist das Finanzgericht örtlich zuständig, in dessen Bezirk die beklagte Finanzbehörde ihren Sitz oder der beklagte Auftragsverarbeiter seinen Sitz hat.
116 Beteiligte in dem o. g. Verfahren sind gem. § 32i Abs. 7 AO
die betroffene Person als Klägerin oder Antragstellerin,
die Finanzbehörde oder der Auftragsverarbeiter als Beklagte oder Antragsgegnerin,
der nach § 60 FGO Beigeladene sowie
die oberste Bundes- oder Landesfinanzbehörde, die dem Verfahren nach § 122 Abs. 2 FGO beigetreten ist.
d) Feststellungsklage gegen einen Beschluss der Datenschutzaufsicht gegenüber einer anderen öffentlichen Stelle oder einer nicht-öffentlichen Stelle – § 32i Abs. 3 AO
117 Die datenschutzrechtliche Aufsicht über öffentliche Stellen, die keine Finanzbehörden sind, sowie über nicht-öffentliche Stellen obliegt den nach dem BDSG oder den entsprechenden Landesgesetzen zuständigen Datenschutzaufsichtsbehörden. Dies gilt auch für Datenschutzfragen hinsichtlich steuerlicher Mitwirkungspflichten.
118 Vertritt die Datenschutzaufsichtsbehörde in einem solchen Fall eine andere Rechtsauffassung als die jeweils zuständige Finanzbehörde, kann diese nach § 32i Abs. 3 AO auf Feststellung des Bestehens einer Mitwirkungspflicht klagen, wenn die zuständige Datenschutzaufsichtsbehörde einen rechtsverbindlichen Beschluss erlassen hat, der eine Mitwirkungspflicht nach der AO oder den Einzelsteuergesetzen ganz oder teilweise verneint.
119 Die Feststellungsklage hat keine aufschiebende Wirkung.
120 Beteiligte in dem o. g. Verfahren sind gem. § 32i Abs. 8 AO
die zuständige Finanzbehörde als Klägerin oder Antragstellerin,
die Datenschutzaufsichtsbehörde des Bundes oder eines Landes, die den rechtsverbindlichen Beschluss erlassen hat, als Beklagte oder Antragsgegnerin,
die Stelle, deren Pflicht zur Mitwirkung die Finanzbehörde geltend macht, als Beigeladene und
die oberste Bundes- oder Landesfinanzbehörde, die dem Verfahren nach § 122 Abs. 2 FGO beigetreten ist.
121 Klagen vor dem Finanzgericht können – die o. g. Rechte betreffend – beispielsweise in folgender Fallkonstellation auftreten:
Vertritt die zuständige Datenschutzaufsichtsbehörde die Auffassung, dass ein zur Datenübermittlung nach den Steuergesetzen verpflichteter Arbeitgeber (z. B. bzgl. der Lohndaten der betroffenen Person) mit seiner Mitteilung gegen das Datenschutzrecht verstößt, kann er diesem die Datenübermittlung an die Finanzbehörde untersagen. Damit in diesem Zusammenhang rechtsverbindlich geklärt wird, ob eine steuerliche Mitwirkungspflicht besteht, kann die zuständige Finanzbehörde im finanzgerichtlichen Verfahren Klage auf Feststellung des Bestehens einer Mitwirkungspflicht erheben.
122 Nach § 32i Abs. 5 Satz 1 AO ist das Finanzgericht örtlich zuständig, in dessen Bezirk die zuständige Datenschutzaufsichtsbehörde ihren Sitz hat.
VII. Informationspflichten bei Verletzung des Schutzes personenbezogener Daten – Art. 33 und 34 DSGVO
1. Verletzung des Schutzes personenbezogener Daten
123 Nach Art. 4 Nr. 12 DSGVO ist eine „Verletzung des Schutzes personenbezogener Daten” eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
2. Meldepflicht gegenüber der oder dem BfDI
124 Im Falle einer solchen Verletzung des Schutzes personenbezogener Daten muss die verantwortliche Finanzbehörde nach Art. 33 Abs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihr die Verletzung bekannt wurde, diese der oder dem BfDI melden. Ausgenommen sind nur die Fälle, in denen die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten betroffener Personen führt. Erfolgt die Meldung nicht binnen 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen.
125 Diese Meldung muss nach Art. 33 Abs. 4 DSGVO zumindest folgende Informationen enthalten:
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
eine Beschreibung der von der verantwortlichen Finanzbehörde ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit diese Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann die verantwortliche Finanzbehörde diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen (Art. 33 Abs. 4 DSGVO).
126 Die verantwortliche Finanzbehörde muss nach Art. 33 Abs. 5 DSGVO Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, die Auswirkungen der Schutzverletzung und die ergriffenen Abhilfemaßnahmen dokumentieren. Diese Dokumentation muss der oder dem BfDI die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.
127 Wird dem Auftragsverarbeiter einer Finanzbehörde eine Verletzung des Schutzes personenbezogener Daten bekannt, muss er ihr diese unverzüglich melden (Art. 33 Abs. 2 DSGVO).
3. Benachrichtigung der betroffenen Person
128 Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge, muss die verantwortliche Finanzbehörde über die Meldung nach Art. 33 DSGVO hinaus auch die betroffene Person unverzüglich von der Verletzung benachrichtigen (Art. 34 Abs. 1 DSGVO). Diese Benachrichtigung muss in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und zumindest die in Art. 33 Abs. 3 Buchst. b, c und d DSGVO genannten Informationen und Maßnahmen enthalten (Art. 34 Abs. 2 DSGVO).
129 Eine Benachrichtigung der betroffenen Person ist nach Art. 34 Abs. 3 DSGVO allerdings nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
die verantwortliche Finanzbehörde hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
die verantwortliche Finanzbehörde hat durch zeitlich nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gem. Art. 34 Abs. 1 DSGVO aller Wahrscheinlichkeit nach nicht mehr besteht;
die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
130 Wenn die verantwortliche Finanzbehörde die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die oder der BfDI nach Art. 34 Abs. 4 DSGVO unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von der verantwortlichen Finanzbehörde verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Art. 34 Abs. 3 DSGVO genannten Voraussetzungen erfüllt sind.
Das (BStBl 2009 I S. 6) wird mit Wirkung ab aufgehoben.
Anlage
Tabelle in neuem Fenster öffnen
Informationspflicht der Finanzbehörden im Fall der Erhebung personenbezogener Daten |
Tabelle in neuem Fenster öffnen
Zeitpunkt der Mitteilung | bei Erhebung der
Daten |
|
Tabelle in neuem Fenster öffnen
Mitzuteilende Daten: | |||
• | Name und die
Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters | Ja | Ja |
• | Ggf. die
Kontaktdaten des Datenschutzbeauftragten | Ja | Ja |
• | die Zwecke,
für die die personenbezogenen Daten verarbeitet werden sollen | Ja | Ja |
• | Rechtsgrundlage für die Verarbeitung | Ja | Ja |
• | die Kategorien
personenbezogener Daten, die verarbeitet werden | Nein | ja |
• | Ggf. die
Empfänger oder Kategorien von Empfängern der personenbezogenen Daten | Ja | Ja |
• | Ggf. die
Absicht der Finanzbehörde, die personenbezogenen Daten an ein Drittland oder
eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder
das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von
Übermittlungen gem. Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabs. 2 DSGVO
einen Verweis auf die geeigneten oder angemessenen Garantien und die
Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar
sind. | Ja | Ja |
• | die Dauer, für
die die personenbezogenen Daten gespeichert werden oder, falls dies nicht
möglich ist, die Kriterien für die Festlegung dieser Dauer | Ja | Ja |
• | das Bestehen
eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden
personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf
Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die
Verarbeitung sowie des Rechts auf Datenübertragbarkeit; | Ja | Ja |
• | das Bestehen
eines Beschwerderechts bei einer Datenschutzaufsichtsbehörde | Ja | Ja |
• | aus welcher
Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich
zugänglichen Quellen stammen | Nein | Ja |
• | ob die
Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich
vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die
betroffene Person verpflichtet ist, die personenbezogenen Daten
bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte | Ja | Nein |
• | das Bestehen
einer automatisierten Entscheidungsfindung | Ja | Ja |
• | beabsichtigt
die Finanzbehörde, die personenbezogenen Daten für einen anderen Zweck
weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben
wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung
Informationen über diesen anderen Zweck und alle anderen maßgeblichen
Informationen gem. Art. 13 Abs. 2 bzw. Art. 14 Abs. 2 DSGVO zur Verfügung | Ja | Ja |
Tabelle in neuem Fenster öffnen
Keine Information der
betroffenen Person, wenn und soweit | |||
• | die betroffene
Person bereits über die Informationen verfügt | Ja | Ja |
• | die Erteilung
dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen
Aufwand erfordern würde | Nein | Ja |
• | die Erlangung
oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten,
denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der
berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt
ist oder | Nein | Ja |
• | die
personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der
Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen
Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden
müssen. | Nein | Ja |
• | die
beabsichtigte Weiterverarbeitung oder Offenbarung würde die ordnungsgemäße
Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben
i. S. d. Art. 23 Abs. 1 Buchst. d bis h DSGVO gefährden und die Interessen der
Finanzbehörden an der Nichterteilung der Information überwiegen die Interessen
der betroffenen Person, | Ja | Nein |
• | die Erteilung
der Information würde die ordnungsgemäße Erfüllung der in der Zuständigkeit der
Finanzbehörden oder anderer öffentlicher Stellen liegenden Aufgaben i. S. d.
Art. 23 Abs. 1 Buchst. d bis h DSGVO gefährden | Nein | Ja |
• | die
beabsichtigte Weiterverarbeitung oder Offenbarung würde die öffentliche
Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines
Landes Nachteile bereiten und die Interessen der Finanzbehörde an der
Nichterteilung der Information überwiegen die Interessen der betroffenen
Person | Ja | Nein |
• | die
beabsichtigte Weiterverarbeitung oder Offenbarung würde die öffentliche
Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines
Landes Nachteile bereiten und das Interesse der betroffenen Person an der
Informationserteilung muss deswegen zurücktreten | Nein | Ja |
• | die Erteilung
der Information würde die öffentliche Sicherheit oder Ordnung gefährden oder
sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten | Nein | Ja |
• | die
beabsichtigte Weiterverarbeitung oder Offenbarung würde den Rechtsträger der
Finanzbehörde in der Geltendmachung, Ausübung oder Verteidigung
zivilrechtlicher Ansprüche oder in der der Verteidigung gegen ihn geltend
gemachter zivilrechtlicher Ansprüche i. S. d. Art. 23 Abs. 1 Buchst. j DSGVO
beeinträchtigen und die Finanzbehörde ist nach dem Zivilrecht nicht zur
Information verpflichtet, | Ja | Nein |
• | die
beabsichtigte Weiterverarbeitung oder Offenbarung würde eine vertrauliche
Offenbarung geschützter Daten gegenüber öffentlichen Stellen gefährden | Ja | Nein |
• | die Daten,
ihre Herkunft, ihre Empfänger oder die Tatsache ihrer Verarbeitung müssen nach
§ 30 AO oder
einer anderen Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen
überwiegender berechtigter Interessen eines Dritten i. S. d. Art. 23 Abs. 1
Buchst. i DSGVO, geheim gehalten werden | Nein | Ja |
• | Bezieht sich
die Informationserteilung auf die Übermittlung personenbezogener Daten durch
Finanzbehörden an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den
Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt
wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit
Zustimmung dieser Stellen zulässig. | Ja | Ja |
BMF v. - IV A 3 - S 0030/16/10004-07
Auf diese Anweisung wird Bezug genommen in folgenden Verwaltungsanweisungen:
Auf diese Anweisung wird Bezug genommen in folgenden Gerichtsentscheidungen:
Fundstelle(n):
BStBl 2018 I Seite 185
DStR 2018 S. 10 Nr. 3
DStR 2018 S. 197 Nr. 4
StB 2018 S. 71 Nr. 3
CAAAG-69827