Die Regelung über die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Einrichtungen wurde durch die Datenschutz-Grundverordnung, die bereits am 24. Mai 2016 in Kraft trat, innerhalb Europas vereinheitlicht. Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedstaaten zu unmittelbar geltendem Recht. Das bedeutet, dass die DSGVO mit dem 25. Mai 2018 verbindlich wird, ohne dass es einer Umsetzung durch die jeweiligen EU-Mitgliedsstaaten bedarf.
Durch das EU-Regelwerk soll für die Rechte und Freiheiten natürlicher Personen in allen Mitgliedsstaaten ein gleichwertiges Schutzniveau bei der Datenverarbeitung geschaffen werden. Die Verordnung enthält unter anderem mehrere Öffnungsklauseln, die dazu dienen, den EU-Mitgliedern zu ermöglichen, verschiedene Aspekte bezüglich des Datenschutzes zu regeln und Spielräume auszunutzen. Des Weiteren enthält die Datenschutz-Grundverordnung auch an die Mitgliedsstaaten adressierte Regelungsaufträge.
Anpassung der deutschen Gesetze
In Deutschland wurden bereits verschiedene Gesetze und Verordnungen an die neue DSGVO angepasst, darunter zum Beispiel das Bundesdatenschutzgesetz (BDSG), das Gesetz über die Finanzverwaltung (FVG) sowie die Abgabenordnung (AO). Die Grundlage für die Anpassung bilden das „Datenschutz- Anpassungs- und Umsetzungsgesetz vom 30. Juni 2017 (BGBl 2017 I S. 2097) sowie das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017 (BGBl 2017 I S. 2541).
BMF-Schreiben vom 12. Januar 2018
BMF, Schreiben v. 12.1.2018, IV A 3 – S 0030/16/10004-07
Mit dem neuen Schreiben vom 12. Januar 2018 nimmt das BMF Stellung zur Anwendung der DSGVO sowie der AO ab dem 25. Mai 2018.
Anwendungsbereiche
Die Regelungen der DSGVO sin auch im Verwaltungsverfahren in Steuersachen anzuwenden und gelten deshalb besonders für
Das BMF weist darauf hin, dass die Regelungen der DSGVO auch im Verwaltungsverfahren in Steuersachen (nach der AO) unmittelbar anzuwenden sind. Sie gelten daher insbesondere für Gemeinden, Landesfinanzbehörden und Bundesfinanzbehörden. Die nachfolgenden Verwaltungsvorgänge sind besonders betroffen:
- Ermittlung der Steuerpflichtigen und der steuerrelevanten Sachverhalte
- Festsetzung und Erhebung von Steuern, Steuervergütungen und steuerlichen Nebenleistung
- Vollstreckung dieser Ansprüche
- Inanspruchnahme von Haftungsschuldnern
- außergerichtliches Rechtsbehelfsverfahren
Anwendung findet die DSGVO bei personenbezogenen Daten lebender natürlicher Personen. Dieser Anwendungsbereich wird von der AO auf Informationen über identifizierte und identifizierbare verstorbene Personen oder Körperschaften sowie rechtsfähige/nicht rechtsfähige Personenvereinigungen oder Vermögensmassen, erweitert (§ 2a Abs. 5 AO n.F.).
Die DSGVO gilt nicht, wenn personenbezogene Daten zum Zwecke der Ermittlung und Aufdeckung, Verfolgung, Ahndung oder Verhütung von Steuerstraftaten oder Steuerordnungswidrigkeiten verwendet werden. In diesen Fällen gelten die Vorschriften des Bundesdatenschutzgesetzes (I. und III. Teil) (soweit gesetzlich nicht anders bestimmt) (§ 2a Abs. 4 AO n.F.).
Verarbeitung personenbezogener Daten
In Artikel 4 der DSGVO sind verschiedene Begriffe definiert, die wiederkehrend im Zusammenhang mit der Verordnung genutzt werden. Im neuen Schreiben erklärt das BMF diese Legaldefinitionen als Verbindlich, sofern sie auch in der AO oder den Steuergesetzen genutzt werden. Das BMF geht auch auf die Zulässigkeit der Verarbeitung von personenbezogenen Daten durch Finanzbehörden, die Weiterverarbeitung der personenbezogenen Daten durch Finanzbehörden und die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten ein.
Steuergeheimnis (§ 30 AO)
Weiter weist das BMF darauf hin, dass der Anwendungserlass zur Abgabenordnung (AEAO) zu den Regelungen des Steuergeheimnisses (§ 30 AO) überarbeitet wurde. Diese Änderung erfolgt durch ein separates BMF-Schreiben vom 12.Januar 2018 (IV A 3 – S 0062/18/10001), das die neugefasste AEAO zu § 30 enthält. Diese wird ebenfalls ab dem 25. Mai 2018 gültig.
In einem dritten Schreiben vom 12. Januar 2018 (IV A 3 – S 0130/08/1006) äußert sich das BMF zum Steuergeheimnis beim Informationsfluss aufgrund von dienstrechtlichen Maßnahmen gegen Beamte und Richter.
Rechte der betroffenen Person
Personen, die von der Datenverarbeitung betroffen sind, bekommen durch die DSGVO verschiedene Rechte eingeräumt. Den Verantwortlichen der Datenverarbeitung werden gegenüber den betroffenen Personen verschiedene Pflichten auferlegt. Die Rechte der betroffenen werden durch §§ 32a bis 32f AO n.F. eingeschränkt. Die Rechte und Pflichten erläutert das BMF ausführlich in den Rz. 29 bis 91.
Datenschutz
In Artikel 37 Abs.1 der DSGVO ist festgelegt, dass alle öffentlichen Stellen, die personenbezogene Daten veröffentlichen, einen Datenschutzbeauftragten bestimmen müssen. Hiervon ausgenommen sind Gerichte, sofern sie im Rahmen der justiziellen Tätigkeiten handeln. In diesem Zusammenhang äußert sich das BMF zu Fragen der Datenschutzaufsicht und zur neuen sogenannten Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO, mit der besonders gelagerte Datenverarbeitungsvorgänge bereits im Vorfeld auf mögliche Folgen hin untersucht werden (Nachfolge der bisherigen sogenannten Vorabkontrolle).
Wird von einer Finanzbehörde ein automatisiertes Verfahren zur Verarbeitung von personenbezogenen Daten für weitere Finanzbehörden, so muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
Rechtsschutz
Ist man der Meinung, dass die Verarbeitung der eigenen personenbezogenen Daten gegen das steuerliche Datenschutzgesetz verstößt, so kann das Beschwerderecht ausgeübt werden. Man wendet sich mit seinem Anliegen an die zuständige Datenschutzaufsichtsbehörde (Artikel 77 Abs. 1 DSGVO). Des Weiteren gibt es grundsätzlich die Möglichkeit des gerichtlichen Rechtsbehelfsverfahrens. Dazu äußert sich das BMF in Rz. 106 bis 122 ausführlich.
Informationspflichten bei Verletzung des Schutzes personenbezogener Daten
Liegt einer Verletzung des Schutzes der personenbezogenen Daten vor, so muss die verantwortliche Finanzbehörde unverzüglich, innerhalb 72 Stunden nach bekannt werden der Verletzung, eine Meldung an den Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) abgeben. Liegt bei der Verletzung des Schutzes ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person mit sich, so muss ebenfalls die betroffene Person unverzüglich von der Finanzbehörde benachrichtigt werden.