Das BMF hat ein umfangreiches Einführungsschreiben veröffentlicht, dass die Neuregelungen beim Datenschutz im Steuerrecht darstellt. Bild: MEV-Verlag, Germany

Ab Mai 2018 wird die neue Datenschutz-Grundverordnung innerhalb der EU zu unmittelbar geltendem Recht. Das BMF hat sich nun zu den Auswirkungen auf den Datenschutz im Steuerverwaltungsverfahren geäußert.

Mit der bereits am 24.5.2016 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) der europäischen Union wurden die Regelungen zur Verarbeitung personenbezogener Daten durch öffentliche Einrichtungen und privaten Unternehmen europaweit vereinheitlicht. Zwei Jahre später, und zwar ab dem 25.5.2018, wird die DSGVO nun in allen EU-Mitgliedstaaten zu unmittelbar geltendem Recht - sie wird also verbindlich, ohne dass es einer Umsetzung durch die einzelnen Mitgliedstaaten bedarf.

Hinweis: Das EU-Regelwerk soll in allen EU-Mitgliedstaaten ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Datenverarbeitung schaffen. Neben konkreten, an die Mitgliedstaaten adressierten Regelungsaufträgen enthält die Verordnung mehrere Öffnungsklauseln, die den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte zum Datenschutz in Eigenregie zu regeln bzw. Spielräume auszunutzen. 

Aktivitäten des deutschen Gesetzgebers

Hierzulande wurden bereits das Bundesdatenschutzgesetz (BDSG), das Gesetz über die Finanzverwaltung (FVG) und die Abgabenordnung (AO) an die DSGVO angepasst (mit Wirkung ab dem 25.5.2018). Erfolgt ist dies durch das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ vom 30.6.2017 (BGBl 2017 I S. 2097) und durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.7.2017 (BGBl 2017 I S. 2541).

Neues umfangreiches BMF-Schreiben

Das BMF hat nun mit einem 34-seitigen Schreiben vom 12.1.2018 umfassende Aussagen zur Anwendung der DSGVO und der AO ab dem 25.5.2018 veröffentlicht. Folgende Themenbereiche werden darin behandelt:

Anwendungsbereich der DSGVO, der Datenschutzvorschriften der AO sowie der Steuergesetze

Das BMF weist darauf hin, dass die Regelungen der DSGVO auch im Verwaltungsverfahren in Steuersachen (nach der AO) unmittelbar anzuwenden sind. Sie gelten daher insbesondere für

  • Bundesfinanzbehörden, soweit sie bundesgesetzlich geregelte Steuern verwalten oder den grenzüberschreitenden Warenverkehr überwachen,
  • Landesfinanzbehörden, soweit sie bundesgesetzlich geregelte Steuern verwalten und
  • Gemeinden, soweit sie Realsteuern verwalten.

Betroffen sind insbesondere folgende Verwaltungsvorgänge:

  • Ermittlung der Steuerpflichtigen und der steuerrelevanten Sachverhalte
  • Festsetzung und Erhebung von Steuern, Steuervergütungen und steuerlichen Nebenleistung
  • Vollstreckung dieser Ansprüche
  • Inanspruchnahme von Haftungsschuldnern
  • außergerichtliches Rechtsbehelfsverfahren

Die DSGVO gilt unmittelbar nur für personenbezogene Daten lebender natürlicher Personen. Von der AO wird dieser Anwendungsbereich aber auf Informationen erweitert, die sich auf identifizierte oder identifizierbare verstorbene natürliche Personen oder Körperschaften, rechtsfähige oder nicht rechtsfähige Personenvereinigungen oder Vermögensmassen beziehen (§ 2a Abs. 5 AO n.F.).

Keine Anwendung findet die DSGVO, wenn personenbezogene Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Steuerstraftaten oder Steuerordnungswidrigkeiten verarbeitet werden; insofern gelten die Vorschriften des Ersten und des Dritten Teils des Bundesdatenschutzgesetzes, soweit gesetzlich nichts anderes bestimmt ist (§ 2a Abs. 4 AO n.F.).

Verarbeitung und Weiterverarbeitung personenbezogener Daten durch Finanzbehörden

Die DSGVO definiert in ihrem Artikel 4 verschiedene Begriffe (z.B. „personenbezogene Daten“ oder „Verarbeitung“), die im Rahmen der Verordnung wiederkehrend genutzt werden. Das BMF erklärt, dass diese Legaldefinitionen auch verbindlich sind, soweit sie in der AO oder in Steuergesetzen verwendet werden.

Weiter geht das BMF auf die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5 der DSGVO), die Zulässigkeit der Verarbeitung personenbezogener Daten durch Finanzbehörden (§ 29b AO n.F.) und die Weiterverarbeitung personenbezogener Daten durch Finanzbehörden (§ 29c AO n.F.) ein.

Steuergeheimnis (§ 30 AO)

Das BMF weist darauf hin, dass der Anwendungserlass zur Abgabenordnung (AEAO) zu den Regelungen des Steuergeheimnisses (§ 30 AO) überarbeitet worden ist. Die Änderung erfolgte durch das separate BMF-Schreiben vom 12.1.2018 (IV A 3 - S 0062/18/10001), das die neugefasste AEAO zu § 30 enthält; sie gilt ebenfalls ab dem 25.5.2018.

Hinweis: Mit einem weiteren Schreiben vom 12.1.2018 (IV A 3 - S 0130/08/1006) hat das BMF sich im Übrigen zum Steuergeheimnis beim Informationsfluss aufgrund von dienstrechtlichen Maßnahmen gegen Beamte und Richter geäußert.

Rechte der betroffenen Person  

Von der Datenverarbeitung betroffenen Personen erhalten durch die DSGVO verschiedene Rechte eingeräumt. Auf der anderen Seite fallen den Verantwortlichen der Datenverarbeitung gegenüber diesen Personen bestimmte Pflichten zu. Die Betroffenheitsrechte wurden vom deutschen Gesetzgeber durch §§ 32a bis 32f AO n.F. eingeschränkt. Das BMF beleuchtet die bestehende Rechte und Pflichten ausführlich in den Rz. 29 bis 91.

Datenschutzaufsicht

Die DSGVO schreibt in Artikel 37 Abs. 1 vor, dass alle öffentlichen Stellen, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten bestimmen müssen. Ausgenommen hiervon sind aber Gerichte, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln.

Das BMF äußert sich in diesem Zusammenhang  zu Fragen der Datenschutzaufsicht und zur neuen sogenannten Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO, mit der besonders gelagerte Datenverarbeitungsvorgänge bereits im Vorfeld auf mögliche Folgen hin untersucht werden (Nachfolge der bisherigen sogenannten Vorabkontrolle).    

Entwickelt eine Finanzbehörde automatisierte Verfahren zur Verarbeitung von personenbezogenen Daten für Finanzbehörden anderer Länder oder des Bundes, so ist von ihr die Datenschutz-Folgenabschätzung durchzuführen. 

Rechtsschutz

Wer der Ansicht ist, dass die Verarbeitung der eigenen personenbezogenen Daten gegen das steuerliche Datenschutzrecht verstößt, kann ein Beschwerderecht ausüben und sich mit seinem Anliegen an die zuständige Datenschutzaufsichtsbehörde wenden (Artikel 77 Abs. 1 DSGVO). Neben dieser Beschwerdemöglichkeit ist ferner grundsätzlich das gerichtliche Rechtsbehelfsverfahren gegeben, zu dem sich das BMF in den Rz. 106 bis 122 ausführlich äußert. 

Informationspflichten bei Verletzung des Schutzes personenbezogener Daten 

Wird der Schutz personenbezogener Daten verletzt, muss die verantwortliche Finanzbehörde unverzüglich und möglichst binnen 72 Stunden (nachdem ihr die Verletzung bekannt wurde) eine Meldung an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) abgeben. Sofern die Schutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person mit sich bringt, muss die Finanzbehörde auch die betroffene Person unverzüglich benachrichtigen.

BMF, Schreiben v. 12.1.2018, IV A 3 - S 0030/16/10004-07

Schlagworte zum Thema:  Datenschutz, Datenschutz-Grundverordnung, Steuergeheimnis, BMF-Schreiben

Aktuell
Meistgelesen