Datenschutz im Steuerverwaltungsverfahren
Mit der bereits am 24.5.2016 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) der europäischen Union wurden die Regelungen zur Verarbeitung personenbezogener Daten durch öffentliche Einrichtungen und privaten Unternehmen europaweit vereinheitlicht. Zwei Jahre später, und zwar ab dem 25.5.2018, wird die DSGVO nun in allen EU-Mitgliedstaaten zu unmittelbar geltendem Recht - sie wird also verbindlich, ohne dass es einer Umsetzung durch die einzelnen Mitgliedstaaten bedarf.
Hinweis: Das EU-Regelwerk soll in allen EU-Mitgliedstaaten ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Datenverarbeitung schaffen. Neben konkreten, an die Mitgliedstaaten adressierten Regelungsaufträgen enthält die Verordnung mehrere Öffnungsklauseln, die den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte zum Datenschutz in Eigenregie zu regeln bzw. Spielräume auszunutzen.
Aktivitäten des deutschen Gesetzgebers
Hierzulande wurden bereits das Bundesdatenschutzgesetz (BDSG), das Gesetz über die Finanzverwaltung (FVG) und die Abgabenordnung (AO) an die DSGVO angepasst (mit Wirkung ab dem 25.5.2018). Erfolgt ist dies durch das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ vom 30.6.2017 (BGBl 2017 I S. 2097) und durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.7.2017 (BGBl 2017 I S. 2541).
Neues umfangreiches BMF-Schreiben
Das BMF hat nun mit einem 34-seitigen Schreiben vom 12.1.2018 umfassende Aussagen zur Anwendung der DSGVO und der AO ab dem 25.5.2018 veröffentlicht. Folgende Themenbereiche werden darin behandelt:
Anwendungsbereich der DSGVO, der Datenschutzvorschriften der AO sowie der Steuergesetze
Das BMF weist darauf hin, dass die Regelungen der DSGVO auch im Verwaltungsverfahren in Steuersachen (nach der AO) unmittelbar anzuwenden sind. Sie gelten daher insbesondere für
- Bundesfinanzbehörden, soweit sie bundesgesetzlich geregelte Steuern verwalten oder den grenzüberschreitenden Warenverkehr überwachen,
- Landesfinanzbehörden, soweit sie bundesgesetzlich geregelte Steuern verwalten und
- Gemeinden, soweit sie Realsteuern verwalten.
Betroffen sind insbesondere folgende Verwaltungsvorgänge:
- Ermittlung der Steuerpflichtigen und der steuerrelevanten Sachverhalte
- Festsetzung und Erhebung von Steuern, Steuervergütungen und steuerlichen Nebenleistung
- Vollstreckung dieser Ansprüche
- Inanspruchnahme von Haftungsschuldnern
- außergerichtliches Rechtsbehelfsverfahren
Die DSGVO gilt unmittelbar nur für personenbezogene Daten lebender natürlicher Personen. Von der AO wird dieser Anwendungsbereich aber auf Informationen erweitert, die sich auf identifizierte oder identifizierbare verstorbene natürliche Personen oder Körperschaften, rechtsfähige oder nicht rechtsfähige Personenvereinigungen oder Vermögensmassen beziehen (§ 2a Abs. 5 AO n.F.).
Keine Anwendung findet die DSGVO, wenn personenbezogene Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Steuerstraftaten oder Steuerordnungswidrigkeiten verarbeitet werden; insofern gelten die Vorschriften des Ersten und des Dritten Teils des Bundesdatenschutzgesetzes, soweit gesetzlich nichts anderes bestimmt ist (§ 2a Abs. 4 AO n.F.).
Verarbeitung und Weiterverarbeitung personenbezogener Daten durch Finanzbehörden
Die DSGVO definiert in ihrem Artikel 4 verschiedene Begriffe (z.B. „personenbezogene Daten“ oder „Verarbeitung“), die im Rahmen der Verordnung wiederkehrend genutzt werden. Das BMF erklärt, dass diese Legaldefinitionen auch verbindlich sind, soweit sie in der AO oder in Steuergesetzen verwendet werden.
Weiter geht das BMF auf die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5 der DSGVO), die Zulässigkeit der Verarbeitung personenbezogener Daten durch Finanzbehörden (§ 29b AO n.F.) und die Weiterverarbeitung personenbezogener Daten durch Finanzbehörden (§ 29c AO n.F.) ein.
Steuergeheimnis (§ 30 AO)
Das BMF weist darauf hin, dass der Anwendungserlass zur Abgabenordnung (AEAO) zu den Regelungen des Steuergeheimnisses (§ 30 AO) überarbeitet worden ist. Die Änderung erfolgte durch das separate BMF-Schreiben vom 12.1.2018 (IV A 3 - S 0062/18/10001), das die neugefasste AEAO zu § 30 enthält; sie gilt ebenfalls ab dem 25.5.2018.
Hinweis: Mit einem weiteren Schreiben vom 12.1.2018 (IV A 3 - S 0130/08/1006) hat das BMF sich im Übrigen zum Steuergeheimnis beim Informationsfluss aufgrund von dienstrechtlichen Maßnahmen gegen Beamte und Richter geäußert.
Rechte der betroffenen Person
Von der Datenverarbeitung betroffenen Personen erhalten durch die DSGVO verschiedene Rechte eingeräumt. Auf der anderen Seite fallen den Verantwortlichen der Datenverarbeitung gegenüber diesen Personen bestimmte Pflichten zu. Die Betroffenheitsrechte wurden vom deutschen Gesetzgeber durch §§ 32a bis 32f AO n.F. eingeschränkt. Das BMF beleuchtet die bestehende Rechte und Pflichten ausführlich in den Rz. 29 bis 91.
Datenschutzaufsicht
Die DSGVO schreibt in Artikel 37 Abs. 1 vor, dass alle öffentlichen Stellen, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten bestimmen müssen. Ausgenommen hiervon sind aber Gerichte, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln.
Das BMF äußert sich in diesem Zusammenhang zu Fragen der Datenschutzaufsicht und zur neuen sogenannten Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO, mit der besonders gelagerte Datenverarbeitungsvorgänge bereits im Vorfeld auf mögliche Folgen hin untersucht werden (Nachfolge der bisherigen sogenannten Vorabkontrolle).
Entwickelt eine Finanzbehörde automatisierte Verfahren zur Verarbeitung von personenbezogenen Daten für Finanzbehörden anderer Länder oder des Bundes, so ist von ihr die Datenschutz-Folgenabschätzung durchzuführen.
Rechtsschutz
Wer der Ansicht ist, dass die Verarbeitung der eigenen personenbezogenen Daten gegen das steuerliche Datenschutzrecht verstößt, kann ein Beschwerderecht ausüben und sich mit seinem Anliegen an die zuständige Datenschutzaufsichtsbehörde wenden (Artikel 77 Abs. 1 DSGVO). Neben dieser Beschwerdemöglichkeit ist ferner grundsätzlich das gerichtliche Rechtsbehelfsverfahren gegeben, zu dem sich das BMF in den Rz. 106 bis 122 ausführlich äußert.
Informationspflichten bei Verletzung des Schutzes personenbezogener Daten
Wird der Schutz personenbezogener Daten verletzt, muss die verantwortliche Finanzbehörde unverzüglich und möglichst binnen 72 Stunden (nachdem ihr die Verletzung bekannt wurde) eine Meldung an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) abgeben. Sofern die Schutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person mit sich bringt, muss die Finanzbehörde auch die betroffene Person unverzüglich benachrichtigen.
-
Geänderte Nutzungsdauer von Computerhardware und Software
9.6635
-
1. Neuregelungen ab 2023 und BMF-Schreiben
6.546
-
0,03 %-Regelung für Fahrten zwischen Wohnung und Tätigkeitsstätte
6.216
-
Steuerbonus für energetische Baumaßnahmen
3.0216
-
Unterhaltsaufwendungen als außergewöhnliche Belastung
2.795
-
Umsatzsteuerliche Behandlung kleiner Photovoltaikanlagen ab 2023
2.736
-
Steuerbefreiung nach § 3 Nr. 72 EStG für kleinere Photovoltaikanlagen ab 2022
2.33737
-
2. Voraussetzungen der Sonderabschreibung
2.303
-
1. Wachstumschancengesetz verbessert Sonderabschreibung für neue Mietwohnungen
1.703
-
Steuerfreibeträge für kommunale Mandatsträger ab 2021
1.069
-
Elektronische Lohnsteuerbescheinigung 2025
31.10.2024
-
Elektronische Übermittlung von Bilanzen sowie GuV
31.10.2024
-
Start des Rückmeldeverfahrens der NRW-Soforthilfe 2020
31.10.2024
-
Neues Verfahren zur digitalen Belegeinreichung
28.10.2024
-
Verfolgung von Steuerstraftaten und Steuerordnungswidrigkeiten 2023
23.10.2024
-
Ergebnisse der steuerlichen Betriebsprüfung 2023
23.10.2024
-
Erster digitaler Gewerbesteuerbescheid wurde in Hessen versandt
23.10.2024
-
Zahlung von Pflegebedürftigen an selbst gewählte Pflegepersonen
23.10.2024
-
Anrechnung ausländischer Körperschaftsteuer
23.10.2024
-
Grundsteuer in den verschiedenen Bundesländern
23.10.2024