Schwarz/Pahlke, AO § 29b Verarbeitung personenbezogener ... / 3.2 Maßnahmen bei der Verarbeitung sensibler Daten (Abs. 2 S. 2)

Rz. 47

Liegen die Rechtsgrundlagen für die Verarbeitung sensibler Daten vor, so hat der Verantwortliche nach Maßgabe des von § 29b Abs. 2 S. 2 AO in Bezug genommenen § 22 Abs. 2 Satz 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person zu ergreifen. Diese Regelung ist ergänzender und schützender Gegenpol zu § 29b Abs. 2 S. 1 1. Halbs. AO. § 29b Abs. 2 S. 2 1. Halbs. AO sichert die unter den Voraussetzungen des § 29b Abs. 2 S. 1 AO zulässige Verarbeitung der sensiblen Daten ab, ohne dass diese Garantien Vorbedingung der Zulässigkeit der Datenverarbeitung sind.^[1]

Schon Art. 9 Abs. 2 Buchst. g) DSGVO sieht vor, dass im Falle der Verarbeitung sensibler Daten angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorzusehen sind. Wie auch bereits bei der Regelung des § 29 Abs. 2 S. 1 AO werden auch bei S. 2 vergleichbare Zweifel an der Verordnungskonformität mit Hinweis darauf erhoben, dass die Regelung dem Grunde nach nur wiederholenden Charakter hat, ohne tatsächlich inhaltliche Vorgaben zu enthalten.^[2]

Rz. 48

In Betracht kommen – orientiert an § 22 Abs. 2 S. 2 BDSG, der eine Reihe von Schutzmaßnahmen beispielhaft aufzählt und von § 29b Abs. 2 S. 2 2. Halbs. AO für entsprechend anwendbar erklärt wird – in diesem Zusammenhang insbesondere folgende Maßnahmen:

• technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung sensibler Daten gemäß den Vorgaben der DSGVO erfolgt, mit regelmäßiger Evaluierung dieser Maßnahmen^[3],
• Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
• Sensibilisierung der an den Verarbeitungsvorgängen Beteiligten und
• ggf. Pseudonymisierung oder Verschlüsselung personenbezogener Daten.^[4]

Im Einzelfall wird jeweils sorgfältig zu prüfen sein, ob alle notwendigen Schutzmaßnahmen von der Finanzverwaltung vollständig ausgeschöpft werden oder ob hinreichend gewichtige Gründe^[5] einen Verzicht auf das, was als eigentlich notwendige datenschutzbegründete Maßnahme möglich wäre, rechtfertigen.^[6]

Rz. 49

Im Steuerdatenschutz besteht ergänzend neben dem datenrechtlichen Schutz für sämtliche Daten i. S. d. § 30 AO – unabhängig von ihrem Sensibilitätsgrad – der gegenüber dem Amtsgeheimnis erheblich höhere^[7] und auch der Rechtswahrung der betroffenen Person dienende^[8] Schutz des Steuergeheimnisses nach § 30 AO und § 355 StGB.^[9]

Aus Verwaltungssicht^[10] sind deshalb keine über den Schutz "normaler" Daten hinausgehende Schutzmaßnahmen für sensible Daten notwendig und zu ergreifen. Da bereits das Schutzniveau für "normale" Daten zur Wahrung des Steuergeheimnisses als sehr hoch anzusehen sei, könne für die Verarbeitung sensibler Daten das identische Schutzniveau festgelegt werden.^[11] Dies habe zur Folge, dass für alle zu steuerlichen Zwecken zu verarbeitenden personenbezogenen Daten ein identisches Schutzniveau angelegt werden könne, was den aufseiten der Finanzbehörden in diesem Zusammenhang zu betreibenden Aufwand erheblich reduziert.

Eine Differenzierung unterschiedlicher Kategorien von Daten, um je nach Kategorie unterschiedliche technische und organisatorische Maßnahmen zu ergreifen, wäre mit einer vollständigen Neukonzeption der im Besteuerungsverfahren eingesetzten IT-Verfahren verbunden. Zudem wären die sensiblen Daten in einem abgekoppelten Verarbeitungsprozess, der den erhöhten Schutzanforderungen genügt, zu verarbeiten und dann in einem solchen Format zu liefern, dass Rückschlüsse auf sensible Daten bei der Weiterverarbeitung von Daten mit einem normalen Schutzniveau nicht möglich sind.

Rz. 50

Auch wenn die Argumentation eines ausreichenden und gleichartigen Schutzniveaus für normale wie für sensible personenbezogene Daten wegen des dem Steuergeheimnis geschuldeten hohen Schutzniveaus Einiges für sich hat, darf aber bezweifelt werden, ob ein gleichmäßiges Schutzniveau der ausdrücklichen gesetzlichen Normierung eines Schutzes der sensiblen Daten mittels "spezifischer Maßnahmen" in § 29b Abs. 2 S. 2 AO entspricht.

Zudem muss nach dem gestuften Datenschutzsystem der DSGVO für sensible Daten bereits abstrakt ein höheres Schutzniveau als für sonstige personenbezogene Daten vorgesehen werden.^[12]

Rz. 51

Auch wenn man vertritt, dass der Gesetzgeber mit der Zusammenfassung des Handlungsinstrumentariums in § 29b Abs. 2 S. 2 2. Halbs. AO i. V. m. § 22 Abs. 2 S. 2 BDSG und der damit verbundenen abstrakten Verpflichtung der verantwortlichen Finanzbehörde zur risikoadäquaten Auswahl von besonderen Schutzvorkehrungen im Bereich der sensiblen Daten nachgekommen ist^[13], entlässt dies die Finanzverwaltung nicht aus ihrer Differenzierungsverpflichtung auf der Basis des bestehenden Rechts, der sie m. E. mit einem gleichgerichteten Schutzniveau für alle personenbezogenen Daten nicht gerecht wird. Auch die Begründung der Finanzverwaltung, die Verpflichtung zu einer risikoadäquaten Differe...