Schwarz/Pahlke, AO § 29c Verarbeitung personenbezogener ... / 1.2 Anwendungsbereich

Rz. 4

§ 29c AO regelt nicht die Berechtigung zur Offenbarung geschützter Daten, sondern neben bzw. ergänzend zur DSGVO die datenschutzrechtliche Verwertungsbefugnis bei den Finanzbehörden vorliegender personenbezogener Daten. Die Offenbarungsberechtigung geschützter Daten richtet sich dagegen, entsprechend der grundlegenden Unterscheidung zwischen Datenschutz und steuerlichem Geheimnisschutz, ausschließlich nach § 30 Abs. 4 und 5 AO.^[1] Zudem richtet sich § 29c AO an den datenschutzrechtlich Verantwortlichen, während sich § 30 AO an den Amtsträger selbst wendet.

Dem Gesetzgeber schien in erster Linie daran gelegen, die hergebrachten Fälle der nach § 30 Abs. 4 und 5 AO zulässigen Datenweitergabe an Dritte datenschutzrechtlich in § 29c Abs. 1 AO abzusichern. Andernfalls wäre eine von § 30 Abs. 4 und 5 AO zugelassene Offenbarung als datenschutzrechtlich unzulässig anzusehen.

Rz. 5

§ 29c AO enthält die Rechtsgrundlage für die Weiterverarbeitung von personenbezogenen Daten zu einem anderen als dem originären Erhebungszweck. Werden die Daten zu dem originären Erhebungszweck verarbeitet, richtet sich die Rechtmäßigkeit nach § 29b AO. Allerdings ist entgegen der Vorgabe des Art. 5 Abs. 1 Buchst. b) DSGVO der Erhebungszweck im Besteuerungsverfahren nicht konkret festgelegt, so dass im Wege der Auslegung zu ermitteln ist, welche Datenverarbeitungsvorgänge noch von § 29b AO gedeckt sind und für welche Datenverarbeitung aufgrund der eingetretenen Zweckänderung § 29c AO heranzuziehen ist. Insofern wird der Anwendungsbereich beider Vorschriften durch die Definition des Erhebungszwecks begrenzt.

Aus Verwaltungssicht^[2] ist Zweck die Durchführung des jeweiligen Verwaltungsverfahrens in Steuersachen, differenziert nach Abgabeart (Steuer zzgl. steuerlicher Nebenleistungen), Besteuerungszeitraum/-Zeitpunkt und Steuerschuldner.^[3] Nach dieser Sicht können beispielsweise die im Rahmen der ESt für den Veranlagungszeitraum 2017 erhobenen Daten nur zur Festsetzung und Erhebung der ESt 2017 (ggf. einschließlich der Ermittlung der Besteuerungsgrundlagen durch eine Außenprüfung oder durch ein Auskunftsersuchen gegenüber einem Dritten, der Vollstreckung, der Haftungsinanspruchnahme eines Dritten oder der Durchführung eines außergerichtlichen Rechtsbehelfsverfahrens jeweils beschränkt auf die ESt 2017) verwendet werden. Eine Verarbeitung z. B. im Rahmen der Festsetzung der ESt 2016 oder USt 2017 schiede jedenfalls auf der Rechtsgrundlage des § 29b AO aus.

Dass die Weiterverarbeitung durch den identischen Amtsträger vorgenommen wird, wie die originäre Datenverarbeitung, steht der Annahme einer Weiterverarbeitung nicht entgegen.^[4] Die Zulässigkeit der Verarbeitung der Daten zur Durchführung eines Besteuerungsverfahrens nach einem anderen Steuergesetz^[5] oder nach dem UStG^[6] oder für einen anderen Besteuerungszeitraum^[7] richtete sich nach der Verwaltungsauffassung demgemäß nach § 29c AO. Vorzugswürdig ist sicher eine etwas weitere Sichtweise, die die Erwartung des Betroffenen bei Erhebung der Daten mit einbezieht.^[8]

Allerdings verstößt eine zu allgemein gehaltene Zweckbindung bei der Datenerhebung gegen den von Art. 5 Abs. 1 Buchst. b) 1. Halbs. DSGVO vorgegebenen Zweckbindungsgrundsatz, der die Festlegung eines eindeutigen und legitimen Zwecks bei der Erhebung fordert. Daher scheint es angezeigt, die Erhebung nicht zu jedwedem steuerlichen Zweck unter § 29b AO zu fassen, sondern einengend die Besteuerungszwecke als unter § 29b AO fallend anzusehen, die aus Sicht des Stpfl. als von dem Erhebungsanlass gedeckt anzusehen sind.^[9] Gibt dieser gemeinsam oder in engem zeitlichen Zusammenhang die Erklärungen zur Einkommen-, Gewerbe- und Umsatzsteuer ab, so wird er davon auszugehen haben, dass die im Rahmen der jeweiligen Erklärungen mitgeteilten Daten auch zugleich für die anderen Besteuerungsverfahren verwendet werden, für die er ebenfalls Erklärungen abgegeben hat.

Eine Weiterverarbeitung liegt demgegenüber vor, wenn der Zweck des Datenverarbeitungsvorgangs nicht mit dem originären Zweck der Datenerhebung übereinstimmt.^[10] Vergleichbar der Systematik des § 30 Abs. 4 und 5 AO führt § 29c Abs. 1 AO die Fallgestaltungen abschließend auf, in denen eine Weiterverarbeitung zulässig ist.^[11]

Rz. 6

Zukünftig wird der Weg in die Nutzung der Künstlichen Intelligenz (KI) in der Steuerverwaltung als Form der Weiterverarbeitung geschützter Daten eine wachsende Rolle spielen. Zur Speisung der KI mit Steuerdaten und für etwaige Trainingsroutinen sind die datenschutzrechtlichen Ermächtigungen des § 29c AO relevant^[12], aber wegen des abschließenden Charakters der Weiterverarbeitungsermächtigungen auf weitere Sicht wohl in Abstimmung mit den Regelungen der DSGVO ergänzungsbedürftig.

Ebenso wird auch die Fortentwicklung der aktuellen datenschutzrechtlichen Weiterverarbeitungsregelungen personenbezogener Daten aus dem Besteuerungsverfahren zu Forschungszwecken im Rahmen des § 29c AO als notwendig angesehen.^[13] Eine Forschung ausschließlich an anonymisierten, pseud...