Schwarz/Pahlke/Keß, AO § 32g Datenschutzbeauftragte der Finanzbehörden | Haufe Steuer Office Excellence | Steuern

Fabian Kraus

1 Allgemeines

Rz. 1

Die unmittelbar geltende – und ab dem 25.5.2018 europaweit anzuwendende – DSGVO bringt auch in Bezug auf Datenschutzbeauftragte^{^[1]} in den Finanzbehörden umfangreiche gesetzliche Vorgaben mit sich. Vor dem Hintergrund eines möglichst geringen Eingriffs in die Autonomie des Verantwortlichen soll die verbindliche Einrichtung eines Datenschutzbeauftragten sowie dessen Fachkunde und Beratung vor allem ein Mittel der Selbstkontrolle sein.^{^[2]} Die grundsätzliche Pflicht, einen Datenschutzbeauftragten zu bestimmen, ergibt sich dabei für alle öffentlichen Stellen, welche personenbezogene Daten verarbeiten – mit Ausnahme der Gerichte, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln – aus Art. 37 Abs. 1 DSGVO.

[1] Ehemals behördliche Datenschutzbeauftragte.

[2] Helfrich, in Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 37 DSGVO Rz. 143.

2 Regelungen des § 32g AO

Rz. 2

Für die von Finanzbehörden gem. Art. 37 der Verordnung (EU) 2016/679 zu benennenden Datenschutzbeauftragten gelten § 5 Abs. 2-5 BDSG sowie die §§ 6 und 7 BDSG entsprechend. Für Finanzbehörden ergeben sich im Anwendungsbereich der AO folglich die maßgeblichen Bestimmungen zu den Datenschutzbeauftragten aus dem BDSG.

Zu erwähnen sei in diesem Zusammenhang, dass die AO hinsichtlich der Regelungen zum Datenschutzbeauftragten auf Vorschriften aus dem ersten Teil des BDSG verweist. Diese Vorgehensweise scheint vergleichbar mit ähnlichen Regelungen, wie z. B. der zur Datenschutzaufsicht in § 32h Abs. 1 S. 2 AO.^{^[1]} Eine Besonderheit im vorliegenden Fall ist jedoch, dass sich die grundlegenden Bestimmungen zur Organisation, der Stellung und den Aufgaben des Datenschutzbeauftragten eigentlich bereits unmittelbar aus der DSGVO ergeben.^{^[2]} Die in Bezug genommenen Paragraphen des BDSG dienen insoweit eigentlich primär der Umsetzung der DS-RL.^{^[3]} Dieser europäische Rechtsakt regelt – spiegelbildlich zur DSGVO – das Datenschutzrecht für die Polizei- und Strafverfolgungsbehörden. Aufgrund seiner Rechtsnatur gilt er jedoch im Unterschied zur DSGVO nicht unmittelbar und bedarf daher der Umsetzung durch nationales Recht. Die praktisch inhaltsgleiche Wiederholung des Verordnungstextes im BDSG soll in diesem Zusammenhang gewährleisten, dass sowohl im Anwendungsbereich der DSGVO als auch der DS-RL die Rechtsstellung des Datenschutzbeauftragten einheitlich ist.^{^[4]} Im Ergebnis geben daher die gesetzlichen Regelungen im BDSG größtenteils und – mit überwiegend lediglich redaktionellen Anpassungen – den Wortlaut der Art. 37 bis 39 DSGVO wieder.

Der Verweis der AO auf das BDSG scheint vor diesem Hintergrund möglicherweise verzichtbar, für den Rechtsanwender ist die Vorgehensweise des Gesetzgebers dennoch vorteilhaft. Gelten doch die betreffenden Vorschriften des BDSG beispielweise auch bei der Verfolgung, Ahndung von Steuerstraf- und Steuerordnungswidrigkeiten, soweit gesetzlich nichts anderes bestimmt.^{^[5]} In Folge finden sich die Regelungen zum Datenschutzbeauftragten in der Finanzverwaltung nunmehr einheitlich im BDSG, unabhängig davon, ob im Anwendungsbereich der DSGVO oder der DS-RL gehandelt wird. Darüber hinaus verzichtet das BDSG auf die Regelungen zu Datenschutzbeauftragten in Unternehmen^{^[6]} und ist daher als Art "lex specialis für Behörden" für den Anwendungsbereich der Finanzverwaltung umso verständlicher.

Mögliche Kritiker dieser Umsetzung seien in diesem Zusammenhang auf den klarstellenden § 2a Abs. 3 AO verwiesen. Demzufolge gehen die unmittelbar anzuwendenden europarechtlichen Regelungen über den Schutz personenbezogener Daten natürlicher Personen den Regelungen der AO und der Steuergesetze stets vor.^{^[7]} Der rechtliche Anwendungsvorrang der DSGVO bleibt dementsprechend gewahrt.

[1] Hiernach gelten für die datenschutzrechtliche Aufsicht über die Finanzbehörden hinsichtlich der Verarbeitung personenbezogener Daten die §§ 13–16 BDSG entsprechend.

[2] Vgl. Art. 37-39 DSGVO.

[3] Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016.

[4] BT-Drs. 18/11325, 81.

[5] Vgl. § 2a Abs. 4 AO.

[6] S. die Unterschiede von Art 37 Abs. 1-4 DSGVO zu § 5 Abs. 1-2 BDSG; Aussagen für nicht öffentliche Stellen sind im BDSG für die Umsetzung der DS-RL insoweit nicht erforderlich.

[7] BT-Drs. 18/12611, 75.

3 Benennung (§ 5 BDSG)

3.1 § 5 Abs. 1 BDSG Pflicht zur Benennung

Rz. 3

Öffentliche Stellen benennen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. Dies gilt auch für öffentliche Stellen nach § 2 Abs. 5 AO, die am Wettbewerb teilnehmen.

Nach dem Gesetzeswortlaut der Vorschrift kann "eine" einzige Person zum Datenschutzbeauftragten ernannt werden. Unberührt hiervon bleibt jedoch die – im Übrigen auch von der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bisher ausdrücklich befürwortete^{^[1]} – Möglichkeit, einen fachlichen Vertreter zu bestimmen. Gleiches dürfte auch für die Unterstützung des Datenschutzbeauftragten durch diesem zugewiesene Mitarbeiter gelten – gewährleistet doch dieser Umstand aus datenschutzrechtlicher Sicht eine noch zuverlässigere Aufgabenwahrnehmung.

Formalen Anforderung...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Steuer Office Excellence. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen

Meistgelesene beiträge