Schwarz/Pahlke/Keß, AO, EUAHiG § 19a Verletzung des Schutzes personenbezogener Daten

1 Allgemeines

Rz. 1

§ 19a EUAHiG regelt die Folgen der Verletzung personenbezogener Daten bei der Durchführung der Amtshilfe nach der Amtshilferichtlinie. Maßgeblich für die Definition der Voraussetzungen ist die DSGVO.^[1] Darüber hinaus gilt die DSGVO gem. § 2a Abs. 5 AO entsprechend für verstorbene natürliche Personen und für Körperschaften, rechtsfähige oder nicht rechtsfähige Personenvereinigungen oder Vermögensmassen.

§ 19a EUAHiG setzt Art. 25 Abs. 6 der Amtshilferichtlinie in nationales Recht um. Nicht geregelt ist der Fall einer Datenschutzverletzung auf Ebene der Europäischen Kommission, beispielsweise durch unberechtigten Zugang von außen auf das CCN-Netz.^[2] Nach Art. 25 Abs. 6 Unterabs. 5 der Amtshilferichtlinie unterrichtet die Kommission in diesem Fall die Mitgliedstaaten unverzüglich über die Verletzung des Datenschutzes sowie über alle ergriffenen Abhilfemaßnahmen. Diese können u. a. die Aussetzung des Zugangs zum Zentralverzeichnis oder zum CCN für die Zwecke der Amtshilferichtlinie umfassen, bis die Verletzung des Datenschutzes behoben ist.

[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl EU Nr. L 119 v. 4.5.2016, 1.

[2] Gem. Art. 3 Nr. 13 der Amtshilferichtlinie bezeichnet der Ausdruck "CCN-Netz" die gemeinsame Plattform auf der Grundlage des Gemeinsamen Kommunikationsnetzes (common communication network — CCN), die von der Union für jegliche elektronische Datenübertragung zwischen den zuständigen Behörden im Bereich Zoll und Steuern entwickelt wurde.

2 Verletzung des Schutzes personenbezogener Daten im Inland (Abs. 1)

Rz. 2

Mit § 19a Abs. 1 EUAHiG wird das BZSt als zentrales Verbindungsbüro im Falle einer Datenschutzverletzung verpflichtet, die Europäische Kommission darüber unverzüglich in Kenntnis zu setzen. Diese setzt wiederum die anderen Mitgliedstaaten davon in Kenntnis, die ihrerseits den Informationsaustausch aussetzen können, bis die Datenschutzverletzung behoben ist.^[1] Auf ein Verschulden kommt es nicht an. Dennoch ist das BZSt nach § 19a Abs. 1 S. 2 EUAHiG verpflichtet, die Ursachen und Auswirkungen der Datenschutzverletzung zu ermitteln und einzudämmen, sowie die gebotene Abhilfe zu schaffen. Dabei kann es sich auch der Hilfe Dritter, z. B. externer Dienstleister, bedienen, sofern dabei datenschutzrechtliche Aspekte beachtet werden. Stellt das BZSt fest, dass eine umgehende Abhilfe nicht möglich ist, beantragt es nach § 19a Abs. 1 S. 3 EUAHiG schriftlich eine Aussetzung der Verbindung zum CCN-Netz. Ist die Verletzung des Datenschutzes behoben, so unterrichtet das BZSt die Europäische Kommission gem. § 19a Abs. 1 S. 4 EUAHiG darüber und beantragt die Wiederherstellung der Verbindung zum CCN-Netz, sofern diese zuvor ausgesetzt war.

Unterlässt das BZSt schuldhaft seine Verpflichtungen nach Abs. 1, kann dies eine Amtspflichtverletzung bedeuten. Dies wird insbesondere dann erheblich, wenn personenbezogene Daten in Kenntnis der Datenschutzverletzung an das CCN-Netz gemeldet werden und dabei in den Zugriffsbereich unbefugter Dritter gelangen.

[1] Art. 25 Abs. 6 Unterabs. 2 Amtshilferichtlinie.

3 Verletzung des Schutzes personenbezogener Daten in einem anderen Mitgliedstaat (Abs. 2)

Rz. 3

In § 19a Abs. 2 EUAHiG ist der umgekehrte Fall von Abs. 1 im Falle einer Datenschutzverletzung in einem anderen Mitgliedstaat geregelt. Erlangt das BZSt durch die Europäische Kommission Kenntnis von der Datenschutzverletzung in einem anderen Mitgliedstaat, so entscheidet es nach pflichtgemäßem Ermessen, ob es diesen vom Informationsaustausch ausschließen will. Die Folgen sind identisch wie im Falle des Abs. 1. Nach § 19a Abs. 2 S. 2 EUAHiG benachrichtigt das BZSt die Europäische Kommission, sofern sie den von der Datenschutzverletzung betroffenen Mitgliedstaat vom Informationsaustausch ausgeschlossen hat.

4 Vereinbarung mit anderen Mitgliedstaaten (Abs. 3)

Rz. 4

Art. 25 Abs. 7 der Amtshilferichtlinie sieht vor, dass die Mitgliedstaaten mit Unterstützung der Kommission die Einzelheiten vereinbaren für die Durchführung des Datenschutzes im Rahmen der Amtshilfe einschließlich der Verfahren zur Behandlung von Verletzungen des Datenschutzes nach Maßgabe international anerkannter bewährter Verfahren und ggf. einer Vereinbarung zwischen gemeinsam für die Verarbeitung Verantwortlichen, einer Vereinbarung zwischen Auftragsverarbeitern und Verantwortlichen, oder entsprechender Musterabkommen. Sobald eine entsprechende Durchführungsregelung beschlossen wird, gilt diese nach § 19a Abs. 3 EUAHiG bei der Anwendung der Abs. 1 und 2.

5 Weitergehende Folgen von Datenschutzverletzungen (Abs. 4)

Rz. 5

Nach § 19a Abs. 4 EUAHiG bleiben weitergehende Pflichten, die sich im Fall eines Datensicherheitsvorfalls oder einer Datenschutzverletzung aus anderen Gesetzen (beispielsweise dem BSI-Gesetz) ergeben, unberührt.^[1] Insbesondere gilt dies für die Melde- und Benachrichtigungspflichten nach Art. 33 und 34 der DSGVO. Auch Regeln nach dem nationalen Recht, beispielsweise etwaige Schadenersatzpflichten oder Amtshaftung, bleiben daneben bestehen.

[1] BT-Drs. 20/3436, 82.