Schwarz/Pahlke, AO § 29b Verarbeitung personenbezogener ... / 4 Rechtsgrundlose Verarbeitung und deren Folgen

4.1 Rechtsgrundlose Verarbeitung

Rz. 54

Werden personenbezogene Daten durch eine Finanzbehörde verarbeitet, ohne dass hierfür eine Rechtsgrundlage einschlägig ist, so ist die Verarbeitung rechtswidrig.^[1] Die Verarbeitung auf Grundlage einer Einwilligung der betroffenen Person^[2] stellt keine hinreichende Zulassung der Datenverarbeitung im Besteuerungsverfahren nach der AO dar, da die Steuerverwaltung als Teil der staatlichen Eingriffsverwaltung keine wirksam erteilte Einwilligung vor dem Hintergrund des gesetzlichen Zwangs, der zur Durchsetzung der Mitwirkungspflichten^[3] ausgeübt werden kann, unterstellen darf. Die DSGVO^[4] schließt ausdrücklich aus, dass bei Vorliegen eines Subordinationsverhältnisses von einer wirksamen Einwilligung i. S. d. Art. 7 DSGVO ausgegangen werden kann. Zudem darf die Datenverarbeitung nicht von der Einwilligung des Stpfl. abhängen, da dieser es sonst jederzeit in der Hand hätte, durch den Widerruf seiner Einwilligung die Grundlage für die rechtmäßige Datenverarbeitung zu entziehen.

Hiervon zu trennen sind aber die Verarbeitungsvorgänge, die von einer vorhergehenden Handlung des Stpfl. tatbestandlich abhängen.^[5] In diesen Fällen ist diese Handlung nicht als Einwilligung in die Datenverarbeitung, sondern als Teil des verfahrensrechtlichen Tatbestands anzusehen, mit dessen Erfüllung der fragliche Verarbeitungsvorgang ausgelöst wird. Will der Stpfl. diesen Vorgang rückgängig machen, kommt dies nur in den gesetzlichen geregelten Fällen in Betracht^[6], ohne dass dies Folgen für die Zulässigkeit der Datenverarbeitung hat. Der Fortführung des Verfahrens stehen aus datenschutzrechtlicher Sicht indes keine Bedenken gegenüber, wenn der Stpfl. nach der Einleitung des Verfahrens an diesem nicht länger festhalten will.

Als Beispiele für eine rechtsgrundlose Verarbeitung durch die Finanzbehörde kommen die Einleitung eines Verarbeitungsvorgangs trotz Fehlens der tatbestandlichen Voraussetzungen^[7] in Betracht. Auch ein Verarbeitungsexzess (z. B. die Datenverarbeitung ist zur Erfüllung der Aufgaben der zuständigen Finanzbehörde nicht erforderlich, da die erhobenen Daten bereits bekannt sind oder einen Stpfl. betreffen, für den die Finanzbehörde nicht zuständig ist; die Daten werden in Folge eines menschlichen Versagens nicht im Besteuerungsverhältnis zur betroffenen Person, sondern z. B. durch eine Fehlkuvertierung gegenüber einem unbeteiligten Dritten verwendet) führte zu einer entsprechenden Verfehlung.

Rz. 55

Kein Fall der unzulässigen Datenverarbeitung ist die Weiterverarbeitung zu einem anderen, gesetzlich geregelten Zweck.^[8] Nach Art. 6 Abs. 4 DSGVO können durch nationales Recht Rechtsgrundlagen für die Verarbeitung zu einem anderen Zweck als dem ursprünglichen geschaffen werden.

[1] Art. 6 Abs. 1 DSGVO.

[2] Art. 6 Abs. 1 Buchst a) DSGVO.

[3] Vgl. § 92 AO.

[4] EG 43 zur DSGVO.

[5] Z. B. Gewährung einer Stundung nach § 222 AO, Durchführung einer Antragsveranlagung nach § 46 Abs. 2 Nr. 8 EStG, Einleitung einer rechtlichen Überprüfung durch Einlegung eines Einspruches nach § 347 AO.

[6] Z. B. § 362 AO Rücknahme des Einspruchs.

[7] Z. B. wird ein Dritter nach § 93 Abs. 1 S. 3 AO um Auskunft ersucht, obgleich Anhaltspunkte für die fehlende Ergiebigkeit einer Auskunft durch den Stpfl. nicht vorgelegen haben; der Außenprüfer wertet nach § 147 Abs. 6 AO Daten des Stpfl. aus, obgleich die Außenprüfung gem. §§ 193, 196 AO nicht wirksam angeordnet worden ist.

[8] Vgl. § 29c AO.

4.2 Folgen

Rz. 56

Die datenschutzrechtliche Bewertung geht nicht mit der steuerrechtlichen Bewertung der Behördenentscheidung einher und beeinflusst diese auch nicht. Dies hat zur Folge, dass eine in datenschutzrechtlicher Hinsicht unzulässige Datenverarbeitung nicht zwingend die Rechtswidrigkeit der Behördenentscheidung und deren Aufhebbarkeit zur Folge haben muss. Mit anderen Worten führt eine aus datenschutzrechtlicher Sicht rechtswidrige Datenverarbeitung nicht zwingend, sondern eher nur im Ausnahmefall zu einem Verwertungsverbot im Rahmen des Besteuerungsverfahrens.^[1] Daher erfolgt die rechtliche Überprüfung in unterschiedlichen Verfahren mit jeweils unterschiedlichen in Betracht kommenden Rechtsfolgen, wobei im Folgenden nur die Maßnahmen zur datenschutzrechtlichen Überprüfung dargestellt werden sollen:

• Geltendmachung der Betroffenenrechte gegenüber dem Verantwortlichen^[2],
• Meldung einer Datenpanne durch den Verantwortlichen^[3],
• Meldung an den Datenschutzbeauftragten beim Verantwortlichen^[4],
• Beschwerde zur Aufsichtsbehörde^[5],
• Klage gegen den Verantwortlichen vor dem FG bei Streitigkeit hinsichtlich der Rechtmäßigkeit der Datenverarbeitung auf Wahrung der Vorgabe der DSGVO^[6],
• Geltendmachung eines Schadensersatzanspruchs, falls der datenschutzrechtliche Verstoß zu einem materiellen oder immateriellen Schaden beim Betroffenen geführt hat.^[7] Dieser tritt neben den nationalen Amtshaftungsanspruch aus § 839 BGB i. V. m. Art. 34 GG.^[8]

Die Verhängung einer Geldbuße nach Art. 83 DSGVO ist gegenüber dem Verantwortlichen nicht vorgesehen, da der nationale Gesetzgeber von dem dur...