Schwarz/Pahlke/Keß, AO § 32i Gerichtlicher Rechtsschutz / 2.1 Gegenstand des Rechtsstreits

Rz. 6

§ 32 Abs. 1 S. 1 AO erfasst nur solche Streitigkeiten, die sich auf die Rechte aus Art. 78 Abs. 1 und Abs. 2 DSGVO beziehen (Rz. 7ff.) und die Verarbeitung von personenbezogenen Daten zum Gegenstand haben, die dem § 30 AO unterliegen (Rz. 11ff.).

2.1.1 Beschluss der Aufsichtsbehörde (Art. 78 Abs. 1 DSGVO)

Rz. 7

Nach Art. 78 Abs. 1 DSGVO hat jede natürliche oder juristische Person – unbeschadet eines anderweitigen "verwaltungsrechtlichen" oder außergerichtlichen Rechtsbehelfs – das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Dies betrifft insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen oder die Ablehnung oder Abweisung von Beschwerden.

Rz. 8

Das Vorliegen eines rechtsverbindlichen Beschlusses setzt nicht voraus, dass ein bindender Verwaltungsakt gegenüber dem Betroffenen selbst ergangen ist.^[1] Der Erlass eines entsprechenden Verwaltungsaktes wird zwar die Regel sein, es handelt sich jedoch nicht um eine zwingende Voraussetzung. Ausreichend ist, wenn sich die Entscheidung der Datenschutzaufsicht auf den Betroffenen in tatsächlicher oder rechtlicher Hinsicht auswirkt.^[2] Ein "rechtsverbindlicher" Beschluss kann somit auch dann vorliegen, wenn dieser sich im Kern an einen Dritten wendet, sich hierdurch jedoch Auswirkungen auf die Rechte des Betroffenen ergeben.^[3] Genehmigt die Aufsichtsbehörde der Finanzverwaltung z. B. eine bestimmte Art der Datenverarbeitung, dann kann der Stpfl. , dessen Rechte hierdurch tangiert werden, gegen diesen Beschluss klagen. Ebenso kann eine datenschutzrechtliche Weisung der Aufsichtsbehörde gegenüber dem Auftragsverarbeiter Auswirkungen auf den Verantwortlichen haben, sodass auch dies ein tauglicher Verfahrensgegenstand im Sinne des § 32i Abs. 1 AO sein kann.

Rz. 9

Wird die Aufsichtsbehörde nur beratend tätig^[4], dann handelt es sich insoweit noch nicht um einen rechtsverbindlichen Beschluss. In diesem Fall ist noch nicht abschließend über die Verarbeitung personenbezogener Daten durch den Verantwortlichen entschieden worden, sodass die Rechtssphäre der betroffenen Person noch nicht tangiert wurde. Warnungen des BfDI sind nicht von Art. 78 Abs. 1 DSGVO und damit auch nicht von § 32i Abs. 1 S. 1 AO erfasst, da es sich insoweit um Maßnahmen ohne Regelungswirkung handelt.^[5]

[1] Schaffland/Holthaus, in Schaffland/Wiltfang, DSGVO, Art. 78 Rz. 3.

[2] Nemitz, in Ehrmann/Selmayer, DSGVO, Art. 78 Rz. 6.

[3] Schaffland/Holthaus, in Schaffland/Wiltfang, DSGVO, Art. 78 Rz. 3.

[4] Z. B. im Rahmen einer Vorabkonsultation nach Art. 58 Abs. 3 Buchst. a i.V.m Art. 36 Abs. 1 DSGVO in Fällen, in denen die Datenschutz-Folgenabschätzung ein hohes Risiko für die Daten des Betroffenen ergibt und dieses Risiko nicht durch entsprechende Maßnahmen eingedämmt werden kann, vgl. hierzu auch Schmitz/von Dall'armi, ZD 2017, 57.

[5] Schober, in Gosch, AO/FGO, § 32i AO Rz. 12.

2.1.2 Untätigkeitsklage (Art. 78 Abs. 2 DSGVO)

Rz. 10

Nach Art. 78 Abs. 2 DSGVO hat jede betroffene Person auch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Datenschutzaufsicht sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.^[1] Bei den entsprechenden Streitigkeiten handelt es sich um eine Untätigkeitsklage.^[2]

[1] Koenig/Pätz, AO, 4. Aufl. 2021, § 32i Rz. 14.

[2] Baum, NWB 44/2017, 3351 (3353).

2.1.3 Geschützte Daten im Sinne des § 30 AO

Rz. 11

Die Rechtswegzuweisung gilt nur in den Fallgestaltungen, in denen personenbezogene Daten verarbeitet werden, die zu den geschützten Daten i. S. d. § 30 AO gehören. Hierbei handelt es sich um eine doppelte Einschränkung.

Rz. 12

Zunächst kann die Norm nur eingreifen, soweit der Anwendungsbereich der AO betroffen ist. Damit scheiden z. B. die Beschäftigtendaten bereits aus dem Anwendungsbereich der Norm aus. Für den Beschäftigtendatenschutz gilt stattdessen das BDSG oder die jeweiligen Landesdatenschutzgesetze.

Rz. 13

§ 32i Abs. 1 AO erfasst außerdem nur diejenigen Streitigkeiten, bei denen es um die Verarbeitung personenbezogener Daten geht, die dem Steuergeheimnis unterliegen. Die Bezugnahme auf die geschützten Daten nach § 30 AO ist dem Grunde nach sinnvoll. Sie verdeutlicht dem Rechtsanwender, dass nicht sämtliche Streitigkeiten zur Auslegung der sich aus Art. 78 Abs. 1 und 2 DSGVO ergebenden Rechte der Finanzgerichtsbarkeit zugeordnet sind.

Rz. 14

Es muss sich um nach § 30 AO geschützte Daten handelt, deren Verarbeitung Gegenstand des Rechtsstreits ist. Aufgrund der vom Gesetzgeber verfolgten Zielsetzung, den steuerlich relevanten Bereich einheitlich der Finanzgerichtsbarkeit zuzuordnen, handelt es sich bereits um geschützte Daten, wenn diese an die Finanzverwaltung übermittelt werden sollen.