Rz. 15
Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO legal definiert. Diese Definition ist auch im Rahmen des § 29b AO verbindlich. Danach umfasst die "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Darunter fällt das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung dieser Daten. Es ist unerheblich, ob die Verarbeitung mithilfe eines automatisierten Verfahrens oder manuell erfolgt.
Der Katalog der legal definierten Verarbeitungsformen ist dabei – wie in Art. 4 Nr. 2 DSGVO durch das Wort "wie" ausdrücklich geregelt – nicht abschließend.
Rz. 16
Personenbezogene Daten sind nach der Legaldefinition des Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare (natürliche) Person beziehen. Es muss also eine Zuordnung der Daten zu einer konkreten bzw. konkretisierbaren Person oder Personenmehrheit möglich sein. Anonymisierte oder pseudonymisierte Daten unterfallen dem Schutzbereich der DSGVO und des § 29b AO dagegen nicht.
Rz. 17
§ 29b Abs. 1 AO regelt (nur) die Verarbeitung personenbezogener Daten durch Finanzbehörden oder i. V. m. § 1 Abs. 2 Nr. 1 AO in entsprechender Anwendung durch Kommunen, soweit ihnen die Verwaltung der Realsteuern übertragen wurde.
"Verantwortlicher" für die Verarbeitung der Daten i. S. d. Art. 4 Nr. 7 DSGVO ist i. d. R. die für den jeweiligen Fall sachlich und örtlich zuständige Finanzbehörde.
Rz. 18
Ist die Finanzbehörde danach zur Verarbeitung der Daten berechtigt, darf die Verarbeitung unter Einhaltung der Anforderungen der Art. 28ff. DSGVO als zulässiges Mittel zur Verarbeitung auch durch die durch sie beauftragten Auftragsverarbeiter erfolgen.
Rz. 19
Öffentliche Stellen, die keine Finanzbehörden i. S. d. § 6 Abs. 2 AO sind und für die diese Regelungen auch nicht entsprechend gelten, sowie nicht-öffentliche Stellen können sich dagegen – auch wenn sie Aufgaben im Besteuerungsverfahren wahrnehmen – nicht auf § 29b Abs. 1 AO als Rechtsgrundlage für die Verarbeitung personenbezogener Daten stützen. Tatsächlich verarbeiten aber neben Finanzbehörden auch Dritte personenbezogene Daten zur Erfüllung steuerlicher Pflichten. § 6 Abs. 1a bis 1e AO enthält eine Zusammenstellung der in Betracht kommenden öffentlichen und privaten Stellen, die im Rahmen des Besteuerungsverfahrens mitzuwirken verpflichtet sind. So sind z. B. nach §§ 93a und 93c AO eine Reihe von institutionell am Besteuerungsverfahren beteiligten Stellen aufgrund einer gewissen Sachnähe zum steuerrelevanten Sachverhalt verpflichtet, steuerliche Pflichten für den Stpfl. wahrzunehmen. Beispielsweise ruft der Arbeitgeber nach § 39e Abs. 4 EStG die elektronischen Lohnsteuermerkmale des Stpfl. ab und teilt die berechnete LSt nach § 41 a Abs. 1 EStG an sein Betriebsstätten-FA und die abgeführte LSt nach § 41b Abs. 1 EStG dem Wohnsitz-FA des Stpfl. mit. Da der Dritte nicht als Finanzbehörde im Sinne des § 6 Abs. 2 AO anzusehen ist, greift § 29b AO als Rechtsgrundlage für die Datenverarbeitung in diesen Fällen nicht. Die Rechtmäßigkeit der Datenverarbeitung richtet sich hier nach Art. 6 Abs. 1 S. 1 Buchst. c) DSGVO i. V. m. den Einzelsteuergesetzen, die die entsprechenden steuerlichen Pflichten des Dritten enthalten. Art. 6 Abs. 3 Buchst. b) DSGVO sieht für diesen Fall die Möglichkeit zur Regelung durch nationales Gesetz ausdrücklich vor.
Rz. 20
Die steuerverwaltende Tätigkeit öffentlich-rechtlicher Religionsgemeinschaften fällt nicht unter diese Regelungen. Für diese eröffnet aber Art. 91 Abs. 1 DSGVO im Einklang mit Art. 17 AEUV die Option zur Fortanwendung für Kirchen oder sonstige religiöse Vereinigungen oder Gemeinschaften bestehender Datenschutzregelungen, soweit diese in Einklang mit der DSGVO gebracht werden.