Schwarz/Pahlke, AO § 29b Verarbeitung personenbezogener Daten durch Finanzbehörden

1 Allgemeines

1.1 Gegenstand und Zweck

Rz. 1

§ 29b AO wurde zur Anpassung des steuerlichen Verfahrensrechts an die ab dem 25.5.2018 anwendbare Datenschutzgrundverordnung (DSGVO)^[1] geschaffen. Vorangegangen waren vielfältige Versuche Deutschlands, das Besteuerungsverfahren in Gänze aus der Anwendung der DSGVO zu entlassen und ein anstelle dessen eigenständiges bereichsspezifisches Datenschutzrecht in der AO zu etablieren.^[2] Mit Blick auf den ganzheitlichen Ansatz der KOM und den Wunsch, für alle datenverarbeitenden Stellen, gleich ob privat- oder öffentlich-rechtlich, ein gleich hohes Datenschutzniveau in der EU zu schaffen, mussten diese Bemühungen letztlich eingestellt werden.

Die in Grundsätzen bereits vorhandenen, aber ungeschriebenen Regelungen zum bereichsspezifischen Datenschutz im Besteuerungsverfahren^[3] waren daraufhin in die Grundsystematik der unmittelbar auch für das Besteuerungsverfahren anwendbaren DSGVO einzupassen. In der AO wurden die entsprechenden Anpassungen im Rahmen des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Gesetze v. 17.7.2017^[4] vorgenommen. Da die DSGVO einerseits unmittelbare Geltung beansprucht, andererseits aber durch den nationalen Gesetzgeber weder umgesetzt noch auch nur wiederholt werden darf, konnte in der AO nur ein unvollkommenes, weil nur im Zusammenhang mit der DSGVO verständliches Recht geschaffen werden.

Rz. 2

§ 29b AO trat am 25.5.2018 zeitgleich mit der Anwendung der DSGVO in Kraft.^[5] Der Gesetzgeber trug damit der systematischen Stellung des § 29b AO als den nach Art. 6 Abs. 1 DSGVO zugestandenen Gestaltungsspielraum auffüllende unvollkommene Rechtsnorm Rechnung. Angesichts des bereits 2016 absehbaren Endes der Legislaturperiode hat der Gesetzgeber buchstäblich eines der letzten noch vor der Sommerpause 2017 abgeschlossenen Gesetzgebungsverfahren genutzt, um nicht die Entstehung eines datenschutzrechtlichen Vakuums wegen des Fehlens einer Rechtsgrundlage für die Datenverarbeitung zu steuerlichen Zwecken zu riskieren. Bereits das vollständige Erliegen des Besteuerungsverfahrens für die Dauer von wenigen Monaten hätte die Steuerverwaltung vor kaum lösbare Schwierigkeiten gestellt, wäre doch der hierdurch eintretende Arbeitsrückstand kaum aufholbar und die technischen, teils auch fremdgesteuerten Datenverarbeitungsvorgänge^[6] kaum zu unterbrechen gewesen.

Den rechtlichen Anforderungen des § 29b AO haben Verarbeitungsvorgänge zu genügen, die am 25.5.2018 begonnen, bzw. nach ihrem wesentlichen Umfang erst nach dem 24.5.2018 beendet wurden. Vor diesem Stichtag beendete oder im Wesentlichen abgeschlossene Verarbeitungsvorgänge sind in Bezug auf ihre datenschutzrechtliche Zulässigkeit auf Grundlage der Landesdatenschutzgesetze und ergänzend des BDSG zu beurteilen. Nach z. B. § 13 BDSG a. F.^[7] ist die Erhebung personenbezogener Daten zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. Nur die Verarbeitung besonderer Arten personenbezogener Daten^[8] unterliegt einem besonderen Rechtfertigungsdruck (z. B. Zulassung durch Gesetz). Nach altem Recht zugelassene Datenverarbeitungsvorgänge sind datenschutzrechtlich auch dann nicht zu beanstanden, wenn sie nach neuem Recht unzulässig wären. Die Folgen dieser Datenverarbeitungsvorgänge sind damit aber nicht allein deshalb zu beseitigen, wenn sie aufgrund der Anwendung neuen Rechts rechtswidrig wären.

Rz. 3

Die datenschutzrechtliche Norm des § 29b AO regelt lediglich die Berechtigung zur Verarbeitung der personenbezogenen Daten zu dem Zweck, zu dem sie erhoben wurden. Sie bietet keine Grundlage für die Schaffung neuer Formen der Datenerhebung.^[9]

[1] V. 27.4.2016 (ABl EU 2016 Nr. L 119, 1; ABl EU 2016 Nr. L 314, 72).

[2] Vgl. hierzu bereits erste Versuche im Rahmen der Diskussionen zur Modernisierung des Besteuerungsverfahrens im Jahr 2014.

[3] BFH v. 4.6.2003, VII B 138/01, BStBl II 2003, 790.

[4] BGBl I 2017, 2541.

[5] Art. 21 Abs. 4 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften, BGBl I 2017, 2541.

[6] Vgl. z. B. § 93c AO.

[7] BGBl I 2003, 66.

[8] Vgl. § 3 Abs. 9 BDSG a. F., vergleichbar den sensiblen Daten.

[9] BFH v. 5.9.2023, IX R 32/21, BFH/NV 2024, 55, NJW 2023, 3668 Rz. 23.

1.2 Verhältnis zur DSGVO

Rz. 4

Nach Auffassung des BFH genügt § 29b AO den Anforderungen, die die DSGVO an die Gestattung für die Verarbeitung von einfachen personenbezogenen Daten gem. Art. 6 Abs. 3 DSGVO sowie an die Verarbeitung von sensiblen Daten i. S. d. Art. 9 Abs. 2 DSGVO stellt.^[1]

Rz. 5

In Art. 6 Abs. 1 DSGVO ist der Grundsatz enthalten, dass die Verarbeitung personenbezogener Daten nur unter bestimmten Voraussetzungen zulässig ist. Die Regelung normiert ein Verbot der Verarbeitung mit Erlaubnisvorbehalt.^[2] Liegen die Voraussetzungen nicht vor, so ist die Verarbeitung unzulässig und durch die Haftung für Schadensersatz^[3] und die Ahndung mit Bußgeldern^[4] bewehrt (sog. Verbot der Datenverarbeitung mit Erlaubnisvorbehalt). Die Verarbeitung personenbezogener Daten durch Finanzbehörden zur Durchführung der Besteuer...