1.1 Gegenstand und Zweck
Rz. 1
§ 29c AO wurde im Zuge der Anpassung der AO an die EU-Datenschutzgrundverordnung aufgenommen und enthält eine Rechtsgrundlage für die Verwendung personenbezogener Daten über den eigentlichen Zweck der Datenerhebung hinaus (sog. Weiterverarbeitung). Art. 6 Abs. 4 DSGVO enthält das grundsätzliche Verbot zur (Weiter-)Verarbeitung personenbezogener Daten vorbehaltlich einer der in Abs. 4 enthaltenen Ausnahmefälle. Hierbei sieht der Katalog des Abs. 4 ausdrücklich die Zulassung der Weiterverarbeitung durch eine nationale Rechtsnorm vor, so dass es – entsprechend der Gesetzesbegründung – grundsätzlich auf die Frage, ob die geplante Verwendung durch die originäre Zweckbestimmung der Datenerhebung gedeckt ist oder aber eine Weiterverarbeitung darstellt, gar nicht ankommt. Allerdings sind die Zwecke, zu denen das nationale Gesetz die Weiterverarbeitung zulassen darf, abschließend von Art. 23 Abs. 1 DSGVO vorgegeben, so dass anhand dieser Zwecke die geplante Weiterverarbeitung abzugleichen ist und somit nicht schrankenfrei ermöglicht wird. Durch § 29c AO aufgenommen wurden die in Art. 23 Abs. 1 Buchst. d), e), g) und h) DSGVO aufgeführten Verarbeitungszwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, der Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit, der Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe, sowie den Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a) bis e) und g) genannten Zwecke verbunden sind.
Damit sichert § 29c AO die umfassende Weiterverarbeitungsbefugnis im Steuerverwaltungsverfahren ab und nimmt weitergehend die von § 23 BDSG für den Bereich der allgemeinen Verwaltung zugelassenen Weiterverarbeitungszwecke auf.
Rz. 2
Nach Art. 21 Abs. 4 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften traten die mit der Anwendung der DSGVO in Zusammenhang stehenden Änderungen der AO am 25.5.2018 in Kraft. Auf diese Weise ist eine zeitgleiche Anwendung des bereichsspezifischen Datenschutzrechts mit der DSGVO sichergestellt, die nach einem zweijährigen Übergangszeitraum ebenfalls seit dem 25.5.2018 Anwendung findet. Da die Änderungen der AO und damit auch der § 29c AO nur unvollkommenes Recht darstellen und die durch die DSGVO belassenen Gestaltungsspielräume durch diese Änderungen ausgefüllt bzw. die zulässigen Ergänzungen vorgenommen werden, ist dieser Stichtag für das Inkrafttreten leicht nachvollziehbar.
Weiterverarbeitungsvorgänge unterfallen den rechtlichen Vorgaben des Art. 6 Abs. 4 DSGVO und des § 29 c AO nur dann, wenn der Verarbeitungsvorgang nach dem 24.5.2018 begonnen bzw. nach seinem wesentlichen Umfang erst nach dem 24.5.2018 beendet wurde. Vor diesem Stichtag beendete bzw. weit fortgeschrittene Verarbeitungsvorgänge sind anhand des alten Rechts, also im Wesentlichen nach den Landesdatenschutzgesetzen und ergänzend dem bis zum 24.5.2918 geltenden BDSG a. F. zu beurteilen. Nach z. B. § 14 Abs. 2 BDSG a. F. war eine Weiterverarbeitung bereits zugelassen, wenn eine Rechtsvorschrift, die die jeweilige Weiterverarbeitung vorsieht, vorhanden ist. Auf eine besondere Zweckbestimmung, wie sie von Art. 23 Abs. 1 DSGVO vorsehen ist, kam es hiernach nicht an. Eine Übermittlung an andere öffentliche Stellen war, vorbehaltlich einer Offenbarungsbefugnis nach § 30 Abs. 4 und 5 AO, zulässig, wenn sie zur Erfüllung von öffentlichen Aufgaben erforderlich ist. Die Folgen einer nach altem Recht zulässigen Weiterverarbeitung bleiben weiter erhalten, ohne dass allein wegen der Anwendung des neuen Rechts datenschutzrechtliche Beseitigungsansprüche abgeleitet werden könnten.
Rz. 3
Die im Zuge der Anwendung der DSGVO erforderlich werdende umfassende Regelung der Weiterverarbeitungsanlässe wurde flankiert mit einer Ausweitung der Katalogfälle für eine zugelassene Offenbarung. Mit dieser Maßnahme wird sichergestellt, dass auch eine ausdrücklich durch § 29c Abs. 1 Nr. 4 oder Nr. 6 AO vorgesehene Weiterverarbeitung in der Form der Offenlegung keinen Verstoß gegen die Wahrung des Steuergeheimnisses darstellt und nach § 355 StGB keine strafrechtlichen Konsequenzen nach sich zieht. Die Weiterverarbeitungsberechtigungen nach § 29c Abs. 1 Nr. 1, Nr. 3 und Nr. 5 AO sind bereits durch andere Öffnungsregelungen zum Steuergeheimnis abgedeckt, während sich § 29c Abs. 1 Nr. 2 AO ausdrücklich auf die Öffnungsregelungen zum Steuergeheimnis stützt.