1.1 Überblick
Rz. 1
Die Regelung des § 2a AO ist am 25.5.2018 in Kraft getreten. Sie wurde in Abs. 3 hinsichtlich der letzten Berichtigung der Verordnung der EU im ABl EU L 127 v. 23.5.2018, 2, angepasst. Ebenfalls ab 25.5.2018 wurde die Datenschutzgrundverordnung als Verordnung nach § 288 Abs. 2 AEUV als unmittelbar geltendes Recht in allen EU-Mitgliedstaaten wirksam.
Rz. 2
Durch das Kreditzweitmarktförderungsgesetz wurden Abs. 3 und Abs. 5 geändert.
Rz. 3
Das ab 25.5.2018 geltende Datenschutzrecht ergibt sich aus dem Zusammenspiel des unionsrechtlichen Datenschutzes und den bereichsspezifischen Neuregelungen der AO. Die Vorschriften des BDSG sowie der entsprechenden Landesdatenschutzgesetze gelten für die Finanzbehörden nur bei entsprechender Bestimmung; solche Bestimmungen enthalten z. B. § 31c Abs. 1 S. 2 AO durch Verweis auf § 22 Abs. 2 S. 2 BDSG oder § 32g AO auf § 5 Abs. 2 bis 5 BDSG. Das BDSG hat jedenfalls seine bisherige Funktion als "Auffanggesetz" verloren.
Rz. 4
Durch die Anpassung der AO an die Regelungsaufträge der DSGVO sollen die bereits bestehenden Vorschriften über die Verarbeitung personenbezogener Daten an die Regelungen und Begriffsbestimmungen dieser Verordnung angepasst bzw. neue bereichsspezifische Regelungen in enger Anlehnung an das neue Bundesdatenschutzgesetz geschaffen werden. Zugleich sollen auf Grundlage des Art. 23 DSGVO bereichsspezifische Einschränkungen der Betroffenenrechte bestimmt werden, damit die Finanzbehörden weiterhin ihrem Verfassungsauftrag nachkommen können, die Steuern nach Maßgabe der Gesetze gleichmäßig festzusetzen und zu erheben und Steuerverkürzungen aufzudecken.
Rz. 5
Art. 23 DSGVO war im EU-Gesetzgebungsverfahren höchst umstritten. Erst die hier erreichten Zugeständnisse haben jedoch den Weg für die Verabschiedung des Art. 23 DSGVO geebnet. Mit Blick auf Art. 23 DSGVO erscheint es jedenfalls nicht logisch, wenn einerseits die Betroffenenrechte durch die DSGVO eingeschränkt werden und andererseits die Ausgestaltung des § 30 AO (Steuergeheimnis) etwa durch Ausdehnung des § 30 Abs. 4 Nr. 2a, 2b und 2c AO relativiert wird.
Rz. 6
§ 2a AO bestimmt, welche Vorschriften über die Verarbeitung personenbezogener Daten im Anwendungsbereich der AO anzuwenden sind (dazu nachfolgend unter Ziff. 2). Der § 29b AO enthält die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Finanzbehörden. Die Verarbeitung personenbezogener Daten durch Finanzbehörden zu anderen Zwecken wird in § 29c AO geregelt. Im Zuge der Anpassung an die DSGVO wurde auch § 30 AO modifiziert. Die Rechte der betroffenen Personen, insbesondere die Informationspflichten, das Recht auf Auskunft und auf Berichtigung, Löschung und Widerspruch ergeben sich aus §§ 32a bis f AO. Die Regelungen zur Datenschutzaufsicht sowie zum gerichtlichen Rechtsschutz in datenschutzrechtlichen Angelegenheiten ergeben sich aus §§ 32g bis j AO.
Rz. 7
Bei der Anwendung des neuen Datenschutzrechts ist das sog. Normwiederholungsverbot zu beachten, das dem nationalen Normgeber eine Wiederholung der Regelung der DSGVO verbietet. Die DSGVO und die AO-Regelungen sind deshalb immer parallel heranzuziehen. Das ist durchaus misslich, soweit sich, wie in § 31c AO, nur auf der Regelung des Art. 9 Buchst. j DSGVO die Regelungsmöglichkeit für die Verarbeitung von besonderen Kategorien personenbezogener Daten für statistische Zwecke ergibt.
Für das Finanzgerichtsverfahren verbleibt es bei der Anwendung des § 78 FGO, weil Art. 15 DSGVO hier nicht anwendbar ist.
1.2 Abstimmungsbedarf zwischen EuGH und BVerfG
Rz. 8
Ausgehend von den Grundsätzen in der Rechtssache Âkerberg Fransson liegt die Annahme...