Rz. 133
Die Regelung in § 30 Abs. 6 AO soll bewirken, dass das Steuergeheimnis auch im elektronisch organisierten Verwaltungsverfahren gewahrt wird. Die Befugnis für den automatisierten Abruf der durch das Steuergeheimnis geschützten Daten, die in einem automationsgestützten Dateisystem gespeichert sind, ist in § 30 Abs. 6 S. 1 AO geregelt. Im Zusammenhang mit der Anpassung des § 30 AO an die DSGVO zum 25.5.2018 wurde S. 1 neu gefasst. Dies diente der Anpassung der Regelung an die Begrifflichkeiten und Definitionen der DSGVO und des § 30 AO im Übrigen. Eine gewollte inhaltliche Änderung ergab sich daraus nicht. Diese Vorschrift übernimmt nicht allgemein die Befugnisgründe für das Offenbaren oder Verwerten der geschützten Daten, sondern nennt nur zwei Fallgruppen eines befugten Abrufens aus einem automationsgestützten Dateisystem. Zum einen ist der Abruf zulässig, soweit er der Durchführung eines Verfahrens i. S. d. § 30 Abs. 2 Nr. 1 Buchst. a oder b AO dient. Dieser Befugnisbereich deckt sich für den Abruf aus einem automationsgestützten Dateisystem mit demjenigen für das Offenbaren oder Verwerten nach § 30 Abs. 4 Nr. 1 AO. Auf die Ausführungen hierzu in Rz. 72 bis 81 kann daher verwiesen werden. Da die Übermittlung an die betroffene Person oder Dritte als zweite Alternative gesondert genannt ist, fällt unter die erste Alternative allerdings nur der Abruf für die eigene Durchführung des Verfahrens durch den abrufenden Amtsträger. Beide in § 30 Abs. 6 Nr. 1 AO genannten Alternativen lassen einen Datenabruf nur durch die befugten Amtsträger zu, zu denen auch die Richter von FG und teilweise auch von VG, soweit diese in Besteuerungsverfahren tätig sind und die Prüfer der Rechnungshöfe zählen.
Zum anderen ist nur noch der Abruf von geschützten Daten aus automationsgestützten Dateisystemen befugt, der einer zulässigen Übermittlung an die betroffene Person oder Dritte dient. Der Begriff des "Dritten" ist in Art. 4 Nr. 10 DSGVO verbindlich definiert. Darunter fallen alle natürlichen oder juristischen Personen, Behörden und Einrichtungen oder andere Stellen, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Die Vorschrift umschreibt nicht, welche Übermittlungen als zulässig anzusehen sind. Soweit die Übermittlung zugleich ein Offenbaren oder Verwerten bedeutet, müssen daher alle Befugnisgründe des Abs. 4 auch hier als Zulässigkeitsgründe gelten. Eine Übermittlung von Daten ist ohne Verstoß gegen das Steuergeheimnis auch denkbar, soweit es sich nicht um geschützte Daten handelt. Da die Übermittlung nicht auf bestimmte Empfänger beschränkt genannt wird, kommt hierfür jede in Art. 4 Nr. 10 DSGVO als "Dritte" definierte Person und darüber hinaus und ausdrücklich auch die betroffene Person in Betracht. Damit ist mit der Vorschrift ausdrücklich auch der Abruf von Daten zur Weitergabe an den Stpfl. selbst oder andere betroffene Personen für zulässig erklärt. Das kann seinen Grund nicht darin haben, dass die betroffene Person – etwa als Stpfl. – wegen solcher Daten von der Regelung erfasst werden soll, die personenbezogene Daten anderer Personen sind, weil sie insoweit eben nicht die betroffene Person, sondern "Dritte" ist. Durch diese merkwürdige Regelung wird der sonst in § 30 Abs. 6 S. 1 AO grundsätzlich für unbefugt erklärte Abruf damit für zulässig erklärt für einen Bereich, der nach § 30 Abs. 2 Nr. 1 und 3 AO gar nicht dem Steuergeheimnis unterliegt. Der Gesetzgeber hat die Möglichkeit einer Bereinigung des Gesetzeswortlauts etwa bei Gelegenheit der Einbindung der Regelungen der DSGVO nicht zur Beseitigung dieser Unstimmigkeit genutzt, sondern diesen "Regelungsbereich" noch hervorgehoben. Man wird aber wohl davon ausgehen müssen, dass hier nur eine deklaratorische Klarstellung zur Übermittlungsbefugnis gemeint ist.
In der Strafnorm des § 355 StGB ist der Bruch des Steuergeheimnisses durch Datenabruf abweichend geregelt (s. Rz. 5).
Rz. 134
§ 30 Abs. 6 S. 2 und 3 AO sieht die Möglichkeit einer Rechtsverordnung vor, durch die das BMF mit Zustimmung des Bundesrats bestimmt, welche technischen und organisatorischen Maßnahmen gegen unbefugten Datenabruf zu treffen sind. Die entsprechende und eingrenzende VO ist am 13.10.2005 in Kraft getreten. Danach sind nur Amtsträger und gleichgestellte Personen abrufbefugt. Der Abruf ist nach § 4 StDAV durch technische Sicherungsmaßnahmen auf den Umfang der sachlich erforderlichen Daten zu beschränken und ggf. zu befristen. Die konkrete individuelle Befugnis ist durch Benutzerkennung und Passwörter automatisiert zu prüfen.
Nach § 2 Abs. 1 S. 1 StDAV sind angemessene organisatorische und dem jeweiligen Stand der Technik entsprechende Vorkehrungen zum Schutz des Steuergeheimnisses zu treffen.
Änderungen oder die Aufhebung der StDAV bedürften wiederum der Zustimmung des Bun...