1 Allgemeines
Rz. 1
Die unmittelbar geltende – und ab dem 25.5.2018 europaweit anzuwendende – DSGVO bringt auch in Bezug auf Datenschutzbeauftragte in den Finanzbehörden umfangreiche gesetzliche Vorgaben mit sich. Vor dem Hintergrund eines möglichst geringen Eingriffs in die Autonomie des Verantwortlichen soll die verbindliche Einrichtung eines Datenschutzbeauftragten sowie dessen Fachkunde und Beratung vor allem ein Mittel der Selbstkontrolle sein. Die grundsätzliche Pflicht, einen Datenschutzbeauftragten zu bestimmen, ergibt sich dabei für alle öffentlichen Stellen, welche personenbezogene Daten verarbeiten – mit Ausnahme der Gerichte, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln – aus Art. 37 Abs. 1 DSGVO.
2 Regelungen des § 32g AO
Rz. 2
Für die von Finanzbehörden gem. Art. 37 der Verordnung (EU) 2016/679 zu benennenden Datenschutzbeauftragten gelten § 5 Abs. 2-5 BDSG sowie die §§ 6 und 7 BDSG entsprechend. Für Finanzbehörden ergeben sich im Anwendungsbereich der AO folglich die maßgeblichen Bestimmungen zu den Datenschutzbeauftragten aus dem BDSG.
Zu erwähnen sei in diesem Zusammenhang, dass die AO hinsichtlich der Regelungen zum Datenschutzbeauftragten auf Vorschriften aus dem ersten Teil des BDSG verweist. Diese Vorgehensweise scheint vergleichbar mit ähnlichen Regelungen, wie z. B. der zur Datenschutzaufsicht in § 32h Abs. 1 S. 2 AO. Eine Besonderheit im vorliegenden Fall ist jedoch, dass sich die grundlegenden Bestimmungen zur Organisation, der Stellung und den Aufgaben des Datenschutzbeauftragten eigentlich bereits unmittelbar aus der DSGVO ergeben. Die in Bezug genommenen Paragraphen des BDSG dienen insoweit eigentlich primär der Umsetzung der DS-RL. Dieser europäische Rechtsakt regelt – spiegelbildlich zur DSGVO – das Datenschutzrecht für die Polizei- und Strafverfolgungsbehörden. Aufgrund seiner Rechtsnatur gilt er jedoch im Unterschied zur DSGVO nicht unmittelbar und bedarf daher der Umsetzung durch nationales Recht. Die praktisch inhaltsgleiche Wiederholung des Verordnungstextes im BDSG soll in diesem Zusammenhang gewährleisten, dass sowohl im Anwendungsbereich der DSGVO als auch der DS-RL die Rechtsstellung des Datenschutzbeauftragten einheitlich ist. Im Ergebnis geben daher die gesetzlichen Regelungen im BDSG größtenteils und – mit überwiegend lediglich redaktionellen Anpassungen – den Wortlaut der Art. 37 bis 39 DSGVO wieder.
Der Verweis der AO auf das BDSG scheint vor diesem Hintergrund möglicherweise verzichtbar, für den Rechtsanwender ist die Vorgehensweise des Gesetzgebers dennoch vorteilhaft. Gelten doch die betreffenden Vorschriften des BDSG beispielweise auch bei der Verfolgung, Ahndung von Steuerstraf- und Steuerordnungswidrigkeiten, soweit gesetzlich nichts anderes bestimmt. In Folge finden sich die Regelungen zum Datenschutzbeauftragten in der Finanzverwaltung nunmehr einheitlich im BDSG, unabhängig davon, ob im Anwendungsbereich der DSGVO oder der DS-RL gehandelt wird. Darüber hinaus verzichtet das BDSG auf die Regelungen zu Datenschutzbeauftragten in Unternehmen und ist daher als Art "lex specialis für Behörden" für den Anwendungsbereich der Finanzverwaltung umso verständlicher.
Mögliche Kritiker dieser Umsetzung seien in diesem Zusammenhang auf den klarstellenden § 2a Abs. 3 AO verwiesen. Demzufolge gehen die unmittelbar anzuwendenden europarechtlichen Regelungen über den Schutz personenbezogener Daten natürlicher Personen den Regelungen der AO und der Steuergesetze stets vor. Der rechtliche Anwendungsvorrang der DSGVO bleibt dementsprechend gewahrt.
3 Benennung (§ 5 BDSG)
3.1 § 5 Abs. 1 BDSG Pflicht zur Benennung
Rz. 3
Öffentliche Stellen benennen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. Dies gilt auch für öffentliche Stellen nach § 2 Abs. 5 AO, die am Wettbewerb teilnehmen.
Nach dem Gesetzeswortlaut der Vorschrift kann "eine" einzige Person zum Datenschutzbeauftragten ernannt werden. Unberührt hiervon bleibt jedoch die – im Übrigen auch von der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bisher ausdrücklich befürwortete – Möglichkeit, einen fachlichen Vertreter zu bestimmen. Gleiches dürfte auch für die Unterstützung des Datenschutzbeauftragten durch diesem zugewiesene Mitarbeiter gelten – gewährleistet doch dieser Umstand aus datenschutzrechtlicher Sicht eine noch zuverlässigere Aufgabenwahrnehmung.
Formalen Anforderung...