Rz. 3
Nach Art. 51 DSGVO hat jeder Mitgliedstaat eine oder mehrere unabhängige Datenschutzaufsichtsbehörden einzurichten. Jede dieser Aufsichtsbehörden handelt unabhängig. Aufgrund der föderalen Struktur gibt es in Deutschland insgesamt 18 Datenschutzaufsichtsbehörden. Die BfDI ist originär für die Überwachung der öffentlichen Stellen des Bundes sowie für die insoweit tätigen und dem Bund gehörenden Auftragsverarbeiter zuständig. Außerdem besteht eine Zuständigkeit für öffentlich-rechtliche Unternehmen die den Bundesbehörden zuzurechnen sind. Die Aufsichtsbehörden der Länder sind für die Landesbehörden, sowie für die Überwachung nicht öffentlicher Stellen zuständig. Die DSGVO räumt den Datenschutzaufsichtsbehörden umfangreiche neue Befugnisse ein. Zur Sicherstellung einer gleichmäßigen Besteuerung hat der Gesetzgeber auf Grundlage von Art. 108 GG geregelt, dass die Datenschutzaufsicht über die Finanzbehörden – unabhängig davon, ob es sich um eine Bundes- oder Landesbehörde handelt – bei dem BfDI konzentriert werden (Rz. 4ff.). Dies gilt jedoch nur für Finanzbehörden soweit diese personenbezogene Daten im Anwendungsbereich der AO verarbeiten (Rz. 15ff.). Die Datenschutzaufsicht trifft den Verantwortlichen (Rz. 27ff.). Die nähere Ausgestaltung der Aufgaben des BfDI ergibt sich aus den entsprechenden Vorschriften des BDSG (Rz. 35ff.).
2.1 Konzentration der Datenschutzaufsicht
Rz. 4
§ 32h AO wurde zusammen mit den anderen Regelungen zur Umsetzung der DSGVO im Rahmen des Gesetzes zur Änderung des Bundesversorgungsgesetzes eingeführt. Mit dem Artikelgesetz erfolgte auch die Anpassung des sozialrechtlichen Datenschutzes. Im ursprünglichen Gesetzentwurf waren allerdings noch keine Datenschutzregelungen enthalten. Gegenstand waren ursprünglich die Vermögensschonbeträge in der Kriegsopferfürsorge, die angehoben werden sollten. Die datenschutzrechtlichen Neuregelungen im Steuer- und Sozialrecht sollten ursprünglich durch ein eigenständiges Gesetzgebungsverfahren unter der Federführung des Bundesministeriums des Inneren umgesetzt werden. Dieses verzögerte sich jedoch. Die Bundesregierung hatte dem Vernehmen nach daher bereits am 3.5.2017 eine Formulierungshilfe für einen Änderungsantrag der Koalitionsfraktionen zu dem Gesetzentwurf zur Änderung des Bundesversorgungsgesetzes beschlossen. Dieser sah zahlreiche weitere Gesetzesänderungen vor. Hierzu gehörte auch die Anpassung der wesentlichen steuerlichen Verfahrensvorschriften (AO/FVG) sowie die der sozialdatenschutzrechtlichen Vorschriften (u. a. SGB I und SGB X) an die DSGVO. Auf dieser Basis wurde von den Koalitionsfraktionen bei den Beratungen im Ausschuss für Arbeit und Soziales ein entsprechender Änderungsantrag in das Gesetzgebungsverfahren zur Änderung des Bundesversorgungsgesetzes eingebracht. Allerdings fand zum entsprechend ergänzten Gesetzentwurf am 29.5.2017 auch eine öffentliche Anhörung des Ausschusses für Arbeit und Soziales statt, in der die verschiedenen Themenbereiche erörtert wurden. Zu den eingeladenen Sachverständigen gehörten auch die damalige BfDI sowie der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit. Der ergänzte Gesetzentwurf wurde vom Bundestag am 1.6.2017 beschlossen. Der Bundesrat dem Gesetz am 7.7.2017 zugestimmt. Er hat dabei jedoch den Ablauf des Gesetzgebungsverfahrens kritisiert und die Gesetzgebungskompetenz des Bundes für die Konzentration der Datenschutzaufsicht hinterfragt.
Rz. 5
Im Hinblick auf den Verlauf des Gesetzgebungsverfahrens ist dem Bundesrat dahingehend zuzustimmen, dass er nicht die Möglichkeit hatte zu den umfangreichen Ergänzungen im Bundestagsausschuss für Arbeit und Soziales im Vorfeld der Beschlussfassung Stellung zu nehmen. Verfassungsrechtlich ergeben sich hieraus jedoch keine Probleme, da der Änderungsantrag von den Koalitionsfraktionen und damit aus der Mitte des Bundestags eingebracht wurde. Ob der Antrag durch die Bundesregierung vorbereitet wurde, ändert hieran nichts. Unabhängig davon, ob der Bundesrat ausreichend beteiligt wurde, hat er dem Gesetz zugestimmt und damit eine eventuell nicht ausreichende Beteiligung akzeptiert.
Rz. 6
Vom Gesetzgebungsverfahrens zu trennen, ist die Frage der Gesetzgebungskompetenz. Das Grundgesetz enthält keine eigenständige datenschutzrechtliche Kompetenznorm. Die gesetzliche Neuregelung (Konzentration der Datenschutzaufsicht) betrifft jedoch ausschließlich den Bereich der bundesgesetzlich geregelten Steuern, sodass als Kompetenznorm vorrangig der Art. 108 GG heranzuziehen ist.
Rz. 7
Art. 108 GG ist eine Kompetenz- und Organisationsnorm für die Finanzverwaltung des Bundes und der Länder. Die ersten drei Absätze der Vorschrift beschreiben die unterschiedlichen Arten der Durchführung der...