Rz. 27
Die Datenschutzaufsicht bezieht sich auf den jeweils für Verarbeitung der personenbezogenen Daten Verantwortlichen nach der DSGVO. D.h. die einzelne Finanzbehörde ist nur insoweit für die Verarbeitung personenbezogener Daten zuständig und damit Adressat für Maßnahmen der Datenschutzaufsicht, wie sie auch Verantwortlicher für die Verarbeitung ist.
2.3.1 Begriff des Verantwortlichen
Rz. 28
Verantwortlicher i. S. d. DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die – allein oder gemeinsam mit anderen – über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
2.3.2 Pflichten des Verantwortlichen
Rz. 29
Dem Verantwortlichen obliegt es, die Rechtmäßigkeit der von ihm verantworteten Verarbeitungen personenbezogener Daten zu gewährleisten. Bestehen hinsichtlich einer bestimmten Verarbeitung mehrere Verantwortliche ("gemeinsam Verantwortliche"), sind die Bestimmungen des Art. 26 DSGVO zu beachten. Die DSGVO weist dem Verantwortlichen insbesondere die folgenden Pflichten zu:
- Einhaltung der in Art. 5 Abs. 1 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener. Dies hat er gegenüber der Datenschutzaufsicht zu vertreten. Er muss die Einhaltung dieser Grundsätze nachweisen können
- Der Verantwortliche ist Adressat der Betroffenenrechte. Er hat sicherzustellen, dass diese Rechte der betroffenen Person gewahrt werden. Auch dies kann die Datenschutzaufsicht prüfen.
- Nach Art. 24 DSGVO hat der Verantwortliche im Hinblick auf die jeweilige Verarbeitung und unter Berücksichtigung der mit ihr einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen angemessene und geeignete technische und organisatorische Maßnahmen umzusetzen. Diese Verpflichtung wird insbesondere durch die Vorgaben des Art. 25 DSGVO ("Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen") und des Art. 32 DSGVO ("Sicherheit der Verarbeitung") näher konkretisiert. Der Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. Dieses Verzeichnis wird von der Datenschutzaufsicht geprüft.
- Verletzungen des Schutzes personenbezogener Daten hat der Verantwortliche nach Maßgabe des Art. 33 DSGVO an die zuständige Aufsichtsbehörde zu melden. Unter den Voraussetzungen des Art. 34 DSGVO sind in einem solchen Fall zudem die betroffenen Personen durch den Verantwortlichen zu benachrichtigen.
- Bei bestimmten Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, hat der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchzuführen.
- Die Finanzbehörde als öffentliche Stellen hat in jedem Fall einen Datenschutzbeauftragten zu benennen. Dieser ist auch Ansprechpartner für die Datenschutzaufsicht.
2.3.3 Verantwortliche Finanzbehörde
Rz. 30
Bezogen auf die Finanzbehörden ist Verantwortlicher i. S. d. DSGVO für die Verarbeitung personenbezogener Daten im Regelfall die sachlich und örtlich zuständige Finanzbehörde (d. h. grds. das zuständige FA). Dieses tritt auch gegenüber dem Bürger auf. Es ist als "Verantwortlicher" nicht auf das Sachgebiet oder den konkreten Veranlagungsbezirk im FA abzustellen. Jede Finanzbehörde handelt im Rahmen der ihr durch Gesetz zugewiesenen Zuständigkeit eigenverantwortlich. Das FA (bzw. die zuständige Finanzbehörde) ist allerdings nur für diejenigen Daten verantwortlich, die von ihr selbst oder ihrem Auftrag verarbeitet worden sind. Es hat damit bei einem Auskunftsantrag der betroffenen Personen nicht zu erforschen, ob andere Finanzbehörden im Land oder im Bund weitere personenbezogene Daten des Auskunftsstellers verarbeitet haben. Das FA hat "lediglich" Auskunft über die bei ihm konkret gespeicherten Daten zu geben. Sind personenbezogene Daten des Antragsstellers beispielsweise im Rahmen einer Petition auch beim zuständigen Finanzministerium gespeichert worden, so braucht das FA hierüber keine Auskunft geben, da es die Datenverarbeitung im Finanzministerium nicht zu verantworten hat. Hierüber hat dann das Finanzministerium Auskunft zu geben.
Rz. 31
Nach § 17 Abs. 2 FVG ist es möglich, dass ein bestimmtes FA für die Festsetzung, ein anderes für die daran anknüpfende Erhebung und ggf. ein weiteres für die ggf. erforderliche Vollstreckung zuständig ist. Auch in diesen Fällen ist jede Finanzbehörde insoweit Verantwortlicher, wie sie im Rahmen ihrer Zuständigkeit handelt. Die Erhebung oder Vollstreckung durch ein anderes FA ist auch Sicht des Festsetzungsfinanzamts weder eine Auftragsverarbeitung nach handelt es sich um den Fall einer gemeinsamen Verantwortung i. S. d. Art. 26 DSGVO. Jedes FA handelt für den ihm zugewiesenen Aufgabenbereich eigenverantwortlich und hat hierüber auch nur Auskunft zu geben.
Rz. 32
In Abgrenzung zu den von einzelnen FÄ erbrachten Teilleistungen werden die jeweiligen Landesrechenzen...