Rz. 30
Bezogen auf die Finanzbehörden ist Verantwortlicher i. S. d. DSGVO für die Verarbeitung personenbezogener Daten im Regelfall die sachlich und örtlich zuständige Finanzbehörde (d. h. grds. das zuständige FA). Dieses tritt auch gegenüber dem Bürger auf. Es ist als "Verantwortlicher" nicht auf das Sachgebiet oder den konkreten Veranlagungsbezirk im FA abzustellen. Jede Finanzbehörde handelt im Rahmen der ihr durch Gesetz zugewiesenen Zuständigkeit eigenverantwortlich. Das FA (bzw. die zuständige Finanzbehörde) ist allerdings nur für diejenigen Daten verantwortlich, die von ihr selbst oder ihrem Auftrag verarbeitet worden sind. Es hat damit bei einem Auskunftsantrag der betroffenen Personen nicht zu erforschen, ob andere Finanzbehörden im Land oder im Bund weitere personenbezogene Daten des Auskunftsstellers verarbeitet haben. Das FA hat "lediglich" Auskunft über die bei ihm konkret gespeicherten Daten zu geben. Sind personenbezogene Daten des Antragsstellers beispielsweise im Rahmen einer Petition auch beim zuständigen Finanzministerium gespeichert worden, so braucht das FA hierüber keine Auskunft geben, da es die Datenverarbeitung im Finanzministerium nicht zu verantworten hat. Hierüber hat dann das Finanzministerium Auskunft zu geben.
Rz. 31
Nach § 17 Abs. 2 FVG ist es möglich, dass ein bestimmtes FA für die Festsetzung, ein anderes für die daran anknüpfende Erhebung und ggf. ein weiteres für die ggf. erforderliche Vollstreckung zuständig ist. Auch in diesen Fällen ist jede Finanzbehörde insoweit Verantwortlicher, wie sie im Rahmen ihrer Zuständigkeit handelt. Die Erhebung oder Vollstreckung durch ein anderes FA ist auch Sicht des Festsetzungsfinanzamts weder eine Auftragsverarbeitung nach handelt es sich um den Fall einer gemeinsamen Verantwortung i. S. d. Art. 26 DSGVO. Jedes FA handelt für den ihm zugewiesenen Aufgabenbereich eigenverantwortlich und hat hierüber auch nur Auskunft zu geben.
Rz. 32
In Abgrenzung zu den von einzelnen FÄ erbrachten Teilleistungen werden die jeweiligen Landesrechenzentren im Auftrag der jeweiligen Finanzbehörde tätig. Die Rechenzentren erbringen nach § 20 Abs. 3 FVG in der Regel nur technische Hilfstätigkeiten. Deutlich wird das Verhältnis, wenn unterstellt werden würde, dass sich jedes FA EDV-technisch autark wäre und sich die erforderlichen IT-Programme kaufen und auf den Rechnern vor Ort aufspielen würde. In diesem Fall wäre das FA zweifelsohne Verantwortlicher für die Datenverarbeitung und nicht der Programmentwickler. Wird die IT-Struktur nun vom Rechenzentrum zur Verfügung gestellt, dann sind dies aus Sicht der zuständigen Finanzbehörde nur Hilfstätigkeiten. Vergleichbares gilt auch für IT-Dienstleister oder Druckdienstleister. In diesen Fällen sind die Rechenzentren nicht Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO, sondern Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO. Rechtsgrundlage der Auftragsverarbeitung ist dabei kein Vertrag, sondern die jeweils maßgebliche landesrechtliche Aufgabenzuweisung.
Rz. 33
Von diesem Grundsatz gibt es m. E. allerdings eine Ausnahme. Soweit Stellen allerdings selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden (z. B. durch Entwicklung und/oder Einsatz von IT-Programmen), dann ist Verantwortlicher derjenige, der z. B. über den Einsatz des Programms innerhalb des Landes entscheidet. Er unterliegt somit insoweit der Datenschutzaufsicht und hat die für die Datenverarbeitung erforderliche Datenschutz-Folgenabschätzung zu erstellen und das Verzeichnis der Verarbeitungstätigkeiten zu führen.