Rz. 2
Abs. 1 beschreibt die allgemeinen Voraussetzungen, unter denen Druckdienstleistungen für die Bundesfinanzverwaltung durch nicht öffentliche Stellen erbracht werden dürfen und grenzt den Umfang der zulässigen Hilfeleistungen ab. Im Hinblick auf Art. 28 Abs. 3 EU-DSGVO, wonach die Datenverarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgt, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet, legt Abs. 1 ferner fest, dass die Auftragsverarbeitung im Rahmen eines Vertrags erfolgt. Die inhaltlichen Anforderungen an den Vertrag, die nach bisherigem Recht in § 20a Abs. 3 Satz 2 FVG geregelt waren, ergeben sich nunmehr aus Art. 28 Abs. 3 EU-DSGVO.
Rz. 3
Nach Abs. 1 Nr. 1 ist die Auftragsverarbeitung durch nicht öffentliche Stellen wie bisher nur dann zulässig, wenn die Druckdienstleistung insoweit weder von der Bundesverwaltung noch durch automatische Einrichtungen der Behörden eines Landes oder eines anderen Verwaltungsträgers in wirtschaftlich vertretbarer Weise geleistet werden kann. Für die Feststellung, ob diese Voraussetzung erfüllt ist, muss eine Wirtschaftlichkeitsuntersuchung nach § 7 der Bundeshaushaltsordnung (BHO) durchgeführt werden.
Rz. 4
Abs. 1 Nr. 2 legt als weitere Voraussetzung fest, dass geschützte Daten i. S. d. § 30 AO ausschließlich durch Amtsträger oder für den öffentlichen Dienst besonders verpflichtete Personen i. S. d. § 11 Abs. 1 Nr. 4 StGB verarbeitet werden dürfen. Die Regelung entspricht dem bisher geltenden Recht und ist bewusst enger gefasst als § 30 Abs. 9 AO.
Rz. 5
Nach Abs. 1 Nr. 3 dürfen die zur Erbringung der Druckdienstleistung überlassenen Daten sowie die Protokolldaten nicht für andere Zwecke verarbeitet werden.
Rz. 6
Nach Abs. 1 Nr. 4 muss die Druckdienstleistung im Inland erfolgen. Wo der Auftragnehmer seinen Sitz oder seine Geschäftsleitung hat, ist unerheblich. Das Gebot der Auftragsausführung im Inland trägt dem Umstand Rechnung, dass die verantwortlichen Finanzbehörden nur im Inland Hoheitsbefugnisse ausüben und die Tätigkeit des Auftragnehmers an Ort und Stelle mit Weisungsbefugnis beaufsichtigen können, die bei der Auftragsausführung eingesetzten Mitarbeiter des Auftragnehmers eine Verpflichtungserklärung i. S. d. Nr. 2 abgegeben haben müssen und ein Verstoß gegen Geheimhaltungsvorschriften nur im Inland wirksam aufgeklärt sowie nach § 355 StGB strafrechtlich verfolgt werden kann.
Rz. 7
Abs. 1 Nr. 5 macht die Zulässigkeit der Auftragsvergabe davon abhängig, dass der Auftragsverarbeiter im Rahmen der Art. 25 und 32 EU-DSGVO ein vom BMF freizugebendes IT-Sicherheitskonzept nach dem Standard des aktuellen Grundschutzkatalogs des Bundesamts für Sicherheit in der Informationstechnik erstellt hat.
Rz. 8
Abs. 1 Nr. 6 bestimmt aufgrund des hohen Schutzbedarfs der zu verarbeitenden Daten, dass die dem Auftragsverarbeiter überlassenen Daten entsprechend der vertraglich festgelegten Frist nach Abschluss der Druckdienstleistung zu löschen sind.
Rz. 9
Abs. 1 Nr. 7 legt schließlich fest, dass das Ergebnis der Druckdienstleistung vom Auftraggeber protokolliert wird und diese Protokolldaten entsprechend der vertraglich festgelegten Frist an die vom Auftraggeber benannte Stelle übermittelt werden.