1 Allgemeines
Rz. 1
Der mit dem Gesetz zur Modernisierung des Besteuerungsverfahrens v. 18.7.2016 neu eingefügte § 20a FVG bildet die gesetzliche Grundlage dafür, dass schriftliche Verwaltungsakte i. S. d. § 118 AO und sonstige Schreiben im Verwaltungsverfahren nach der AO der Bundesfinanzbehörden von nicht öffentlichen Stellen gedruckt, kuvertiert und in verschlossener Form an einen Postdienstleister übergeben werden dürfen. Damit geht die Vorschrift – für die Tätigkeit von Bundesfinanzbehörden – über § 20 Abs. 2 FVG hinaus, der die Verrichtung technischer Hilfstätigkeiten allein durch andere Finanzbehörden oder Verwaltungsträger erlaubt.
Da nur Hilfstätigkeiten ausgelagert werden dürfen, bleibt die sachlich und örtlich zuständige Bundesfinanzbehörde Herrin des Verwaltungsverfahrens. Sie allein entscheidet über Erhebung, Verarbeitung und Nutzung der dem Steuergeheimnis unterliegenden Daten und bestimmt die Art und Weise sowie den Zeitpunkt der Versendung.
Die Überlassung von Daten an den Auftragnehmer zur Erbringung der vereinbarten Druckleistungen ist im Hinblick auf § 30 Abs. 4 Nr. 1 AO i. V. m. § 20a FVG zulässig.
Durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.7.2017 ist die Vorschrift mit Wirkung vom 25.5.2018 an die Regelungen der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – EU-DSGVO) angepasst worden. Ziel der EU-DSGVO ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten. Die in § 20a FVG geregelte Erbringung von Druckdienstleistungen für Bundesfinanzbehörden durch nicht öffentliche Stellen stellt einen Fall der Auftragsverarbeitung dar, für die die EU-DSGVO (insbesondere in Kapitel IV) abschließende Regelungen trifft. Die Änderung des § 20a FVG trägt dem dadurch Rechnung, dass in dieser Vorschrift nur noch die Voraussetzungen geregelt werden, unter denen sich das BMF zur Erbringung von Druckdienstleistungen einer nicht öffentlichen Stelle als Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 EU-DSGVO bedienen darf.
2 Allgemeine Voraussetzungen der Auftragsvergabe (Abs. 1)
Rz. 2
Abs. 1 beschreibt die allgemeinen Voraussetzungen, unter denen Druckdienstleistungen für die Bundesfinanzverwaltung durch nicht öffentliche Stellen erbracht werden dürfen und grenzt den Umfang der zulässigen Hilfeleistungen ab. Im Hinblick auf Art. 28 Abs. 3 EU-DSGVO, wonach die Datenverarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgt, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet, legt Abs. 1 ferner fest, dass die Auftragsverarbeitung im Rahmen eines Vertrags erfolgt. Die inhaltlichen Anforderungen an den Vertrag, die nach bisherigem Recht in § 20a Abs. 3 Satz 2 FVG geregelt waren, ergeben sich nunmehr aus Art. 28 Abs. 3 EU-DSGVO.
Rz. 3
Nach Abs. 1 Nr. 1 ist die Auftragsverarbeitung durch nicht öffentliche Stellen wie bisher nur dann zulässig, wenn die Druckdienstleistung insoweit weder von der Bundesverwaltung noch durch automatische Einrichtungen der Behörden eines Landes oder eines anderen Verwaltungsträgers in wirtschaftlich vertretbarer Weise geleistet werden kann. Für die Feststellung, ob diese Voraussetzung erfüllt ist, muss eine Wirtschaftlichkeitsuntersuchung nach § 7 der Bundeshaushaltsordnung (BHO) durchgeführt werden.
Rz. 4
Abs. 1 Nr. 2 legt als weitere Voraussetzung fest, dass geschützte Daten i. S. d. § 30 AO ausschließlich durch Amtsträger oder für den öffentlichen Dienst besonders verpflichtete Personen i. S. d. § 11 Abs. 1 Nr. 4 StGB verarbeitet werden dürfen. Die Regelung entspricht dem bisher geltenden Recht und ist bewusst enger gefasst als § 30 Abs. 9 AO.
Rz. 5
Nach Abs. 1 Nr. 3 dürfen die zur Erbringung der Druckdienstleistung überlassenen Daten sowie die Protokolldaten nicht für andere Zwecke verarbeitet werden.
Rz. 6
Nach Abs. 1 Nr. 4 muss die Druckdienstleistung im Inland erfolgen. Wo der Auftragnehmer seinen Sitz oder seine Geschäftsleitung hat, ist unerheblich. Das Gebot der Auftragsausführung im Inland trägt dem Umstand Rechnung, dass die verantwortlichen Finanzbehörden nur im Inland Hoheitsbefugnisse ausüben und die Tätigkeit des Auftragnehmers an Ort und Stelle mit Weisungsbefugnis beaufsichtigen können, die bei der Auftragsausführung eingesetzten Mitarbeiter des Auftragnehmers eine Verpflichtungserklärung i. S. d. Nr. 2 abgegeben haben müssen und ein Verstoß gegen Geheimhaltungsvorschriften nur im Inland wirksam aufgeklärt sowie nach § 355 StGB strafrechtlich verfolgt werden kann.
Rz. 7
Abs. 1 Nr. 5 macht die Zulässigkeit der Auftragsvergabe davon abhängig, dass der Auftragsverarbeiter im Rahmen der Art. 25 und 32 EU-DSGVO ein vom BMF freizugebendes IT-Sicherheitskonzept nach dem Standard des aktuellen Grundschutzkatalogs des Bundesamts für Sicherheit in der Informationstechnik erstellt hat.