Rz. 13
Neben der DSGVO ist im Steuerverfahrensrecht gem. § 2a Abs. 1, Abs. 3 AO seit dem 25.5.2018 grundsätzlich nur noch die AO zu berücksichtigen. Dies ergibt sich auch aus § 1 Abs. 2 S. 1 BDSG. Soweit das BDSG in seinem § 1 Abs. 2 S. 2 eine Auffangzuständigkeit reklamiert, steht dem zunächst die AO als lex specialis entgegen. Ausnahmen von der abschließenden Regelung des Datenschutzes durch die DSGVO und die AO im Bereich des steuerlichen Verfahrensrechts bestehen nur insoweit, wie die AO oder die Steuergesetze dies bestimmen. Das BDSG verliert damit weitgehend seine bisherige Funktion als "Auffanggesetz" im Bereich des für Finanzbehörden geltenden steuerlichen Datenschutzes. Die Regelungen des ersten und dritten Teils des BDSG greifen nach § 2a Abs. 1 S. 2, Abs. 4 AO im Bereich der Verhütung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Steuerstraftaten und Steuerordnungswidrigkeiten. Insoweit gelten die DSGVO und die diese ergänzenden und partiell modifizierenden Regelungen der AO nicht. Da dies die Anwendung partiell anderer Regeln und eines abweichenden Rechtswegs zur Folge hat, ist dies von einiger Bedeutung. Insbesondere sollte diese Anwendungsregel zu einigen Abgrenzungsproblemen führen, wenn etwa ein Datenverarbeitungsprogramm im Bereich der FÄ für Fahndung und Strafsachen sowohl den bezeichneten Zwecken, als auch Vorfeldermittlungen dient. Diese Vorfeldermittlungen sind den Steuer- und Zollfahndungsstellen durch § 208 Abs. 1 S. 1 Nr. 3 AO zwar als Aufgabe zugewiesen. Die Aufdeckung und Ermittlung unbekannter Steuerfälle steht aber selbst noch keineswegs einer Aufdeckung und Ermittlung von Steuerstraftaten gleich. Hier liegt also u. U. auch innerhalb eines Programms ein unterschiedliches Datenschutzrecht zugrunde, das zu beachten ist. Dessen ungeachtet haben die betroffenen Amtsträger unabhängig von dem anzuwendenden Datenschutzrecht § 30 AO zu beachten und das Steuergeheimnis zu wahren.
Rz. 14
Schon vor der Änderung des steuerrechtlichen Datenschutzes durch die DSGVO und die sich daran anschließenden Regelungen der AO ging § 30 AO den Vorschriften über den Datenschutz im damaligen BDSG vor. Das war zunächst in § 45 BDSG ausdrücklich geregelt. Die grundsätzliche Subsidiarität des Datenschutzes gegenüber dem Steuergeheimnis ergab sich dann später aus § 1 Abs. 3 S. 1 BDSG a. F. Nach dieser Vorschrift war der Datenschutz subsidiär, "soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind". Zu diesen Rechtsvorschriften gehörte § 30 AO. Außerhalb des Anwendungsbereichs der AO galt wiederum das BDSG bzw. das Datenschutzrecht des Landes.
Rz. 15
Für die Kontrolle der Einhaltung des Datenschutzes in den Finanzbehörden des Bundes und der Länder ist der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig, soweit die AO unmittelbar Anwendung findet. Durch diese Aufgabenzuweisung scheint eine einheitliche Beurteilung von Datenschutzverstößen sowohl in den Länderfinanzbehörden als auch im Bereich der Anwendungssoftware gewährleistet. Die Landesdatenschützer sind nur noch da zuständig, wo es nicht um Verfahren geht, die sich unmittelbar nach der AO richten; dazu zählen etwa die Kirchensteuer oder die Spielbankenabgabe, aber auch die beschäftigungsdatenschutzrechtlichen Aspekte. Dies führt dazu, dass gerade im Bereich der EDV-Verfahren in der Steuerverwaltung keine klare allgemeingültige Zuständigkeit für Datenschutzkontrollen besteht. Dem trägt die AO zumindest insoweit Rechnung, als § 32h Abs. 3 AO den Landesgesetzgebern die Möglichkeit einräumt, für den Bereich der landesrechtlichen oder kommunalen Steuergesetze die Aufsichtszuständigkeit gegen Kostenerstattung auf den oder die BfDI zu übertragen. Bisher scheint davon noch kein Landesgesetzgeber Gebrauch gemacht zu haben.
Rz. 16
Bei Kontrollen durch den oder die BfDI sieht § 32h Abs. 1 S. 2 AO i. V. m. § 16 Abs. 3 S. 1 Nr. 2 BDSG eine ausdrückliche gesetzliche Befugnis i. S. v. § 30 Abs. 4 Nr. 2 AO vor, personenbezogene Daten zu offenbaren. Der bzw. die Datenschutzbeauftragte hat somit ein Recht auf Einsichtnahme und Kontrolle des durch das Steuergeheimnis geschützten Bereichs, auch wenn dadurch auf Einzelheiten des geschützten Bereichs Schlüsse gezogen werden können.
Rz. 17
Früher war streitig, ob § 30 AO eine Sperrwirkung gegen Auskunftsbegehren der betroffenen Person durch "absichtsvollen Regelungsverzicht" haben könnte. Dies ist nunmehr durch die verfahrensrechtlichen Regelungen der DSGVO und der AO zugunsten der Betroffenenrechte geklärt. Dass der Auskunftsanspruch sich nicht auch auf die Verhältnisse Dritter erstreckt (etwa die Namensnennung eines Informanten), folgt schon aus dessen Anspruch auf Wahrung des Steuergeheimnisses (s. auch Rz. 6).
Rz. 18
Datenschutzvorschriften der Länder gelten im Steuerverwaltungsverfahren nach der AO generell nicht mehr. Anders wäre dies nur, wenn und soweit dies direkt in der AO ode...