A. Allgemeines
I. Entstehungsgeschichte
Rz. 1
Die Regelung des § 384a AO wurde durch Art. 17 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.7.2017 in die Abgabenordung aufgenommen. Hierdurch wurden die Vorschriften der AO an das Recht der EU, insbesondere an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (sog. Datenschutz-Grundverordnung – DSGVO) angepasst.
Aufgrund der Regelungsaufträge der DSGVO wurden die in der AO bereits bestehenden Vorschriften über die Verarbeitung personenbezogener Daten an die Normen und Begriffsbestimmungen der Verordnung angepasst bzw. neue bereichsspezifische Regelungen in enger Anlehnung an das neue Bundesdatenschutzgesetz geschaffen. Zugleich wurden auf Grundlage von Art. 23 DSGVO bereichsspezifische Einschränkungen der Betroffenenrechte bestimmt, damit die Finanzbehörden weiterhin ihrem Verfassungsauftrag nachkommen können, die Steuern nach Maßgabe der Gesetze gleichmäßig festzusetzen und zu erheben und Steuerverkürzungen aufzudecken.
Rz. 2
Bemerkenswert ist, dass die Entwürfe der Bundesregierung eines Gesetzes zur Änderung des Bundesversorgungsgesetzes vom 31.3.2017 bzw. vom 24.4.2017 zunächst keine Änderungen der AO im Hinblick auf die Datenschutzvorschriften vorsahen. Erst im Rahmen der Beschlussempfehlungen des Ausschusses für Arbeit und Soziales vom 31.5.2017 – also erst weniger als zwei Monate vor Verabschiedung des Umsetzungsgesetzes – wurden im Umsetzungsgesetz Anpassungen der AO an die Regelungen der DSGVO vorgenommen.
II. Inkrafttreten
Rz. 3
Gemäß Art. 31 Abs. 4 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften ist § 384a AO am 25.5.2018 in Kraft getreten.
III. Grundsätze der DSGVO
Rz. 4
Die DSGVO ist ab dem 25.5.2018 (Art. 99 Abs. 2 DSGVO) unmittelbar und vorrangig zu allen nationalen Regelungen anwendbar (vgl. Art. 288 Abs. 2 AEUV), soweit sie nicht Öffnungsklauseln zur Regelung von Rechtsmaterien zugunsten des nationalen Rechts enthält. Sie ersetzt das bisherige Bundesdatenschutzgesetz i.d.F. vom 14.1.2003, das bis zum 24.5.2018 anzuwenden war (BDSG a.F.). Ergänzend gilt in Deutschland das neue Bundesdatenschutzgesetz (BDSG n.F.) i.d.F. des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) vom 30.6.2017. Dieses füllt die Öffnungsklauseln der DSGVO auf nationaler Ebene aus.
Rz. 5
Erklärtes Ziel der DSGVO ist, dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in der behördlichen und unternehmerischen Praxis mehr Geltung zu verschaffen (Art. 1 Abs. 1 DSGVO). Sie gilt für die öffentliche wie nicht-öffentliche, automatisierte wie nicht automatisierte Verarbeitung personenbezogener Daten. Personenbezogene Daten in diesem Sinne sind gem. Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DSGVO). Adressat der Verordnung ist in erster Linie der sog. Verantwortliche, d.h. die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Rz. 6
Art. 5 Abs. 1 DSGVO bestimmt Grundsätze, wie die Verarbeitung personenbezogener Daten zu erfolgen hat, die sodann durch die nachfolgenden Vorschriften der DSGVO konkretisiert werden. Der Verantwortliche muss die Einhaltung jener Grundsätze nachweisen können (sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO). Folgende Grundsätze sind zu beachten:
Rz. 7
Die E...