Rz. 4
Das Steuerverfahrensrecht sieht mit § 29b AO eine bereichsspezifische Rechtsgrundlage zur Verarbeitung personenbezogener Daten i. S. d. Art. 6 Abs. 1 S. 1 Buchst. e) DSGVO vor. Nach Auffassung des BFH genügt § 29b AO den Anforderungen, die die DSGVO an die Gestattung für die Verarbeitung von einfachen personenbezogenen Daten gem. Art. 6 Abs. 3 DSGVO sowie an die Verarbeitung von sensiblen Daten i. S. d. Art. 9 Abs. 2 DSGVO stellt.
Rz. 5
In Art. 6 Abs. 1 DSGVO ist der Grundsatz enthalten, dass die Verarbeitung personenbezogener Daten nur unter bestimmten Voraussetzungen zulässig ist. Die Regelung normiert ein Verbot der Verarbeitung mit Erlaubnisvorbehalt. Liegen die Voraussetzungen nicht vor, so ist die Verarbeitung unzulässig und durch die Haftung für Schadensersatz und die Ahndung mit Bußgeldern bewehrt (sog. Verbot der Datenverarbeitung mit Erlaubnisvorbehalt). Die Verarbeitung personenbezogener Daten durch Finanzbehörden zur Durchführung der Besteuerungsverfahren ist nach Art. 6 Abs. 1 S. 1 Buchst. e) DSGVO zulässig, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Wird die Datenverarbeitung auf Art. 6 Abs. 1 S. 1 Buchst. e) DSGVO gestützt, enthält Art. 6 Abs. 3 DSGVO zugleich den Regelungsauftrag u. a. an den nationalen Gesetzgeber, eine Rechtsgrundlage für die Verarbeitung zu schaffen, wobei der Zweck der Verarbeitung im öffentlichen Interesse liegen muss. Damit enthält Art. 6 Abs. 1 S. 1 Buchst. e) DSGVO selbst keine Rechtsgrundlage für die Datenverarbeitung, sondern setzt diese vielmehr voraus. Mit § 29b AO ist der nationale Gesetzgeber diesem Regelungsauftrag nachgekommen.
Rz. 6
Bei der Ausgestaltung der nationalen Öffnungsregelung – hier des § 29b AO – ist sicherzustellen, dass das durch die DSGVO eröffnete Schutzniveau eingehalten wird. Dementsprechend dürfen durch § 29b AO die in Art. 6 DSGVO enthaltenen Zulässigkeitstatbestände nicht materiell erweitert werden. Vor diesem Hintergrund hat sich der deutsche Gesetzgeber dafür entschieden, in § 29b Abs. 1 AO eine auf Art. 6 Abs. 1 S. 1 Buchst. e) DSGVO basierende Rechtsgrundlage zu schaffen.
Rz. 7
Zugleich wird das Schutzniveau im Rahmen der nationalen Regelung des § 29b AO über den unmittelbaren Regelungsbereich der DSGVO hinaus auf einen erweiterten Personenkreis bezogen. Während sich der Schutz der personenbezogenen Daten nach Art. 4 Nr. 1 DSGVO (nur) auf lebende natürliche Personen bezieht, zählen nach § 2a Abs. 5 AO auch Daten, die sich auf verstorbene natürliche Personen oder auf Körperschaften, rechtsfähige oder nicht rechtsfähige Personenvereinigungen oder Vermögensmassen beziehen, zum Schutzbereich des § 29b AO. In der Konsequenz enthält § 29b AO damit auch die Rechtsgrundlage für die Verarbeitung dieser Daten. Dementsprechend gehen Gesetzgeber, Rechtsprechung und Verwaltung einhellig davon aus, dass insbesondere auch mit der Regelung des § 2a Abs. 5 AO eine umfassende Geltung der DSGVO im Anwendungsbereich der AO gegeben ist. Dabei ist der Anwendungsbereich der DSGVO nicht nach Art. 2 Abs. 2 Buchst. a) DSGVO nur auf den Bereich der harmonisierten Steuern beschränkt. § 29b AO legitimiert die Finanzbehörden dementsprechend unter den dort genannten Voraussetzungen für sämtliche das Steuerverfahrensrecht betreffenden Maßnahmen zur Verarbeitung personenbezogener Daten.
Rz. 8
Zwar kommt im Fall der Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung auch Art. 6 Abs. 1 S. 1 Buchst. c) DSGVO in Betracht, wenn die Erhebung der personenbezogenen Daten erforderlich ist, um die Behördenentscheidung zu treffen.
Der EuGH zieht den Schluss von der Zuweisung der Aufgabe an eine Behörde auf die Zulässigkeit der für die Erfüllung dieser Aufgabe notwendiger Weise zu erhebenden Daten. Insoweit wäre eine nationale Regelung als Rechtsgrundlage für die Zulässigkeit der Datenerhebung entbehrlich. Allerdings wäre auf Grundlage dieser Rechtsauffassung ausschließlich die Erhebung der für die Behördenentscheidung erforderlichen Daten zulässig. Zur Verifikation der Angaben der betroffenen Person oder für die Risikoklassifizierung nur begleitend zur Behördenentscheidung erhobene Daten wären ggf. als überobligatorische Datenerhebung anzusehen. Aus diesem Grund scheint es angezeigt, das gesamte Spektrum der Aufgaben der Finanzbehörden durch eine diesen Umfang umfassende Rechtsgrundlage abzusichern.
Rz. 9
Die Grundsätze der Datenverarbeitung sind durch die DSGVO mit verbindlicher Wirkung kodifiziert worden, wobei es sich hierbei eher um Programmsätze, denn um Handlungsgebote enthaltende Vorgaben handelt. Im Einzelnen sind folgende Grundsätze zu beachten:
- Grundsatz der Rechtmäßigkeit: Die Datenverarbeitung muss durch eine Rechtsgrundlage erlaubt oder durch die betroffene Person zugestanden (Einwilligung) sein.
- Beachtung von Treu und Glauben bei der Datenverarbei...