1 Allgemeines
Rz. 1
Mit der DSGVO wurde das Datenschutzrecht in Europa grundlegend geändert. Die Verordnung gilt unmittelbar in jedem Mitgliedstaat, sodass zentrale Fragen des Datenschutzes europaweit einheitlich beantwortet werden. Das Datenschutzrecht der DSGVO wird von verschiedenen Grundprinzipien getragen – zu nennen sind hier u. a. die "Rechtmäßigkeit der Datenverarbeitung", die "Zweckbindung", die "Datensparsamkeit" sowie die "Transparenz" bei der Verarbeitung personenbezogener Daten. Neben der Einführung umfangreicher Betroffenenrechte wurde auch dem "technischen und organisatorischen Datenschutz" eine größere Bedeutung zugebilligt. Hierzu gehören Meldungen über Datenschutzpannen genauso wie die in vielen Fällen vom Verantwortlichen zu erstellende Datenschutz-Folgenabschätzung. Daneben wurde durch die DSGVO auch die Datenschutzaufsicht gestärkt und europaweit einheitliche Regularien vorgegeben. So muss jeder Mitgliedstaat eine oder mehrere unabhängige Aufsichtsbehörden einrichten und diese mit dem erforderlichen Personal ausstatten. Die DSGVO stellt den Aufsichtsbehörden außerdem einen umfassenden Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung der sich aus der DSGVO ergebenden datenschutzrechtlichen Bestimmungen durchzusetzen. Diese Rechte der Aufsichtsbehörden bestehen – im Gegensatz zu dem vor Inkrafttreten der DSGVO geltenden Recht – nun auch im öffentlichen Bereich. So kann die Datenschutzaufsicht den Verantwortlichen anweisen, ihr bestimmte Unterlagen vorzulegen oder gegenüber dem Verantwortlichen vorsorgliche Warnungen aussprechen, wenn dieser eine Datenverarbeitung beabsichtigt, die voraussichtlich einen Verstoß gegen die DSGVO darstellt. Es können auch Verwarnungen ausgesprochen werden, wenn mit Datenverarbeitungen bereits gegen die DSGVO verstoßen wurde. Darüber hinaus können Verantwortliche und Auftragsverarbeiter im Rahmen eines förmlichen Verwaltungsaktes von den Aufsichtsbehörden angewiesen werden, Betroffenenrechten zu entsprechen, Datenverarbeitungen mit der DSGVO in Einklang zu bringen, sowie von einem Datenschutzverstoß betroffene Personen entsprechend zu benachrichtigen. Die Datenschutzaufsicht kann auch Vor-Ort-Prüfungen durchführen. Für die Finanzbehörden besonders relevant ist, dass auch die Verarbeitung von personenbezogenen Daten eingeschränkt oder ganz verboten werden kann. Es besteht somit die Möglichkeit, dass die Verarbeitung personenbezogener Daten z. B. im Rahmen des Einkommensteuerprogramms durch die Datenschutzaufsicht insgesamt untersagt wird. Weiterhin kann sie die Finanzbehörden zur Löschung bestimmter Daten verpflichten. Für das deutsche Recht sind diese Befugnisse insofern neu, als das eine Behörde gegenüber einer anderen Behörde in deren hoheitlichen Tätigkeitsbereich eingreifen und insoweit eigene hoheitliche Maßnahmen erlassen kann. Dies war nach der bis zum 24.5.2018 geltenden Rechtslage nicht möglich. Die Grundlage für dieses Recht ist Art. 58 DSGVO. Im nicht-öffentlichen Bereich kann die Datenschutzaufsicht neben den oben beschriebenen Maßnahmen auch Geldbußen festsetzen. So können Geldbußen von bis zu 10.000.000 EUR bzw. bei Unternehmen bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Bei bestimmten, besonders schwerwiegenden Verstößen, darunter Verstöße gegen die Datenverarbeitungsgrundsätze und gegen die Betroffenenrechte oder im Falle einer Verarbeitung ohne Rechtsgrundlage, sind Geldbußen von bis zu 20.000.000 EUR möglich. Gegen Unternehmen kann diese Grenze sogar noch überschritten werden, nämlich bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Gegenüber Behörden kann die Datenschutzaufsicht jedoch keine Geldbußen festsetzen. Die DSGVO bietet jedoch den Mitgliedstaaten die Möglichkeit von diesem Grundsatz abzuweichen und im nationalen Recht der Datenschutzaufsicht das Recht einzuräumen auch gegenüber Behörden Geldbußen festsetzen zu können. Von dieser Öffnungsklausel hat Deutschland jedoch keinen Gebrauch gemacht. Weitergehende Öffnungsklauseln – vergleichbar zu Art. 23 DSGVO – die es ermöglicht durch nationales Recht, die der Datenschutzaufsicht eingeräumten Rechte einzuschränken, enthält die DSGVO nicht. Dies gilt gleichermaßen auch für den von der DSGVO geforderten technischen Datenschutz.
Rz. 2
§ 32h AO enthält weder eine Einschränkung der Befugnisse der Datenschutzaufsicht noch werden Abstriche beim technischen Datenschutz geregelt. Die Vorschrift bestimmt lediglich die für die Finanzbehörde konkret zuständige Datenschutzaufsicht. Werden personenbezogene Daten im Anwendungsbereich der AO verarbeitet ist dies nach § 32h Abs. 1 AO der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Unter bestimmten Voraussetzungen können dem BfDI auch noch weitere Aufgaben durch die Länder übertragen werden. Außerdem wird in Abs. 2 den Besonderheiten des föderalen Aufbaus beim technischen Datenschutz Rechnung ...