Datenschutz im Steuerverwaltungsverfahren seit dem 25. Mai 2018; Neuregelungen durch die Datenschutz-Grundverordnung und Änderungen der AO durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017

Bezug: BMF, Schreiben v. 12.01.2018 - IV A 3 - S 0030/16/10004-07 - BStBl 2018 I S. 185

I. Anwendungsbereich der DSGVO und der Datenschutzvorschriften der AO sowie der Steuergesetze

1. Unmittelbare Anwendung der DSGVO

1 Die DSGVO gilt in ihrem Anwendungsbereich (vgl. Art. 2 DSGVO) unmittelbar. Dies bedeutet, dass ihre Regelungen in den Mitgliedstaaten der EU verbindlich sind, ohne dass es einer nationalen Umsetzung bedarf. Sie gehen nationalen Rechtsvorschriften vor. Dies ergibt sich aus Art. 288 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV). Darin heißt es: „Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Dies ist in § 2a Abs. 3 AO nochmals ausdrücklich als Hinweis aufgenommen worden (Anwendungsvorrang). Die Regelungen der DSGVO dürfen im nationalen Recht grundsätzlich nicht wiederholt werden (Wiederholungsverbot).

2 Die Regelungen der DSGVO sind auch im Verwaltungsverfahren in Steuersachen nach der AO unmittelbar anzuwenden. Sie gelten damit insbesondere für

• Bundesfinanzbehörden, soweit sie bundesgesetzlich geregelte Steuern verwalten (§ 1 Abs. 1 Satz 1 AO) oder den grenzüberschreitenden Warenverkehr überwachen (§ 2a Abs. 2 AO),

• Landesfinanzbehörden, soweit sie bundesgesetzlich geregelte Steuern verwalten (§ 1 Abs. 1 Satz 1 AO) und

• Gemeinden, soweit sie Realsteuern verwalten (§ 1 Abs. 2 Nr. 1 AO).

3 Zum Verwaltungsverfahren in Steuersachen nach der AO gehören insbesondere die Ermittlung der Steuerpflichtigen und der steuerrelevanten Sachverhalte (ggf. auch im Rahmen einer Außenprüfung, Lohnsteuer-Außenprüfung, Umsatzsteuer-Sonderprüfung, Lohnsteuer-Nachschau, Umsatzsteuer-Nachschau oder Kassen-Nachschau), die Festsetzung und Erhebung von Steuern, Steuervergütungen und steuerlichen Nebenleistungen einschließlich der Vollstreckung dieser Ansprüche, die Inanspruchnahme von Haftungsschuldnern sowie das außergerichtliche Rechtsbehelfsverfahren.

4 Die AO und die Steuergesetze enthalten ergänzende bereichsspezifische Regelungen zur Rechtmäßigkeit der Verarbeitung und Weiterverarbeitung personenbezogener Daten durch Finanzbehörden sowie andere öffentliche oder nicht-öffentliche Stellen (vgl. § 2a Abs. 1 Satz 1 AO). Außerdem enthält die AO Beschränkungen der Rechte der Betroffenen nach Kapitel III der DSGVO (siehe Rn. 29 ff.).

5 Die Regelungen des BDSG gelten für Finanzbehörden im Anwendungsbereich der AO nur, soweit dies in der AO ausdrücklich bestimmt ist (§ 2a Abs. 1 Satz 2 AO). Landesdatenschutzgesetze gelten im Anwendungsbereich der AO nicht.

2. Entsprechende Anwendung der DSGVO - § 2a Abs. 5 AO

6 Die DSGVO gilt unmittelbar nur für personenbezogene Daten lebender natürlicher Personen. § 2a Abs. 5 AO erweitert diesen Anwendungsbereich. Hiernach gelten die datenschutzrechtlichen Vorschriften der DSGVO, der AO und der Steuergesetze über die Verarbeitung personenbezogener Daten (lebender) natürlicher Personen des Weiteren entsprechend für Informationen, die sich auf identifizierte oder identifizierbare (vgl. Rn. 9)

1. verstorbene natürliche Personen oder

2. Körperschaften, rechtsfähige oder nicht rechtsfähige Personenvereinigungen oder Vermögensmassen

beziehen.

Soweit die AO (z. B. in § 30 Abs. 2 AO) oder dieses Schreiben die Begriffe „personenbezogene Daten“ oder „betroffene Person“ verwendet, gelten die jeweiligen Bestimmungen somit auch für Informationen entsprechend, die sich auf eine verstorbene natürliche Person oder auf eine Körperschaft, rechtsfähige oder nicht rechtsfähige Personenvereinigung oder Vermögensmasse beziehen.

3. Keine Anwendung der DSGVO in Steuerstraf- und -bußgeldverfahren - § 2a Abs. 4 AO

7 Die DSGVO gilt nicht für die Verarbeitung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Steuerstraftaten oder Steuerordnungswidrigkeiten (Art. 2 Abs. 2 Buchst. d DSGVO). Insoweit gelten die Vorschriften des Ersten und des Dritten Teils des BDSG, soweit gesetzlich nichts anderes bestimmt ist (§ 2a Abs. 4 AO). Abweichende gesetzliche Regelungen können sich z. B. aus der AO, der StPO oder über § 1 Abs. 1 Nr. 2 BDSG aus den Landesdatenschutzgesetzen ergeben.

II. Verarbeitung und Weiterverarbeitung personenbezogener Daten durch Finanzbehörden

1. Begriffsdefinitionen - Art. 4 und 9 Abs. 1 DSGVO

8 Soweit die AO oder die Steuergesetze Begriffe i. S. d. Art. 4 DSGVO verwenden (z. B. „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“ oder „Dateisystem“), sind die Legaldefinitionen der DSGVO verbindlich.

9 „Personenbezogene Daten“ definiert Art. 4 Nr. 1 DSGVO als Informationen, die sich auf eine identifizierte oder identifizierbare (lebende) natürliche Person (= „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

10 „Besondere Kategorien personenbezogener Daten“ definiert Art. 9 Abs. 1 DSGVO als Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht, sowie genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Laut Erwägungsgrund 10 Satz 5 der DSGVO werden besondere Kategorien personenbezogener Daten auch als sensible Daten bezeichnet. Im Folgenden sollen diese Daten der besseren Lesbarkeit halber als „sensible Daten“ bezeichnet werden.

11 Die „Verarbeitung personenbezogener Daten“ ist der Oberbegriff und umfasst nach Art. 4 Nr. 2 DSGVO insbesondere folgende Vorgänge oder Vorgangsreihen:

• das Erheben (vgl. Rn. 12),

• das Erfassen,

• die Organisation,

• das Ordnen,

• die Speicherung,

• die Anpassung oder Veränderung,

• das Auslesen,

• das Abfragen,

• die Verwendung,

• die Offenlegung (vgl. Rn.13),

• den Abgleich oder die Verknüpfung,

• die Einschränkung, das Löschen oder die Vernichtung.

Dabei ist es unbeachtlich, ob diese Verarbeitung mit Hilfe automatisierter Verfahren oder manuell ausgeführt werden.

12 Unter „Erheben“ ist das Beschaffen von personenbezogenen Daten zu verstehen, wenn die erhebende Stelle Kenntnis von den personenbezogenen Daten oder Verfügungsmacht über die Daten erlangt, beispielweise durch die Steuererklärung, eine Auskunft nach § 93 AO, eine Außenprüfung, eine gesetzlich vorgeschriebene Anzeige/Mitteilung oder eine Recherche in Zeitungen oder in elektronischen Medien/Abrufverfahren.

13 Die „Offenlegung“ kann durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen. Sie umfasst jeden bewussten Vorgang, durch den personenbezogene Daten vom Bereich des Verantwortlichen in den Bereich eines Dritten gelangen können. Anlass, Zweck und Rechtsgrundlage des Offenlegens sind unerheblich. Der im Steuerrecht verwendete Begriff des Offenbarens i. S. d. § 30 AO ist eine Form des Offenlegens geschützter Daten i. S. d. Art. 4 Nr. 2 DSGVO (vgl. Nr. 3 des AEAO zu § 30).

14 „Verantwortlicher“ ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Soweit im Folgenden die „verantwortliche Finanzbehörde“ angesprochen wird, ist die Finanzbehörde gemeint, die jeweils über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Regelfall ist dies die im Einzelfall sachlich und örtlich zuständige Finanzbehörde. Stellen, die nach § 20 Abs. 3 FVG technische Hilfstätigkeiten für die sachlich und örtlich zuständigen Finanzbehörden erbringen, sind nicht „Verantwortliche“ i. S. d. Art. 4 Nr. 7 DSGVO, sondern „Auftragsverarbeiter“ i. S. d. Art. 4 Nr. 8 DSGVO. In den Fällen des § 29a AO bleibt also verantwortliche Finanzbehörde das örtlich zuständige Finanzamt und nicht das unterstützende Finanzamt.

2. Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten - Art. 5 DSGVO

15 Art. 5 DSGVO bestimmt folgende Grundsätze für die Verarbeitung personenbezogener Daten:

• Rechtmäßigkeit,

• Verarbeitung nach Treu und Glauben,

• Transparenz,

• Zweckbindung,

• Datenminimierung,

• Richtigkeit,

• Speicherbegrenzung,

• Integrität und Vertraulichkeit sowie

• Rechenschaftspflicht des Verantwortlichen.

3. Zulässigkeit der Verarbeitung personenbezogener Daten durch Finanzbehörden - § 29b AO

16 Die DSGVO ist gesetzestechnisch als „Verbot mit Erlaubnisvorbehalt“ konzipiert worden. Deswegen benötigen rechtmäßige Datenverarbeitungen immer eine Erlaubnis, andernfalls sind sie „datenschutzwidrig“ und damit rechtswidrig. Im öffentlichen Bereich (d. h. auch in Verwaltungsverfahren in Steuersachen nach der AO) ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die Verarbeitung

• zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Art. 6 Abs. 1 Satz 1 Buchst. c DSGVO) oder

• für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO).

17 Die Rechtsgrundlage für Verarbeitungen gem. Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO muss durch Unionsrecht (z. B. EU-Verordnungen wie die Zusammenarbeitsverordnung - VO EU 904/2010) oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt sein (Art. 6 Abs. 3 Satz 1 DSGVO).

18 § 29b Abs. 1 AO ist die nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten i. S. d. Art. 6 Abs. 3 Satz 1 DSGVO durch Finanzbehörden in Verwaltungsverfahren in Steuersachen nach der AO. Hiernach dürfen Finanzbehörden personenbezogene Daten verarbeiten, wenn dies zur Erfüllung der ihnen obliegenden Aufgaben oder in Ausübung öffentlicher Gewalt, die ihnen übertragen wurde, erforderlich ist. Die den Finanzbehörden obliegenden Aufgaben und öffentlich-rechtlichen Befugnisse ergeben sich aus der AO (vgl. § 85 AO) und den Steuergesetzen. Die Zulässigkeit der Verarbeitung personenbezogener Daten zu anderen Zwecken durch Finanzbehörden richtet sich nach § 29c AO (siehe Rn. 23 ff.).

19 Sensible Daten (siehe Rn. 10) dürfen nur in den in Art. 9 Abs. 2 DSGVO genannten Fällen verarbeitet werden.

20 § 29b Abs. 2 AO ist die nationale Rechtsgrundlage für die Verarbeitung sensibler Daten i. S. d. Art. 9 Abs. 2 Buchst. g DSGVO in Verwaltungsverfahren in Steuersachen nach der AO durch Finanzbehörden. Die Verarbeitung sensibler Daten durch eine Finanzbehörde ist hiernach zulässig, soweit die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen. Ein erhebliches öffentliches Interesse liegt insbesondere vor, wenn Steuergesetze ausdrücklich an sensible Daten anknüpfen (sei es z. B. beim Abzug von Werbungskosten, Sonderausgaben oder außergewöhnlichen Belastungen).

21 In diesem Fall sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. § 22 Abs. 2 Satz 2 BDSG ist dabei entsprechend anzuwenden (§ 29b Abs. 2 Satz 2 2. HS AO). Im Hinblick auf den Schutz personenbezogener Daten nach § 30 AO und § 355 StGB ist sowohl für sensible Daten als auch für die übrigen personenbezogenen Daten das gleiche Datenschutzniveau zu wählen und es sind entsprechende Maßnahmen zu treffen. Das Datenschutzniveau orientiert sich am Schutzniveau für die Verarbeitung sensibler Daten.

Bei Verarbeitungstätigkeiten im Anwendungsbereich der AO ist daher aus rechtlicher Sicht keine zusätzliche Einteilung in datenschutzrechtliche Schutzstufen erforderlich.

22 Art. 6 Abs. 4 DSGVO i. V. m. § 29b AO gestattet die Verarbeitung der Daten lediglich zu dem Zweck, zu dem sie erhoben worden sind. Zweck ist die Durchführung des jeweiligen Verwaltungsverfahrens in Steuersachen nach der AO (vgl. Rn. 2 und 3), differenziert nach Abgabeart (Steuer zuzüglich steuerliche Nebenleistungen), Besteuerungszeitraum/-zeitpunkt und Steuerschuldner. Für gesonderte und gesonderte und einheitliche Feststellungen gilt Entsprechendes.

So ist z. B. Zweck der Verarbeitung der im Rahmen der Einkommensteuererklärung erhobenen personenbezogenen Daten für das Jahr 2017 die Festsetzung und Erhebung der Einkommensteuer für 2017 (ggf. einschließlich der Ermittlung der Besteuerungsgrundlagen durch eine Außenprüfung oder durch ein Auskunftsersuchen gegenüber einem Dritten, der Vollstreckung, der Haftungsinanspruchnahme eines Dritten oder der Durchführung eines außergerichtlichen Rechtsbehelfsverfahrens).

4. Weiterverarbeitung personenbezogener Daten durch Finanzbehörden - § 29c AO

23 Personenbezogene Daten, die zu einem bestimmten Zweck erhoben wurden, dürfen nicht einfach für andere Zwecke weiterverwendet werden. Werden personenbezogene Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben oder erfasst wurden, verarbeitet (sog. Weiterverarbeitung), muss eine entsprechende Ermächtigung durch eine Rechtsvorschrift der Union (z. B. EU-Verordnungen wie die Zusammenarbeitsverordnung - VO EU 904/2010) oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt, vorhanden sein (Art. 6 Abs. 4 DSGVO).

24 § 29c Abs. 1 AO ist die nationale Rechtsgrundlage für die Weiterverarbeitung personenbezogener Daten i. S. d. Art. 6 Abs. 4 DSGVO durch Finanzbehörden.

25 Die Weiterverarbeitung personenbezogener Daten durch Finanzbehörden ist im Rahmen ihrer Aufgabenerfüllung insbesondere in folgenden Fällen zulässig:

• Die Weiterverarbeitung dient einem

  • anderen Verwaltungsverfahren in Steuersachen,

  • Rechnungsprüfungsverfahren in Steuersachen,

  • gerichtlichen Verfahren in Steuersachen,

  • Strafverfahren wegen einer Steuerstraftat oder

  • Bußgeldverfahren wegen einer Steuerordnungswidrigkeit

  (§ 29c Abs. 1 Satz 1 Nr. 1 AO).

• Es liegen die gesetzlichen Voraussetzungen vor, die nach § 30 Abs. 4 oder 5 AO eine Offenbarung der Daten zulassen würden, oder es ist zu prüfen, ob diese Voraussetzungen vorliegen (§ 29c Abs. 1 Satz 1 Nr. 2 AO).

• Die Weiterverarbeitung ist für die Wahrnehmung von Aufsichts-, Steuerungs- und Disziplinarbefugnissen der Finanzbehörde erforderlich (§ 29c Abs. 1 Satz 1 Nr. 6 1. Alt. AO). Hierbei dürfen die Daten nur durch Personen verarbeitet werden, die nach § 30 AO zur Wahrung des Steuergeheimnisses verpflichtet sind (§ 29c Abs. 1 Satz 3 AO). Eine Weiterverarbeitung für die Wahrnehmung von Disziplinarbefugnissen anderer Behörden ist unter den Voraussetzungen des § 29c Abs. 1 Satz 1 Nr. 2 AO i. V. m. § 30 Abs. 4 Nr. 5 AO zulässig.

• Die Veränderung oder Nutzung personenbezogener Daten ist zu Ausbildungs- und Prüfungszwecken durch die Finanzbehörde erforderlich und überwiegende schutzwürdige Interessen der betroffenen Person stehen dem nicht entgegen (§ 29c Abs. 1 Satz 1 Nr. 6 2. Alt. AO). Hierbei dürfen die Daten nur durch Personen verarbeitet werden, die nach § 30 AO zur Wahrung des Steuergeheimnisses verpflichtet sind (§ 29c Abs. 1 Satz 3 AO).

26 Eine Weiterverarbeitung i. S. d. § 29c Abs. 1 AO liegt auch dann vor, wenn sie durch denselben Amtsträger erfolgt, der die ursprüngliche Verarbeitung i. S. d. § 29b AO ausgeführt hat (z. B. Daten aus der ESt-Veranlagung werden durch denselben Amtsträger i. R. d. USt-Festsetzung verwendet). Sofern die Daten darüber hinaus einem Dritten offenbart werden sollen, muss eine Befugnis i. S. d. § 30 Abs. 4 oder 5 AO gegeben sein.

27 Die Weiterverarbeitung sensibler Daten ist unter den Voraussetzungen des § 29c Abs. 2 AO zulässig.

III. Steuergeheimnis - § 30 AO

28 Auf die Regelungen im AEAO zu § 30 (vgl. BMF-Schreiben vom 12. Januar 2018 - IV A 3 - S 0062/18/10001 -, BStBl 2018 I S. 175) wird verwiesen.

IV. Rechte der betroffenen Person - Art. 12 bis 22 DSGVO, §§ 32a bis 32f AO

29 Die von der Datenverarbeitung betroffenen Personen haben nach Art. 12 bis 22 DSGVO verschiedene Rechte, bzw. den Verantwortlichen obliegen hiernach gegenüber den betroffenen Personen bestimmte Pflichten. Der nationale Gesetzgeber hat im Anwendungsbereich der AO von der ihm eingeräumten Regelungsbefugnis Gebrauch gemacht und die Betroffenenrechte modifiziert. Die Betroffenenrechte werden ergänzend zur DSGVO durch §§ 32a bis 32f AO eingeschränkt.

1. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person - Art. 12 DSGVO, § 32d AO

30 Die verantwortliche Finanzbehörde muss nach Art. 12 Abs. 1 Satz 1 DSGVO der betroffenen Person alle Informationen gem. den Art. 13 und 14 DSGVO und alle Mitteilungen gem. den Art. 15 bis 22 und Art. 34 DSGVO, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln.

31 Die Übermittlung der Informationen erfolgt nach Art. 12 Abs. 1 Satz 2 DSGVO schriftlich oder in anderer Form, ggf. auch elektronisch. Bei der elektronischen Übermittlung personenbezogener Daten ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO).

32 Soweit der Erteilung der Information oder Auskunft keine Rechtsgründe entgegenstehen, bestimmt die Finanzbehörde die Form der Informations- oder Auskunftserteilung gem. § 32d AO grundsätzlich nach pflichtgemäßem Ermessen. Wenn sie es für zweckmäßig hält, kann die Information oder Auskunft auch im Wege der Akteneinsicht erteilt werden.

33 Hat die betroffene Person einen Bevollmächtigten i. S. d. § 80 Abs. 1 AO bestellt, soll die Information bzw. die Auskunft dem Bevollmächtigten erteilt werden, sofern keine Anhaltspunkte für einen abweichenden Willen der betroffenen Person zu erkennen sind. Von einem abweichenden Willen der betroffenen Person ist z. B. auszugehen, wenn sie persönlich einen Auskunftsantrag nach Art. 15 DSGVO gestellt hat.

34 Die verantwortliche Finanzbehörde muss der betroffenen Person nach Art. 12 Abs. 3 Satz 1 DSGVO Informationen über die auf Antrag gem. den Art. 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellen.

35 Kann diese Frist wegen der Komplexität und der Anzahl der Anträge nicht eingehalten werden, sind die Informationen innerhalb von zwei weiteren Monaten zur Verfügung zu stellen (Art. 12 Abs. 3 Satz 2 DSGVO). Die betroffene Person ist hierüber innerhalb eines Monats nach Eingang des Antrags, zusammen mit den Gründen für die Verzögerung, zu unterrichten (Art. 12 Abs. 3 Satz 3 DSGVO).

36Wird die verantwortliche Finanzbehörde auf den Antrag der betroffenen Person hin nicht tätig, muss sie die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit unterrichten, Beschwerde bei der Datenschutzaufsichtsbehörde (vgl. Art. 77 DSGVO) oder einen gerichtlichen Rechtsbehelf (vgl. Art. 79 DSGVO) einzulegen (Art. 12 Abs. 4 DSGVO).

37 Informationen gem. Art. 13 und 14 DSGVO sowie alle Mitteilungen und Maßnahmen gem. Art. 15 bis 22 und Art. 34 DSGVO werden grundsätzlich unentgeltlich zur Verfügung gestellt (Art. 12 Abs. 5 Satz 1 DSGVO).

38 Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann die verantwortliche Finanzbehörde nach Art. 12 Abs. 5 Satz 2 Buchst. b DSGVO sich weigern, aufgrund des Antrags tätig zu werden. Die verantwortliche Finanzbehörde hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen (Art. 12 Abs. 5 Satz 3 DSGVO).

2. Informationspflicht bei Erhebung von personenbezogenen Daten

39 Nach Art. 13 und 14 DSGVO obliegen der verantwortlichen Finanzbehörde Informationspflichten gegenüber der betroffenen Person, wenn sie personenbezogene Daten zu dieser Person erhebt oder beabsichtigt, diese weiterzuverarbeiten. Siehe dazu auch die Übersicht in Anlage 1.

a) Bei der betroffenen Person erhobene personenbezogene Daten - Art. 13 DSGVO, § 32a AO

aa) Informationspflicht von Amts wegen

40 Im Fall der Erhebung personenbezogener Daten bei der betroffenen Person muss die verantwortliche Finanzbehörde nach Art. 13 Abs. 1 und 2 DSGVO der betroffenen Person die in diesen Regelungen genannten Daten und Informationen spätestens im Zeitpunkt der Erhebung von Amts wegen mitteilen.

41 Mitzuteilen sind hiernach insbesondere:

• der Name und die Kontaktdaten der verantwortlichen Finanzbehörde sowie ggf. ihres Vertreters oder ihres Datenschutzbeauftragten;

• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen (vgl. Rn. 25);

• die Rechtsgrundlage für die Verarbeitung;

• ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;

• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

• das Bestehen eines Rechts auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung;

• das Bestehen eines Beschwerderechts bei der oder dem Bundesbeauftragen für den Datenschutz und die Informationsfreiheit (BfDI);

• ggf. das Bestehen einer gesetzlichen Pflicht zur Bereitstellung der personenbezogenen Daten durch die betroffene Person;

• ggf. welche mögliche Folgen die Nichtbereitstellung hätte.

42 Beabsichtigt die verantwortliche Finanzbehörde, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, muss sie der betroffenen Person vor dieser Weiterverarbeitung von Amts wegen Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen (Art. 13 Abs. 3 DSGVO).

43 Diese Informationspflichten (Rn. 40 bis 42) können soweit möglich auch in allgemeiner Form (beispielsweise durch ein allgemeines Informationsschreiben mit Hinweis auf ein - z. B. im Internet - veröffentlichtes Merkblatt) erfüllt werden (§ 32d Abs. 2 AO). Im Fall elektronischer Übermittlung der Information ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO).

bb) Ausnahmen von der Informationspflicht

44 Die o. g. Informationspflichten gem. Art. 13 Abs. 1 bis 3 DSGVO bestehen nach Art. 13 Abs. 4 DSGVO nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Hiervon ist auszugehen, soweit ein allgemeines Informationsschreiben gem. § 32d Abs. 2 AO mit Hinweis auf ein - z. B. im Internet - veröffentlichtes Merkblatt übermittelt worden ist.

45 Darüber hinaus besteht die Informationspflicht bei beabsichtigter Weiterverarbeitung (vgl. Art. 13 Abs. 3 DSGVO) nach Art. 23 Abs. 1 DSGVO i. V. m. § 32a Abs. 1 AO in folgenden Fällen nicht:

• 46 die Erteilung der Information würde die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben gefährden (vgl. Rn. 50 und 51) und die Interessen der Finanzbehörden an der Nichterteilung der Information überwiegen die Interessen der betroffenen Person (§ 32a Abs. 1 Nr. 1 i. V. m. Abs. 2 AO),

• 47 die Erteilung der Information würde die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten und die Interessen der Finanzbehörde an der Nichterteilung der Information überwiegen die Interessen der betroffenen Person (§ 32a Abs. 1 Nr. 2 AO),

• 48 die Erteilung der Information würde den Rechtsträger der Finanzbehörde (d. h. Bund, Land oder Gemeinde) in der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche oder in der Verteidigung gegen ihn geltend gemachter zivilrechtlicher Ansprüche (z. B. Amtshaftungsansprüche, Schadenersatzansprüche, Insolvenzanfechtungsansprüche) beeinträchtigen (§ 32a Abs. 1 Nr. 3 AO); diese Ausnahme gilt allerdings nicht, wenn die Finanzbehörde nach dem Zivilrecht zur Information verpflichtet ist, oder

• 49 die Erteilung der Information würde eine vertrauliche Offenbarung geschützter Daten gegenüber öffentlichen Stellen gefährden (§ 32a Abs. 1 Nr. 4 AO).

  Beispiele:

  • Mitteilungen zur Bekämpfung der illegalen Beschäftigung und des Leistungsmissbrauchs (§ 31a AO),

  • Mitteilungen zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung (§ 31b AO) und

  • Mitteilungen an Strafverfolgungsbehörden.

50 Die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben wird nach § 32a Abs. 2 Nr. 1 AO insbesondere gefährdet, wenn die Erteilung der Information den Betroffenen oder Dritte in die Lage versetzen könnte,

52 Die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben wird nach § 32a Abs. 2 Nr. 2 AO insbesondere auch dann gefährdet, wenn die Erteilung der Information Rückschlüsse auf die Ausgestaltung automationsgestützter Risikomanagementsysteme oder auf geplante Kontroll- oder Prüfungsmaßnahmen zulassen und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde.

53 Unterbleibt eine Information der betroffenen Person nach § 32a Abs. 1 Nr. 1 bis 4 AO, muss die verantwortliche Finanzbehörde nach § 32a Abs. 3 AO geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person (Recht auf Information) treffen (z. B. Wiedervorlage und erneute Prüfung bei einem nur vorübergehenden Hinderungsgrund). Die Gründe für die Entscheidung, die betroffene Person nicht zu informieren, sind zu dokumentieren.

54 Im Fall eines vorübergehenden Hinderungsgrundes muss die verantwortliche Finanzbehörde der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes (z. B. Durchführung der Vollstreckungsmaßnahme) nachkommen, spätestens jedoch innerhalb von zwei Wochen (§ 32a Abs. 4 AO).

55 Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch Finanzbehörden an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nach § 32a Abs. 5 AO nur mit Zustimmung dieser Stellen zulässig.

b) Bei Dritten erhobene personenbezogene Daten - Art. 14 DSGVO, § 32b AO

aa) Informationspflicht von Amts wegen

55 Im Fall der Erhebung personenbezogener Daten bei Dritten muss die verantwortliche Finanzbehörde nach Art. 14 Abs. 1 und 2 DSGVO der betroffenen Person die in diesen Regelungen genannten Daten und Informationen von Amts wegen mitteilen.

56 Ergänzend zu den nach Art. 13 DSGVO mitzuteilenden Daten und Informationen (vgl. Rn. 40 ff.) müssen der betroffenen Person hiernach insbesondere auch folgende Daten und Informationen mitgeteilt werden:

• die Kategorien personenbezogener Daten,

• aus welcher Quelle die personenbezogenen Daten stammen und

• ggf. ob sie aus öffentlich zugänglichen Quellen stammen.

57 Die verantwortliche Finanzbehörde muss die vorgenannten Informationen grundsätzlich innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats mitteilen (Art. 14 Abs. 3 Buchst. a DSGVO). Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, müssen die vorgenannten Informationen spätestens zum Zeitpunkt der ersten Mitteilung an sie mitgeteilt werden (Art. 14 Abs. 3 Buchst. b DSGVO). Falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, müssen die vorgenannten Informationen spätestens zum Zeitpunkt der ersten Offenlegung mitgeteilt werden (Art. 14 Abs. 3 Buchst. c DSGVO).

58 Im Fall elektronischer Übermittlung der Information ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO).

59 Beabsichtigt die verantwortliche Finanzbehörde, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, muss sie der betroffenen Person vor dieser Weiterverarbeitung von Amts wegen Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen (Art. 14 Abs. 4 DSGVO).

bb) Ausnahmen von der Informationspflicht

60 Die o. g. Informationspflichten gem. Art. 14 Abs. 1 bis 4 DSGVO bestehen nach Art. 14 Abs. 5 DSGVO nicht, wenn und soweit

61 Darüber hinaus besteht nach Art. 23 Abs. 1 DSGVO i. V. m. § 32b Abs. 1 AO in folgenden Fällen keine Informationspflicht:

• soweit die Erteilung der Information

  a)

  die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden (vgl. dazu § 32a Abs. 2 AO sowie Rn. 50 und 51) oder anderer öffentlicher Stellen liegenden Aufgaben i. S. d. Art. 23 Abs. 1 Buchst. d bis h DSGVO gefährden würde oder

  b)

  die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde

  oder

• wenn die Daten, ihre Herkunft, ihre Empfänger oder die Tatsache ihrer Verarbeitung nach § 30 AO oder einer anderen Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen überwiegender berechtigter Interessen eines Dritten i. S. d. Art. 23 Abs. 1 Buchst. i DSGVO, geheim gehalten werden müssen

und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss.

62 Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch Finanzbehörden an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig (§ 32b Abs. 2 AO).

63 Unterbleibt eine Information der betroffenen Person nach § 32b Abs. 1 Nr. 1 und 2 AO, gelten die Regelungen in Rn. 52 entsprechend.

3. Auskunftsrecht der betroffenen Person - Art. 15 DSGVO, § 32c AO

a) Auskunftspflicht auf Antrag

64 Die betroffene Person hat das Recht, von der verantwortlichen Finanzbehörde eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten von der Finanzbehörde verarbeitet werden; ist dies der Fall, hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 Abs. 1 Buchst. a bis h DSGVO genannten Informationen (Auskunft auf Antrag). Der Antrag kann formlos gestellt werden und bedarf keiner Begründung (zur Benennung der Daten, über die Auskunft erteilt werden soll, vgl. Rn. 69).

65 Soweit sich aus dem Antrag nicht etwas anderes ergibt, sind der betroffenen Person neben den verarbeiteten personenbezogenen Daten insbesondere folgende Informationen mitzuteilen:

• die Zwecke der Verarbeitung (vgl. Rn. 25);

• die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere Empfänger in Drittländern oder internationale Organisationen;

• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (vgl. hierzu § 17 BuchO i. V. m. AufbewBest-FV).

66 Die verantwortliche Finanzbehörde muss der betroffenen Person eine Zusammenstellung der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, unentgeltlich zur Verfügung stellen (Art. 15 Abs. 3 Satz 1 DSGVO). Die Rechte Dritter - insbesondere auf Wahrung des Steuergeheimnisses - sind hierbei zu schützen (Art. 15 Abs. 4 DSGVO).

Die Pflicht nach Art. 15 Abs. 3 Satz 1 DSGVO ist nicht mit einem allgemeinen Akteneinsichtsrecht gleichzusetzen. Ein grundsätzlicher Anspruch auf Akteneinsicht besteht im Verwaltungsverfahren in Steuersachen nach der AO nicht. Hält die Finanzbehörde es für zweckmäßig, kann sie eine Auskunft im Wege der Akteneinsicht erteilen (§ 32d Abs. 1 AO, vgl. Rn. 32).

§ 78 FGO, wonach die Beteiligten im finanzgerichtlichen Verfahren das Recht haben, die dem Gericht vorgelegten Akten einzusehen, bleibt unberührt. Zu diesen Akten gehören die den Streitfall betreffenden Akten, die die Finanzbehörde nach Empfang der Klageschrift an das Gericht zu übermitteln hat (§ 71 Abs. 2 FGO).

67 Stellt die betroffene Person den Auskunftsantrag elektronisch, sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt (Art. 15 Abs. 3 Satz 3 DSGVO). Hierbei ist § 87a Abs. 7 oder 8 AO entsprechend anzuwenden (§ 32d Abs. 3 AO).

b) Ausnahmen von der Auskunftspflicht

68 Der nationale Gesetzgeber hat Ausnahmen von diesem Auskunftsrecht festgelegt. Nach Art. 23 Abs. 1 DSGVO i. V. m. § 32c Abs. 1 AO besteht insbesondere kein Auskunftsrecht der betroffenen Person, soweit

• die betroffene Person nach § 32b Abs. 1 Nr. 1 oder 2 oder Abs. 2 AO nicht zu informieren ist (vgl. dazu im Einzelnen Rn. 61 f.),

• die Auskunftserteilung den Rechtsträger der Finanzbehörde in der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche oder in der Verteidigung gegen ihn geltend gemachter zivilrechtlicher Ansprüche i. S. d. Art. 23 Abs. 1 Buchst. j DSGVO beeinträchtigen würde; Auskunftspflichten der Finanzbehörde nach dem Zivilrecht bleiben hiervon allerdings unberührt (vgl. Rn. 48),

• die personenbezogenen Daten ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen (vgl. z. B. § 6 StDAV) und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

69 Pauschal gestellte Auskunftsanträge müssen im Regelfall durch die betroffene Person präzisiert werden. Denn die betroffene Person soll in dem Auskunftsantrag die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen (§ 32c Abs. 2 AO i. V. m. Erwägungsgrund 63 Satz 7 der DSGVO). Ein präzisierter Auskunftsantrag ist erforderlich, weil die Finanzbehörde zu einer betroffenen Person i. d. R. eine große Menge personenbezogener Daten verarbeitet. Macht die betroffene Person auch auf Nachfrage keine sachdienlichen Angaben, kann ein Fall des Art. 12 Abs. 5 Satz 2 DSGVO vorliegen (vgl. Rn. 38).

70 Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen. Eine Begründung unterbleibt, soweit der mit der Auskunftsablehnung verfolgte Zweck gefährdet würde (§ 32c Abs. 4 Satz 1 AO).

71 Die zum Zweck der Auskunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet werden; für andere Zwecke ist die Verarbeitung nach Maßgabe des Art. 18 DSGVO einzuschränken (§ 32c Abs. 4 Satz 2 AO; vgl. Rn. 83 f.).

72 Soweit eine Finanzbehörde die Erteilung einer Auskunft ablehnt, ist die Auskunft auf Verlangen der betroffenen Person grundsätzlich der oder dem BfDI zu erteilen. Dies gilt nicht, soweit die jeweils zuständige oberste Finanzbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde (§ 32c Abs. 5 Satz 1 AO).

73 Die Mitteilung der oder des BfDI an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung der Auskunftsverweigerung darf keine Rückschlüsse auf den Erkenntnisstand der Finanzbehörde zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt (§ 32c Abs. 5 Satz 2 AO).

4. Auskunfts- und Informationsrechte nach dem Informationsfreiheitsgesetz (IFG) oder entsprechenden Landesgesetzen - § 32e AO

74 Soweit die betroffene Person oder ein Dritter nach dem IFG oder nach entsprechenden Gesetzen der Länder gegenüber der Finanzbehörde einen Anspruch auf Zugang zu geschützten Daten i. S. d. § 30 Abs. 2 AO hat, gelten die Art. 12 bis 15 der DSGVO i. V. m. den §§ 32a bis 32d AO entsprechend (§ 32e Satz 1 AO). Weitergehende Informationsansprüche über geschützte Daten sind insoweit ausgeschlossen. Damit soll sichergestellt werden, dass anderweitige Informationszugangsansprüche insoweit nicht weitergehen als die Rechte der betroffenen Personen nach der DSGVO und der AO.

5. Recht auf Berichtigung - Art. 16 DSGVO, § 32f Abs. 1 AO

75 Nach Art. 16 DSGVO hat die betroffene Person das Recht, von der verantwortlichen Finanzbehörde unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person außerdem das Recht, die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu verlangen.

76 Bestreitet die betroffene Person die Richtigkeit sie betreffender personenbezogener Daten und lässt sich weder die Richtigkeit noch die Unrichtigkeit der Daten feststellen, bewirkt dies nach § 32f Abs. 1 AO keine Einschränkung der Verarbeitung (vgl. Art. 4 Nr. 3 DSGVO), soweit die Daten einem Verwaltungsakt zugrunde liegen, der nicht mehr aufgehoben, geändert oder berichtigt werden kann. Die ungeklärte Sachlage ist in diesem Fall allerdings in geeigneter Weise festzuhalten (z. B. schriftlicher oder elektronischer Aktenvermerk). Die bestrittenen Daten dürfen nur mit einem Hinweis hierauf verarbeitet werden.

6. Recht auf Löschung - Art. 17 DSGVO, § 32f Abs. 2 AO

77 Die betroffene Person hat das Recht, von der verantwortlichen Finanzbehörde zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist dann verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der in Art. 17 Abs. 1 Buchst. a bis f DSGVO genannten Gründe zutrifft. In Betracht kommen insbesondere folgende Gründe:

• Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. Anhaltspunkte für die Dauer der Notwendigkeit der Datenspeicherung ergeben sich aus § 17 BuchO V. m. AufbewBest-FV.

• Die betroffene Person legt gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor (vgl. Rn. 88).

• Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

78 Das Recht der betroffenen Person, die Löschung personenbezogener Daten verlangen zu dürfen, und die damit verbundene Pflicht der verantwortlichen Finanzbehörde zur Löschung nach Art. 17 Abs. 1 DSGVO gelten nach Art. 17 Abs. 3 DSGVO allerdings insbesondere nicht, soweit die Verarbeitung erforderlich ist

• zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten durch die verantwortliche Finanzbehörde erfordert,

• zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der verantwortlichen Finanzbehörde übertragen wurde, oder

• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

79 Sind die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig, oder wurden sie unrechtmäßig verarbeitet, ist anstelle ihrer Löschung die Verarbeitung einzuschränken,

(§ 32f Abs. 3 Satz 1 AO). Dies ist in geeigneter Weise festzuhalten (z. B. schriftlicher oder elektronischer Aktenvermerk). Die Finanzbehörde unterrichtet außerdem die betroffene Person über die Einschränkung der Verarbeitung, sofern sich die Unterrichtung nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.

80 Im Fall nicht automatisierter Datenverarbeitung besteht das Recht der betroffenen Person auf und die Pflicht der Finanzbehörde zur Löschung personenbezogener Daten nicht, wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich (z. B. Verfilmung) und das Interesse der betroffenen Person an der Löschung als gering anzusehen ist (§ 32f Abs. 2 Satz 1 AO). In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gem. Art. 18 DSGVO (§ 32f Abs. 2 Satz 2 AO). Die Sätze 1 und 2 gelten nach § 32f Abs. 2 Satz 3 AO allerdings nicht, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

7. Recht auf Einschränkung der Verarbeitung - Art. 18 DSGVO

81 Die betroffene Person hat nach Art. 18 Abs. 1 DSGVO das Recht, von der verantwortlichen Finanzbehörde die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 Abs. 1 Buchst. a bis d DSGVO genannten Voraussetzungen gegeben ist. Die Einschränkung der Verarbeitung bedeutet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (Art. 4 Nr. 3 DSGVO).

82 Eine Einschränkung der Verarbeitung kommt nach Art. 18 Abs. 1 DSGVO insbesondere in Betracht, wenn

83 Wurde die Verarbeitung personenbezogener Daten gem. Art. 18 Abs. 1 DSGVO eingeschränkt, dürfen diese Daten - von ihrer Speicherung abgesehen - nach Art. 18 Abs. 2 DSGVO nur

• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder

• aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats

verarbeitet werden. Ein wichtiges öffentliches Interesse in diesem Sinne ist die gesetzmäßige und gleichmäßige Besteuerung (vgl. Art. 23 Abs. 1 Buchst. e DSGVO).

84 Die betroffene Person, die eine Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 DSGVO erwirkt hat, wird von der verantwortlichen Finanzbehörde unterrichtet, bevor die Einschränkung der Verarbeitung aufgehoben wird (Art. 18 Abs. 3 DSGVO).

8. Mitteilungspflicht der verantwortlichen Finanzbehörde im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung - Art. 19 DSGVO

85 Die verantwortliche Finanzbehörde muss nach Art. 19 DSGVO allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede auf Verlangen der betroffenen Person nach Art. 16, Art. 17 Abs. 1 und Art. 18 DSGVO erfolgte Berichtigung oder Löschung der personenbezogenen Daten oder Einschränkung ihrer Verarbeitung mitteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Die verantwortliche Finanzbehörde muss die betroffene Person über diese Empfänger informieren, wenn die betroffene Person dies verlangt.

9. Recht auf Datenübertragbarkeit - Art. 20 DSGVO

86 Art. 20 DSGVO ist im Verwaltungsverfahren in Steuersachen nach der AO nicht anzuwenden, da die Verarbeitung personenbezogener Daten nicht auf Grundlage einer Einwilligung erfolgt (vgl. Erwägungsgrund 68 Satz 3 ff. der DSGVO).

10. Widerspruchsrecht - Art. 21 DSGVO, § 32f Abs. 5 AO

87 Die betroffene Person hat nach Art. 21 Abs. 1 Satz 1 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt, Widerspruch einzulegen. Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Widerspruchsrecht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen (Art. 21 Abs. 4 DSGVO), beispielsweise durch Aufnahme in ein allgemeines Informationsschreiben gem. § 32d Abs. 2 AO mit Hinweis auf ein - z. B. im Internet - veröffentlichtes Merkblatt.

88 Die verantwortliche Finanzbehörde verarbeitet nach Eingang eines solchen Widerspruchs die personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 Abs. 1 Satz 2 DSGVO).

89 Das Recht auf Widerspruch gem. Art. 21 Abs. 1 DSGVO gegenüber einer Finanzbehörde besteht nach § 32f Abs. 5 AO außerdem nicht, soweit

• an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder

• eine Rechtsvorschrift zur Verarbeitung verpflichtet.

Ein zwingendes öffentliches Interesse liegt insbesondere in den Fällen des § 30 Abs. 4 Nr. 5 AO vor. Rechtsvorschriften, die zur Verarbeitung verpflichten, sind z. B. §§ 85, 88 AO, aber auch gesetzliche Regelungen, die die Finanzbehörde zur Offenbarung verpflichten (z. B. §§ 31a, 31b AO).

11. Automatisierte Entscheidungen im Einzelfall - Art. 22 DSGVO

90 Die betroffene Person hat nach Art. 22 Abs. 1 DSGVO das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Art. 22 Abs. 1 DSGVO gilt nach Art. 22 Abs. 2 DSGVO allerdings nicht, wenn die Entscheidung aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die verantwortliche Finanzbehörde unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten (vgl. § 155 Abs. 4 AO).

91 Nach Art. 22 Abs. 2 DSGVO zulässige, auf einer automatisierten Verarbeitung beruhende Entscheidungen dürfen auch auf der Verarbeitung sensibler Daten beruhen, sofern Art. 9 Abs. 2 Buchst. g DSGVO i. V. m. § 29b Abs. 2 AO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden (Art. 22 Abs. 4 DSGVO i. V. m. § 155 Abs. 4 AO).

V. Datenschutzaufsicht

1. Datenschutzbeauftragte der Finanzbehörden - Art. 37 ff. DSGVO, § 32g AO, §§ 5 ff. BDSG

92 Alle öffentlichen Stellen die personenbezogene Daten verarbeiten - mit Ausnahme der Gerichte, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln - müssen nach Art. 37 Abs. 1 DSGVO einen Datenschutzbeauftragten bestimmen.

93 Nach § 32g AO sind für die Benennung, Stellung und Aufgaben des Datenschutzbeauftragten der Finanzbehörden im Anwendungsbereich der AO § 5 Abs. 2 bis 5 sowie §§ 6 und 7 des BDSG entsprechend anzuwenden.

94 In diesem Zusammenhang gilt u. a. das Folgende:

• Für mehrere Finanzbehörden kann unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden (§ 5 Abs. 2 BDSG).

• Der Datenschutzbeauftragte kann gem. Art. 37 Abs. 6 DSGVO Beschäftigter des Verantwortlichen bzw. des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (§ 5 Abs. 4 BDSG).

• Der Verantwortliche oder der Auftragsverarbeiter hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese der Datenschutzaufsichtsbehörde mitzuteilen (§ 5 Abs. 5 BDSG).

• Die Finanzbehörde hat sicherzustellen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält (§ 6 Abs. 3 BDSG). Er handelt insoweit weisungsfrei.

2. Datenschutzaufsicht über Finanzbehörden - Art. 51 ff. DSGVO, § 32h Abs. 1 AO

95 Für die datenschutzrechtliche Aufsicht über die Finanzbehörden hinsichtlich der Verarbeitung personenbezogener Daten im Anwendungsbereich der AO ist die oder der BfDI nach § 8 BDSG zuständig. Die §§ 13 bis 16 des BDSG gelten entsprechend (§ 32h Abs. 1 AO).

3. Datenschutzaufsicht über andere öffentliche sowie nicht-öffentliche Stellen

96 Nach § 9 BDSG ist die oder der BfDI für die Aufsicht über die anderen öffentlichen Stellen des Bundes zuständig, auch soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Dies gilt auch für Auftragsverarbeiter, soweit sie nicht-öffentliche Stellen sind, bei denen dem Bund die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle des Bundes ist.

97 Die Datenschutzaufsicht über andere öffentliche Stellen der Länder sowie nicht-öffentliche Stellen regeln die jeweiligen Landesdatenschutzgesetze. Dies gilt auch soweit diese anderen öffentlichen und nicht-öffentlichen Stellen gem. § 2a Abs. 1 Satz 1 AO die Vorschriften der AO und der Steuergesetze über die Verarbeitung personenbezogener Daten zu beachten haben.

4. Datenschutz-Folgenabschätzung - Art. 35 DSGVO, § 32h Abs. 2 AO

98 Die bisherige Vorabkontrolle wird durch die Datenschutz-Folgenabschätzung ersetzt. Die Datenschutz-Folgenabschätzung hat die Funktion, besonders gelagerte Datenverarbeitungsvorgänge bereits im Vorfeld auf mögliche Folgen hin zu untersuchen. Die Vorschriften sind Ausfluss des technischen und organisatorischen Datenschutzes. Sie richten sich nicht nur an die Verantwortlichen, sondern beziehen ebenso den Datenschutzbeauftragten und die Datenschutzaufsicht mit ein. Verantwortlicher ist insoweit nicht das örtlich zuständige Finanzamt, sondern die nach landesrechtlichen Bestimmungen für die datenschutzrechtliche Freigabe von automatisierten Datenverarbeitungsprogrammen zuständige Stelle.

99 Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten potentiell betroffener Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Eine Datenschutz-Folgenabschätzung ist nach Art. 35 Abs. 3 Buchst. b DSGVO immer erforderlich, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten erfolgt.

100 Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Datenschutz-Folgenabschätzung vorgenommen werden (Art. 35 Abs. 1 DSGVO).

101 Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 2 DSGVO den Rat des Datenschutzbeauftragten ein.

102 Eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung kann darüber hinaus durch die Datenschutzaufsichtsbehörde begründet werden. Diese kann besondere Verarbeitungsvorgänge in eine Liste aufnehmen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Die Liste wird veröffentlicht.

103 Nach Art. 35 Abs. 7 DSGVO muss die Datenschutz-Folgenabschätzung zumindest Folgendes enthalten:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und

• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

104 Entwickelt eine Finanzbehörde automatisierte Verfahren zur Verarbeitung personenbezogener Daten im Anwendungsbereich dieses Gesetzes für Finanzbehörden anderer Länder oder des Bundes, so ist von ihr die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Soweit die Verfahren, insbesondere bundeseinheitliche Programmbestandteile, von den Finanzbehörden der Länder und des Bundes im Hinblick auf die datenschutzrelevanten Funktionen unverändert übernommen werden, gilt diese Datenschutz-Folgenabschätzung auch für die übernehmenden Finanzbehörden (§ 32h Abs. 2 AO). In der Finanzverwaltung betrifft dies maßgeblich den Einsatz neuer IT-Verfahren, welche i. d. R. durch die Finanzbehörde eines Landes für den bundeseinheitlichen Einsatz entwickelt werden (§ 4 Abs. 1 KONSENS-Gesetz). Gleiches gilt für wesentliche Änderungen bereits eingesetzter IT-Verfahren.

VI. Rechtsschutz

1. Beschwerdemöglichkeit - Art. 77 DSGVO

105 Jede betroffene Person, die der Ansicht ist, dass die Verarbeitung sie betreffender personenbezogener Daten gegen das steuerliche Datenschutzrecht verstößt, kann sich unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs mit ihrem Anliegen an die nach Art. 77 Abs. 1 DSGVO zuständige Datenschutzaufsichtsbehörde wenden (Beschwerderecht).

2. Gerichtliches Rechtsbehelfsverfahren - Art. 78 und 79 DSGVO, § 32i AO

a) Verfahrensrechtliche Regelungen

106 Für Streitigkeiten, die das steuerliche Datenschutzrecht betreffen, ist grundsätzlich der Finanzrechtsweg gegeben. Dies gilt gleichermaßen für Klagen von betroffenen Personen (Steuerpflichtigen oder Dritten) gegenüber der verantwortlichen Finanzbehörde (z. B. auf Auskunft) oder zuständigen Datenschutzaufsichtsbehörde, wie für die gerichtliche Überprüfung von Anordnungen der Datenschutzaufsichtsbehörden gegenüber den Finanzbehörden oder einer anderen öffentlichen oder nicht-öffentlichen Stelle.

Der Finanzrechtsweg ist darüber hinaus auch hinsichtlich Streitigkeiten über Schadenersatzansprüche nach Art. 82 DSGVO gegeben, soweit diese die Verarbeitung personenbezogener Daten durch Finanzbehörden im Anwendungsbereich der AO betreffen (Art. 82 Abs. 6 und Art. 79 Abs. 2 DSGVO i. V. m. § 32i Abs. 2 AO).

107 Für sämtliche Verfahren ist die Finanzgerichtsordnung (FGO) nach Maßgabe des § 32i Abs. 5 bis 10 AO, d. h. unter Berücksichtigung der Rn. 110 ff. anzuwenden (§ 32i Abs. 4 AO).

108 Für datenschutzrechtliche Streitigkeiten i. S. d. § 32i Abs. 1 bis 3 AO findet gem. § 32i Abs. 9 AO kein Vorverfahren (z. B. in Form eines außergerichtlichen Rechtsbehelfsverfahrens) statt. Daher ist z. B. gegen die Ablehnung einer Auskunft nach Art. 15 DSGVO (Rn. 70) kein Einspruch gegeben. Auseinandersetzungen sind ausschließlich gerichtlich zu klären.

b) Klage gegen den Beschluss einer Datenschutzaufsichtsbehörde - Art. 78 DSGVO, § 32i Abs. 1 AO

109 Nach Art. 78 Abs. 1 und 2 DSGVO i. V. m. § 32i Abs. 1 AO kann gegen einen rechtsverbindlichen Beschluss einer Datenschutzaufsichtsbehörde ein gerichtlicher Rechtsbehelf eingelegt werden. Rechtsbehelfsbefugt sind die betroffene Finanzbehörde oder ihr Rechtsträger sowie jede betroffene Person. Es kann daher künftig auch Klageverfahren zwischen öffentlichen Stellen zur Streitbeilegung geben.

110 Nach § 32i Abs. 5 Satz 1 AO ist das Finanzgericht örtlich zuständig, in dessen Bezirk die jeweils zuständige Datenschutzaufsichtsbehörde ihren Sitz hat. Da nach § 32h Abs. 1 AO die Datenschutzaufsicht über Finanzbehörden der oder dem BfDI mit Sitz in Bonn obliegt, ist das Finanzgericht Köln örtlich zuständig.

111 Beteiligte in dem o. g. Verfahren sind gem. § 32i Abs. 6 AO

• die öffentliche oder nicht-öffentliche Stelle oder die betroffene Person als Klägerin oder Antragstellerin,

• die zuständige Datenschutzaufsichtsbehörde des Bundes oder eines Landes als Beklagte oder Antragsgegnerin,

• der nach § 60 FGO Beigeladene sowie

• die oberste Bundes- oder Landesfinanzbehörde, die dem Verfahren nach § 122 Abs. 2 FGO beigetreten ist.

112 Eine Klage oder ein Antrag in dem o. g. Verfahren haben aufschiebende Wirkung.

113 Die Datenschutzaufsichtsbehörde kann nach § 32i Abs. 10 Satz 2 AO gegenüber einer Finanzbehörde oder ihrem Rechtsträger nicht die sofortige Vollziehung anordnen.

c) Klage der betroffenen Person gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen - Art. 79 DSGVO, § 32i Abs. 2 AO

114 Jede betroffene Person hat gem. Art. 79 Abs. 1 DSGVO das Recht auf einen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

115 Nach § 32i Abs. 5 Satz 2 AO ist das Finanzgericht örtlich zuständig, in dessen Bezirk die beklagte Finanzbehörde ihren Sitz oder der beklagte Auftragsverarbeiter seinen Sitz hat.

116 Beteiligte in dem o. g. Verfahren sind gem. § 32i Abs. 7 AO

• die betroffene Person als Klägerin oder Antragstellerin,

• die Finanzbehörde oder der Auftragsverarbeiter als Beklagte oder Antragsgegnerin,

• der nach § 60 FGO Beigeladene sowie

• die oberste Bundes- oder Landesfinanzbehörde, die dem Verfahren nach § 122 Abs. 2 FGO beigetreten ist.

d) Feststellungsklage gegen einen Beschluss der Datenschutzaufsicht gegenüber einer anderen öffentlichen Stelle oder einer nicht-öffentlichen Stelle - § 32i Abs. 3 AO

117 Die datenschutzrechtliche Aufsicht über öffentliche Stellen, die keine Finanzbehörden sind, sowie über nicht-öffentliche Stellen obliegt den nach dem BDSG oder den entsprechenden Landesgesetzen zuständigen Datenschutzaufsichtsbehörden. Dies gilt auch für Datenschutzfragen hinsichtlich steuerlicher Mitwirkungspflichten.

118 Vertritt die Datenschutzaufsichtsbehörde in einem solchen Fall eine andere Rechtsauffassung als die jeweils zuständige Finanzbehörde, kann diese nach § 32i Abs. 3 AO auf Feststellung des Bestehens einer Mitwirkungspflicht klagen, wenn die zuständige Datenschutzaufsichtsbehörde einen rechtsverbindlichen Beschluss erlassen hat, der eine Mitwirkungspflicht nach der AO oder den Einzelsteuergesetzen ganz oder teilweise verneint.

119 Die Feststellungsklage hat keine aufschiebende Wirkung.

120 Beteiligte in dem o. g. Verfahren sind gem. § 32i Abs. 8 AO

• die zuständige Finanzbehörde als Klägerin oder Antragstellerin,

• die Datenschutzaufsichtsbehörde des Bundes oder eines Landes, die den rechtsverbindlichen Beschluss erlassen hat, als Beklagte oder Antragsgegnerin,

• die Stelle, deren Pflicht zur Mitwirkung die Finanzbehörde geltend macht, als Beigeladene und

• die oberste Bundes- oder Landesfinanzbehörde, die dem Verfahren nach § 122 Abs. 2 FGO beigetreten ist.

121 Klagen vor dem Finanzgericht können - die o. g. Rechte betreffend - beispielsweise in folgender Fallkonstellation auftreten:

• Vertritt die zuständige Datenschutzaufsichtsbehörde die Auffassung, dass ein zur Datenübermittlung nach den Steuergesetzen verpflichteter Arbeitgeber (z. B. bzgl. der Lohndaten der betroffenen Person) mit seiner Mitteilung gegen das Datenschutzrecht verstößt, kann er diesem die Datenübermittlung an die Finanzbehörde untersagen. Damit in diesem Zusammenhang rechtsverbindlich geklärt wird, ob eine steuerliche Mitwirkungspflicht besteht, kann die zuständige Finanzbehörde im finanzgerichtlichen Verfahren Klage auf Feststellung des Bestehens einer Mitwirkungspflicht erheben.

122 Nach § 32i Abs. 5 Satz 1 AO ist das Finanzgericht örtlich zuständig, in dessen Bezirk die zuständige Datenschutzaufsichtsbehörde ihren Sitz hat.

VII. Informationspflichten bei Verletzung des Schutzes personenbezogener Daten - Art. 33 und 34 DSGVO

1. Verletzung des Schutzes personenbezogener Daten

123 Nach Art. 4 Nr. 12 DSGVO ist eine „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

2. Meldepflicht gegenüber der oder dem BfDI

124 Im Falle einer solchen Verletzung des Schutzes personenbezogener Daten muss die verantwortliche Finanzbehörde nach Art. 33 Abs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihr die Verletzung bekannt wurde, diese der oder dem BfDI melden. Ausgenommen sind nur die Fälle, in denen die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten betroffener Personen führt. Erfolgt die Meldung nicht binnen 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen.

125 Diese Meldung muss nach Art. 33 Abs. 4 DSGVO zumindest folgende Informationen enthalten:

Wenn und soweit diese Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann die verantwortliche Finanzbehörde diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen (Art. 33 Abs. 4 DSGVO).

126 Die verantwortliche Finanzbehörde muss nach Art. 33 Abs. 5 DSGVO Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, die Auswirkungen der Schutzverletzung und die ergriffenen Abhilfemaßnahmen dokumentieren. Diese Dokumentation muss der oder dem BfDI die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

127 Wird dem Auftragsverarbeiter einer Finanzbehörde eine Verletzung des Schutzes personenbezogener Daten bekannt, muss er ihr diese unverzüglich melden (Art. 33 Abs. 2 DSGVO).

3. Benachrichtigung der betroffenen Person

128 Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge, muss die verantwortliche Finanzbehörde über die Meldung nach Art. 33 DSGVO hinaus auch die betroffene Person unverzüglich von der Verletzung benachrichtigen (Art. 34 Abs. 1 DSGVO).

Die Benachrichtigung muss in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und zumindest die in Art. 33 Abs. 3 Buchst. b, c und d DSGVO genannten Informationen und Maßnahmen enthalten (Art. 34 Abs. 2 DSGVO).

129 Eine Benachrichtigung der betroffenen Person ist nach Art. 34 Abs. 3 DSGVO allerdings nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

130 Wenn die verantwortliche Finanzbehörde die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die oder der BfDI nach Art. 34 Abs. 4 DSGVO unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von der verantwortlichen Finanzbehörde verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Art. 34 Abs. 3 DSGVO genannten Voraussetzungen erfüllt sind.

Dieses Schreiben tritt mit sofortiger Wirkung an die Stelle des BMF-Schreibens vom 12. Januar 2018 - IV A 3 - S 0030/16/10004-07 - (BStBl 2018 I S. 185). Die materiellen Änderungen gegenüber diesem Schreiben sind durch einen Randstrich gekennzeichnet.

Anlage

BMF v. 13.01.2020 - IV A 3 - S 0130/19/10017 :004

Fundstelle(n):
BStBl 2020 I Seite 143
DStR 2020 S. 170 Nr. 4
DStR 2020 S. 8 Nr. 4
GAAAH-40076