Zum Inhalt springen

Verarbeitung

Das Finanz­amt darf Dei­ne per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten — trotz DSGVO :-)

Etwas Kurio­ses zum Jah­res­en­de gefäl­lig? Dann haben wir hier was für Dich. In unse­ren Web­i­na­ren und Grund­schu­lun­gen zum The­ma Daten­schutz wei­sen wir im Kon­text der Betrof­fe­nen­rech­te scherz­haft immer wie­der dar­auf hin, dass die­se nicht unein­ge­schränkt gel­ten. Ein Wider­ruf der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gegen­über dem Finanz­amt wird nicht dazu füh­ren, kei­ne Steu­ern mehr bezah­len zu müs­sen 🙂 Eigent­lich logisch. Dach­ten wir.

Ent­schei­dung des Bun­des­fi­nanz­hofs, Urteil vom 05. Sep­tem­ber 2023, IX R 32/​21

Gegen­stand: Zuläs­sig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Besteue­rungs­ver­fah­ren gemäß § 29b AO

Ein Finanz­amt (FA) ord­ne­te bei einem Rechts­an­walt eine Außen­prü­fung zur Ein­kom­men- und Umsatz­steu­er an. Zugleich for­der­te das FA den Klä­ger auf, bis zum Prü­fungs­be­ginn die Aus­zü­ge sei­nes betrieb­li­chen Bank­kon­tos zu über­sen­den. Nach­dem der Anwalt die­ser Auf­for­de­rung nicht nach­ge­kom­men war, ersuch­te das FA unter Hin­weis auf die Abga­ben­ord­nung (AO) die kon­to­füh­ren­de Bank um Vor­la­ge der Kon­to­aus­zü­ge. Die­sem Ersu­chen kam die Bank nach. Der Anwalt war damit nicht ein­ver­stan­den und begrün­de­te dies mit der Aus­sa­ge, die Rege­lun­gen der AO genü­gen sei­ner Mei­nung nach nicht den Anfor­de­run­gen des Art. 6 Abs. 3 der Daten­schutz-Grund­ver­ord­nung (DSGVO). Es feh­le daher an einer recht­mä­ßi­gen Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Daten durch das Finanz­amt. Es kam zur Abwei­sung des Lösch­be­geh­rens des Anwalts durch das Finanz­amt. Begrün­dung: Die Ver­ar­bei­tung die­ne der Ermitt­lung der Besteue­rungs­grund­la­gen im Rah­men einer Außen­prü­fung. Das dar­auf­hin vom Anwalt ange­ru­fe­ne Finanz­ge­richt zwecks Durch­set­zung sei­nes Rechts auf Löschung sei­ner per­so­nen­be­zo­ge­nen Daten gemäß Art. 17 Abs. 1 Buchst. d DSGVO hat­te kei­nen Erfolg. Das Finanz­ge­richt wies die Kla­ge ab. Dies führ­te zur Revi­si­on am Bun­des­fi­nanz­hof (BFH).

Das kam jetzt über­ra­schend, oder doch nicht?

Der Anwalt bean­trag­te beim BFH, das ange­foch­te­ne Urteil auf­zu­he­ben und alle sei­ne im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten zu löschen. Behelfs­wei­se sol­le das ange­foch­te­ne Urteil auf­ge­ho­ben wer­den und alle im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten des Anwalts soll­ten nicht mehr durch das Finanz­amt ver­ar­bei­tet wer­den dür­fen. Der Bun­des­fi­nanz­hof wies die Revi­si­on als unbe­grün­det ab. “Nein” — “Doch” — “Oh”

Wer mehr über den genau­en Ablauf und die Hin­ter­grün­de erfah­ren möch­te, hier geht es zur Ent­schei­dung des BFH.

Mit die­sem Schman­kerl ver­ab­schie­den wir uns in die Win­ter­pau­se und wün­schen allen Lesern und Emp­fän­gern sowie deren Lie­ben schö­ne Fei­er­ta­ge und einen guten Rutsch ins Jahr 2024. Wir lesen uns.

Früh­jahrs­putz für das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten (VVT)

Unter dem Titel “Früh­jahrs­putz im Ver­ar­bei­tungs­ver­zeich­nis” hat der Der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz (kurz BayLfD) eine “Aktu­el­le Kurz­in­for­ma­ti­on” mit der Num­mer 47 in der Rei­he sei­ner Kurz­in­for­ma­tio­nen ver­öf­fent­licht. Auch wenn man mit den inhalt­li­chen Anfor­de­run­gen an ein VVT sei­tens des BayLfD nicht unbe­dingt ein­ver­stan­den sein muss (sie­he auch unse­ren Bei­trag unter https://​bdsg​-exter​ner​-daten​schutz​be​auf​trag​ter​.de/​d​a​t​e​n​s​c​h​u​t​z​/​v​e​r​z​e​i​c​h​n​i​s​-​v​o​n​-​v​e​r​a​r​b​e​i​t​u​n​g​s​t​a​e​t​i​g​k​e​i​t​e​n​-​v​v​t​-​s​i​n​n​v​o​l​l​-​u​n​d​-​p​r​a​k​t​i​s​c​h​-​e​r​s​t​e​l​l​e​n​-​u​n​d​-​e​i​n​s​e​t​z​en/, was man in die­sem Punkt bes­ser machen kann), so ist die Idee den­noch mehr als gut, Pro­zes­se zur Pfle­ge und die Aktua­li­tät des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten einer Früh­jahrs­kur zu unterziehen.

Die Abschnit­te der Kurz­in­for­ma­ti­on glie­dern sich wie folgt:

  1. Orga­ni­sa­ti­on: Prü­fen und bei Bedarf Fest­zur­ren von Ver­ant­wort­lich­kei­ten und Pro­zes­sen zum Erstel­len des VVT, Pfle­gen bzw. aktu­ell hal­ten des VVT, Mel­den von Ände­run­gen an bestehen­den Ver­ar­bei­tun­gen aber auch von nicht mehr vor­han­de­nen Ver­ar­bei­tun­gen: Hier­bei soll­te jedoch nicht nur auf die schrift­li­che Rege­lung hier­zu geach­tet wer­den. Die­se muss zwar auch aktu­ell sein, womit der BayLfD voll­kom­men rich­tig liegt. Aber noch viel wich­ti­ger ist, dass die­se Rege­lun­gen dann auch nicht nur auf dem Papier exis­tie­ren, son­dern mit Leben erfüllt wer­den. Fra­ge daher also: “Wer­den die doku­men­tier­ten Pro­zes­se auch tat­säch­lich ange­sto­ßen und durchlaufen?”
  2. Die Ver­zeich­nis­ein­trä­ge an sich prü­fen: Sind die­se aktu­ell? Sind alle neu­en Ver­ar­bei­tun­gen ent­hal­ten? Wur­den bis­he­ri­ge Ver­än­de­run­gen gemel­det und ein­ge­pflegt? Wur­den been­de­te Ver­ar­bei­tun­gen gemel­det und ent­fernt? Im Zwei­fel ist seit der erst­ma­li­gen Erstel­lung im Rah­men der DSGVO etwas Zeit ver­gan­gen und die Ein­trä­ge sind etwas ange­staubt. Prü­fen ist bes­ser als dar­auf ver­trau­en, dass Ver­än­de­run­gen schon irgend­wie an den DSB gemel­det wurden.
  3. Syn­er­gien heben: Scha­de, dass der BayLfD hier die Syn­er­gien z.B. zur Infor­ma­ti­ons­si­cher­heit nicht damit gemeint bzw. die­se nicht inklu­diert hat. Aber auch so ist der Punkt sehr wich­tig, denn zahl­rei­che wei­te­re Auf­ga­ben im Daten­schutz für die ver­ant­wort­li­che Stel­len sind nur mit einem aktu­el­len VVT zu bewäl­ti­gen. Das beginnt mit der rich­ti­gen und voll­stän­di­gen Bear­bei­tung von Betrof­fe­nen­rech­ten, geht über eine Lis­te aktu­el­ler Auf­trags­ver­ar­bei­ter wei­ter und hört mit den Anga­ben zu den Infor­ma­ti­ons­pflich­ten aus Art. 13, 14 DSGVO noch lan­ge nicht auf.

Iro­ni­scher­wei­se gibt es noch einen vier­ten Abschnitt “Fol­gen feh­len­der Aktua­li­tät”.  Bekann­ter­ma­ßen sind öffent­li­che Stel­len im Rah­men der Lan­des­da­ten­schutz­ge­set­ze von spür­ba­ren, sprich schmerz­haf­ten Kon­se­quen­zen bei Miß­ach­tung der Daten­schutz­rechts­vor­schrif­ten aus­ge­nom­men. Aber viel­leicht hilft ja auch der Hin­weis auf den erho­be­nen Zei­ge­fin­ger aus Mün­chen “Du, Du, Du! Du sollst Dich doch an die DSGVO und das BayDSG halten” 🙂

Aber ganz unge­ach­tet des­sen, ob es sich bei der eige­nen Orga­ni­sa­ti­on um eine öffent­li­che oder nicht-öffent­li­che Stel­le han­delt: Wie aktu­ell ist ihr VVT?

Die mobile Version verlassen