- Der sorgsame Umgang mit Daten ist für die Bundesfinanzverwaltung allein wegen der Fülle an gespeicherten Daten ein wichtiges Thema. Zoll und verschiedene andere Behörden unter Aufsicht des BMF halten viele sensible Daten von Bürgern vor.
- Die EU-Datenschutz-Grundverordnung aus dem vergangenen Jahr, das gerade überarbeitete Bundesdatenschutzgesetz, in dem auch die EU-Datenschutzrichtlinie (EU) 2016/680 umgesetzt wurde, sowie die anstehenden spezialgesetzlichen Regelungen – insbesondere in der Abgabenordnung und im Sozialgesetzbuch – bilden neben anderen bereichsspezifischen Datenschutzregelungen zukünftig die neuen Rechtsgrundlagen für den Datenschutz in der Finanzverwaltung. Diese gesetzlichen Bestimmungen machen den Datenschutz noch beratungsintensiver.
- Die tragenden Grundsätze im Datenschutz bleiben, erhalten aber teilweise andere Namen und neue Akzente. Die Bürger, deren Daten verarbeitet werden, erhalten mehr Rechte z. B. im Hinblick auf mehr Transparenz.
Einleitung
Die gestiegenen Erwartungen von Unternehmen und Bürgern an schnellere Verwaltungsdienstleistungen und höhere Effizienz sowie die gewachsenen Aufgaben üben einen erheblichen Druck auf die Bundesbehörden aus, ihre Prozesse zu digitalisieren.
So sollen in den nächsten Jahren für die Zollverwaltung ein zentrales Bürger- und Geschäftskundenportal sowie eine Verbrauch- und Verkehrsteuerplattform aufgebaut werden.
Für eine intensivierte Bekämpfung der Geldwäsche und Terrorismusfinanzierung wurde beim Zoll die Financial Intelligence Unit (FIU) eingerichtet. Dies bedingt umfangreiche Datenbanken und Analysetools, um die Verschleierungsstrategien krimineller Organisationen aufzudecken. Daneben werden zentrale Prüfungs- und Ermittlungsdatenbanken im Rahmen von Schwarzarbeitsbekämpfung und Mindestlohnkontrolle geführt (§ 16 Schwarzarbeitsbekämpfungsgesetz und § 15 Mindestlohngesetz).
Das Bundeszentralamt für Steuern ist dabei, im Interesse der Verhütung und Verfolgung von Steuerhinterziehung und -betrug den grenzüberschreitenden Austausch von Informationen über ausländische Zinseinkünfte und Finanzkonten vorzunehmen. Die eingegangenen Daten sowie die an die Finanzbehörden der Länder beziehungsweise an die Partnerstaaten weiterzuleitenden Daten werden im Bundeszentralamt zu Dokumentationszwecken gespeichert.
Die Bundesanstalt für Finanzdienstleistungsaufsicht führt im Interesse des Verbraucherschutzes seit einigen Jahren ein Mitarbeiter- und Beschwerderegister, in dem alle Anlageberater von Banken und anderen Wertpapierdienstleistungsunternehmen und die Zahl der Beschwerden ihrer Kunden wegen fehlerhafter Beratung erfasst sind, um gegebenenfalls Sanktionen gegen unseriöse Anlageberater zu verhängen (interne Datenbank nach § 34d Wertpapierhandelsgesetz).
Zum 1. Januar 2016 wurde im Geschäftsbereich des BMF das „Informationstechnikzentrum Bund“ gegründet, das durch die Zusammenlegung von IT-Dienstleistungen in der Bundesverwaltung entstanden ist und ein breites Spektrum an Fachverfahren u. a. in den Themenfeldern Verkehr, Zoll, Haushalt, Steuer, Personal, Statistik, Innere Sicherheit und Integration betreibt. Dazu gehört z. B. das in der Bundesfinanzverwaltung entwickelte elektronische Personalverwaltungssystem.
Daher ist der sorgsame Umgang mit Daten für die Bundesfinanzverwaltung allein wegen der Fülle an gespeicherten Daten ein wichtiges Thema.
Die neuen gesetzlichen Grundlagen im Datenschutz
EU-Datenschutz-Grundverordnung
Mit der EU-Datenschutz-Grundverordnung (DSGVO) hat der europäische Gesetzgeber im vergangenen Jahr eine einheitliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten beschlossen, die ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar anzuwenden ist. Dies hat zur Folge, dass die bis dahin geltenden nationalen Datenschutzregelungen anzupassen oder sogar aufzuheben sind.
EU-Datenschutz-Grundverordnung
Mit dem Ziel der stärkeren Harmonisierung und Modernisierung des EU-Datenschutzrechts haben das Europäische Parlament und der Rat der Europäischen Union am 27. April 2016 die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) verabschiedet. Wesentliche Ziele sind ausgefeilte Rechte des Betroffenen, dessen Daten verarbeitet werden, schärfere Durchsetzungsbefugnisse der Datenschutzaufsichtsbehörden, stärkere Einheitlichkeit der Rechtsanwendung und eine Förderung des freien Verkehrs personenbezogener Daten in der Europäischen Union und der Ausübung von Wirtschaftstätigkeiten auf der Grundlage eines EU-weit einheitlichen Datenschutzrechts.
Grundidee der europäischen Datenschutz-Reform war es, gemeinsame Regeln für Daten in einem europäischen Binnenmarkt zu schaffen. Das sichert ein einheitlich hohes Datenschutzniveau, ist aber auch gut für europäische IT-Dienstleister. Für Unternehmen ist die DSGVO die entscheidende neue Rechtsgrundlage. Die Bestimmungen sind in erster Linie auf das Spannungsfeld zwischen Unternehmen und Verbrauchern zugeschnitten, um z. B. Transparenz oder die Übertragbarkeit der Daten auf andere Unternehmen bei einem Vertragswechsel festzuschreiben.
Die DSGVO gilt – von wenigen Ausnahmen abgesehen – auch für die Verarbeitung personenbezogener Daten durch öffentliche Stellen (z. B. Finanzbehörden) im Verwaltungsverfahren. Sie enthält ungeachtet ihrer unmittelbaren „gesetzlichen“ Geltung an die Mitgliedstaaten gerichtete punktuelle Regelungsaufträge. So müssen im nationalen Recht z. B. die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten durch öffentliche Stellen geschaffen beziehungsweise angepasst werden. Außerdem sieht die DSGVO in ihrem Art. 23 auch eine Reihe von Öffnungsklauseln für die nationalen Gesetzgeber vor. Werden diese genutzt, kann von bestimmten in der DSGVO getroffenen Regelungen national, allgemein oder bereichsspezifisch abgewichen werden.
Von diesen Öffnungsklauseln für die öffentliche Verwaltung hat Deutschland im neuen Bundesdatenschutzgesetz (BDSG) im Ersten und Zweiten Teil Gebrauch gemacht, aber auch in anstehenden bereichsspezifischen Regelungen – z. B. in der Abgabenordnung (AO) und dem Zehnten Buch Sozialgesetzbuch (SGB) – werden diese genutzt werden, um die Besonderheiten und Interessenlagen von behördlichen Verfahren präziser abbilden zu können. Diese Mischung aus allgemeinen Regelungen in der DSGVO und ergänzenden, konkretisierenden oder einschränkenden nationalen Regelungen im BDSG und in Spezialvorschriften wie der AO macht den Datenschutz allerdings noch beratungsintensiver.
Das neue BDSG wurde als wesentlicher Teil des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) vom 30. Juni 2017 im Bundesgesetzblatt Teil I S. 2097 verkündet. Es wird am 25. Mai 2018 in Kraft treten.
Außerdem haben sich Bundestag und Bundesrat im Rahmen des „Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften“ bereits mit den datenschutzrechtlichen Änderungen der AO und des SGB zur Anpassung an die DSGVO befasst. Eine Verkündung dieses Gesetzes im Bundesgesetzblatt ist allerdings noch nicht erfolgt, sodass das weitere Verfahren abzuwarten bleibt.
Weiterhin wird innerhalb der Bundesregierung derzeit der Entwurf eines zweiten Datenschutzanpassungs- und Datenschutzumsetzungsgesetzes abgestimmt. Er soll die zahlreichen Spezialbestimmungen z. B. in den Bereichen Verkehr, Gesundheit, Inneres, Finanzen und Landwirtschaft an die DSGVO angleichen. Hierüber soll das Bundeskabinett in einer seiner ersten Sitzungen im Herbst 2017 beschließen.
Die Länder haben eigene Landesdatenschutzgesetze in Vorbereitung, die vor allem ihre Datenschutzaufsicht sowie den Datenschutz in den Landesbehörden regeln.
Die tragenden Grundsätze im Datenschutz
Wer Daten verarbeitet, ist nach der EU-Datenschutz-Grundverordnung (DSGVO) der Verantwortliche. Er hat nachzuweisen, dass er die folgenden Grundsätze einhält (Art. 5 DSGVO). Diese Grundsätze entsprechen weitgehend dem bisherigen Verständnis des bestehenden Bundesdatenschutzgesetzes (BDSG):
- Rechtmäßigkeit und Transparenz, d. h. die Datenverarbeitung muss immer auf einer Einwilligung des Betroffenen oder einer Rechtsgrundlage basieren (bei Behörden meist Gesetzen) und präzise beschrieben sein, damit die betroffene Person sie nachvollziehen kann.
- Zweckbindung, d. h. der Zweck ist vor der Verarbeitung klar zu definieren; eine diesem Zweck widersprechende Verwendung ist grundsätzlich unzulässig.
- Datenminimierung, d. h. die Daten müssen für den festgelegten Zweck notwendig und angemessen sein.
- Richtigkeit, d. h. die gespeicherten Daten müssen korrekt und aktuell sein und ansonsten gegebenenfalls berichtigt oder gelöscht werden.
- Begrenzung der Speicherung, d. h. es sind Fristen zur Löschung alter Daten vorzugeben.
- Integrität und Vertraulichkeit, d. h. die Daten sind sicher aufzubewahren und vor unbefugtem Zugriff, Verlust oder Schädigung zu schützen (Datensicherheit).
Das neue Bundesdatenschutzgesetz
Das neue BDSG will „drei Fliegen mit einer Klappe schlagen“: Es dient
- der Anpassung an die DSGVO,
- der Umsetzung der gleichzeitig von der EU beschlossenen Datenschutz-Richtlinie Polizei und Justiz (Richtlinie (EU) 2016/680) im Ersten und Dritten Teil des BDSG, die die allgemeinen Vorgaben für die Datenverarbeitung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung enthalten, und
- der entsprechenden Anwendung auf Bereiche wie Verteidigung, Nachrichtendienste oder den Deutschen Bundestag, für die es keine Vorgaben im Unionsrecht gibt.
Herauszuheben ist für die behördliche Praxis:
- Das Verhältnis der jeweiligen bereichsspezifischen Datenschutzregelung zum Anwendungsbereich des neuen BDSG ist genau zu prüfen.
- Die Rechte der Betroffenen (Betroffenenrechte) z. B. auf Auskunft über die gespeicherten Daten werden angepasst, wenn die Offenlegung die ordnungsgemäße Aufgabenerfüllung der Behörde oder die öffentliche Sicherheit und Ordnung gefährden würde und die Interessen des Betroffenen nicht überwiegen.
- Im Falle von Streitigkeiten zwischen Datenaufsicht und Behörden ist die Entscheidung des zuständigen Verwaltungsgerichts abzuwarten; die Datenaufsicht kann nicht die sofortige Vollziehung anordnen.
- Bußgelder werden gegen Behörden nicht verhängt.
Betroffenenrechte
Die Bürger, deren Daten verarbeitet werden, erhalten mehr Rechte. Diese Betroffenenrechte beinhalten grob gesagt ein Informations- und Auskunftsrecht, welche Daten zu welchem Zweck verarbeitet werden, das Recht auf Berichtigung unrichtiger Daten, Löschung von Daten, für die es keinen Grund (mehr) zur Verarbeitung gibt, das Recht auf Einschränkung der Verarbeitung sowie ein Widerspruchsrecht bei Vorliegen besonderer Gründe und gegebenenfalls Schadenersatzansprüche bei Verstößen. Die Betroffenenrechte ergeben sich unmittelbar aus der DSGVO und werden im neuen BDSG sowie in der AO leicht modifiziert. Bei der Ausübung z. B. des Auskunftsrechts empfiehlt es sich in der Praxis, möglichst genau anzugeben, in welchem Zusammenhang überhaupt eine Speicherung persönlicher Daten vermutet wird.
Anpassung der Abgabenordnung
In enger Anlehnung an das neue BDSG sollen die bereichsspezifischen Regelungen in der AO und im Finanzverwaltungsgesetz angepasst oder neu formuliert werden. Diese Bestimmungen werden für die bundesgesetzlich geregelten Steuern gelten, unabhängig davon, ob sie von Bundes- oder Landesfinanzbehörden verwaltet werden. Die datenschutzrechtliche Aufsicht über Bundes- und Landesfinanzbehörden soll insoweit künftig die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) übernehmen, um einen verfassungsrechtlich einheitlichen Vollzug der bundesgesetzlich geregelten Steuern zu gewährleisten.
Umsetzung in der Bundesfinanzverwaltung
Die veränderten Rechtsgrundlagen in Form der DSGVO, der kompletten Überarbeitung des BDSG sowie der Änderungen von AO und SGB lösen erheblichen Prüf- und Handlungsbedarf in der Bundesfinanzverwaltung aus. Bis zum Inkrafttreten der DSGVO sind bestehende und geplante Verfahren mit personenbezogenen Daten an die neuen Anforderungen anzupassen. Folgende Aufgaben im Übergangszeitraum seien exemplarisch genannt:
- Die datenschutzrelevanten Konzepte/Erlasse/Richtlinien sind an die neuen Rechtgrundlagen anzupassen.
- Die Beweislast kehrt sich um. Wer personenbezogene Daten verarbeitet, muss in Zukunft nachweisen, dass die einschlägigen Grundsätze des Datenschutzes eingehalten werden. Das erfordert mehr Dokumentation.
- Die Änderungen sind Anlass, den Internetauftritt der Bundesfinanzverwaltung dahingehend zu überprüfen, ob er den gestiegenen Transparenzpflichten gerecht wird, damit insbesondere die betroffenen Bürger Kontaktdaten der Behörde und der Datenschutzbeauftragten, Zweck und Rechtgrundlage der einschlägigen Verfahren sowie gegebenenfalls weitere Empfänger der Daten daraus ablesen können.
- Behörden haben organisatorische Vorkehrungen zu treffen, dass „Datenpannen“, also Datenschutzverletzungen, kurzfristig intern weitergeleitet, bewertet und gegebenenfalls an die zuständige Datenaufsicht und die betroffenen Personen gemeldet werden.
- Für umfangreiche Verarbeitungen sensibler Daten (z. B. Religionszugehörigkeit, Gesundheit, Straftaten) haben Behörden eine risikoorientierte Datenschutz-Folgenabschätzung zu erstellen.
- Die gesetzlichen Änderungen sind außerdem Anlass, die Datenverarbeitungen im Auftrag zu überprüfen und ein angepasstes Vertragsmuster zu verwenden. Wenn Dritte personenbezogene Daten verarbeiten, ist eine datenschutzrechtliche Vereinbarung mit dem Auftragnehmer (Auftragsverarbeiter) abzuschließen.
Organisation des Datenschutzes in der Bundesfinanzverwaltung
Die Umsetzung der neuen Rechtsgrundlagen in der Bundesfinanzverwaltung ist eingebettet in die vorhandenen Strukturen zur Wahrnehmung der datenschutzrechtlichen Verantwortlichkeiten.
Der Rahmen für die Organisation des Datenschutzes ist in einer internen Dienstanweisung geregelt, die Teil des elektronischen Handbuchs zum Einsatz der IT in der Bundesfinanzverwaltung ist (Band „Datenschutz“). Die datenschutzrechtliche Verantwortung trägt die Leitung der jeweiligen Behörde, die die Daten für sich verarbeitet oder dies durch andere im Auftrag vornehmen lässt.
Die Organisation des Datenschutzes durch die Behörde (z. B. Verfahrensabläufe, Maßnahmen, Fortbildung) wird flankiert durch die Bestellung von weisungsfreien Datenschutzbeauftragten in den obersten und oberen Bundesfinanzbehörden und -anstalten sowie in den Hauptzollämtern und Zollfahndungsämtern. Sie beraten im Wesentlichen die Arbeitseinheiten, überwachen die Einhaltung der Vorgaben und sind Ansprechpartner für die Beschäftigten und betroffene Bürger. Sie organisieren regelmäßige Erfahrungsaustausche über datenschutzrechtliche Fragen.
Im Interesse von Datensicherheit und -schutz findet je nach Bedarf eine Sensibilisierung der Beschäftigten statt – teils durch die Behörde, teils durch Datenschutzbeauftragte, dieses Jahr z. B. durch eine Plakataktion.
Die datenschutzrechtliche Fortbildung erfolgt in der Regel beim Bildungszentrum des Zolls beziehungsweise der Bundesakademie für öffentliche Verwaltung.
Für das vorgeschriebene Verzeichnis aller Verarbeitungstätigkeiten, das einen Überblick über die Datenverarbeitung in der jeweiligen Behörde geben soll, bietet die Bundesfinanzverwaltung eine selbstentwickelte kostenlose Softwarelösung auch für andere Behörden an.1
Fortgeschrieben wird das „Praxishandbuch Datenschutz in der Bundesfinanzverwaltung“, das stichwortbezogen in den Datenschutz einführen und eine Mustersammlung enthalten soll.
Ausblick
Der Bundesgesetzgeber hat seine „Hausaufgaben“ zur Anpassung des deutschen Rechts an die DSGVO zu einem Großteil erledigt. Es wird noch einige Zeit dauern, bis die Einzelheiten europäisch und national geklärt sind. Die Bundesbehörden sind gefordert, neue Prozesse wie Datenschutz-Folgenabschätzungen und Meldung von Datenpannen einzurichten und die Verantwortlichkeiten festzulegen. Erst anhand von praktischen Anwendungsbeispielen wird sich zeigen, wie sich Aufwand und Nutzen verhalten.