Im Rahmen von Steuerprüfungen fallen eine Vielzahl personenbezogener Informationen verschiedenster Inhalte an. Hierfür normiert die Abgabenordnung (AO) Generalklauseln, die bei der Festsetzung der Steuern den Finanzbehörden zwar weitgehend Spielraum belassen, die aber nach den Vorgaben der DSGVO auch nicht zu unbestimmt sein dürfen. Der BFH hatte im hier besprochenen Urteil (Az.: IX R 32/21) zu entscheiden, ob die Generalklausel des § 29b AO unter anderen den Anforderungen der DSGVO genügt.
Der Inhalt im Überblick
Datenverarbeitung im Steuerverfahren – ein kurzer Prolog
Neben Online-Riesen wie Meta, Google YouTube und Anderen ist der Staat einer der größten Datenkraken. Das merkt man besonders im Besteuerungsverfahren, wenn die Finanzbehörde mit Auskunftsanfragen nervt, um ihre – bei geschätzt 84,7 Mio. Einwohnern zzgl. der steuerpflichtigen Gesellschaften in Deutschland – nicht kleinen Aufgabe zu erfüllen, Steuern nach dem Vermögenszuwachs zeitig festzusetzen (§ 85 AO). Zur Administration dieses Perpetuum mobiles stehen den Finanzbehörden oft nicht nur sprachlich, sondern ebenso inhaltlich komplexe sowie weitreichende Befugnisse für Eingriffe in die Privat- und Geschäftssphäre zur Verfügung.
Archetyp einer solchen Befugnis ist die Außenprüfung, die nach der Betriebsprüfungsordnung (BpO) je nach Betriebsgröße in mehr oder weniger langen Zeitabständen durchzuführen ist und bei der man steuerlich die Hosen runterlassen muss. Wer sich auf Anordnung der Finanzbehörden steuerlich zu entblößen hat, ist in § 193 AO geregelt.
(1) Eine Außenprüfung ist zulässig bei Steuerpflichtigen, die einen gewerblichen oder land- und forstwirtschaftlichen Betrieb unterhalten, die freiberuflich tätig sind und bei Steuerpflichtigen im Sinne des § 147a.
(2) Bei anderen als den in Absatz 1 bezeichneten Steuerpflichtigen ist eine Außenprüfung zulässig,
1. soweit sie die Verpflichtung dieser Steuerpflichtigen betrifft, für Rechnung eines anderen Steuern zu entrichten oder Steuern einzubehalten und abzuführen,
2. wenn die für die Besteuerung erheblichen Verhältnisse der Aufklärung bedürfen und eine Prüfung an Amtsstelle nach Art und Umfang des zu prüfenden Sachverhalts nicht zweckmäßig ist oder
3. wenn ein Steuerpflichtiger seinen Mitwirkungspflichten nach § 12 des Gesetzes zur Abwehr von Steuervermeidung und unfairem Steuerwettbewerb (StAbwG) nicht nachkommt.
Zum Schutz des Staatssäckle treffen die Prüfungsadressaten hierbei weitgehende Mitwirkungspflichten. Beispielhaft:
„Der Steuerpflichtige hat bei der Feststellung (…) mitzuwirken. Er hat (.) Auskünfte zu erteilen, Aufzeichnungen, Bücher, Geschäftspapiere und andere Urkunden (…) vorzulegen, (…) Erläuterungen zu geben und die Finanzbehörde bei Ausübung ihrer Befugnisse nach § 147 Abs. 6 zu unterstützen (§ 200 Abs. 1 AO).
Zur Spielwiese des Datenschutzes wird das Steuerverfahren, weil viele dieser Dokumente nur noch digital vorhanden sind. Dann
1. hat die Finanzbehörde (…) das Recht, Einsicht in die gespeicherten Daten zu nehmen und das Datenverarbeitungssystem zur Prüfung zu nutzen,
2. kann die Finanzbehörde verlangen, dass die Daten (…) maschinell ausgewertet zur Verfügung gestellt werden, oder
3. kann die Finanzbehörde verlangen, dass die Daten (…) in einem maschinell auswertbaren Format an sie übertragen werden (§ 147 Abs. 6 S. 1 AO).
Befinden sich die Daten bei Dritten, können die Finanzbehörden von ihm Einsicht einfordern (§ 147 Abs. 6 S. 2 AO).
Es wundert angesichts dem – auch zwangsweise durchsetzbaren – hohen Maß an Transparenz kaum, dass Finanzbehörden und ihre Prüfer nicht unbedingt als Sympathieträger erscheinen und deren Maßnahmen vielfach Grundlage finanzgerichtlicher Urteile sind.
Die Generalklausel zur Datenverarbeitung für Finanzämter
In die Aufzählung dieser Generalklauseln reiht sich auch § 29b AO ein, der in einer einfachen, fast laienverständlichen Sprache sagt:
(1) Die Verarbeitung personenbezogener Daten durch eine Finanzbehörde ist zulässig, wenn sie zur Erfüllung der ihr obliegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die ihr übertragen wurde, erforderlich ist.
(2) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten (…) zulässig, soweit die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist und soweit die Interessen des Verantwortlichen (…) die Interessen der betroffenen Person überwiegen. § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes (BDSG) ist entsprechend anzuwenden.
Worüber wurde hinsichtlich § 29b AO gestritten?
Im Rahmen einer Außenprüfung wurde der spätere Kläger dazu aufgefordert, Kontoauszüge für den Zeitraum Januar 2017 bis Dezember 2019 vorzulegen. Die Durchführung der Prüfung wurde mit Anordnung vom 16.12.2020 verfügt. Diese enthielt folgenden Passus:
Informationen über die Verarbeitung personenbezogener Daten in der Steuerverwaltung und (.) Ihre Rechte nach der Datenschutz-Grundverordnung (…) entnehmen Sie bitte dem allgemeinen Informationsschreiben der Finanzverwaltung. Dieses (.) finden Sie unter www.finanzamt.de (…).
Dort hieß es auszugsweise:
Um unsere Aufgabe zu erfüllen, die Steuern nach den Vorschriften der Abgabenordnung (…) gleichmäßig festzusetzen und zu erheben, benötigen wir personenbezogene Daten (§ 85 AO)
Ihre (.) Daten werden in dem (.) Verfahren verarbeitet, für das sie erhoben wurden (§ 29b AO).
(…)
Können wir einen steuerrelevanten Sachverhalt nicht mit Ihrer Hilfe aufklären, dürfen wir Sie betreffende personenbezogene Daten auch durch Nachfragen bei Dritten erheben (…).
Weil der spätere Kläger der Anordnung nicht folgte, wandte sich die Finanzbehörde schriftlich am 15.02.2021 an seine Geschäftsbank und ersuchte gemäß § 97 AO um Vorlage der Kontoauszüge. Hierüber wurde der spätere Beklagte mittels Schreibens gleichen Datums unter Beifügung eines Abdrucks der Vorlageanordnung unterrichtet.
§ 97 AO Abs. 1 besagt:
Die Beteiligten und andere Personen haben (…) auf Verlangen Bücher, Aufzeichnungen, Geschäftspapiere und andere Urkunden zur Einsicht und Prüfung vorzulegen. (…) § 93 Absatz 1 Satz 2 und 3 gilt entsprechend.
Liest man flink wie ein Eichhörnchen weiter zu § 93 Abs. 1 AO kann man sich über folgenden Inhalt freuen:
Die Beteiligten und andere Personen haben der Finanzbehörde die zur Feststellung eines für die Besteuerung erheblichen Sachverhalts erforderlichen Auskünfte zu erteilen. (…) Andere Personen als die Beteiligten sollen erst dann zur Auskunft angehalten werden, wenn die Sachverhaltsaufklärung durch die Beteiligten nicht zum Ziel führt oder keinen Erfolg verspricht.
Mit Schreiben vom 22.02.2021 an die Finanzbehörde machte der Kläger geltend, dass § 97 AO nicht Art. 6 DSGVO genüge, weil die Norm nicht sage, welche Arten von Daten verarbeitet werden dürfen und wer konkret der Pflicht zur Datenübermittlung unterliege. Die Inhalte aus den Auszügen dürften daher nicht zur Steuerbemessung verarbeitet, sondern müssten gelöscht werden.
Die relevanten Passagen in Art. 6 DSGVO lauten:
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist.
(…)
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben (…) e wird festgelegt durch
(…)
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder (…) für die Erfüllung einer Aufgabe erforderlich sein (…).
Nach behördlicher Ablehnung der Eingabe beschritt der Kläger den Rechtsweg zum Finanzgericht (FG), unterlag aber auch dort mit seinem Löschungsantrag.
Die Datenverarbeitung nach § 29b AO vor dem BFH
Wie schon die Vorinstanz hält der Bundesfinanzhof (BFH, Urteil vom 05. September 2023, IX R 32/21) die Datenverarbeitung nach § 29b AO insgesamt für rechtmäßig.
§ 29b AO als Generalklausel zur Datenerhebung im Steuerverfahren
Zuerst wendet sich der BFH dem Anwendungsbereich von § 29b AO zu. Die Einwendungen des Kläger gegen § 97 AO sieht er dagegen als nicht schlüssig an, da die Finanzbehörde die Anforderung der Kontenbelege auf § 29b AO stützen könne.
Der im Allgemeinen Teil der AO enthaltene § 29b AO ermächtigt die Finanzbehörden allgemein zur Verarbeitung solcher personenbezogener Daten im Besteuerungsverfahren. Die Voraussetzungen der Norm sah der BFH als gegeben an.
Der deutsche Gesetzgeber habe für das Verwaltungsverfahren in Steuersachen mit § 29b AO eine bereichsspezifische Rechtsgrundlage für die Verarbeitung sowohl normaler personenbezogener Daten, die unter Art. 6 Abs. 1 S. 1 lit. e DSGVO fallen, als auch sensibler Daten im Sinne von Art. 9 Abs. 1 DSGVO geschaffen.
Danach habe die Beklagte als Verantwortliche durch Vereinnahmung der Kontoauszüge den Kläger betreffende Daten zwar gemäß der DSGVO verarbeitet, dies aber rechtmäßig, weil von § 29b AO gedeckt. Die Beklagte sei gehalten gewesen, die Auszüge anzufordern, um sie der Überprüfung der Richtig- und Vollständigkeit der Betriebseinnahmen und Betriebsausgaben zugrunde zu legen. Der Kläger sei seiner Pflicht, die Auszüge selbst vorzulegen, nicht nachgekommen.
Vereinbarkeit der Datenverarbeitung nach § 29b AO mit der DSGVO
Hiernach wendet sich der BFH der Europarechtskonformität von § 29b AO zu und bejaht auch diese.
Verweis auf die Aufgabe der Finanzbehörde in § 29b AO reiche zur Legitimation der Verarbeitung
§ 29b AO genüge den Bedingungen der DSGVO zur Verarbeitung von Daten gemäß Art. 6 Abs. 3 DSGVO. Art. 6 Abs. 3 S. 2 DSGVO gäbe vor, dass in der Rechtsgrundlage entweder der Verarbeitungszweck genannt (Alt. 1) oder die Verarbeitung für die Aufgabenwahrnehmung notwendig sein müsse, die entweder im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge (Alt. 2). Dieser Zweck müsse nicht explizit gesetzlich benannt werden, sondern könne sich auch aus dem Kontext ergeben.
§ 29b Abs. 1 AO knüpfte an die den Finanzbehörden obliegende Aufgabe an, die dem Staat zustehenden Steuern zu erheben. Dieser Zweck rechtfertige die zur Aufgabenerfüllung erforderliche Verarbeitung personenbezogener Daten. Der implizite Aufgaben- und Zuständigkeitsbezug in § 29b AO genüge Art. 6 Abs. 3 S. 2 DSGVO.
Zur Datenverarbeitung nach § 29b Abs. 1 AO im Steuerverfahren
§ 29b Abs. 1 AO verletze nicht das unionsrechtliche Normwiederholungsverbot.
Dieses Verbot solle sicherstellen, dass die direkte innerstaatliche Geltung von Verordnungen, wie der DSGVO, nicht vereitelt wird. Folge dessen sei, dass die Regeln der DSGVO in einer nationalen Rechtsgrundlage grundsätzlich nicht schlicht wiederholt werden dürften. Dem werde § 29b Abs. 1 AO gerecht. Der Wortlaut der Norm sei zwar eng an die Formulierung des Erlaubnistatbestands des Art. 6 Abs. 1 S. 1 Buchst. e DSGVO angelehnt, beschränke sich allerdings nicht schlichte Wiederholung, sondern konkretisiere zum einen die Finanzbehörden als Verantwortliche und knüpfe an deren Aufgaben an.
Zur Datenverarbeitung gem. § 29b Abs. 2 AO im Steuerverfahren
Schließlich sei auch § 29b Abs. 2 AO mit der DSGVO vereinbar.
§ 29b Abs. 2 S. 1 AO trage dem erhöhten Schutzniveau sensibler Daten gem. Art. 9 Abs. 1 DSGVO dadurch Rechnung, dass diese nur bei Vorliegen eines erheblichen öffentlichen Interesses und unter strenger Prüfung der Verhältnismäßigkeit verarbeitet werden dürften. Der Verweis in § 29b Abs. 2 S. 2 AO auf den Katalog der TOM in § 22 Abs. 2 S. 2 BDSG stelle dabei sicher, dass angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person getroffen würden. Dementsprechend sei die Regelung auf der Grundlage von Art. 9 Abs. 2 lit. g) DSGVO nicht zu beanstanden.
Datenverarbeitung im Steuerverfahren – eine normative Odyssee
Der Fall zeigt, wie schnell datenschutzrechtliche Fragen im Besteuerungsverfahren in das verzweigte Normengeflecht des nationalen und europäischen Rechts führen können. Wehe dem, der sich darin verirrt. Gemessen an der Weite des § 29b AO ist nach dem vorliegenden Urteil des BFH damit zu rechnen, dass die Mehrzahl der datenschutzrechtlich relevanten Verarbeitungsvorgänge im Besteuerungsverfahren als datenschutzrechtlich unbedenklich eingestuft werden, da die Norm den Finanzbehörden einen enormen Gestaltungsspielraum einräumt. Insoweit dürfte man im Besteuerungsverfahren – ungeachtet der ohnehin hohen Komplexität des Steuerrechts – zumeist als David gegen Goliath kämpfen.
Zum ersten Mal lese ich hier, dass auch der Staat eine „Datenkrake“ sei.
Als DSB einer Behörde bitte ich auf solche Schmähbegriffe in Bezug auf staatliche Einrichtungen zu verzichten.
Anders als die sonst so titulierten haben Behörden einen gesetzlichen Auftrag zu erfüllen. Sie haben dazu weitgehende gesetzliche Befugnisse, die auch mal umstritten sein mögen hinsichtlich des Datenschutzes.
Als über 20 Jahre im Datenschutz eines Sozialversicherungsträgers tätiger DSB habe ich die Erfahrung gesammelt, dass der Datenschutz seit der DSGVO auch sehr gerne instrumentalisiert wird, um Leistungen zu bekommen, auf die kein Anspruch besteht. Obwohl der Sozialdatenschutz nach dem SGB bereits fast der DSGVO entsprach, ist der Personalbedarf, den wir alle mitbezahlen müssen, seit der DSGVO enorm gestiegen. Auch weil Angst und Verunsicherung geschürt wurden. Den Staat als „Datenkrake“ zu bezeichnen macht nichts besser. Sie sollten das lassen.