Das Bundesministerium der Finanzen hat im BStBl I 2018 Seite 607 (Heft Nummer 8) mit Datum vom 1. Mai 2018 eine Datenschutzerklärung veröffentlicht, deren Betreff lautet: »Allgemeine Informationen zur Umsetzung der datenschutzrechtlichen Vorgaben der Artikel 12 bis 14 der Datenschutz-Grundverordnung in der Steuerverwaltung« (Geschäftszeichen IV A 3 – S 0030/16/10004-21, DOK 2018/0342748).
Daraus sei auf drei auffällige Zitate hingewiesen, die auf Chuzpe und Erledigungswillen schließen lassen.
Zitat: »1. Wer sind wir?
›Wir‹ sind die Finanzbehörden des Bundes (Ausnahme: Zollverwaltung) und der Länder und für die Verarbeitung personenbezogener Daten zu steuerlichen Zwecken verantwortlich.«
Anmerkung 1: Indem hier ein sehr extensives »Wir« (die gesamte Steuerverwaltung des Bundes und der Länder) verwendet wird, umgeht die Finanzverwaltung eventuell von der DSGVO bezweckte Schutzanliegen, weil dadurch sehr viele Datenweitergaben als rein interne Weitergaben bewertet werden, für die es keiner Rechtfertigung und keiner Auskunftserteilung bedarf. Es gab schon nach altem Datenschutzrecht Fälle, in denen ein Datenschutzbeauftragter z.B. bei einer Polizeizentrale darauf geachtet hat, dass bei einem Schichtwechsel nur solche Fälle im Computernetz abrufbar bleiben, die auch über mehr als eine Schicht hinaus bearbeitet werden. Das mag ein wenig streng anmuten. Aber warum jeder Finanzbeamte in Rostock wissen darf, was jeder Einwohner von Baden-Baden verdient, ist mit üblichen Erwägungen zur Verhältnismäßigkeit von Eingriffen nicht zu rechtfertigen.
Zitat: »5. Wie verarbeiten wir diese Daten? (…)
Rechtsverbindliche Entscheidungen treffen wir nur dann auf Grundlage einer ›vollautomatischen‹ Verarbeitung personenbezogener Daten, wenn dies gesetzlich zugelassen ist (z. B. ›vollautomatischer‹ Steuerbescheid nach § 155 Absatz 4 der Abgabenordnung).«
Anmerkung 2: Artikel 13 Absatz 2 Buchstabe f DSGVO fordert für den Fall des Bestehens einer automatisierten Entscheidungsfindung unter anderem »aussagekräftige Informationen über die involvierte Logik«; ob dafür verschämte Anführungszeichen genügen, bleibt der Beurteilung zuständiger Datenschutzbehörden überlassen. Überdies wäre es durch einen Verweis auf die regelmäßig in amtlichen Quellen wie dem BStBl veröffentlichten Flussdiagramme zur Programmlogik der Steuererhebung sogar recht einfach möglich gewesen, die geforderten Informationen mitzuliefern.
Zitat: »8. (…) Recht auf Auskunft
Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen. In Ihrem Auskunftsantrag sollten Sie Ihr Anliegen präzisieren, um uns das Zusammenstellen der erforderlichen Daten zu erleichtern. Daher sollten in dem Antrag möglichst Angaben zum konkreten Verwaltungsverfahren (z. B. Steuerart und Jahr) und zum Verfahrensabschnitt (z. B. Festsetzung, Vollstreckung) gemacht werden.«
Anmerkung 3: Problematisch erscheint – trotz der Verwendung des abgeschwächten Imperativs »… sollten Sie …« – die Einschränkung des Auskunftsanspruchs durch das zusätzliche Fordern einer Bezugnahme auf bestimmte Verfahren. Dies könnte Artikel 15 der DSGVO widersprechen, da die dort normierten Ansprüche keine derartigen Einschränkungen vorsehen und die Pflicht zum »Zusammensuchen« offenbar beim »Verantwortlichen«, also bei der Finanzverwaltung ansiedeln.
Die Formulierung der Finanzverwaltung scheint auf Erwägungsgrund 67 Satz 3 der DSGVO Bezug zu nehmen. Allerdings hat dieser Satz in Artikel 15 keinen klar erkennbaren normativen Niederschlag gefunden. Und gemäß der Praxis des EuGH »können die Erwägungsgründe einer Norm, die Aufschluss über die mit ihr verfolgten Ziele geben, nach der Rechtsprechung des EuGH nicht dazu herangezogen werden, um von den Bestimmungen der Norm abzuweichen (…)« (EuGH, Urt. vom 19.6.2014, Rs. C‑345/13, ECLI:EU:C:2014:2013 – Karen Millen Fashions, Rn. 31, Urteil Deutsches Milch-Kontor, C‑136/04, EU:C:2005:716, Rn. 32 und die dort angeführte Rechtsprechung).
Prognosen: Vermutlich gibt es weitere, weniger evidente Punkte mit Diskussionsbedarf in dieser äußerst knappen Publikation des BMF. Und vermutlich wird die hier vorgelegte erste Version einer Datenschutzerklärung nicht deren letzte Version bleiben.