Versicherung

5.10 Finanzwesen

Zu 5.10.1 Kontendatenabrufersuchen nach §§ 93 Abs. 7 und 8, 93b AO

Nach Auffassung des Hessischen Datenschutzbeauftragten haben sich insbesondere Mängel bei der Dokumentation der Kontenabrufe sowie bei der Information der Betroffenen ergeben. Der Arbeitskreis Steuerverwaltung der Datenschutzbeauftragten des Bundes und der Länder hat dazu ein Musterund Maßnahmen-Formular entwickelt.

Der Einsatz dieses Formulars wurde von der Arbeitsgruppe AO grundsätzlich begrüßt. Die Arbeitsgruppe AO hat den Vordruck dann in der Sitzung AGAO II/2006 inhaltlich und reda ktionell überarbeitet. Dieser Vordruck wird derzeit von der Oberfinanzdirektion Frankfurt am Main noch automationstechnisch aufbereitet. Mit einem Einsatz in den hessischen Finanzämtern ist in Kürze zu rechnen.

Im Übrigen ist Folgendes zu bemerken:

Die Anmerkungen des Hessischen Datenschutzbeauftragten zur Erforderlichkeit des Kontenabrufs und zur Dokumentation der Entscheidung lassen die Ansicht erkennen, ein Kontenabruf im Vollstreckungsverfahren dürfe nur als letzte Maßnahme durchgeführt werden.

Diese Ansicht kann weder aus dem Gesetz noch aus dem Anwendungserlass zur AO (AEAO) oder aus anderen Verwaltungsanweisungen abgeleitet werden.

Die Finanzbehörden sind nach den Vorschriften der Abgabenordnung verpflichtet, festgesetzte Steueransprüche erforderlichenfalls zwangsweise durchzusetzen. Zur Vorbereitung der Vollstreckung können die Finanzbehörden die Vermögens- und Einkommensverhältnisse des Vollstreckungsschuldners ermitteln (§ 249 Abs. 2 Satz 1 AO). Nach der Ermittlung der Vermögens- und Einkommensverhältnisse des Vollstreckungsschuldners sollen die Maßnahmen ergriffen werden, von denen unter Berücksichtigung der Belange des Vollstreckungsschul dners am schnellsten und sichersten ein Erfolg zu erwarten ist (Abschnitt 23 Abs. 2 VollstrA). Diese Voraussetzungen werden am besten durch die Pfändung von Kontoguthaben oder Depotwerten erfüllt. Da Vollstreckungsschuldner solche Vollstreckungsmöglichkeiten in der Regel dem Gläubiger nicht freiwillig offenbaren, sondern im Gegenteil versuchen, diese Werte der Vollstreckung zu entziehen, ist ein Kontenabruf im Vollstreckungsverfahren grundsätzlich immer geeignet. Es kann auch nicht auf andere Ermittlungsmöglichkeiten zur Aufdeckung von verborgenem Vermögen, wie beispielsweise das Verfahren zur Abgabe der eidesstattlichen Versicherung, verwiesen werden. Zum einen können hier Vermögenswerte trotz Strafandrohung verschwiegen werden, zum anderen ist die eidesstattliche Versicherung für den Vollstreckungsschuldner wegen der Eintragung in das Schuldnerverzeichnis wesentlich einschneidender als der Kontenabruf. An der Erforderlichkeit des Kontenabrufs kann es allenfalls dann fehlen, wenn die Vollstreckung nach den bekannten Vermögens- und Einkommensverhältnissen des Vollstreckungsschuldners aussichtslos erscheint und eine Vermögensverschleierung unwahrscheinlich ist oder die Höhe der Forderung den mit dem Kontenabruf verbundenen Verwaltungsaufwand nicht rechtfertigen kann (vgl. AEAO, § 93 Tz. 2.3 2. Abs.).

Der Hessische Datenschutzbeauftragte bemängelt ferner, in den meisten Fällen sei keine Dokumentation darüber vorhanden, ob der Steuerpflichtige gehört wurde. Es handelt sich hier sicherlich nicht um eine fehlende Dokumentation, sondern tatsächlich um eine fehlende Anhörung. Wenn 85 % der Kontenabrufe im Vollstreckungsbereich stattfinden, ist dies allerdings nicht verwunderlich. § 93 Abs. 7 AO setzt zwar grundsätzlich ein vorheriges Auskunftsverlangen an den Steuerpflichtigen voraus. Im Vollstreckungsverfahren verbietet es sich jedoch, zunächst ein Auskunftsersuchen zur Ermittlung einer Bankverbindung an den Vollstreckungsschuldner zu richten. Er könnte diese Gelegenheit u.U. nutzen, das Konto "abzuräumen". Abschließend bezweifelt der Hessische Datenschutzbeauftragte allgemein den Erfolg der Maßnahme "Kontenabruf". Es habe nur sehr wenige erfolgreiche Fälle gegeben. In einem Einzelfall seien Mehrsteuern in Höhe von 22.000 festgesetzt worden. Im Vollstreckungsverfahren seien einmal 9. aufgrund der Pfändung in eine neu bekannt gewordene Bankverbindung erhoben worden. Entscheidend ist, wie man "erfolgreich" im Zusammen hang mit dem Kontenabruf definiert. Nach Ansicht der Landesregierung ist das Verfahren auch dann erfolgreich, wenn dadurch festgestellt werden kann, dass die Steuerpflichtigen ihren Erklärungspflichten ordnungsgemäß nachgekommen sind oder wenn im Vollstreckungsverfahren durch den Kontenabruf ermittelt wurde, dass der Vollstreckungsschuldner vermögenslos ist und der Fall - natürlich auch aufgrund weiterer Ermittlungen - durch Niederschlagung beendet werden kann.

Zu 6. Kommunen

Die Landesregierung stimmt den Ausführungen des Hessischen Datenschutzbeauftragten zu.

7. Sonstige Selbstverwaltungskörperschaften

Zu 7.1 Hochschulen

Die Landesregierung stimmt den Ausführungen des Hessischen Datenschutzbeauftragten zu.

Sparkassen

Zu 7.2.1 Sparkasse zeichnete rechtswidrig Telefongespräche auf

Die Landesregierung stimmt der Auffassung des Hessischen Datenschutzbeauftragten zu, dass die Sparkasse Telefonanrufe von Kunden ohne wirksame Einwilligung der Betroffenen im Sinn des Datenschutzrechts aufgezeichnet hat.

Eine Strafbarkeit von Verantwortlichen der Sparkasse nach § 201 Abs. 1 Nr. 1 StGB dürfte nach dem mitgeteilten Sachverhalt jedoch nicht gegeben sein, weil das Aufzeichnen der Telefongespräche nicht "unbefugt" im Sinne der Strafvorschrift, sondern mit einem den Tatbestand der Norm ausschließenden Einverständnis der Anrufer erfolgt ist. Ein solches Einverständnis liegt hier deshalb vor, weil die Anrufer durch die automatisierte Ansage, mit welcher ausdrücklich auf die Gesprächsaufzeichnung hingewiesen wurde, Kenntnis von dem Umstand der Aufzeichnung hatten und durch das Weiterführen des Telefonats konkludent in die Aufzeichnung einwilligten.

8. Entwicklungen und Empfehlungen im Bereich der Technik und Organisation

Zentrale DV in der Landesverwaltung

Zu 8.1.1 Ausgangslage

Die Landesregierung stimmt den Ausführungen des Hessischen Datenschutzbeauftragten zu.

Zu 8.1.2 Wichtige Entscheidungen

Gemäß der Leitlinie der Hessen-PKI werden die Zertifikate für die fortgeschrittene elektronische Signatur auf Smartcards herausgegeben. Die Zertifikate für fortgeschrittene und qualifizierte elektronische Signaturen werden durch getrennte PINs geschützt.

In § 2 Nr. 2c Signatur-Gesetz (SigG) wird verlangt, dass fortgeschrittene elektronische Signaturen "...mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann....", für qualifizierte elektronische Signaturen verlangt § 2 Nr. 3b SigG zusätzlich, dass sie "mit einer sicheren Signaturerstellungseinheit erzeugt werden...".

In der Hessen-PKI werden auch die fortgeschrittenen Signaturen mit einer sicheren Signaturerstellungseinheit (SmartCard NetKey E4) erzeugt und so ein deutlich höheres Sicherheitsniveau erzielt, als es das Signaturgesetz für fortgeschrittene elektronische Signaturen verlangt.

Die Anregung des Hessischen Datenschutzbeauftragten zur da uerhaften Speicherung verschlüsselt eingegangener Dokumente ist berechtigt. Sie wird in der technischen Spezifikation berüc ksichtigt und die Anwender im Sinne dieser Anregung geschult. Darüber hinaus werden die Organisationsverant18 wortlichen der Dienststellen gezielt auf die Problematik hingewiesen. Dem Bedarf für eine verschlüsselte, dauerhafte Speicherung wird mit der dafür eingerichteten Arbeitsgruppe "Gruppenverschlüsselung", unter Beteiligung des Hessischen Datenschutzbeauftragten, begegnet (siehe unten zu 8.1.4).

Die Beratung durch den Hessischen Datenschutzbeauftragten bei der Behandlung des Verfa hrens "eBeihilfe" im Rahmen des AD-Projekts hat dazu geführt, dass für dieses Verfahren mit hochsensiblen Daten eine getrennte AD-Domäne eingerichtet wurde.

Prüfungen

Zu 8.1.3.1 Zentrale E-Mail

Der Forderung des Hessischen Datenschutzbeauftragten hinsichtlich einer erweiterten Protokollierung und der Schaffung einer IT-Revisionsstelle in der HZD wurde umgehend Rechnung getragen. Diese Revisionsstelle hat ihre Arbeit aufgenommen.

Zu 8.1.3.2 Prüfung in Hünfeld

Die Darstellung des Hessischen Datenschutzbeauftragten, dass das Administrationsteam weder ausschließlich die Systeme der Justiz betreut, noch dass die Systeme der Justiz nur am Standort Hünfeld betrieben werden, ist zutreffend. Diese Organisation der Administration erfolgte im Rahmen des Beschlusses des Kabinettsauschusses "Verwaltungsreform und Verwaltungsinformatik" vom 9. Dezember 2004. Der Beschluss müsste dem Hessischen Datenschutzbeauftragten bekannt sein, weil er ihm nachrichtlich zugestellt wurde.

Das Administrationskonzept unterliegt laufend der Abstimmung mit dem Hessischen Datenschutzbeauftragten. Nicht zuletzt in der Klausur zwischen dem CIO und dem Hessischen Datenschutzbeauftragten am 26. Juni 2006 bestand die Möglichkeit, strittige Fragen grundsätzlicher Natur anzusprechen. Dieses Thema wurde auf der Klausur nicht vom Hessischen Datenschutzbeauftragten problematisiert. Gleichwohl unternimmt die HZD in vertrauensvoller Zusammenarbeit mit dem Ministerium der Justiz und dem Hessischen Datenschutzbeauftragten auf Arbeitsebene erhebliche Anstrengungen, die Kritikpunkte abzuarbeiten und hat im vorliegende n Fall sehr zeitnah Erweiterungen in der Protokollierung der Zugriffe auf E-Mail und AD der Justiz durch die Mitarbeiter der HZD umgesetzt.

Zu 8.1.4 Sachstand zur Verschlüsselung

Die Ausführungen des Hessischen Datenschutzbeauftragten geben den Sachstand korrekt wieder. Die Landesregierung verfolgt in enger Abstimmung mit dem Hessischen Datenschutzbeauftragten das Ziel, eine Lösung bereitzustellen, die es erlaubt, Dokumente mit hohem Schutzbedarf verschlüsselt im Dokumenten-Managementsystem zu speichern.

Zu 8.1.5 Sachstand Terminalserver

Im Rahmen des Projekts "DMS" besteht zurzeit innerhalb der Teilprojekte "eAkte" und "Archivierung" sowie im Projekt "HCN" eine intensive Zusammenarbeit mit dem Hessischen Datenschutzbeauftragten.

Da das im Tätigkeitsbericht angesprochene Produkt "GERVA" zwischenzeitlich vom Markt genommen wurde, gibt es derzeit kein explizit für den Einsatz im Terminalserverumfeld zertifiziertes und nach dem SigG bestätigtes Produkt. Daher wird weiter nach einer Lösung gesucht, die den Anforderungen des SigG genügt.

Der Hessische Datenschutzbeauftragte führt im Tätigkeitsbericht weiter aus, die Einbindung der elektronischen Signatur in Fachverfahren werde nach dem Ende der Ausschreibung für eine Signatursoftware weiterbehandelt.

Inzwischen wurde dem Hessischen Datenschutzbeauftragten das Ergebnis der Ausschreibung mitgeteilt und es werden erste Tests zur Integration in Fachverfahren durchgeführt. Nach Abschluss dieser grundlegenden Tests werden die weiteren Schritte mit dem Hessischen Datenschutzbeauftragten abgestimmt.