Hartz

Datenschutzbericht 2008/2009 | 12. Finanzen

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung daher auf, den Absichtserklärungen des IT-Gipfels Taten folgen zu lassen und den Einsatz datenschutzfördernder Identitätsmanagementsysteme voranzutreiben. Sowohl die öffentliche Verwaltung als auch die Wirtschaft sollte die Einführung solcher datenschutzfördernder Systeme unterstützen.

Der LfD hatte sich bereits mit einem entsprechenden Anliegen zu befassen: So wollte eine Stadtverwaltung die Steueridentifikationsnummer bei Gewährung von Hartz IV oder Arbeitslosengeld als Controlling-Maßnahme nutzen.

Die Nutzung ist abschließend in § 139b AO geregelt.

Gemäß Abs. 2 Satz 2 dieser Vorschrift dürfen andere öffentliche Stellen als die Finanzbehörden die Identifikationsnummer nur erheben oder verwenden, soweit dies für Datenübermittlungen zwischen ihnen und den Finanzbehörden erforderlich ist oder eine Rechtsvorschrift die Erhebung oder Verwendung der Identifikationsnummer ausdrücklich erlaubt oder anordnet. Weiterhin dürfen ihre Dateien nur insoweit nach der Identifikationsnummer geordnet oder für den Zugriff erschlossen werden, als dies für regelmäßige Datenübermittlungen zwischen ihnen und den Finanzbehörden erforderlich ist. Vertragsbestimmungen und Einwilligungserklärungen, die darauf gerichtet sind, eine nach den vorstehenden Bestimmungen nicht zulässige Erhebung oder Verwendung der Identifikationsnummer zu ermöglichen, sind unwirksam.

Das geplante Verfahren unter Nutzung der Steueridentifikationsnummer war, auch auf Grundlage einer Einwilligung der Betroffenen, aus datenschutzrechtlicher Sicht unzulässig.

Auskunftsrecht gegenüber der Finanzverwaltung Grundsätzlich hat jeder Bürger Anspruch auf Auskunft über die zu seiner Person gespeicherten Daten. Dieser Anspruch ist sowohl im Landesdatenschutzgesetz als auch im Bundesdatenschutzgesetz normiert. Er richtet sich sowohl an die Verwaltung als auch an private Datenverarbeiter ­ und auch an die Steuerverwaltung, auch wenn dies dort gerne einmal anders gesehen wird.

Das hat das Bundesverfassungsgericht in seinem Beschluss vom 10. März 2008 (1 BvR 2388/03) bestätigt.

Das Bundesfinanzministerium hat aufgrund dieser Entscheidung im Dezember 2008 ein Schreiben (AZ: IV A 3 ­ S 0030/08/10001) verfasst, in dem die näheren Voraussetzungen der Auskunftsrechte der Steuerpflichtigen geregelt sind und das für alle Finanzverwaltungen bindend ist. Darin wird als Voraussetzung genannt, dass der Betroffene ein berechtigtes Interesse geltend machen muss. Damit wird der Auskunftsanspruch nur eingeschränkt gewährt. Die Finanzverwaltung befürchtet andernfalls, dass das Geheimhaltungsinteresse des Staates, welches auch vom Bundesverfassungsgericht anerkannt wird, nicht gewährleistet werden kann. Die Regelungen im Landes- und im Bundesdatenschutzgesetz begründen aber ausdrücklich einen Auskunftsanspruch, ohne dass die Betroffenen ein berechtigtes Interesse darlegen müssten. Der Gesetzgeber bringt vielmehr zum Ausdruck, dass jedermann stets ein berechtigtes Interesse an der Auskunft hat. Er muss es gerade nicht mehr begründen. Die auskunftspflichtige Behörde hat nur zu prüfen, ob Ausnahmetatbestände vorliegen. Denn unter bestimmten Voraussetzungen, z. B. bei Geheimhaltungsinteressen des Staates, kann die Auskunft unterbleiben.

Gerade wegen dieser Ausnahmetatbestände hat das Bundesverfassungsgericht auch die Regelungen zur Auskunftserteilung nach dem allgemeinen Datenschutzrecht für anwendbar gehalten. Denn hierdurch wird die ordnungsgemäße Aufgabenerfüllung der auskunftspflichtigen Stelle sichergestellt. Die Prüfung eines berechtigten Interesses bürdet der Gesetzgeber der verantwortlichen Stelle dagegen nicht auf, sie ist dazu auch nicht ermächtigt. Diese Wertung hat er bereits im Gesetz selbst vorgenommen. Folglich kann hier aus Sicht des LfD das Vortragen eines berechtigten Interesses auch den Prüfungsvorgang nicht beschleunigen.

Aus diesem Grunde steht auch das Schreiben des Bundesministeriums der Finanzen aus Sicht des LfD nicht im Einklang mit dem Gesetz: Mit der Statuierung einer Darlegungspflicht des Betroffenen stellt es das verfassungsrechtlich ausgestaltete Verhältnis von Staat und Bürger auf den Kopf.

Um Missverständnissen vorzubeugen: Ein schrankenloses Auskunftsrecht wird auch vom LfD nicht gefordert, insbesondere im Hinblick auf die besondere Aufgabenstellung der Finanzverwaltung. Der LfD hält es aber nach wie vor für nicht gesetzeskonform, von den Beteiligten die Darlegung eines berechtigten Interesses zu fordern.

Der LfD hat daher das hiesige Finanzministerium aufgefordert, sich im Sinne der Rechtmäßigkeit der Verwaltung um eine alsbaldige Korrektur der im Schreiben des Bundesministeriums der Finanzen vom 17. Dezember 2008 vertretenen Rechtsauffassung zu bemühen. Dies lehnt das Finanzministerium ab.

Dies wird von allen Landes- und dem Bundesdatenschutzbeauftragten so gesehen (vgl. Entschließung der 77.

Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 26./27. März 2009 „Auskunftsanspruch der Steuerpflichtigen im Besteuerungsverfahren gewährDatenschutzbericht 2008/2009 | 12. Finanzen leisten!"). Der Bundesdatenschutzbeauftragte hat das Schreiben des Bundesfinanzministeriums mittlerweile förmlich beanstandetet.

Fazit:

Das Bundesverfassungsgericht hat den Auskunftsanspruch des Steuerpflichtigen nach geltenden datenschutzrechtlichen Bestimmungen bekräftigt. Die Finanzverwaltung will diesen Anspruch nur bei Vorliegen eines berechtigten Interesses prüfen, obwohl das Gesetz eine solche Einschränkung nicht vorsieht. Die Datenschutzbeauftragten des Bundes und der Länder nutzen die ihnen zur Verfügung stehenden Mittel, um eine Korrektur der Rechtauffassung des Bundesfinanzministeriums zu erreichen.

Datenschutzbericht 2008/2009 | 13. Technisch-organisatorischer Datenschutz

13. Technisch-organisatorischer Datenschutz

Kontrollen und Beratungen Kontrolle und Beratung bilden neben der Bearbeitung von Eingaben die Schwerpunkte der Arbeit des LfD auch im technischen Bereich. Im Berichtszeitraum sind in diesem Zusammenhang in insgesamt 70 Fällen Kontrollen und Beratungen vor Ort erfolgt, u.a. Kontrollen erfolgten überwiegend anlassbezogen, z. B. aufgrund von Eingaben an den LfD oder aktueller technischer Fragestellungen. Die Durchführung anlassloser Kontrollen oder allgemeiner Prüfungen der ITgestützten Verarbeitung personenbezogener Daten wurde aufgrund der bestehenden personellen Engpässe reduziert.

Der Anteil der Online-Kontrollen, d.h. die Prüfung von Internet-Angeboten bzw. online nutzbarer Verfahren wurde intensiviert und hat sich als zunehmend bedeutsamer Bereich der Kontrolltätigkeit des LfD erwiesen (s.a. Tz. 13.6)

Mit der Übernahme der Datenschutzaufsicht auch im nicht-öffentlichen Bereich ab Oktober 2008 haben Kontrolle und Beratung in diesem Bereich sowie der gestiegene Umfang von Eingaben die personellen Ressourcen des LfD im Technikbereich überwiegend in Anspruch genommen. Eine im Rahmen der Aufgabenerweiterung vorgesehene weitere Technikerstelle war zunächst mit einer Besetzungssperre versehen und wurde dem Haushalt des LfD erst Mitte 2009 zugewiesen. Die Gewinnung qualifizierten Personals hat sich, u.a. aufgrund einer abgesenkten Dotierung, als schwierig erwiesen; im Berichtszeitraum konnte die Stelle zunächst nicht besetzt werden.

Die Praxis der Verwaltung, den LfD im Vorfeld geplanter Umstrukturierungen des IT-Einsatzes oder bei der Erstellung von Datenschutz- und Sicherheitskonzepten zu beteiligen, hat sich fortgesetzt. Insbesondere bei der Einführung zentraler Verfahren wird in der Regel frühzeitig die Abstimmung mit dem LfD gesucht. Im Bereich der Wirtschaft ist dies bislang nur ansatzweise der Fall.

Schulungsaktivitäten und Vortragstätigkeit wurden im bisherigen Umfang fortgeführt. Entsprechenden Nachfragen aus dem nicht-öffentlichen Bereich konnte angesichts der knappen Personalressourcen nur bedingt entsprochen werden. Der LfD beabsichtigt, dem hier erkennbaren Bedarf mit einer Ausweitung seines Angebots zum Selbstdatenschutz Rechnung zu tragen.

Entwicklung der Informationstechnik

Der Einsatz der Informationstechnik erfasst im beruflichen, wirtschaftlichen und privaten Umfeld immer weitere Lebensbereiche. Damit einher geht eine zunehmende Erhebung, Verarbeitung und Verknüpfung personenbezogener Daten, bei der Fragen des Datenschutzes immer bedeutsamer werden.

Um neuen, sich im Zusammenhang mit der informationstechnischen Entwicklung ergebenden Datenschutzfragen angemessen begegnen zu können, hat die Konferenz der Datenschutzbeauftragten den Arbeitskreis Technik gebeten, in regelmäßigen Abständen darüber zu berichten, welche Entwicklungen in absehbarer Zeit in der Praxis Bedeutung erlangen können und besonderen Datenschutzbezug haben werden.

Neben den weiterhin zu verzeichnenden Trends zur Leistungssteigerung, Miniaturisierung und Vernetzung sind danach u.a. folgende Entwicklungen von Bedeutung:

Konvergenz der Netze

Die Konvergenz von Techniken und Netzen im Bereich Telekommunikation und Mediennutzung (z.B. Konvergenz von Sprach- und Datennetzen, Triple Play). Neben den spezifischen Risiken, die von den einzelnen Diensten ausgehen, sind Wechselwirkungen und Kumulationseffekte zu befürchten.