Die Unternehmen müssten inzwischen ihre Systeme dahingehend geändert haben dass Zugriffsbefugnisse

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats

AO). Der Betriebsprüfer darf die Daten bei der Außenprüfung danach auch maschinell verwerten oder sich vom Unternehmen einen Datenträger zur Verfügung stellen lassen. Wir hatten darauf hingewiesen, dass der Betriebsprüfer bei seiner Prüfung auch auf personenbezogene Daten stoßen kann, deren Kenntnis für die Betriebsprüfung ohne Bedeutung ist. Da eine Begrenzung der Zugriffsbefugnisse des Steuerprüfers bei den meisten Untenehmen nur durch eine Systemänderung erreicht werden kann, hatte der Gesetzgeber den Unternehmen ein Jahr Zeit eingeräumt, um ihre Systeme entsprechend auf den Prüfzugriff vorbereiten zu können. Diese Übergangsfrist ist am 31. Dezember 2001 abgelaufen.

Die Unternehmen müssten inzwischen ihre Systeme dahingehend geändert haben, dass Zugriffsbefugnisse bzw. ­abschottungen für die personenbezogenen Daten geschaffen worden sind, die nicht zu dem betriebsprüfungsrelevanten Datenbestand zählen. Das Problem des unbefugten Zugriffes betrifft zum einen personenbezogene Arbeitnehmerdaten, zum anderen aber auch Daten von Steuerpflichtigen, die einem besonderen Berufsgeheimnis unterliegen wie Ärzte und Rechtsanwälte.

Auch diese Daten, soweit sie dem Betriebsprüfer im Rahmen einer Prüfung bekannt würden, unterliegen dem Schutz der strafbewehrten Vorschrift des § 30 AO

- Steuergeheimnis -. Fragebogen zur Religionszugehörigkeit

Immer wieder erhalten wir Eingaben von Petenten, die sich über Fragebögen beschweren, in denen sie gegenüber den Kirchensteuerstellen Angaben über ihre Religionszugehörigkeit machen sollen. Besonders wenig Verständnis zeigen die Bürger, die bereits ­ zum Teil wiederholt ­ diesen Bogen ausgefüllt haben oder noch nie Mitglied einer öffentlich-rechtlichen Religionsgemeinschaft waren und somit keinen Nachweis über einen eventuellen Austritt erbringen können.

In der Regel geben wir diese Eingaben an die Datenschutzbeauftragten der Evangelischen Kirche Berlin-Brandenburg bzw. des Erzbistums Berlin ab. Die Kirchensteuerstellen sind zwar räumlich an die Finanzämter angegliedert, gehören rechtlich und organisatorisch aber zu den Kirchen. Sie unterliegen somit nicht der Kontrolle des Berliner Beauftragten für Datenschutz und Informationsfreiheit. Aufgrund des verfassungsrechtlich garantierten Selbstbestimmungsrechts der Kirchen gilt für sie nicht das Berliner Datenschutzgesetz, sondern vielmehr eigenes kirchliches Recht.

Um zur Information und Aufklärung der Bürger beizutragen, haben wir uns von den Datenschutzbeauftragten des Erzbistums Berlin und der Evangelischen Kirche in Berlin-Brandenburg die Schwierigkeiten, die für die Kirchen bei der Feststellung der Kirchenzugehörigkeit von Steuerpflichtigen bestehen und die zur Versendung der Fragebögen führen, erläutern lassen.

Die Kirchensteuerstellen wirken bei der Verwaltung der Kirchensteuern mit und unterstützen die Finanzämter dabei. Zu ihren Aufgaben gehört insbesondere die Feststellung der subjektiven Kirchensteuerpflicht. katholischen Kirche feststellen lassen. Eine weitergehende Prüfung der Religionszugehörigkeit erfolge nach Information des Datenschutzbeauftragten des Erzbistums Berlin nur in den Fällen, in denen Abweichungen zwischen vorliegender Grundinformation, Lohnsteuerkarte oder Angaben in der Steuererklärung auftreten. Der Fragebogen werde nur versandt, wenn die Zugehörigkeit zu einer Kirche nicht bereits eindeutig geklärt werden konnte. Hierbei ist problematisch, dass den Kirchensteuerstellen auch bei an sich eindeutigen Fällen die notwendigen Informationen nicht zur Verfügung stehen. Dies liegt zum Teil in dem fehlenden Abgleich zwischen kirchlichen Stellen und den Finanzämtern begründet (z. B. gibt ein Steuerpflichtiger nach einem Umzug gegenüber dem Landeseinwohneramt seine Kirchenzugehörigkeit nicht an, obwohl er tatsächlich nicht aus der Kirche ausgetreten ist), zum Teil in dem innerkirchlichen Organisationsaufbau. So würden die Daten über Kirchenmitglieder in der Gemeinde der Taufe geführt, nicht in der des Wohnsitzes.

Aufgrund dieser Schwierigkeiten ließen sich auch ungewollte Mehrfachversendungen der Fragebögen nicht immer vermeiden. Eine andere Möglichkeit, die benötigten Angaben zu erhalten, stehe den jeweiligen Kirchensteuerstellen nicht zur Verfügung.

Zugriffsregelungen beim DCL-Verfahren Steuerbürger stellen immer wieder erstaunt fest, dass innerhalb der Steuerverwaltung Informationsflüsse zwischen den verschiedenen Finanzämtern bestehen, die etwa dazu führen, dass Guthaben in der einen Steuerart mit Rückständen in anderen Steuerarten verrechnet werden. Wir haben die finanzamtsübergreifenden Zugriffsmöglichkeiten, die dazu bestehenden Regelungen und die technischen und organisatorischen Maßnahmen zur Benutzer-authentifizierung, zur Vergabe von Zugriffsberechtigungen, zur Protokollierung von Datenabfragen und zur Datenübertragung über das OFD-Netz kontrolliert.

Sowohl der Datenaustausch zwischen Steuerkonten desselben Steuerbürgers als auch das Verfahren der Aufrechnung sind gesetzlich begründet und rechtlich nicht zu beanstanden. Die dargestellte Praxis entspricht auch den Bedürfnissen der Bürger und der Verwaltung.

Wir haben dabei folgende Feststellungen getroffen:

Die Benutzerauthentifizierung enthielt leichte Schwachstellen, die das Risiko erhöhen, dass sich Benutzer unter fremder Identität am System anmelden und somit die Sicherheit hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Revisionsfähigkeit der Datenverarbeitung beeinträchtigen.

Die minimale Passwortlänge betrug sieben Stellen, von denen jedoch zwei durch die Finanzamtsnummer des Benutzers belegt sind und somit nicht zum geheimen Teil des Passworts gehören. Damit hat der geheime Teil des Passworts nur noch eine Länge von mindestens fünf Stellen, was nicht als ausreichend angesehen werden kann, zumal die Passwörter systembedingt nur aus einem eingeschränkten Zeichenvorrat erstellt sein dürfen. Wir haben empfohlen, die Mindestpasswortlänge auf acht Stellen zu erhöhen, wenn auf die VorgaDer Empfehlung wird gefolgt; die minimale Passwortlänge wird auf acht Stellen erhöht.

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats be für die Belegung von zwei Stellen des Passworts mit der Nummer des Finanzamts nicht verzichtet werden kann.

Es wird zwar nach 100 Tagen ein Wechsel des Passworts durch das System erzwungen und geprüft, ob das neue Passwort nicht mit dem abgelaufenen übereinstimmt. Damit wäre demzufolge lediglich ein regelmäßiger Wechsel zwischen zwei Passwörtern zu realisieren. Wir haben empfohlen, eine im Rahmen eines Versionswechsels bereitgestellte neue Funktionalität des Systems zu nutzen und eine Wiederverwendung bereits benutzter Passworte erst beim fünften Wechsel zu gestatten.

Der Empfehlung wird gefolgt; eine Wiederverwendung bereits benutzter Passworte wird künftig erst beim sechsten Wechsel möglich sein.

Wenn ein Benutzer sein Passwort ändern will, z. B. weil er glaubt, dass es Dritten bekannt geworden ist, hat er ein neues Passwort zu beantragen. Von der zuständigen Stelle wird daraufhin ein Einstiegspasswort vergeben, das nur für die sofortige Änderung verwendet werden darf. Dies ist zwar bei der Neueinrichtung von Benutzern und beim Vergessen von Passwörtern die übliche Verfahrensweise, jedoch entspricht eine solche Antragsprozedur nicht dem Stand der Technik, wenn das alte Passwort noch bekannt ist. Wir haben empfohlen zu prüfen, ob es die neue Systemversion ermöglicht, dass der Benutzer von sich aus das Passwort wechseln kann, wenn es ihm notwendig erscheint, denn bei allzu aufwendigem Verfahren besteht die Gefahr, dass auf eine notwendige Änderung des Passworts verzichtet wird. Anderenfalls wäre die Schaffung einer entsprechenden Routine in Eigenprogrammierung angezeigt.

Der Empfehlung wird gefolgt; bei bekanntem alten Passwort kann der Passwortwechsel nunmehr durch den Benutzer vorgenommen werden.

Auf eine regelmäßige Auswertung der Protokolle der Systemanmeldungen wird verzichtet, so dass die Hintergründe fehlerhafter Anmeldungen nicht geprüft werden. Damit besteht das Risiko, dass ein Benutzer, der sich unter einer fremden Benutzerkennung Zugang zum System verschaffen will, unentdeckt bleibt, wenn er seine Anmeldeversuche jeweils nach dem zweiten Versuch einstellt und diese erst dann fortsetzt, wenn er sicher sein kann, dass sich der rechtmäßige Benutzer zwischenzeitlich erfolgreich angemeldet hat. Unterstützt wird ein solches Vorgehen zudem dadurch, dass dem rechtmäßigen Benutzer nach erfolgreicher Anmeldung weder der Zeitpunkt der letzten ordnungsgemäßen Anmeldung noch eines fehlgeschlagenen Versuchs angezeigt wird. Wir haben empfohlen, die Anmeldeprotokolle einer kritischen Auswertung zu unterziehen und die systemseitig mögliche Anzeige der letzten erfolgreichen Anmeldung bzw. eines abgewiesenen Anmeldeversuchs zu aktivieren.

Der Empfehlung wird gefolgt; jeder unzulässige Anmeldeversuch wird protokolliert. Die Protokollierung wird in noch festzulegendem Umfang ausgewertet. Der rechtmäßige Benutzer erhält im Rahmen einer geänderten Anmeldeprozedur Meldung über den Zeitpunkt der letzten korrekten Anmeldung am System sowie über unzulässige Anmeldeversuche während des Zeitraums seit seiner letzten korrekten Anmeldung.

Die Zugriffsberechtigungen werden nach einem mehrstufigen Zuordnungssystem hinsichtlich der Endgeräte, Applikationen und Daten vergeben. Soweit dies von uns beurteilt werden kann, orientiert sich die Vergabe der Zugriffsrechte an den entsprechenden gesetzlichen Grundlagen und den tatsächlichen fachlichen Erfordernissen.