A. Zielsetzung
- Schutz des Steuergeheimnisses ( § 30 Abgabenordnung) durch technische und organisatorische Maßnahmen gegen einen unbefugten Abruf von Daten im automatisierten Verfahren.
B. Lösung
- Erlass einer Verordnung über den automatisierten Abruf von Steuerdaten (Steuerdaten-Abrufverordnung - StDAV).
C. Alternativen
D. Kosten
- Die Verordnung ist aufkommensneutral.
- Die StDAV hat auf das Steueraufkommen und auf das Preisniveau keine Auswirkungen. Bei Bund und Ländern entstehen keine Mehrkosten gegenüber den Erfordernissen der Umsetzung der bereits bestehenden Steuerdaten-Abrufverwaltungsregelung. Bei den Gemeinden entstehen Kosten, soweit die vorhandenen Datenschutzvorkehrungen erweitert oder geändert werden müssen. Wegen der unterschiedlichen technischen und organisatorischen Gegebenheiten lässt sich die Höhe der Kosten nicht näher bestimmen. Die gewählte Übergangsfrist von 3 Jahren trägt zu einer verträglichen Kostenverteilung bei.
Verordnung des Bundesministeriums der Finanzen
Verordnung über den automatisierten Abruf von Steuerdaten (Steuerdaten-Abrufverordnung - StDAV)
Der Chef des Bundeskanzleramtes Berlin, den 27. Mai 2005
An den
Präsidenten des Bundesrates
Herrn Ministerpräsidenten
Matthias Platzeck
Sehr geehrter Herr Präsident, hiermit übersende ich die vom Bundesministerium der Finanzen zu erlassende
- Verordnung über den automatisierten Abruf von Steuerdaten (Steuerdaten-Abrufverordnung - StDAV) mit Begründung und Vorblatt.
Ich bitte, die Zustimmung des Bundesrates aufgrund des Artikels 80 Absatz 2 des Grundgesetzes herbeizuführen.
Mit freundlichen Grüßen
Dr. Frank-Walter Steinmeier
Verordnung über den automatisierten Abruf von Steuerdaten (Steuerdaten-Abrufverordnung - StDAV)
Auf Grund des § 30 Abs. 6 Satz 2 und 3 der Abgabenordnung in der Fassung der Bekanntmachung vom 1. Oktober 2002 (BGBl. I S. 3866, 2003 I S.K61) verordnet das Bundesministerium der Finanzen:
§ 1 Anwendungsbereich
Diese Verordnung regelt den automatisierten Abruf von Daten (Abrufverfahren), die dem Steuergeheimnis unterliegen und für eines der in § 30 Abs. 2 Nr. 1 der Abgabenordnung genannten Verfahren gespeichert sind. Sie regelt nicht Abrufverfahren, die Verbrauchsteuern und Verbrauchsteuervergütungen oder Ein- und Ausfuhrabgaben im Sinne des Artikels 4 Nr. 10 und 11 des Zollkodexes*) betreffen.
Verordnung (EWG) Nr. 2913/92 des Rates vom 12. Oktober 1992 zur Festlegung des Zollkodexes der Gemeinschaften (ABI. (EG) Nr. L 302 S. 1, 1993 Nr. L 79 S. 84, 1996 Nr. L 97 S. 38), zuletzt geändert durch die Akte über die Bedingungen des Beitritts der Tschechischen Republik, der Republik Estland, der Republik Zypern, der Republik Lettland, der Republik Litauen, der Republik Ungarn, der Republik Malta, der Republik Polen, der Republik Slowenien und der Slowakischen Republik und die Anpassungen der die Europäische Union betreffenden Verträge vom 23. September 2003 (ABI. EU (Nr. ) L 236 S. 762), in der jeweils geltenden Fassung.
§ 2 Maßnahmen zur Wahrung des Steuergeheimnisses
(1) Es sind angemessene organisatorische und dem jeweiligen Stand der Technik entsprechende technische Vorkehrungen zur Wahrung des Steuergeheimnisses zu treffen. Hierzu zählen insbesondere Maßnahmen, die sicherstellen, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen die in § 1 Satz 1 bezeichneten Daten abgerufen werden können, verwehrt wird (Zutrittskontrolle),
2. Datenverarbeitungssysteme nicht unbefugt zum Abruf genutzt werden können (Zugangskontrolle),
3. die zur Benutzung eines Datenverarbeitungssystems zum Datenabruf Befugten ausschließlich auf die ihrer Zugriffsbefugnis unterliegenden Daten zugreifen können und dass die Daten während des Abrufs nicht unbefugt gelesen oder kopiert werden können (Zugriffskontrolle),
4. überprüft und festgestellt werden kann, wer personenbezogene Daten abrufen darf oder abgerufen hat (Weitergabekontrolle).
(2) Abrufverfahren zur Übermittlung von Daten an Empfänger außerhalb der für die Speicherung verantwortlichen Stelle sollen nur eingerichtet werden, wenn es wegen der Vielzahl der Übermittlungen oder wegen ihrer besonderen Eilbedürftigkeit unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen angemessen ist.
§ 3 Erteilung der Abrufbefugnis
Die Erteilung einer Abrufbefugnis kommt in Betracht bei
- 1. Amtsträgern (§ 7 der Abgabenordnung) oder gleichgestellten Personen (§ 30 Abs. 3 der Abgabenordnung), die in einem Verwaltungsverfahren, einem Rechnungsprüfungsverfahren oder gerichtlichen Verfahren in Steuersachen, in einem Strafverfahren wegen einer Steuerstraftat oder einem Bußgeldverfahren wegen einer Steuerordnungswidrigkeit tätig sind,
- 2. Amtsträgern oder gleichgestellten Personen, soweit die Abrufbefugnis zur Wahrnehmung der Dienst- und Fachaufsicht erforderlich ist,
- 3. Amtsträgern oder gleichgestellten Personen, soweit die Abrufbefugnis zur zulässigen Weitergabe von Daten nach § 30 Abs. 4 und 5 der Abgabenordnung erforderlich ist,
- 4. Amtsträgern oder gleichgestellten Personen, die mit der Entwicklung oder Betreuung automatisierter Verfahren oder der dabei eingesetzten technischen Einrichtungen befasst sind, in denen die in § 1 bezeichneten Daten verarbeitet werden, wenn der Abruf allein der Beseitigung von Fehlern oder der Kontrolle der ordnungsgemäßen Arbeitsweise der Verfahren oder der technischen Einrichtungen dient und dies nicht mit vertretbarem Aufwand durch Zugriff auf anonymisierte oder pseudonymisierte Daten erreicht werden kann,
- 5. Amtsträgern der Zollverwaltung oder gleichgestellten Personen, soweit die Abrufbefugnis für die Festsetzung oder Erhebung der Einfuhrumsatzsteuer erforderlich ist und die Daten beim Bundesamt für Finanzen gespeichert sind,
- 6. Amtsträgern der Gemeinden, soweit sie in einem Realsteuerverfahren in Ausübung der nach § 21 des Finanzverwaltungsgesetzes den Gemeinden zustehenden Rechte tätig sind.
§ 4 Umfang der Abrufbefugnis
(1) Die Abrufbefugnis ist auf die Daten oder die Arten von Daten zu beschränken, die zur Erledigung der jeweiligen Aufgabe erforderlich sind. Hiervon darf nur abgesehen werden, wenn der Aufwand für eine Beschränkung auf bestimmte Daten oder Arten von Daten unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen außer Verhältnis zu dem angestrebten Zweck steht.
(2) Die Abrufbefugnis ist zu befristen, wenn der Verwendungszweck zeitlich begrenzt ist. Sie ist unverzüglich zu widerrufen, wenn der Anlass für ihre Erteilung weggefallen ist.
§ 5 Prüfung der Abrufbefugnis
(1) Die Abrufbefugnis ist automatisiert zu prüfen
1. bei jedem Aufbau einer Verbindung anhand eines Identifizierungsschlüssels (Benutzerkennung) und eines geheim zu haltenden Passwortes oder sonst zum hinreichend sicheren Nachweis von Benutzeridentität und Authentizität geeigneter Verfahren,
2. bei jedem Abruf anhand eines Verzeichnisses über den Umfang der dem Abrufenden eingeräumten Abrufbefugnis. Benutzerkennungen und Passwörter sind nach höchstens fünf aufeinander folgenden Fehlversuchen zum Aufbau einer Verbindung zu sperren.
(2) Die Passwörter nach Absatz 1 Satz 1 Nr. 1 sind spätestens nach 90 Tagen, bei Kenntnisnahme durch andere Personen unverzüglich, zu ändern.
(3) Werden zur Authentifizierung automatisiert lesbare Ausweiskarten verwendet, so sind deren Bestand, Ausgabe und Einzug nachzuweisen und zu überwachen. Abhanden gekommene Ausweiskarten sind zu sperren. Der Inhaber darf die Ausweiskarte nicht weitergeben. Er hat sie unter Verschluss aufzubewahren, wenn er sie nicht zum Datenabruf verwendet.
§ 6 Aufzeichnung der Abrufe
(1) Abrufe und Abrufversuche sind zur Prüfung der Zulässigkeit der Abrufe automatisiert aufzuzeichnen. Die Aufzeichnungen umfassen mindestens die Benutzerkennung, das Datum, die Uhrzeit sowie die sonstigen zur Prüfung der Zulässigkeit der Abrufe erforderlichen Daten.
(2) Die Aufzeichnungspflicht entfällt, soweit die Abrufbefugnis durch technische Maßnahmen auf die Daten oder Arten von Daten beschränkt worden ist, die zur Erledigung der jeweiligen Aufgabe erforderlich sind. Unbeschadet des Satzes 1 können Aufzeichnungen anlassbezogen durchgeführt werden.
(3) Die Aufzeichnungen dürfen nur zur Prüfung der Zulässigkeit der Abrufe verwendet werden.
(4) Die Aufzeichnungen sind zwei Jahre aufzubewahren und danach unverzüglich zu löschen.
§ 7 Prüfung der Zulässigkeit der Abrufe
Anhand der Aufzeichnungen ist zeitnah und in angemessenem Umfang zu prüfen, ob der Abruf nach § 30 Abs. 6 Satz 1 der Abgabenordnung und nach dieser Verordnung zulässig war. Unbeschadet des Satzes 1 können aufgezeichnete Abrufe anlassbezogen geprüft werden.
§ 8 Ergänzende Regelungen und Verfahrensdokumentation
Bei Einrichtung eines Abrufverfahrens sind von den beteiligten Stellen zu regeln und in einer für sachverständige Dritte verständlichen Weise zu dokumentieren
- 1. Anlass, Zweck und beteiligte Stellen des Abrufverfahrens,
- 2. die notwendigen technischen Voraussetzungen und die verwendeten Programme,
- 3. die zum Abruf bereitgehaltenen Daten,
- 4. auf welche Weise und zu welchem Zeitpunkt die verantwortlichen Stellen über die Abrufbefugnis anderer Behörden zu unterrichten sind,
- 5. die Gruppen der zum Abruf berechtigten Personen (§ 3) und der Umfang der Abrufbefugnisse (§ 4),
- 6. die protokollierende Stelle,
- 7. die zur Identifizierung, Authentisierung und Verschlüsselung verwendeten Verfahren,
- 8. die für die Vergabe und Verwaltung von Benutzerkennungen, Passwörtern und Ausweiskarten sowie die für die Prüfung der aufgezeichneten Abrufe und Stichproben zuständigen Stellen,
- 9. Art und Umfang der Maßnahmen zur nachträglichen Überprüfung eingeräumter Abrufbefugnisse sowie die Frist zur Aufbewahrung der revisionsfähigen Unterlagen,
- 10. die Einzelheiten des Prüfungsverfahrens nach § 7,
- 11. das Verfahren zur Erprobung und zur Qualitätssicherung der Programme vor dem Einsatz,
- 12. die Fristen, nach deren Ablauf Daten zum Abruf durch Abrufberechtigte außerhalb der für die Speicherung verantwortlichen Stelle nicht mehr für einen Datenabruf bereitgehalten werden dürfen,
- 13. die sonstigen zur Wahrung der schutzwürdigen Belange der Betroffenen sowie zur Gewährleistung von Datenschutz und Datensicherheit getroffenen technischen und organisatorischen Maßnahmen.
Die Verfahrensdokumentation ist fortlaufend zu aktualisieren. Sie ist mindestens zwei Jahre über das Ende des Verfahrenseinsatzes hinaus aufzubewahren.
§ 9 Abrufe durch den Steuerpflichtigen
Für Verfahren, die dem Steuerpflichtigen (§ 33 der Abgabenordnung) den Abruf von zu seiner Person gespeicherten Daten ermöglichen, gelten die §§ 1 bis 8 entsprechend. Satz 1 ist auch anzuwenden, wenn anstelle des Steuerpflichtigen seinem gesetzlichen Vertreter, Vermögensverwalter, Verfügungsberechtigten, Bevollmächtigten oder Beistand eine Abrufberechtigung erteilt wird.
§ 10 Übergangsvorschrift
Bestehende Abrufverfahren sind spätestens bis zum Einsetzen: letzter Tag des sechsunddreißigsten auf die Verkündung der Verordnung folgenden Monats so zu gestalten, dass sie den vorstehenden Regelungen entsprechen.
§ 11 Inkrafttreten
Diese Verordnung tritt am Tag nach der Verkündung in Kraft. Der Bundesrat hat zugestimmt.
Begründung
I.Allgemeines
Durch Artikel I Nr. 3 des Steuerbereinigungsgesetzes 1986 (BGBl. 11985, S. 2436) ist der Schutzbereich des Steuergeheimnisses in § 30 der Abgabenordnung (allgemei/steuerao_ges.htm ) erweitert worden. Vorher verbot es das Steuergeheimnis allein, die in § 30 Abs: 2 Nr. 1 und 2 der AO bezeichneten Informationen Dritten gegenüber unbefugt zu offenbaren oder sie unbefugt zu verwerten. Nunmehr besteht nach § 30 Abs. 2 Nr. 3 AO auch ein Schutz gegen den unbefugten Abruf von Daten im automatisierten Verfahren, wenn sie für ein in § 30 Abs. 2 Nr. 1 AO genanntes Verfahren in einer Datei gespeichert sind.
Zugleich ermächtigt § 30 Abs. 6 Satz 2 bis 4 AO das Bundesministerium der Finanzen, mit Zustimmung des Bundesrates durch Rechtsverordnung zu bestimmen, welche technischen und organisatorischen Maßnahmen gegen den unbefugten Abruf von Daten zu treffen sind. Insbesondere können nähere Regelungen getroffen werden über die Art der Daten, deren Abruf zulässig sein soll, sowie über den Kreis der Amtsträger, die zum Abruf berechtigt werden sollen.
Dies soll durch die Steuerdaten-Abrufverordnung (StDAV) geschehen. Hinsichtlich des Bundesamtes für Finanzen und der Finanzämter ersetzt sie die Steuerdaten-Abrufverwaltungsregelung vom 7. März 2001 (BStB1. I S. 202).
Abrufe von Daten der Zollbehörden, die dem Steuergeheimnis unterliegen, sollen gesondert geregelt werden.
Die StDAV hat auf das Steueraufkommen und das Preisniveau keine Auswirkungen. Bei Bund und Ländern entstehen keine Mehrkosten gegenüber den Erfordernissen der Umsetzung der Steuerdaten-Abrufverwaltungsregelung. Bei den Gemeinden entstehen Kosten, soweit die vorhandenen Datenschutzvorkehrungen erweitert oder geändert werden müssen. Wegen der unterschiedlichen technischen und organisatorischen Gegebenheiten lässt sich die Höhe dieser Kosten nicht näher bestimmen. Die gewählte Übergangsfrist von drei Jahren trägt zu einer verträglichen Kostenverteilung bei.
II. Zu den einzelnen Vorschriften
1. Zu § 1 (Anwendungsbereich)
1.1 Die Vorschrift bestimmt den Anwendungsbereich der Rechtsverordnung. Die StDAV gilt fir "den automatisierten Abruf von Daten (Abrufverfahren)". Gemeint sind Verfahren und Methoden, durch welche gespeicherte Daten von einer Datenverarbeitungsanlage aus durch den Benutzer abgerufen werden können. Der Datenabruf umfasst dabei die Einsicht in die Daten, deren Ausdruck oder deren Übertragung auf einen anderen Datenträger, und zwar auch die Online-Abfrage. Im Unterschied zu den allgemeinen Datenschutzgesetzen, die den Abruf als eine Form der Übermittlung von Daten an Dritte definieren (siehe z.B. § 3 Abs. 4 Nr. 3 BDSG), ist nach der AO jeder automatisierte Zugriff, auch soweit er durch die verantwortliche Stelle oder durch den Betroffenen erfolgt, ein Abruf.
Der Schutzbereich des § 30 AO wird auf die der eigentlichen Nutzung von Daten vorhergehende Informationsbeschaffung im Rahmen eines automatisierten Verfahrens vorverlagert. Lediglich für die Zulässigkeit eines Abrufs im oben genannten Sinn kommt es auf die weitere Verwendung der Daten an.
Die Verordnung regelt nicht den Abgleich von Daten.
Bei Verfahren, die zusätzlich ein Zurückspeichern geänderter Daten ermöglichen, wie z.B. die Dialogverfahren zur Steuerveranlagung, sind neben den Bestimmungen der StDAV insbesondere die Regelungen der Buchungsordnung für die Finanzämter (BuchO) anzuwenden.
Unbeachtlich ist, ob die Daten von der verantwortlichen Stelle, einer anderen Stelle für die verantwortliche Stelle im Wege einer zivilrechtlichen oder hoheitlichen Auftragsdatenverarbeitung oder von einer Stelle gespeichert werden, die diese Daten im Wege einer zulässigen Offenbarung gem. § 30 Abs. 4 und 5 AO erhalten hat und zum Abruf bereithält. Auf den Speicherort kommt es nicht an.
1.2 Die StDAV ist anzuwenden, wenn die abzurufenden Daten dem Steuergeheimnis unterliegen und für ein Verfahren nach § 30 Abs. 2 Nr. 1 AO gespeichert worden sind. Erfasst werden personenbezogene Daten über natürliche und juristische Personen.
Für einen Abruf von Daten, die nicht dem Steuergeheimnis unterliegen (wie z.B. die im Rahmen der Personalverwaltung gespeicherten Daten),*gelten ausschließlich die Vorschriften der allgemeinen Datenschutzgesetze und spezialgesetzliche Regelungen (z.B. das Dienstrecht).
Die StDAV enthält grundlegende Regelungen zur Einrichtung und Durchführung von Abrufverfahren. Detaillierte Regelungen zur Umsetzung des § 2 können länder- oder organisationsspezifische Sicherheitshandbücher, Sicherheitskonzepte und Leitfäden enthalten.
Unerheblich ist, ob die Vorschriften über das Steuergeheimnis unmittelbar oder entsprechend anzuwenden sind. Deshalb gilt die StDAV auch für Abrufe von Daten über die von den Finanzämtern verwalteten Prämien und Zulagen, für welche das zugrunde liegende Gesetz die entsprechende Anwendung der Vorschriften der Abgabenordnung einschließlich der Vorschriften über das Steuergeheimnis anordnet (z.B. § 8 Abs. 1 Wohnungsbau-Prämiengesetz 1996, § 6 Abs. 1 Investitionszulagengesetz 1999).
1.3 Bei Gemeinden gilt die StDAV nicht nur im Realsteuerverfahren, sondern auch für alle anderen Daten, die dem Steuergeheimnis unterliegen und für ein Verfahren nach § 30 Abs. 2 Nr. 1 AO gespeichert worden sind (z.B. § 39 Abs. 6 EStG).
2. Zu § 2 (Maßnahmen zur Wahrung des Steuergeheimnisses)
2.1 In § 2 werden allgemeine technische und organisatorische Maßnahmen zur Wahrung des Steuergeheimnisses genannt.
2.2 Die Maßnahmen bestimmen sich nach dem jeweiligen Stand der Technik. Es ist sicherzustellen, dass sie auch entsprechend fortentwickelt werden. Die jeweils geltenden Standards des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) sind zu beachten (z.B. Festlegungen zum Passwort). Diese Maßnahmen sind in der Verfahrensdokumentation nach § 8 darzustellen. Festlegungen von genau spezifizierten Systemdaten können in die Verordnung nicht aufgenommen werden. Dies würde möglicherweise kurzfristige und häufige Anpassungen der Verordnung an zukünftige Entwicklungen erfordern. Auch aufgrund der unterschiedlichen Ausstattung in den Finanzverwaltungen des Bundes und der Länder und in den Gemeinden können keine konkreten technischen Einzelmaßnahmen festgeschrieben werden. Vielmehr wird für jedes Verfahren eine Prüfung der zu treffenden Schutzmaßnahmen anhand des konkreten Einzelfalls vorgeschrieben. Bei der Nutzung öffentlicher Netze kann die Vertraulichkeit der Datenübertragung nur durch den Einsatz von Verschlüsselungsverfahren sichergestellt werden.
3. Zu § 3 (Erteilung der Abrufbefugnis)
3.1 Die Möglichkeit zur Befugniserteilung nach dieser Vorschrift begründet keinen Anspruch auf und keine Verpflichtung zur Einrichtung eines automatisierten Abrufverfahrens.
§ 3 regelt abschließend, welche Personengruppen zu welchem Zweck zum Abruf von Daten ermächtigt werden können. Die Reihenfolge der Gruppen verdeutlicht die zunehmende organisatorische Distanz zu der Stelle, die die Daten zum Abruf bereithält. Je größer die Distanz, desto sorgfältiger ist die Zulässigkeit der Abrufe nach § 7 zu prüfen.
3.2 Die Gruppen im Einzelnen:
- - § 3 Nr. 1 enthält Personen, die aufgrund originärer Zuständigkeit, z.B. als Angehörige eines Veranlagungsteilbezirks, tätig werden. In diesem Sinne wird jede Person tätig, soweit sie Fälle, für die sie nach dem Geschäftsverteilungsplan zuständig ist, generell und allumfassend bearbeitet. Darunter fallen z.B. Abrufe aus dem Veranlagungsbereich eines Finanzamts zu den Grundinformations-, Festsetzungs- und Erhebungsdaten oder Abrufe der Finanzkasse zur Erledigung originärer Erhebungsaufgaben. Diesen Personen sind die Daten ohnehin zugänglich (z.B. aus den Steuererklärungen und -akten).
Umfasst wird auch die Tätigkeit im Rahmen einer gemäß § 17 Abs. 2 Satz 3 des Finanzverwaltungsgesetzes (FVG) übertragenen Zuständigkeit, soweit im Rahmen dieser Zuständigkeit ebenfalls Fälle im o.g. Umfang bearbeitet werden, z.B. Angehörige einer zentralen Körperschaftsteuerstelle.
Ebenfalls erfasst werden Personen, die eine sächlich oder zeitlich begrenzte Zuständigkeit erhalten haben, beispielsweise Außenprüfer bder Angehörige einer Rechtsbehelfsstelle. Sie greifen i.d.R. auf Daten zu, deren Verarbeitung in den unmittelbaren Zuständigkeitsbereich einer anderen als ihrer Organisationseinheit fällt. Auch diese Regelung umfasst nach § 17 Abs. 2 Satz 3 FVG an zentrale Stellen übertragene Tätigkeiten, etwa die zentraler Buß- und Strafsachenstellen oder zentraler Außenprüfungsdienste.
Enthalten sind ferner Angehörige von Stellen, die mit der Rechnungsprüfung beauftragt sind.
Im Rahmen des Prüfungsgegenstandes und unter Berücksichtigung des § 3 bestimmt die Rechnungsprüfungsbehörde in einem konkreten Prüfungsauftrag den Umfang und die zeitliche Beschränkung der Abrufbefugnisse. Sie teilt dies der für die Erteilung der Abrufbefugnis zuständigen Stelle mit, die dann - auf der Grundlage der vorhandenen technischen Gegebenheiten - die erforderlichen Maßnahmen zu treffen hat, um diesen Abruf zu ermöglichen. § 95 Bundeshaushaltsordnung/Landeshaushaltsordnung (Auskunftspflicht) bleibt durch diese Regelung unberührt.
- - § 3 Nr. 2 enthält Personen, denen für Zwecke der Dienst- und Fachaufsicht eine Befugnis zum Datenabruf erteilt werden kann.
- - Nach § 3 Nr. 3 dürfen Angehörige der Finanzverwaltung zum Abruf berechtigt werden, wenn die Daten nach § 30 Abs. 4 und 5 AO Dritten offenbart werden sollen.
- - § 3 Nr. 4 umfasst mit der Entwicklung und Betreuung automatisierter Verfahren betraute Personen.
- - § 3 Nr. 5 regelt die Befugniserteilung zur Recherche in den zentralen Datenbeständen des Bundesamtes für Finanzen für Angehörige der Zollbehörden.
- - § 3 Nr. 6 regelt Zugriffe der Gemeinden, soweit die Realsteuern von den Landesfinanzbehörden verwaltet werden (§ 21 Abs. 3 FVG). Im Übrigen unterfallen sie der Nr. 1.
4. Zu § 4 (Umfang der Abrufbefugnis)
Der zur Aufgabenerledigung erforderliche Umfang der Abrufbefugnis ist aus fachlicher und organisatorischer Sicht unter Berücksichtigung des Steuergeheimnisses festzulegen. Bei der Erteilung einer Abrufbefugnis ist entsprechend dem Grundsatz der Verhältnismäßigkeit zu prüfen, ob sie befristet und auf die zur Aufgabenerledigung erforderlichen Daten oder Arten von Daten beschränkt werden kann. So ist z.B. bei Betriebsprüfern grundsätzlich eine Abrufbefugnis nur für die Dauer der Vorbereitung und Durchführung der Prüfung im Einzelfall und bei Abrufberechtigten einer Mittel- oder Oberbehörde diese nur für die Dauer der Vorbereitung und Durchführung der Geschäftsprüfung eines Finanzamts zu erteilen.
Ist ein Abrufverfahren so gestaltet, dass zentral gespeicherte Daten mit dem Ziel herunter geladen werden, sie auf einer lokalen oder mobilen Datenverarbeitungsanlage (z.B. Arbeitsplatzrechner / Notebook) für die weitere Verwendung durch Abrufberechtigte verfügbar zu machen, ist sicherzustellen, dass die herunter geladenen Daten nach Ablauf einer vorbestimmten Frist gelöscht werden. Auch für diese Datenverarbeitungsanlage sind die erforderlichen Vorkehrungen zur Sicherstellung des Zugangs- und Zugriffsschutzes nach § 2 Nr. 2 und 3 zu treffen (z.B. Benutzerkennung, Passwort und Festplattenverschlüsselung).
Die Erteilung von Abrufbefugnissen an Amtsträger der Rechnungsprüfungsbehörden, Rechnungshöfe und Vorprüfungsstellen ist abhängig vom jeweiligen Prüfungsgegenstand. Nur soweit dieser zuvor durch einen entsprechenden Auftrag der Rechnungsprüfungsbehörde bestimmt ist und nur für die Dauer der jeweiligen Prüfung darf eine Abrufbefugnis erteilt werden.
Der Aufwand für eine Beschränkung auf bestimmte Daten oder Arten von Daten muss vertretbar sein. Die Verhältnismäßigkeit ist unter Berücksichtigung der Sensibilität der Daten, der Dringlichkeit, der zurechenbaren Kosten (Personal- und Sachaufwand), des eventuellen Schadensumfangs, der Eintrittswahrscheinlichkeit eines Schadens und der Attraktivität der Daten für Unbefugte zu beurteilen.
5. Zu § 5 (Prüfung der Abrufbefugnis)
5.1 § 5 beschreibt im Einzelnen die Art der technischen und organisatorischen Mindestmaßnahmen, die einen befugten Datenabruf sicherstellen.
Mit welchen Verfahren die Identifizierung und Authentisierung sichergestellt werden, kann wegen der Abhängigkeit der Verfahren von technischen Voraussetzungen und dem jeweiligen Sicherheitsbedürfnis nicht von der StDAV allgemein verbindlich geregelt werden. Geeignete Maßnahmen sind jeweils im Einzelfall zu bestimmen (§ 8).
Für die Identifizierung und Authentisierung stehen derzeit eine Vielzahl von Möglichkeiten, u.a. die elektronische Signatur, zur Verfügung. Deren Sinn und Zweck besteht aber vor allem darin, rechtsverbindliche Willenserklärungen elektronisch zu übermitteln. Für Datenabrufverfahren geeignete Authentisierungsmaßnahmen sind derzeit u.a. PAP (Password Authentication Protocol) und CHAP (Challenge Handshake Authentication Protocol).
5.2 Vorgesehen ist die automatisierte Prüfung der Abrufbefugnis. Diese bezieht sich sowohl auf den Aufbau der Datenverbindung (§ 5 Abs. 1 Nr. 1), als auch auf den Umfang des Abrufrechts (§ 5 Abs. 1 Nr. 2). Unberechtigte und fehlerhafte Abrufversuche (sog. Fehlversuche) werden aufgezeichnet, gegebenenfalls abgebrochen und die Datenverbindung gesperrt. Die nach § 5 Abs. 1 Satz 3 zulässige Zahl von fünf Fehlversuchen ist wegen besonderer Verfahren erforderlich, die aus technischen Gründen oder wegen eines unverhältnismäßig großen Aufwandes eine geringere Anzahl von Fehlversuchen nicht ermöglichen.
5.3 Die Beschreibung technischer Verfahren zur Identifizierung und Authentisierung ist nicht Gegenstand dieser Verordnung. Allerdings sind Standards einzuhalten, die mindestens den Empfehlungen des BSI entsprechen.
6. Zu § 6 (Aufzeichnung der Abrufe)
6.1 Zur inhaltlichen Prüfung der Abrufe aufgrund von Stichproben und Aufzeichnungen, ob ein Abruf nach § 30 Abs. 6 Satz 1 AO aus konkretem Anlass zulässig war, fordert § 6 Abs. 1 grundsätzlich eine lückenlose Aufzeichnung. § 6 Abs. 2 regelt die einzige Ausnahme von diesem Grundsatz. So kann die Aufzeichnungspflicht nur dann entfallen, wenn durch technische Maßnahmen der Abruf auf die für die Aufgabe erforderlichen Daten beschränkt werden kann.
6.2 Die nach § 6 Abs. 1 aufzuzeichnenden sonstigen Daten sind beispielsweise die Personen- und Firmendaten sowie Identifizierungsmerkmale wie Steuernummer oder Umsatzsteuer-Identifikationsnummer.
6.3 Anlassbezogene Aufzeichnungen nach § 6 Abs. 2 Satz 2 kommen insbesondere dann in Betracht, wenn die Organisationseinheit mit Aufgaben betraut ist, die ein erhöhtes Gefahrenpotential in sich bergen oder wenn sich aufgrund des bisherigen Verhaltens des Abrufenden Anhaltspunkte für unberechtigte Abrufe ergeben. Die hierzu erforderlichen Regelungen sind anwendungsbezogen zu treffen.
§ 6 Abs. 3 enthält eine strikte Zweckbindungsregelung, die eine Verwendung der Aufzeichnung für andere Zwecke als die Prüfung der Zulässigkeit der Abrufe verbietet.
6.4 Die Pflicht zur Vernichtung nach einer Aufbewahrungszeit von zwei Jahren (Absatz 4) gilt für alle Aufzeichnungen, von denen ggf. auch nur ein Teil (stichprobenweise) geprüft wurde oder die Prüfung voll umfänglich entfallen ist, weil sie nicht erforderlich war.
7. Zu § 7 (Prüfung der Zulässigkeit der Abrufe)
7.1 Um prüfen zu können, ob ein Abruf nach § 30 Abs. 6 Satz 1 AO zulässig war (§ 7), sind Kontrollstellen einzurichten, denen die Aufzeichnungen unverzüglich zu übermitteln sind. Die Prüfung ist zeitnah durchzuführen. Art und Umfang der Prüfung werden von den beteiligten Stellen festgelegt. Der angemessene Umfang wird dabei vorrangig von der Gruppenzugehörigkeit des Abrufenden bestimmt (vgl. Tz. 3.1).
7.2 Sind die abrufende und die Stelle, die die Daten zum Abruf bereithält, nicht identisch, kann auch die Stelle, die die Daten zum Abruf bereithält, die Zulässigkeit der Abrufe prüfen. Zu diesen Fällen gehören z.B. die Datenabrufe beim Bundesamt für Finanzen zur Kontrolle der Freistellungsaufträge oder der Umsatzsteuer sowie die länderübergreifende Namensabfrage.
8. Zu § 8 (Ergänzende Regelungen und Verfahrensdokumentation)
8.1 Bei Einrichtung jedes Abrufverfahrens sind die in § 8 geforderten Regelungen zu treffen. Dabei ist im Einzelnen festzulegen, wie die Anforderungen der Verordnung zu erfüllen sind. Im Interesse der Transparenz für Betroffene und Anwender eines Verfahrens sind die zum Verfahren getroffenen Festlegungen und Regelungen zu dokumentieren. Eine vollständige Verfahrensdokumentation ist die Voraussetzung für die Freigabe eines Abrufverfahrens, wie sie z.B. nach § 3 Abs. 6 BuchO vorgesehen ist.
Diese Festlegungen und Regelungen sind von den beteiligten Stellen zu treffen. In der Regel sind das diejenigen Stellen, welche die Daten zum Abruf bereit halten, die Daten abrufen, die automatisierten Verfahren entwickeln und betreuen, diese Verfahren frei geben, die Einrichtung eines Abrufverfahrens anordnen oder mit der Dienst- und Fachaufsicht befasst sind.
8.2 Nach Nummer 4 ist festzulegen, in welcher Form und zu welchem Zeitpunkt die verantwortlichen Stellen zu verständigen sind. Dies kann unter Berücksichtigung der Häufigkeit der Abrufe, der Nutzung sowie des Schutzbedürfnisses der Daten in unterschiedlicher Art und Weise möglich sein. So kann es bei routinemäßigen Verfahren ausreichen, die verantwortliche Stelle zu unterrichten, in welchen Verfahren eine andere Behörde Daten abruft. In anderen Verfahren kann es aber auch erforderlich sein, die verantwortliche Stelle vor oder nach einem Datenabruf unmittelbar zu verständigen.
8.3 Nummer 9 regelt die Dokumentation und Ausgestaltung der in den §§ 5 und 6 normierten Maßnahmen zur Sicherstellung einer späteren Prüfung. Dabei ist der Grundsatz zugrunde zu legen, dass Aufwand und angestrebter Schutzzweck in einem angemessenen Verhältnis zueinander stehen sollen. Unerlässlich ist daher auch, die für die Prüfung erforderlichen Unterlagen darzustellen. Dies sind beispielsweise Geschäftsverteilungspläne oder durch Geschäftsstellenprogramme erstellte Protokolle.
9. Zu § 9 (Abrufe durch den Steuerpflichtigen)
Die Vorschrift berücksichtigt aktuelle und künftige Vorhaben im Bereich des E-Government (z.B. elektronische Steuererklärung - Elster). Sie legt fest, dass die StDAV sinngemäß anzuwenden ist, wenn Abrufverfahren für die Steuerpflichtigen bzw. deren Bevollmächtigte i. S. der §§ 34, 35 und 80 AO für den Zugriff auf die Daten des eigenen Steuerfalls eingerichtet werden.
Der Abruf eigener Daten bzw. der Daten eines Mandanten unterfällt selbst nicht dem Steuergeheimnis. Zur Wahrung desselben muss jedoch durch geeignete Maßnahmen nach § 2 Abs. 1 sichergestellt werden, dass der Berechtigte nur auf seine eigenen Daten zugreifen kann und einem Unberechtigten der Zugriff auf diese Daten verwehrt wird.
10. Zu § 10 (Übergangsvorschrift)
Die Vorschrift bestimmt die Anwendung der neuen Vorschriften und die Übergangsfrist. Darunter fällt z.B. auch die Erweiterung bestehender Verfahren oder der Anschluss neuer Dienststellen.