– 115 –
personenbezogenen Daten, über Speicherprüffristen und
zur Protokollierung. Für problematisch halte ich es auch,
dass in ZAUBER in großem Umfang personenbezogene
Daten über einen längeren Zeitraum auf Vorrat gespeichert werden. Deshalb halte ich meine Forderung nach einer normenklaren gesetzlichen Grundlage für den Betrieb
von ZAUBER aufrecht (vgl. hierzu auch Nr. 8.1).
Ein weiterer datenschutzrechtlich relevanter Punkt ist die
Speicherung von Fällen aus dem Bereich des allgemeinen
Umsatzsteuerbetruges. Es handelt sich um Fälle von eingeleiteten Strafverfahren (§§ 370, 370a AO) beziehungsweise mit eingeleiteten Bußgeldverfahren, jeweils unabhängig vom späteren Ausgang.
Die unterschiedslose Speicherung dieser Fallgruppe über
den Zeitraum von zehn Jahren – unabhängig vom Ausgang etwaiger Straf- oder Bußgeldverfahren und ohne
Rücksicht darauf, ob es sich tatsächlich um Umsatzsteuerbetrugsfälle handelt – ist mit dem Grundsatz der Verhältnismäßigkeit nicht vereinbar. Sobald sich der Verdacht eines Umsatzsteuerbetruges als unbegründet
herausgestellt hat bzw. bei Kfz-Lieferungen oder der Erzielung von umsatzsteuerlichen Mehrergebnissen kein
rechtswidriges Verhalten der betreffenden Unternehmen
festgestellt werden kann, dürfen die insoweit angefallenen Daten nicht mehr im Zusammenhang mit der Bekämpfung des Umsatzsteuerbetrugs verwendet werden.
Deshalb müssen die Dateispeicherungen regelmäßig,
etwa durch Einführung entsprechender Aussonderungsprüffristen, auf ihre inhaltliche Rechtmäßigkeit überprüft
werden. Nur so kann eine Löschung personenbezogener
Daten unbescholtener natürlicher oder juristischer Personen aus der Datenbank sichergestellt werden.
Das BMF hat mir mittlerweile hierzu mitgeteilt, dass es
beabsichtige, die Daten in Anlehnung an § 147 Abs. 3 AO
über einen Zeitraum von zehn Jahren zu speichern. Soweit sich im Einzelfall herausstelle, dass Daten zu Unrecht in die Datenbank aufgenommen wurden, weil beispielsweise das eingeleitete Straf- und Bußgeldverfahren
eingestellt wurde, werde sichergestellt, dass diese gelöscht werden. Grundsätzlich sei vorgesehen, die Daten
nach Ablauf einer Speicherfrist von zehn Jahren automationsgestützt zu löschen. Diese Löschungsregelung ist
mir jedoch nicht differenziert genug. Vielmehr strebe ich
eine dem § 32 BKAG vergleichbare Regelung an.
Darüber bin ich mit dem BMF noch im Gespräch.
8.8
Entwurf einer Steuerdaten-Abrufverordnung – StDAV
Die geplante StDAV wurde auch im Jahre 2004 noch
nicht in Kraft gesetzt.
Nach unter meiner Beteiligung erfolgten, intensiven Arbeiten legte das BMF im Februar 2004 einen grundlegend
überarbeiteten Entwurf (vgl. 19. TB Nr. 34, dort Nr. 10)
einer Steuerdaten-Abrufverordnung (StDAV) vor, die
„für neue gesetzliche und auch technische Entwicklungen
besser gerüstet“ sein sollte.
Im Abstimmungsverfahren hatte ich insbesondere hinsichtlich folgender Regelung erhebliche datenschutz-
rechtliche Bedenken: Das BMF wollte in der StDAV die
Einrichtung eines Abrufverfahrens unter gewissen Voraussetzungen ermöglichen, ohne dass ein Gesetz dies ausdrücklich vorsieht. Eine Ermächtigung zur Einrichtung
von Abrufverfahren sollte nach meiner Auffassung insbesondere dann, „...wenn es wegen des Umfangs der Daten
oder ihrer häufigen oder besonders eilbedürftigen Nutzung unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen angemessen ist …“, ausschließlich
dem Gesetzgeber vorbehalten bleiben. Mir erschien es
unverständlich, gerade dann auf eine ausdrückliche gesetzliche Legitimation zu verzichten, wenn zu erwarten
ist, dass Abrufverfahren einen großen Datenumfang nutzen und häufig angewendet werden (vgl. Nr. 8.4).
Auf Grund meiner Intervention hatte der BMF von einer
solchen Ermächtigung für die Finanzverwaltung abgesehen, sodass ich nunmehr keine Bedenken mehr gegen die
geplante StDAV hatte. Damit wollte das BMF eigentlich
die Arbeiten an der StDAV abschließen und das Verordnungsverfahren nunmehr zügig einleiten. Umso mehr hat
mich die Tatsache überrascht, dass das BMF kurz vor Redaktionsschluss einen erneut – insbesondere im datenschutzrechtlichen Bereich – überarbeiteten Entwurf vorgelegt hat, dessen Prüfung zur Zeit noch andauert.
8.9
Zentralstelle für Risikoanalyse (Zoll) –
ZORA
Ein Beratungs- und Kontrollbesuch in Münster hatte zum
Ergebnis, dass bei der ZORA nur in geringem Umfang
personenbezogene Daten verarbeitet werden.
Im Jahre 2004 habe ich die Zentralstelle Risikoanalyse
(Zoll) – ZORA – in Münster hinsichtlich der Verarbeitung
personenbezogener Daten in den dort eingesetzten Verfahren beraten und kontrolliert. Die ZORA wurde mit
Wirkung vom 1. Januar 2002 bei der Zoll- und Verbrauchsteuerabteilung der Oberfinanzdirektion (OFD)
Köln errichtet und ist zwar organisatorisch der Zoll- und
Verbrauchsteuerabteilung der OFD Köln angegliedert,
fachlich jedoch unmittelbar dem BMF unterstellt.
Rechtsgrundlage ist § 17a Zollverwaltungsgesetz (ZollVG),
der am 6. November 2003 in Kraft getreten ist. Hiernach
hat die ZORA die Aufgabe, die Dienststellen der Zollverwaltung, insbesondere den Zollabfertigungs- und Prüfungsdienst, bei deren Aufgabenwahrnehmung durch ein
automatisiertes System der Risikoanalyse zu unterstützen. Dazu erstellt die ZORA Maßnahmeempfehlungen in
Form von Risikohinweisen für die Warenabfertigung „vor
Ort“ an den Zolldienststellen. Zur Vermeidung von
Falschanmeldungen (z. B. Schrott anstatt Edelstahl) werden deshalb durch die ZORA in die Datei ATLAS – bei
allen Zolldienststellen für die zollamtliche Behandlung
ein- und ausgeführter Waren genutzt – entsprechende
Warnhinweise eingestellt. Durch einzelfallgesteuerte und
individuelle Parameter, die bei der Zollanmeldungseingabe in ATLAS beim betreffenden Zollamt erscheinen
(z. B. Codenummer/Ursprungsland), wird gewährleistet,
dass die Zollbeamten schon bei der ersten Erfassung im
System einen entsprechenden Hinweis auf evtl. Risiken
bzw. konkrete Handlungsanweisungen (z. B. Beschau erforderlich) erhalten.
BfD
20. Tätigkeitsbericht
2003–2004