mich dafür eingesetzt, den Steuerdatenaustausch über einen europäischen Server abzuwickeln. In diesem Zusammenhang wurde zunächst auch diskutiert, den bereits aktiven Server, der für den bilateralen Steuerdatenaustausch zwischen den USA und Deutschland im Rahmen von FATCA (Foreign Account Tax Compliance Act,
vgl. 25. TB Nr. 7.5) genutzt wird, gleichermaßen für den internationalen OECD Steuerdatenaustausch zu verwenden. Hier habe ich große datenschutzrechtliche Bedenken, da der US-patriot act US-Behörden einen unbegrenzten Zugriff auf diese Daten auch zu anderen Zwecken erlaubt. Ich setze mich daher weiterhin dafür ein,
dass der internationale Steuerdatenaustausch auf europäischem Boden stattfindet.
8.2.5
Erfassung von Flugpassagierdaten für zollspezifische Aufgaben
Der Entwurf eines Gesetzes zur Änderung des Zollverwaltungsgesetzes sah die Erfassung von Flugpassagierdaten für zollspezifische Aufgaben vor. Nachdem ich dazu gegenüber dem BMF meine erheblichen datenschutzrechtlichen Bedenken zum Ausdruck gebracht hatte, wurde das Gesetz letztlich vom Bundeskabinett ohne die
von mir kritisierte Regelung verabschiedet.
Als mir der Entwurf eines Gesetzes zur Änderung des Zollverwaltungsgesetzes zur datenschutzrechtlichen Stellungnahme vorgelegt wurde, musste ich feststellen, dass damit auch ein IT-basiertes System zur Übermittlung
von Flugpassagierdaten an den Zoll eingeführt werden sollte. Die vorgeschlagene Regelung griff Überlegungen
des BMF aus den vergangenen Jahren auf, zu denen ich mich bereits kritisch geäußert hatte. Das Ziel der neuen
Regelung sollte die risikoorientierte zollrechtliche Kontrolle sein. Es handelte sich ausweislich der Gesetzesbegründung jedoch gerade nicht um die Umsetzung der Richtlinie 2016/681 über die Verwendung von Fluggastdatensätzen zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer
Kriminalität (sog. EU-PNR-Richtlinie).
Die vom BMF vorgeschlagene neue Regelung (der ursprüngliche § 10a ZollVG E) war inhaltlich eng an die
Vorschrift des § 31a Bundespolizeigesetz (BPolG) angelehnt, die bereits eine Übermittlung von Fluggastdaten
an die Bundespolizei zum Zwecke der Grenzkontrollen ermöglicht und der Umsetzung der Richtlinie
2004/82/EG (API-Richtlinie) dient. Gleichwohl verstieß die vorgelegte Regelung gegen nahezu alle datenschutzrechtlichen Grundsätze und wurde von mir als nicht datenschutzkonform bewertet: Die datenschutzrechtliche Zweckbindung bei der Übermittlung der freiwilligen und nicht überprüfbaren Angaben der Flugpassgiere
wurde nicht beachtet. Die Datenerhebung und Datenübermittlung orientierte sich weder am Datensparsamkeitsgrundsatz noch wurde deren Notwendigkeit plausibel und überzeugend begründet. Obwohl offensichtlich eine
IT-basierte Datenverarbeitung geplant war, wurde nicht bedacht, dass belastende Entscheidungen nicht ausschließlich auf automatisierte Verarbeitungen gestützt werden dürfen (§ 6a BDSG). Zudem sollten die gespeicherten Daten aus steuerlichen Gründen länger als 24 Stunden gespeichert werden, ebenfalls ohne hierfür überzeugende Gründe benennen zu können. Schließlich blieb die Regelung lückenhaft, da sie keine Information der
Flugpassagiere über diese Datenverarbeitung vorsah.
Ich habe meine erheblichen datenschutzrechtlichen Bedenken gegenüber dem BMF zum Ausdruck gebracht.
Der vom Bundeskabinett letztlich verabschiedete Entwurf zur Änderung des Zollverwaltungsgesetzes verzichtete auf diese von mir kritisierte Regelung.
8.2.6
Zweites Finanzmarktnovellierungsgesetz sieht Telefonaufzeichnungspflichten vor
Im Rahmen meiner Einbindung in das Gesetzgebungsverfahren zum zweiten Finanzmarktnovellierungsgesetz
konnte ich Verbesserungen bei den in das Wertpapierhandelsgesetz aufgenommenen Telefonaufzeichnungspflichten erreichen. Im Zusammenhang mit den auch im Rahmen dieses Gesetzgebungsvorhaben vorgesehenen
Internetbekanntmachungen, setze ich mich - soweit dies möglich ist – für deren Anonymisierung ein und weise
auf ein „Recht auf Vergessen“ im Netz hin, dass Artikel 17 DSGVO als Konsequenz des sog.
Google-Spain-Urteils regelt.
Das BMF hat mich frühzeitig in die Gesetzgebung für ein zweites Finanzmarktnovellierungsgesetz eingebunden. Mit diesem Gesetz sollen u. a. die Anlageberatung, Aufsichtsrechte und der Hochfrequenzhandel geregelt
und die EU-Richtlinie über Märkte für Finanzinstrumente (MiFID II, 2014/65/EU) in nationales Recht umgesetzt werden. Die Änderungen betreffen insbesondere den Wertpapierhandel, das Kreditwesen und die Börse.
Datenschutzrechtlich relevant sind insbesondere die Telefonaufzeichnungspflichten, die in das Wertpapierhandelsgesetz (WpHG) aufgenommen werden. Wertpapierdienstleistungsunternehmen, die nach dem WpHG der
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Auskunft verpflichtet sind, sollen zur Beweissicherung Telefongespräche und elektronische Kommunikation aufzeichnen müssen. Ich konnte erreichen, dass vorab auf die Aufzeichnung des Telefongespräches hingewiesen wird und die Zweckbindung dieser Datenaufzeichnung konturiert wurde. Zudem habe ich dafür plädiert, entsprechend den europarechtlichen Vorgaben nur
eine fünfjährige Speicherdauer vorzusehen.
– 86 –
BfDI 26. Tätigkeitsbericht 2015-2016