Deutscher Bundestag – 17. Wahlperiode
– 107 –
gen alternative Möglichkeiten zu eröffnen, die gemachten
Vorsorgeaufwendungen nachzuweisen, etwa durch Vorlage von entsprechenden Bescheinigungen beim Finanzamt. Zu meinem Bedauern ist das BMF meiner Empfehlung bislang nicht gefolgt.
Weiter ist problematisch, dass die Betroffenen wegen der
vielfältigen Verwendungsmöglichkeiten der Steuer-ID durch
unterschiedlichste Stellen nicht ohne Weiteres Kenntnis davon erhalten, welche Daten bei welchen Stellen darunter
gespeichert werden. Die Folge wäre eine „schleichende“,
von den Betroffenen unbemerkte Datenmehrung. Kritisch
sehe ich auch, dass der Gesetzgeber durch die Einführung
neuer Rechtsgrundlagen die Speicherung weiterer steuerrechtlich relevanter Daten unter der Steuer-ID veranlassen
kann. Dies ist beispielsweise mit Blick auf die Speicherung von lohnsteuerrelevanten Daten nach § 39e EStG bereits geschehen (s. Nr. 9.3). Da das Steuerrecht in nahezu
alle Lebensbereiche hineinreicht, könnten dabei sehr weit
reichende Datensätze entstehen. Diese Datenpools können
möglicherweise auch Rückschlüsse auf Tatsachen zulassen, die keinen unmittelbaren steuerlichen Bezug haben.
Meine Bedenken werden auch vom Finanzgericht Köln
geteilt, das in einem Musterverfahren die Rechtmäßigkeit
der auf der Rechtsgrundlage von §§ 139a und 139b Abgabenordnung erhobenen Steuer-ID geprüft hat (FG Köln,
Urteil vom 7. Juli 2010, 2 K 3093/08). Zwar hat das Gericht „bedeutende Zweifel“ an der Verfassungsmäßigkeit
der Steuer-ID, diese reichten aber nicht für die „volle
Überzeugungsbildung“ bezüglich einer Verfassungswidrigkeit aus, sodass das Bundesverfassungsgericht letztlich
nicht mit dieser Frage befasst wurde.
Angesichts der Sensibilität der Daten und der möglichen
Gefährdungen durch die Nutzung automatischer Datenverarbeitungen im Zusammenhang mit der Steuer-ID
habe ich bereits frühzeitig auf die erforderliche Absicherung der Datenbank durch ein umfassendes verfahrensspezifisches IT-Sicherheitskonzept hingewiesen. Dieses
wurde mir erst nach einer formalen Beanstandung nach
§ 25 Absatz 1 BDSG vom BMF vorgelegt. Ich prüfe derzeit die umfangreichen Unterlagen und beabsichtige, den
Umgang mit den Steuerdaten im Rahmen eines Beratungs- und Kontrollbesuchs beim zuständigen Bundeszentralamt für Steuern zu kontrollieren.
9.3
Einführung der Elektronischen
Lohnsteuerkarte
Mit der zum 1. Januar 2012 beabsichtigten Umstellung
von der Papierlohnsteuerkarte auf das elektronische Verfahren wird die Automatisierung in der Finanzverwaltung
qualitativ wie quantitativ eine neue Stufe erreichen. Das
Vorhaben wirft zahlreiche datenschutzrechtliche Fragen
auf.
Die beim Bundeszentralamt für Steuern (BZSt) eingerichtete Datenbank zur Steuer-Identifikationsnummer (Steuer-ID)
wird derzeit um zusätzliche für den Lohnsteuerabzug benötigte Daten erweitert. Die gemäß § 39e EStG in der Datenbank gespeicherten Elektronischen LohnSteuerAbzugsMerkmale (ELStAM) beinhalten neben steuerlich
Drucksache 17/5200
relevanten Daten weitere, zum Teil sensible personenbezogene Daten etwa zu Religionszugehörigkeit, Familienstand oder Angehörigen (vgl. Kasten a zu Nr. 9.3). Zwar
werden im Zusammenhang mit der Einführung der Elektronischen Lohnsteuerkarte keine neuen personenbezogenen Daten der Steuerpflichtigen erhoben, gleichwohl werden die bislang dezentral bei Meldebehörden und
Finanzämtern gespeicherten Daten erstmalig in einer zentralen Datenbank erfasst. Die erweiterte Datenbank wird
nach Ihrer Inbetriebnahme sensible Lohnsteuerdaten von
mehr als 40 Millionen Arbeitnehmern enthalten. Auf die
damit verbundenen Risiken habe ich bereits mehrfach hingewiesen (vgl. 22. TB Nr. 9.3).
Mit dem Jahressteuergesetz 2010 wurden in § 52b EStG
ergänzende Regelungen zur Elektronischen Lohnsteuerkarte verabschiedet. Ich habe mich im Gesetzgebungsverfahren für eine Verbesserung der vorgesehenen Datenschutzvorgaben eingesetzt. Zu begrüßen ist, dass der
Deutsche Bundestag meiner Empfehlung gefolgt ist, die
betroffenen Arbeitnehmer rechtzeitig vor dem Starttermin
des neuen Verfahrens durch die Finanzämter über die gebildeten ELStAM zu informieren (vgl. Bundestagsdrucksachen 17/3549 S. 29 und 17/3349 S. 44). Der ursprünglich vorgelegte Gesetzentwurf der Bundesregierung sah
eine solche Regelung nicht vor. Die betroffenen Arbeitnehmer erhalten damit die Möglichkeit, die beim BZSt gebildeten ELStAM auf ihre Richtigkeit hin zu überprüfen
und etwaige Fehler bei der Datenerfassung noch vor dem
Abruf durch den Arbeitgeber zu korrigieren.
Die gespeicherten Datensätze sollen bundesweit ca. vier
Millionen Arbeitgebern zum Abruf zur Verfügung stehen.
Die für den Abruf erforderliche Authentisierung des Arbeitgebers über das ELSTER-Online Portal bewerte ich
kritisch, da ELSTER-Online in erster Linie der elektronischen Übermittlung von Dokumenten der Steuerpflichtigen an die Finanzverwaltung dient (vgl. Nr. 3.6). Zweifel
bestehen, ob es sich auch als Abrufportal für Arbeitgeber
eignet, da ein Nachweis der Eigenschaft als Arbeitgeber
und der Berechtigung zur Abfrage aufgrund der technischen Rahmenbedingungen bislang nicht hinreichend gewährleistet ist. Aufgrund der Sensibilität der Datensätze
muss das Risiko eines unzulässigen Datenabrufs aber soweit wie möglich ausgeschlossen werden. Die Finanzverwaltung muss die dazu erforderlichen technisch-organisatorischen Maßnahmen treffen. Vor diesem Hintergrund ist
zu begrüßen, dass Arbeitnehmerinnen und Arbeitnehmer
aufgrund einer mit § 52b Absatz 8 EStG neu eingeführten
Regelung die Bereitstellung der ELStAM über das zuständige Finanzamt allgemein sperren oder die Bereitstellung nur für bestimmte Arbeitgeber freigeben (Positivliste) bzw. ausschließen (Negativliste) lassen können.
Mit Blick auf die zum Aufbau der ELStAM-Datenbank
durchgeführte Übermittlung der bislang bei den Meldebehörden als örtlichen Landesfinanzbehörden gespeicherten
steuerlich relevanten Daten an das BZSt habe ich darauf
hingewiesen, dass ein IT-verfahrensspezifisches Sicherheitskonzept für die Datenbank parallel zur Datenübermittlung zu entwickeln ist. Das Bundesministerium der
Finanzen hat mir die Entwicklung eines verfahrensspezi-
BfDI 23. Tätigkeitsbericht 2009-2010