Deutscher Bundestag – 17. Wahlperiode
– 111 –
zugesagt. Ich werde prüfen, inwieweit meinen Anregungen gefolgt wird.
9.7
Informationsaustausch in Steuersachen
mit anderen Staaten
Der internationale Informationsaustausch in Steuersachen hat in jüngerer Zeit an Bedeutung gewonnen. Datenschutzrechtliche Aspekte müssen dabei berücksichtigt
werden.
Als Folge der weltweiten Finanz- und Wirtschaftskrise soll
die Zusammenarbeit in Steuersachen zwischen den Staaten verstärkt werden, insbesondere im Hinblick auf den Informationsaustausch unter den Steuerbehörden. Unter der
Federführung der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) wurden in diesem
Zusammenhang detaillierte Standards für den entsprechenden Informationsaustausch erarbeitet. Deutschland
trifft derzeit mit Staaten mit wichtigen Finanzzentren bilaterale Vereinbarungen, die einen Informationsaustausch
nach OECD-Standards ermöglichen sollen.
Im Rahmen meiner Beteiligung wirke ich darauf hin, dass
bei den Verfahren zum zwischenstaatlichen Austausch
von Steuerdaten datenschutzrechtliche Belange berücksichtigt werden. Dies gilt vor allem für einen automatischen Informationsaustausch, bei dem personenbezogene
Daten periodisch ohne ein bestimmtes Ersuchen übermittelt werden, sowie den spontanen Informationsaustausch,
bei dem ein Staat Kenntnisse, die für andere Staaten relevant sein könnten, unaufgefordert übermittelt. Die beiden
letztgenannten Formen des Informationsaustausches stellen einen ungleich intensiveren Eingriff in das Recht auf
informationelle Selbstbestimmung dar als die herkömmliche Datenübermittlung auf Ersuchen und bedürfen deshalb insbesondere der genauen Bestimmung ihres Zwecks
und Umfangs.
9.8
Kontrolle des Kontenabrufverfahrens
nach § 24c Kreditwesengesetz
§ 24c Kreditwesengesetz – KWG – verpflichtet alle Kreditinstitute zur Führung einer Datei, aus der die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ohne Wissen der Kreditinstitute Kontostammdaten automatisiert
abrufen kann. Im Frühjahr 2010 habe ich mir bei einer
Kontrolle ein Bild von der Praxis des Kontenabrufs gemacht.
Die Abrufe von Kontostammdaten durch die BaFin dienen
der Erfüllung ihrer aufsichtlichen Aufgaben sowie der
Auskunftserteilung auf Ersuchen (vgl. 19. TB Nr. 10.2;
20. TB Nr. 11.3.1). Die Zahl der fast ausschließlich von
Strafverfolgungsbehörden gestellten Ersuchen hat sich
von ca. 40 000 zu ca. 235 000 Konten im Jahre 2004 auf
ca. 92 000 zu ca. 870 000 Konten im Jahre 2009 mehr als
verdoppelt und bezogen auf die genannten Kontenzahlen
um das rund 3,7-fache erhöht.
Seit März 2008 bedient sich die BaFin der technischen
Komponenten des Kontenabrufs des Zentrums für Informationsverarbeitung und Informationstechnik (ZIVIT) als
Drucksache 17/5200
Auftragsdatenverarbeiter. Daher hätte bereits damals ein
entsprechender Vertrag zwischen BaFin und ZIVIT geschlossen werden müssen. Aufgrund von Umsetzungsproblemen im ZIVIT erfolgte dessen Unterzeichnung erst
nach meiner Kontrolle. Dies bot mir Gelegenheit zu Empfehlungen zum Vertragsentwurf, denen die Vertragsparteien folgten.
Das gilt auch für eine mittlerweile implementierte automatische Löschroutine zur Gewährleistung der fristgerechten Löschung der in § 24c Absatz 4 KWG erwähnten
Protokolldaten.
Zum Zeitpunkt der Kontrolle fehlte es wegen der erwähnten Umsetzungsprobleme im ZIVIT an der Vereinbarung
eines IT-Sicherheitskonzepts. Auch dieser Kritikpunkt
wurde unter Berücksichtigung meiner Anregungen ausgeräumt.
Die BaFin hat meine Kontrolle mit hoher Kooperationsbereitschaft begleitet. Sie hat meine datenschutzbezogenen
Anregungen mittlerweile vollständig aufgegriffen. Hierzu
zählen neben kleineren Justierungen in der Ablauforganisation auch die erforderlichen Verbesserungen im Bereich
der Datensicherheit.
10
Wirtschaft und Verkehr
10.1
Binding Corporate Rules
Das Verfahren zur Annahme von Unternehmensregelungen für die Übermittlung von Daten aus der EU in Drittstaaten (Binding Corporate Rules, BCR) wurde deutlich
beschleunigt. Ich konnte im Berichtszeitraum die Prüfung
der BCR der Deutschen Post AG nach dieser Vorgehensweise erfolgreich abschließen.
Die europäische Datenschutzrichtlinie sieht vor, dass die
Übermittlung personenbezogener Daten in Drittstaaten
ohne angemessenes Datenschutzniveau ausnahmsweise
genehmigt werden kann (Artikel 26 der europäischen Datenschutzrichtlinie 95/46/EG). Unternehmen müssen hierzu
ausreichende Datenschutzgarantien abgeben, u. a. durch
BCR. Die Art.-29-Gruppe setzte im Berichtszeitraum ihre
Bemühungen fort, das BCR-Verfahren zu vereinfachen
und zu vereinheitlichen. Zu einer erheblichen Beschleunigung trug dabei das im Jahr 2008 zwischen den Datenschutzaufsichtsbehörden mehrerer Mitgliedstaaten vereinbarte „Verfahren der gegenseitigen Anerkennung“ bei.
Danach wird ein positives Prüfungsergebnis der Datenschutzaufsichtsbehörde zu den BCR eines Unternehmens
im federführenden Mitgliedsstaat von den Behörden der
anderen Mitgliedstaaten als ausreichende Grundlage angesehen, den BCR ihrerseits zuzustimmen (vgl. 22. TB
Nr. 13.2.3). Dem Verfahren haben sich inzwischen 19 europäische Datenschutzaufsichtsbehörden angeschlossen.
Überarbeitet wurde darüber hinaus die Zusammenstellung
häufig gestellter Fragen, mit der den Unternehmen vermittelt werden soll, welche Anforderungen die europäischen
Datenschutzaufsichtsbehörden an BCR stellen (WP 155
Rev. 4 vom 8. April 2009).
Im Jahr 2007 hatte die Deutsche Post AG – ein global
agierender Konzern, der ständig Kunden- und Beschäftig-
BfDI 23. Tätigkeitsbericht 2009-2010