6.2 Einzelthemen
6.2.1 Zum Internationalen Steuerdatenaustausch
Am 29. Oktober 2014 unterzeichneten 51 Staaten in
Berlin ein Abkommen über den automatischen Informationsaustausch in Steuersachen, den sog.
OECD-Standard. Mittlerweile sind 104 Staaten dem
Abkommen beigetreten. Im September 2017 fand der
erste Datenaustausch zwischen den ursprünglichen
51 Unterzeichnerstaaten statt.
Auf Ebene der Organisation für wirtschaftliche Zusam‑
menarbeit und Entwicklung (OECD) wurde gemeinsam
mit den G‑20‑Staaten und in enger Kooperation mit der
EU ein Modell für den globalen Standard zum Austausch
von Informationen zu Finanzkonten entwickelt. Dieses
sieht vor, dass die zuständigen staatlichen Stellen von
den Finanzinstituten die erforderlichen Informationen
erhalten und diese einmal jährlich automatisch mit
anderen Staaten austauschen. Am 29. Oktober 2014
unterzeichneten 51 Staaten eine multilaterale Vereinba‑
rung über diesen Standard. Im Rahmen der nationalen
Umsetzung habe ich versucht, auf eine datenschutzkon‑
forme Lösung hinzuwirken, mir wurde aber nicht in al‑
len Punkten gefolgt (vgl. 25. TB Nr. 7.9; 26. TB Nr. 8.2.4).
Im September 2017 fand der erste Informationsaus‑
tausch zwischen den 51 „Early Adopters“ statt.
Ich habe das Thema im Rahmen der Artikel‑29‑Gruppe
und des Europäischen Datenschutzausschusses (EDSA)
begleitet und bin über die Financial Matters Subgroup
des EDSA mit der OECD im Dialog. Um bei den nati‑
onalen Finanzministerien den Stand der Umsetzung
des OECD-Standards in den Mitgliedstaaten zu erheben
und die Erfahrungen mit dem ersten Datenaustausch
vom September 2017 abzufragen, hatte der EDSA einen
Fragebogen erarbeitet. Aus den Antworten ergab sich
erfreulicherweise, dass bisher keine schwerwiegenden
Datenschutzverletzungen aufgetreten sind.
6.2.2 Meldungen von Datenschutzverstößen aus den
Finanzbehörden
Im Berichtszeitraum haben mich auch mehrere Tausend Meldungen von Datenschutzverstößen aus den
Finanzbehörden erreicht.
Häufig handelte es sich dabei um Fehlversendungen auf‑
grund eines individuellen Bearbeitungsfehlers. Da die
Finanzbehörden pro Jahr Millionen von Postsendungen
in Auftrag geben, zeigt mir die Anzahl der Meldungen,
dass es sich nicht um ein systemisches Problem inner‑
halb der Finanzverwaltung handelt und sich die Finanz‑
verwaltung insoweit im Fehlertoleranzbereich bewegt,
den ich von anderen Behörden kenne. Es ist aber noch
zu früh, um abschätzen zu können, ob auch systemische
Fehlerquellen zu Datenschutzverstößen führen. Die
gemeldeten Datenschutzverstöße werde ich bei meinen
künftigen Kontrollen zum Kontrollgegenstand machen.
Administrativ stellt mich die Vielzahl dieser Meldungen
allerdings vor große Herausforderungen. Während nach
dem bisherigen § 42a BDSG (alt) nur gesetzlich bestimm‑
te besondere Datenschutzverletzungen gemeldet werden
mussten, unterfallen der Meldeverpflichtung nach Art.
33 DSGVO alle öffentlichen und nicht-öffentlichen Stel‑
len im Anwendungsbereich der DSGVO. Die Meldungen
von Datenschutzverletzungen sind seit dem 25. Mai 2018
daher auch exorbitant angestiegen. Im Rahmen meiner
Zuständigkeit bin ich von Amts wegen gehalten, diese
Meldungen zu prüfen und – soweit im Einzelfall erfor‑
derlich – von meinen datenschutzaufsichtsbehördlichen
Untersuchungs- und Abhilfebefugnissen Gebrauch zu
machen.
6.A Zudem von besonderem Interesse
1.1, 14.1.1, 17.9, Die Arbeit des BfDI in Zahlen
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
55