Nach § 32 werden die folgenden Abschnitte eingefügt:
„Sechster Abschnitt Rechte der betroffenen Person
§ 32a Informationspflicht der Finanzbehörde bei Erhebung personenbezogener Daten bei betroffenen Personen
(1) Die Pflicht der Finanzbehörde zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 der
Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 13 Absatz 4 der
Verordnung (EU) 2016/679 genannten Ausnahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung oder Offenbarung
- 1.
- die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe d bis h der Verordnung (EU) 2016/679 gefährden würde und die Interessen der Finanzbehörden an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
- 2.
- die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde und die Interessen der Finanzbehörde an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
- 3.
- den Rechtsträger der Finanzbehörde in der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche oder in der der Verteidigung gegen ihn geltend gemachter zivilrechtlicher Ansprüche im Sinne des Artikels 23 Absatz 1 Buchstabe j der Verordnung (EU) 2016/679 beeinträchtigen würde und die Finanzbehörde nach dem Zivilrecht nicht zur Information verpflichtet ist, oder
- 4.
- eine vertrauliche Offenbarung geschützter Daten gegenüber öffentlichen Stellen gefährden würde.
(2) Die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe d bis h der
Verordnung (EU) 2016/679 wird insbesondere gefährdet, wenn die Erteilung der Information
- 1.
- den Betroffenen oder Dritte in die Lage versetzen könnte,
- a)
- steuerlich bedeutsame Sachverhalte zu verschleiern,
- b)
- steuerlich bedeutsame Spuren zu verwischen oder
- c)
- Art und Umfang der Erfüllung steuerlicher Mitwirkungspflichten auf den Kenntnisstand der Finanzbehörden einzustellen,
oder
- 2.
- Rückschlüsse auf die Ausgestaltung automationsgestützter Risikomanagementsysteme oder geplante Kontroll- oder Prüfungsmaßnahmen zulassen
und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde.
(3) Unterbleibt eine Information der betroffenen Person nach Maßgabe von Absatz 1, ergreift die Finanzbehörde geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person.
(4) Unterbleibt die Benachrichtigung in den Fällen des Absatzes 1 wegen eines vorübergehenden Hinderungsgrundes, kommt die Finanzbehörde der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes, spätestens jedoch innerhalb von zwei Wochen, nach.
(5) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch Finanzbehörden an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
§ 32b Informationspflicht der Finanzbehörde, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden
- 1.
- soweit die Erteilung der Information
- a)
- die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden oder anderer öffentlicher Stellen liegenden Aufgaben im Sinne des Artikel 23 Absatz 1 Buchstabe d bis h der Verordnung (EU) 2016/679 gefährden würde oder
- b)
- die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde
oder
- 2.
- wenn die Daten, ihre Herkunft, ihre Empfänger oder die Tatsache ihrer Verarbeitung nach § 30 oder einer anderen Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen überwiegender berechtigter Interessen eines Dritten im Sinne des Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679, geheim gehalten werden müssen
und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss. § 32a Absatz 2 gilt entsprechend.
(2) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch Finanzbehörden an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(3) Unterbleibt eine Information der betroffenen Person nach Maßgabe der Absätze 1 oder 2, ergreift die Finanzbehörde geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person.
§ 32c Auskunftsrecht der betroffenen Person
(1) Das Recht auf Auskunft der betroffenen Person gegenüber einer Finanzbehörde gemäß Artikel 15 der
Verordnung (EU) 2016/679 besteht nicht, soweit
- 1.
- die betroffene Person nach § 32b Absatz 1 oder 2 nicht zu informieren ist,
- 2.
- die Auskunftserteilung den Rechtsträger der Finanzbehörde in der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche oder in der der Verteidigung gegen ihn geltend gemachter zivilrechtlicher Ansprüche im Sinne des Artikels 23 Absatz 1 Buchstabe j der Verordnung (EU) 2016/679 beeinträchtigen würde; Auskunftspflichten der Finanzbehörde nach dem Zivilrecht bleiben unberührt,
- 3.
- die personenbezogenen Daten
- a)
- nur deshalb gespeichert sind, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder
- b)
- ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen
und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
(2) Die betroffene Person soll in dem Antrag auf Auskunft gemäß Artikel 15 der
Verordnung (EU) 2016/679 die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen.
(3) Sind die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateisystemen gespeichert, wird die Auskunft nur erteilt, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.
(4) Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. Die zum Zweck der Auskunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet werden; für andere Zwecke ist die Verarbeitung nach Maßgabe des Artikels 18 der
Verordnung (EU) 2016/679 einzuschränken.
(5) Soweit der betroffenen Person durch eine Finanzbehörde keine Auskunft erteilt wird, ist sie auf Verlangen der betroffenen Person der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu erteilen, soweit nicht die jeweils zuständige oberste Finanzbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand der Finanzbehörde zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.
§ 32d Form der Information oder Auskunftserteilung
(1) Soweit Artikel 12 bis 15 der
Verordnung (EU) 2016/679 keine Regelungen enthalten, bestimmt die Finanzbehörde das Verfahren, insbesondere die Form der Information oder der Auskunftserteilung, nach pflichtgemäßem Ermessen.
(2) Die Finanzbehörde kann ihre Pflicht zur Information der betroffenen Person gemäß Artikel 13 oder 14 der
Verordnung (EU) 2016/679 auch durch Bereitstellung der Informationen in der Öffentlichkeit erfüllen, soweit dadurch keine personenbezogenen Daten veröffentlicht werden.
(3) Übermittelt die Finanzbehörde der betroffenen Person die Informationen über die Erhebung oder Verarbeitung personenbezogener Daten nach Artikel 13 oder 14 der
Verordnung (EU) 2016/679 elektronisch oder erteilt sie der betroffenen Person die Auskunft nach Artikel 15 der
Verordnung (EU) 2016/679 elektronisch, ist
§ 87a Absatz 7 oder 8 entsprechend anzuwenden.
§ 32e Verhältnis zu anderen Auskunfts- und Informationszugangsansprüchen
Soweit die betroffene Person oder ein Dritter nach dem Informationsfreiheitsgesetz vom 5. September 2005 (BGBl. I S. 2722) in der jeweils geltenden Fassung oder nach entsprechenden Gesetzen der Länder gegenüber der Finanzbehörde ein Anspruch auf Informationszugang hat, gelten die Artikel 12 bis 15 der Verordnung (EU) 2016/679 in Verbindung mit den §§ 32a bis 32d entsprechend. Weitergehende Informationsansprüche über steuerliche Daten sind insoweit ausgeschlossen. § 30 Absatz 4 Nummer 2 ist insoweit nicht anzuwenden.
§ 32f Recht auf Berichtigung und Löschung, Widerspruchsrecht
(1) Wird die Richtigkeit personenbezogener Daten von der betroffenen Person bestritten und lässt sich weder die Richtigkeit noch die Unrichtigkeit der Daten feststellen, gilt ergänzend zu Artikel 18 Absatz 1 Buchstabe a der
Verordnung (EU) 2016/679, dass dies keine Einschränkung der Verarbeitung bewirkt, soweit die Daten einem Verwaltungsakt zugrunde liegen, der nicht mehr aufgehoben, geändert oder berichtigt werden kann. Die ungeklärte Sachlage ist in geeigneter Weise festzuhalten. Die bestrittenen Daten dürfen nur mit einem Hinweis hierauf verarbeitet werden.
(2) Ist eine Löschung im Falle nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht das Recht der betroffenen Person auf und die Pflicht der Finanzbehörde zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 der
Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 der
Verordnung (EU) 2016/679 genannten Ausnahmen nicht. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gemäß Artikel 18 der
Verordnung (EU) 2016/679. Die Sätze 1 und 2 finden keine Anwendung, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
(3) Ergänzend zu Artikel 18 Absatz 1 Buchstabe b und c der
Verordnung (EU) 2016/679 gilt Absatz 1 Satz 1 und 2 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a und d der
Verordnung (EU) 2016/679, solange und soweit die Finanzbehörde Grund zu der Annahme hat, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden. Die Finanzbehörde unterrichtet die betroffene Person über die Einschränkung der Verarbeitung, sofern sich die Unterrichtung nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
(4) Ergänzend zu Artikel 17 Absatz 3 Buchstabe b der
Verordnung (EU) 2016/679 gilt Absatz 1 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a der
Verordnung (EU) 2016/679, wenn einer Löschung vertragliche Aufbewahrungsfristen entgegenstehen.
(5) Das Recht auf Widerspruch gemäß Artikel 21 Absatz 1 der
Verordnung (EU) 2016/679 gegenüber einer Finanzbehörde besteht nicht, soweit an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.
Siebter Abschnitt Datenschutzaufsicht, Gerichtlicher Rechtsschutz in datenschutzrechtlichen Angelegenheiten
§ 32g Datenschutzbeauftragte der Finanzbehörden
Für die von Finanzbehörden gemäß Artikel 37 der Verordnung (EU) 2016/679 zu benennenden Datenschutzbeauftragten gelten § 5 Absatz 2 bis 5 sowie die §§ 6 und 7 des Bundesdatenschutzgesetzes entsprechend.
§ 32h Datenschutzrechtliche Aufsicht, Datenschutz-Folgenabschätzung
(2) Entwickelt eine Finanzbehörde automatisierte Verfahren zur Verarbeitung personenbezogener Daten im Anwendungsbereich dieses Gesetzes für Finanzbehörden anderer Länder oder des Bundes, obliegt ihr zugleich die Datenschutz-Folgenabschätzung nach Artikel 35 der
Verordnung (EU) 2016/679. Soweit die Verfahren von den Finanzbehörden der Länder und des Bundes im Hinblick auf die datenschutzrelevanten Funktionen unverändert übernommen werden, gilt die Datenschutz-Folgenabschätzung auch für die übernehmenden Finanzbehörden.
(3) Durch Landesgesetz kann bestimmt werden, dass die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit für die Aufsicht über die Verarbeitung personenbezogener Daten im Rahmen landesrechtlicher oder kommunaler Steuergesetze zuständig ist, soweit die Datenverarbeitung auf bundesgesetzlich geregelten Besteuerungsgrundlagen oder auf bundeseinheitlichen Festlegungen beruht und die mit der Aufgabenübertragung verbundenen Verwaltungskosten der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom jeweiligen Land getragen werden.
§ 32i Gerichtlicher Rechtsschutz
(1) Für Streitigkeiten über Rechte gemäß Artikel 78 Absatz 1 und 2 der
Verordnung (EU) 2016/679 hinsichtlich der Verarbeitung nach
§ 30 geschützter Daten zwischen einer betroffenen öffentlichen Stelle gemäß
§ 6 Absatz 1 bis 1c und Absatz 2 oder ihres Rechtsträgers, einer betroffenen nicht-öffentlichen Stelle gemäß
§ 6 Absatz 1d und 1e oder einer betroffenen Person und der zuständigen Aufsichtsbehörde des Bundes oder eines Landes ist der Finanzrechtsweg gegeben. Satz 1 gilt nicht in den Fällen des
§ 2a Absatz 4.
(2) Für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der
Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person ist der Finanzrechtsweg gegeben.
(3) Hat die nach dem
Bundesdatenschutzgesetz oder nach dem Landesrecht für die Aufsicht über andere öffentliche Stellen oder nicht-öffentliche Stellen zuständige Aufsichtsbehörde einen rechtsverbindlichen Beschluss erlassen, der eine Mitwirkungspflicht einer anderen öffentlichen Stelle oder einer nicht-öffentlichen Stelle gegenüber Finanzbehörden nach diesem Gesetz oder den Steuergesetzen ganz oder teilweise verneint, kann die zuständige Finanzbehörde auf Feststellung des Bestehens einer Mitwirkungspflicht klagen. Die Stelle, deren Pflicht zur Mitwirkung die Finanzbehörde geltend macht, ist beizuladen.
(4) Die
Finanzgerichtsordnung ist in den Fällen der Absätze 1 bis 3 nach Maßgabe der Absätze 5 bis 10 anzuwenden.
(5) Für Verfahren nach Absatz 1 Satz 1 und Absatz 3 ist das Finanzgericht örtlich zuständig, in dessen Bezirk die jeweils zuständige Aufsichtsbehörde ihren Sitz hat. Für Verfahren nach Absatz 2 ist das Finanzgericht örtlich zuständig, in dessen Bezirk die beklagte Finanzbehörde ihren Sitz oder der beklagte Auftragsverarbeiter seinen Sitz hat.
(6) Beteiligte eines Verfahrens nach Absatz 1 Satz 1 sind
- 1.
- die öffentliche oder nicht-öffentliche Stelle oder die betroffene Person als Klägerin oder Antragstellerin,
- 2.
- die zuständige Aufsichtsbehörde des Bundes oder eines Landes als Beklagte oder Antragsgegnerin,
- 3.
- der nach § 60 der Finanzgerichtsordnung Beigeladene sowie
- 4.
- die oberste Bundes- oder Landesfinanzbehörde, die dem Verfahren nach § 122 Absatz 2 der Finanzgerichtsordnung beigetreten ist.
(7) Beteiligte eines Verfahrens nach Absatz 2 sind
- 1.
- die betroffene Person als Klägerin oder Antragstellerin,
- 2.
- die Finanzbehörde oder der Auftragsverarbeiter als Beklagte oder Antragsgegnerin,
- 3.
- der nach § 60 der Finanzgerichtsordnung Beigeladene sowie
- 4.
- die oberste Bundes- oder Landesfinanzbehörde, die dem Verfahren nach § 122 Absatz 2 der Finanzgerichtsordnung beigetreten ist.
(8) Beteiligte eines Verfahrens nach Absatz 3 sind
- 1.
- die zuständige Finanzbehörde als Klägerin oder Antragstellerin,
- 2.
- die Aufsichtsbehörde des Bundes oder eines Landes, die den rechtsverbindlichen Beschluss erlassen hat, als Beklagte oder Antragsgegnerin,
- 3.
- die Stelle, deren Pflicht zur Mitwirkung die Finanzbehörde geltend macht, als Beigeladene und
- 4.
- die oberste Bundes- oder Landesfinanzbehörde, die dem Verfahren nach § 122 Absatz 2 der Finanzgerichtsordnung beigetreten ist.
(9) Ein Vorverfahren findet nicht statt.
(10) In Verfahren nach Absatz 1 Satz 1 haben eine Klage oder ein Antrag aufschiebende Wirkung. Die zuständige Aufsichtsbehörde darf gegenüber einer Finanzbehörde, deren Rechtsträger oder deren Auftragsverarbeiter nicht die sofortige Vollziehung anordnen.
§ 32j Antrag auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Angemessenheitsbeschlusses der Europäischen Kommission
Hält der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder eine nach Landesrecht für die Kontrolle des Datenschutzes zuständige Stelle einen Angemessenheitsbeschluss der Europäischen Kommission, auf dessen Gültigkeit es bei der Entscheidung über die Beschwerde einer betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten ankommt, für rechtswidrig, so gilt § 21 des Bundesdatenschutzgesetzes."