15 K 118/20 – FG München schreibt sich die Ausnahme von der DSGVO selbst

Dr. Sebastian Korts, MBA, M.I.Tax, Rechtsanwalt, FAStR, FAHuGR

FG München vom 04.11.2021, 15 K 118/20

Seit der Einführung der Datenschutz Grundverordnung war Hoffnung vorhanden, dass im Über- und Unterordnungsverhältnis des staatlichen Handelns Transparenz einkehren könnte. Die DS GVO hatte nämlich keinen Ausnahmebereich für staatliches Handeln vorgesehen. Faktisch sträuben sich die Finanzämter bei den entsprechenden Anfragen. Es werden standardmäßig nur die ohnehin bekannten eDaten bekannt gegeben. Echte Information wird standardmäßig verweigert. Garniert wurde das immer wieder mit Verweisen auf Urteile, die im besten Fall einfach nicht passten. Das Finanzgericht München hat nun in einer sehr breiten Entscheidung viele Aspekte der Streites herausgegriffen und mit einer unglaublichen Textmenge belegt. Seitdem ziehen sich die angefragten Finanzämter aus jeder sachlichen Auseinandersetzung bei der Anfrage zur Information nach der DSGVO heraus und verweisen nur noch auf das Urteil, welches ja nun scheinbar einen Freifahrtschein für die Nichtanwendung der DSGVO bei der Finanzverwaltung ermöglichen soll.

Das Urteil ist in vielen, ja in fast allen Punkten angreifbar. Leider reicht es nicht, dieses einfach nur zu behaupten. Die schiere Textmenge des Urteils zwingt den Leser jedoch jedem dieser Sätze nachzulaufen und jeden einzelnen Gedankengang zu analysieren. Nachfolgend der Versuch des Verfassers einzelne Gedanken zu diskutieren. Es wird nicht die Behauptung aufgestellt, jede Meinung in allen Quellen verfolgt zu haben, es geht nur um einen ersten Überblick.

A. Analyse des typischen Akteninhaltes

Das Urteil des FG München bejaht richtigerweise in Rn. 19, 20 die Anwendbarkeit der DSGVO gegenüber dem Finanzamt.

Ab den Rn. 22 bis 69 werden die Tatbestandsmerkmale des Art. 2 DSGV

I. personenbezogene Daten
II. Verarbeitung von Daten
III. Beabsichtigte Speicherung in ein Dateisystem

besprochen.

I. Personenbezogene Daten

Das Urteil des Finanzgericht München führt in den Rn. 22 bis 36 aus, dass der Begriff „personenbezogene Daten“ weit auszulegen ist.

Im Sinne dieser Verordnung kann auf die Legaldefinition des Art. 4 Nr. 1 DSGVO zurückgegriffen werden.

Weiter kann für die Auslegung des Merkmals der personenbezogenen Daten auf die Rechtsprechung des Bundesgerichtshof vom 02.02.2022, VI ZR 14/21, Bezug genommen werden.  Der BGH definiert personenbezogene Daten in diesem Urteil wie folgt (Hervorheb. d. d. Unterz.):

„Personenbezogene Daten sind danach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition und der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. Senatsurteil vom 15. Juni 2021 – VI ZR 576/19, WM 2021, 1376 Rn. 22 mwN; EuGH, Urteil vom 20. Dezember 2017 – Rs. C-434/16, NJW 2018, 767 Rn. 33-35 noch zu Art. 2 lit. a der Richtlinie 95/46/EG)“

1. Unmittelbarer Bezug nicht erforderlich

In der Rn. 58 (3.4) ist das Finanzgericht München der Ansicht, in der papiernen Steuerakte vorhandene „Bearbeitungsvermerke, Bearbeiternamen, rechtliche Analysen und Subsumtionen“ seien „Einzelangaben ohne unmittelbaren Bezug auf den Betroffenen“. Damit stellt es sich gegen die zuvor zitierte Auffassung des BGH.

Nicht nachvollziehbar ist in diesem Zusammenhang die Überlegung des FG München, es sei bei den Daten in einer papiernen Steuerakte zu differenzieren zwischen einem unmittelbaren Bezug und einen ohne-unmittelbaren Bezug auf den Betroffenen. Woher sich diese Berechtigung der Differenzierung ergeben könnte, teilt das Finanzgericht nicht mit. Diese Überlegung ist von keinerlei gesetzlichen Grundlage getragen. Worin sollte die Abgrenzung denn bestehen, wenn eine rechtliche Analyse des konkreten Steuerfalls und eine Subsumtion der anzuwendenden Normen nichts mit dem Auskunftsberechtigten zu tun haben soll? Wenn eine Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist, dann handelt es sich u ein „personenbezogenes Datum“ im Sinne von Art. 15 DSVO (BGH a.a.O.) Es gibt keine Differenzierung zwischen unmittelbarem und „ohne unmittelbarem“ Bezug, wenn die Verknüpfung mit der Person da ist, ist das Datum personenbezogen.

Es ist schlechterdings unvorstellbar, dass „Bearbeitungsvermerke“ und „rechtliche Analysen und Subsumtionen“, die vom Bearbeiter in einer Steuerakte eines Steuerpflichtigen angefertigt werden, keine Verknüpfung mit dem betreffenden Steuerpflichtigen haben könnten – was hätten sie dann in dessen Akte zu suchen?

2.    Personenbezogene Daten und Dokumente, die u.a. personenbezogene Daten enthalten

Das Finanzgericht München will sodann in den Rn. 28 ff. eine Differenzierung aufbauen zwischen den personenbezogenen Daten an sich und den Dokumenten, die u. a. personenbezogene Daten enthalten. Dieses wird begründet mit einer nicht mehr geltende Richtlinie und Rechtsprechung zu diesem nicht mehr geltenden Richtlinie. Dies dürfte juristisch nicht haltbar sein.

Vielmehr dürfte es richtig sein, die Rechtslage anhand der aktuell geltenden Normen zu beurteilen, nicht aber anhand aufgehobener Richtlinien und der dazu früher einmal ergangenen Urteile.

Rechtsprechung des EuGH mit Aktenzeichen aus den Jahren 2012 und 2015 kann mit der Anwendung und Auslegung der heutigen DSGVO nichts zu tun haben, denn in diesen Jahren gab es die DSGVO noch nicht. Bekannterweise arbeitet der EuGH auch nicht mit einem obiter dictum und will in seinen Urteilen auch niemals mehr regeln als den aktuellen Fall. Die Überlegung des Finanzgericht München zu diesen alten, nicht passenden Fällen ist daher nicht überzeugend.

Man wird sich also an den aktuell geltenden Gesetzestext des Art. 4 Nr. 1 DSGVO halten müssen, wonach „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“, personenbezogene Daten sind.

Informationen in einer Akte des Finanzamtes sind in diese Akte durch einen intellektuellen Willensakt eines Veranlagungsbeamten, eines Betriebsprüfers oder sonstigen Mitarbeiters des Finanzamtes aufgenommen worden. Durch diese intellektuelle Zuordnung handelt es sich also um eine Information, die sich auf die identifizierte Person bezieht, für die die Steuerakte geführt wird, nämlich den Steuerpflichtigen. Es ist nicht vorstellbar, um was für Informationen oder Daten es sich handeln könnte, die in einer Steuerakte abgelegt wurden, aber nichts mit dem Steuerpflichtigen zu tun haben. Und wiederholt müsste dann die Frage gestellt werden: was haben solche Informationen oder Daten dann in dieser Akte zu suchen? Warum wurden sie dort abgelegt, wenn sie sich gar nicht auf den Steuerpflichtigen beziehen?

Fazit: Der Inhalt einer Steuerakte kann also nur aus personenbezogene Daten im Sinne der Art. 4 Nr. 1, 5 DSGVO bestehen.

Auch die weiteren Ausführungen des FG München zu der veralteten Richtlinien-Rechtsprechung des EuGH passen nicht zu der aktuell geltenden Datenschutz-Grundverordnung. Dies resultiert bereits aus dem Unterschied des Rechtscharakters von Richtlinie und Verordnung.

Die Richtlinie ließ den Mitgliedstaaten Raum für Umsetzung und Auslegung. Eine Verordnung lässt diesen Raum gerade nicht. Eine Übertragung von Rechtsprechung zu einer (aufgehobenen) Richtlinie auf eine aktuell geltende Verordnung verbietet sich bereits aus diesem Grund.

Die in Rn. 39 des Urteils des FG München vorgenommene Behauptung, es genüge zur Erfüllung der aufgehobenen Richtlinie eine Übersicht über die in der Entwurfsschrift wiedergegebenen Daten, geht an der heute geltenden gesetzlichen Konstruktion der Datenschutz-Grundverordnung vorbei. Weder der EuGH noch der Verordnungsgeber der DSGVO selbst hat es den Mitgliedstaaten überlassen, wie die in der Verordnung selbst vorgenommene Definition der personenbezogenen Daten auszulegen sei. Dazu ist keine einschränkende Ermächtigungsgrundlage vorhanden. Insbesondere über die Frage der Form der Auskunft (Rn. 29 des Urteils des FG München) kommt keine Einschränkung der Rechte der DSGVO in Betracht, denn die DSGVO regelt selbst ausdrücklich, wie die Auskunft zu erfolgen hat. Eine „Übersicht“ ist keine „Kopie“ im Sinne der DSGVO, ein unvollständiges Nacherzählen ist eben nicht die vollständige Information über personenbezogene Daten.

Die Formulierung des Finanzgericht München in Rn. 31 ist daher die glatte Verweigerung des Gesetzestextes. Der Anspruch des Art. 15 Abs. 3 Satz 1 DSGVO richtet sich ausdrücklich auf eine Kopie.

3. Rechtliche Analyse als personenbezogenes Datum

Widersprochen, weil eine Subsumtion am Gesetz vorbei vorgenommen wird, wird der Ansicht, eine rein rechtliche Analyse zu einem Besteuerungssachverhalt stelle kein personenbezogenes Datum dar (Rn. 35 des Urteils). Eine rechtliche Analyse zum Fall des Steuerpflichtigen, in dessen Akte abgelegt, ist sicher unter personenbezogene Daten zu subsumieren, selbst wenn im Text der Name des Steuerpflichtigen nicht ausdrücklich erwähnt wird. Es kommt nämlich nicht darauf an, dass auf jedem Stück Papier der vollständig Vor- und Nachname der betroffenen Person richtig ausgeschrieben ist, ausschlaggebend ist einzig und allein, ob eine Information sich auf eine identifizierbare natürliche Person bezieht (Art. 4 Nr. 1 DSGVO). Das ist bei dem konkreten Steuerpflichtigen durch die Ablage in dessen Steuerakte immer der Fall.

Hinzuweisen ist auf die Kommentierung in Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, zu Art. 2 Rn. 19:

„(…) Die DS-GVO legt hierbei ein weites Verständnis zu Grunde und sie ordnet auch eine Aufzeichnung unter den Anwendungsbereich, wenn sie erst zu einem späteren Zeitpunkt in ein sortiertes Dateisystem aufgenommen werden soll. So fallen etwa einzelne Zettel mit personenbezogenen Daten, die unsortiert in einer Ablage aufbewahrt werden, um später in eine Akte einsortiert zu werden, nicht erst in dem Zeitpunkt unter den Anwendungsbereich der DS-GVO, in dem sie den Akten hinzugefügt werden, sondern bereits im Zeitpunkt ihrer Anfertigung. (…)“

Richtig ist daher einzig, dass alle Informationen, die sich in der Akte des Steuerpflichtigen befinden, sich auf diesen als identifizierbare Person beziehen und damit personenbezogene Daten darstellen.

Nach der gesetzlichen Definition des Art. 4 Nr. 1 DSGVO gibt es keine Ausnahme in der DSGVO und keine Ermächtigungsgrundlage für eine nationale Einschränkungen dieser Norm. Eine nationale Norm, die eine solche Einschränkung behauptet, gibt es ebenfalls nicht.

Zwischenergebnis zu I.:

Der Begriff der personenbezogen Daten ist weit auszulegen und umfasst alle Dokument die u.a. personenbezogene Daten enthalten sowie rechtliche Analysen.

II. Verarbeitung von Daten

Ab Rn. 37 (d) bis Rn. 40 des Urteils des FG München erfolgt die Auseinandersetzung mit dem Tatbestandselement der „Verarbeitung“. Die Überschrift im Urteil benutzt den Begriff „Manuelle oder (teil-) automatisierte Verarbeitung“. In diesem Bereich kommt es zu Darstellungen, denen nicht gefolgt werden kann.

In Rn. 40 behauptet das FG München:

„Nicht automatisiert“ bedeutet „manuelle“ Verarbeitung (Erw. 15). Es darf kein Teilschritt der Verarbeitung automatisiert stattfinden. Soweit die Steuerverwaltung Schriftgut in Papierform in Steuerakten ablegt, ist eine solche manuelle Verarbeitung gegeben.“

Der Erwägungsgrund 15 ist durch das FG München nicht vollständig zitiert. Er lautet wie folgt (Hervorhebg. d. d. Unterz.):

Erwägungsgrund 15 Technologieneutralität*

1Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. 2Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 3Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.

Richtig ist vielmehr nach Satz 2 von Erwägungsgrund 15, dass auch manuelle Verarbeitungen, soweit sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen, vom Anwendungsbereich der DSGVO erfasst sind. Ganz heraus fallen nach Satz 3 lediglich die Akten oder Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind.

Das eigentliche Merkmal, auf das es nämlich ankommt, ist die in Art. 4 Nr. 2 DSGVO legal definierte „Verarbeitung“. Nach dem Wortlaut der Legaldefinition sind das Vorgänge, die „mit oder ohne Hilfe automatisierter Verfahren ausgeführt“ werden. Der Sinn dieses Merkmals besteht bei näherem Hinsehen darin, dem Missverständnis vorzubeugen, eine Verarbeitung personenbezogener Daten liegen nur im Fall der automatisierten Verarbeitung vor (Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 4 Nr. 2 DSGVO Rn. 16). Da für die Annahme einer teilweise automatisierten Verarbeitung bereits genügt, dass ein einzelner Teilschritt automatisiert erfolgt, darf im Umkehrschluss bei der manuellen Verarbeitung überhaupt kein Verarbeitungsschritt automatisiert stattfinden. (Kühling/Buchner DS-GVO, 3. Aufl. 2020, Art. 4 Nr. 2 DSGVO Rn. 17). Da die Papierakte stets in die elektronische Akte eingebunden ist, liegt stets eine auch teilweise automatisierte Verarbeitung vor. Das Merkmal Verarbeitung liegt vor.

Zwischenergebnis zu II.

Zusammenfassend ist er daher festzustellen, dass alle Informationen, die sich in der Akte einen Steuerpflichtigen befinden, personenbezogene Daten iSv. Art. 4 Nr. 1 DSGVO sind, die der Verarbeitung iSv. Art. 4 Nr. 2 DSGVO unterliegen.

III. (Beabsichtigte) Speicherung in ein Dateisystem

1. Dateisystem

In den Rn. 41 bis einschließlich Rn. 46 behauptet das FG München, der Begriff des Dateisystems sei konturlos, ohne auf die gesetzliche Definition in Art. 4 Abs. 6 DSGVO einzugehen. Zwar wird diese Definition zitiert, aber sie wird nicht verwendet, um den Begriff des “Dateisystems“ auszulegen. Vielmehr behauptet das Finanzgericht München in der Rn. 41 des Urteils, dass der Begriff des Dateisystems gemäß der Zitierung von „Kühling DSGVO Art. 6 Nr. 6 Rn. 1“ (gibt es nicht/wahrscheinlich ist Art. 4 Nr. 6 Rn. 1 gemeint) gleichbedeutend mit der Vorgängerschrift der DSGVO verwendeten Begriff der „Datei“ sei und legt den aktuellen Begriff „Dateisystem“ entsprechend der alten Auslegung des Begriffes „Datei“ aus der Vorgängernorm aus. Dies ist nicht haltbar.

Denn zum einen wird vom FG München die im Kühling/Bucher a.a.O. unter Rn. 2 ausgeführte weitere Kommentierung verschwiegen, dass es sich bei dem Gesetzgebungsverfahren dabei immer um den englischen Begriff „filing system“ handelt und die ursprüngliche Einengung auf das Wort „Datei“ (statt Dateisystem, wie in der aktuellen Fassung der DSGVO) nur durch die Rückübersetzung in die deutsche Sprache während des Gesetzgebungsvorgang vorhanden war. Es geht (und ging auch früher schon) nicht um die „Datei“, sondern um das „Dateisystem“. So steht es im Gesetz und im Kommentar, nicht aber im Urteil des FG München.

Zum anderen ist der vom Finanzgericht München vorgenommene Rückgriff auf das Wort „Datei“ und ein Urteil des EuGH zu der abgelösten „Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ juristisch wenig überzeugend. Ein aktuelles Gesetz mit den nicht übereinstimmenden Worten des abgelösten Gesetzes auszulegen, ist systematisch falsch. Demgemäß kann aus dieser Argumentation nicht die Behauptung abgeleitet werden, der Begriff des Dateisystems sei „konturlos“. Die Argumentation mit einer Rechtsprechung zu einem anderen Wort aus einem anderen Gesetz bringt keinen Erkenntnisgewinn für das aktuelle Gesetz.

2. Anzahl der Ordnungskriterien

Zur Ausfüllung des Wortes Dateisystem kann richtigerweise ergänzend (vgl. Rn. 48 des Urteils des FG München) auf Erwägungsgrund 15 hingewiesen werden, wonach Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich dieser Verordnung fallen sollten – also eine Negativabgrenzung vorgenommen wurde.

a. Keine Notwendigkeit mehrerer (mind. zwei) Kriterien

In dem Urteil des FG München wird allerdings sodann behauptet:

Allerdings kann damit nicht gemeint sein, dass eine einzelne Akte innerhalb einer Aktensammlung etwa nach dem einem Kriterium „Name“ bzw. „Steuernummer“ aufgefunden werden kann, da sonst jede Aktensammlung „nach bestimmten Kriterien geordnet“ erschiene und deren Ausnahme vom Anwendungsbereich der DSGVO gänzlich leerliefe. Denn eine Aktensammlung ohne wenigstens ein Ordnungskriterium zur Reihung der enthaltenen Akten ist praktisch kaum vorstellbar.“

Diese Auslegung des FG München ist jedoch falsch. Denn richtig ist demgegenüber, dass genau die Aktensammlungen, die (mindestens) ein Ordnungskriterium haben, vom Anwendungsbereich der DSGVO erfasst werden. Ein juristisch nicht nachvollziehbares Argument aus dem Urteil ist: „es kann damit nicht gemeint sein…“. Doch, genau das ist es nämlich, was im Erwägungsgrund 15 wörtlich enthalten ist.

Richtig ist in dem Urteil durch das FG München erkannt, dass eine Aktensammlungen ohne wenigstens ein Ordnungskriterium praktisch kaum vorstellbar ist. Sobald aber ein Kriterium zur Ordnung der Akte oder Aktensammlungen vorhanden ist, fallen diese Informationen/Daten in den Anwendungsbereich der DSGVO, jede andere Auslegung läuft dem Wortlaut des Erwägungsgrund 15 zuwider.

Die weitere Behauptung des FG München in Rn. 49 des Urteils, dass es eine herrschende Meinung zur Bejahung einer „Ordnung nach Kriterien“ in der Form gäbe, dass zumindest die Sammlung nach zwei Kriterien sortiert zu sein habe, ist objektiv falsch. Die in dem Urteil angegebene Literaturstelle „Kühling, DSGVO Art. 2 Rn. 18“ verweist in der Fußnote 33 auf zwei verschiedene Autoren, von denen der eine Autor die Meinung vertritt, es müsse nach zwei Kriterien sortierbar sein, während der andere Autor meint, ein Kriterium sei ausreichend. Beide Autoren äußern sich jedoch nicht zu dem aktuellen Gesetz der DSGVO, sondern es handelt sich in beiden Fällen um Meinungen zum Bundesdatenschutzgesetz in der alten Fassung. Ob das übertragbar ist, wird stark bezweifelt.

Festzuhalten ist damit, dass es keine und schon gar nicht eine „herrschende“ Meinung in der Literatur zur aktuellen DSGVO gibt, wonach zwei Ordnungskriterien notwendig seien.

Der Meinung, es müssten zwei Kriterien vorhanden sein, kann aber schon aus grundsätzlichen Erwägungen nicht gefolgt werden. Denn es findet sich keine gesetzliche Formulierung, die auf einen angeblich notwendigen Plural der Anwesenheit zweier oder mehr Kriterien hinweist.

Zwar verwendet der Wortlaut des Erw.-Grundes 15 Satz 3 den Plural, will aber durch den Hinweis auf den allgemein verwendeten Plural sicher nicht zwei oder mehr Kriterien vorschreiben. Daraus die Notwendigkeit zweier Kriterien abzuleiten, ist nicht zwingend. Es gibt keine Meinung, außer der des Finanzgerichts München, die eine Anforderung von mindestens zwei Kriterien für die Definition „Dateisystem“ innerhalb der DSGVO behauptet.

b. Tatsächliches Vorhandensein von drei Ordnungskriterien in jeder Steuerakte

Weiter behauptet das FG München in Rn. 49 fälschlicherweise, dass bei der Sammlung der Steuerakten, die lediglich nach Aktenzeichen bzw. Steuernummern abgelegt sind, diese nicht nach zumindest zwei Kriterien sortierbar seien. Durch das Wort bzw. (beziehungsweise) machen die dortigen Richter deutlich, dass ihnen sehr wohl bekannt ist, dass jegliches Papier der Steuerakte sowohl nach (1.) der Steuernummer als auch (2.) der Steuer-Identifikationsnummer und weiter (3.) dem persönlichen Namen des Steuerpflichtigen bei den Finanzämtern auffindbar ist. (vgl. auch die Formulierung in der Rn. 36 unter (2.3) (Hervorhebg. d. d. Unterz.):

„…unter dessen Namen bzw. der mit diesen verknüpften Steuernummer geführt werden und somit die enthaltenen Schriftstücke und die aufgebrachten Vermerke in Bezug zum Kläger setzen.“

Das (vermeintliche) Erfordernis von zumindest zwei Ordnungskriterien ist bei Akten des Finanzamtes daher immer erfüllt (und sogar übererfüllt).

Hinzuweisen ist weiter darauf, dass diese Auseinandersetzung ohnehin nie relevant wird, denn die steuerliche Papierakte ist nur ein Teil eines System der Ablage, welches durch viele weitere Sortierkriterien erschlossen werden kann. Denn der elektronische Zugriff bietet alle nur denkbaren Sortierfunktionen. Die Papierakte ist notwendiger Teil dieses Systems. Zu beurteilen ist nämlich nicht ein ausgelagertes Teil des Dateisystems (also eine Papierakte, oder drei noch nicht eingeheftete Einzelpapiere), sondern das gesamte Dateisystem, welches bei dem beklagten Finanzamt vorhanden ist. Dieses verbindet die elektronische Akte mit der in Papierform geführten Teilakte.

IV. Keine Ordnung durch bloße historische Ablage?

In Rn. 50 behauptet das Finanzgericht München, dass in Steuerakten die Dokumente als Volltext ohne weitere Ordnung nach Kriterien in historischer Reinreihung abgelegt seien und will daraus die Rechtsfolge ziehen, dass etwas in besonderem Maße gelte. –

Dies ist aus folgenden Überlegungen nicht zutreffend:

  • Steuerakten sind nicht (ausschließlich) historisch aufgebaut sind, denn es gibt Sonderprüfungsakten, es gibt UmsatzsteuerSonderprüfungsakten, es gibt Akten mit Schriftverkehr, es gibt Bilanzakten und Ähnliches, die historische Reihenfolge ist in keiner Akte vollständig vorhanden. Die historische Reihenfolge ist deshalb unterbrochen, weil Vorgänge anderen Akten zugeordnet werden. Dieses ist gerichtsbekannt.
  • Weiterhin werden nicht alle Inhalte in den Papierakten abgelegt. In einem klägerischen Schriftsatz, wurde angefragt, wo beispielsweise verschiedene E-Mails abgelegt worden sind. Eine Antwort ist nicht gekommen. Bekannt ist aber, dass nicht jeder Schriftverkehr für die Papierakte ausgedruckt und eingeheftet wird. Die historische Reihenfolge ist damit unterbrochen, weil eine andere Sortierordnung verfolgt wird.

Im Übrigen ist die Behauptung, es gäbe Steuerakten, in der Dokumente als Volltext ohne weitere „Ordnung nach Kriterien“, weil in historischer Reihung abgelegt – was immer bestritten wird – allerdings völlig belanglos. Es kommt nicht darauf an, ob die einzelnen Papierakten ordentlich (historisch korrekt) oder nach einem anderen System geführt wurden. Da bei jeder Steuerakte mindestens 3 Ordnungskriterien vorhanden sind, nämlich Name, Steuer-Nr. und Steuer-ID-Nr. des Steuerpflichtigen, kommt es auf die (ggfl. historische) Reihenfolge der Abheftungen nicht an – die Annahme des FG München, es gäbe „Steuerakten, in der Dokumente als Volltext ohne weitere „Ordnung nach Kriterien“ abgelegt sind“ (in welcher Reihenfolge auch immer), ist schlichtweg nicht zutreffend, da in der Praxis nicht vorhanden.

So seht dies auch die Literatur (Hervorhebg. d. d. Unterz.):

„Dem weiten Anwendungsbereich der DSGVO stünde es entgegen, allzu strenge Anforderungen an den Zugang zur Sammlung zu stellen, so dass es ausreichend erscheint, wenn die Ordnung mit verhältnismäßigem Aufwand herzustellen ist. (…) auch Akten können unter den Begriff Dateisystem fallen sofern sie (…) nach bestimmten Kriterien geordnet sind. Die Ordnung innerhalb der Akte ist dabei unerheblich.“ (Kühling /Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 4 Nr. 6. Rn. 5 m.w.N.).

V. Zwischenergebnis zu A.

Bereits an dieser Stelle kann subsumiert werden, dass für alle beim Finanzamt vorhandenen Akten eines Steuerpflichtigen der sachliche Anwendungsbereich des Art. 2 Abs. 1 DSGVO gegeben ist, denn die personenbezogenen Daten des Auskunftsberechtigten liegen beim Finanzamt in einem Dateisystem vor, welches nach bestimmten Kriterien (Steuernummer, Steuer-Identifikation-Nummer und Name und alle elektronischen Sortierfunktionen) zugänglich ist und einer Verarbeitung unterliegt.

V.   Sonstige vermeintliche Auskunftsverweigerungsgründ

1. Aufwand der Auskunftserteilung als Verweigerungsgrund?

In Rn. 52 seines Urteils behauptet das Finanzgericht München:

„Anders als bei einer Sammlung von in sich strukturierten Einzelblättern ist der Aufwand des Heraussuchens von Einzelangaben zu einem bestimmten Kriterium aus einer Akte gerade kein „Leichtes“. Vielmehr benötigte ein menschlicher Bearbeiter, der für eine Auskunft alle Einzelangaben aus den in einer umfangreicheren Steuerakte enthaltenen Schriftstücken heraussuchen wollte, viel Zeit – im Einzelfall wohl Stunden. Im Ergebnis kann daher bei Akten – insbesondere Papierakten -, die umfangreiche, nicht weiter strukturierte Einzeldokumente enthalten, nicht von vorneherein einer „Speicherung in einem Dateisystem“ ausgegangen werden.“

Diese Ansicht ist systematisch falsch. Wenn bereits nach der unter vorstehendem Gliederungspunkt V. dargestellten Subsumtion der sachliche Anwendungsbereich nach Art. 2 Abs. 1 DSGVO bejaht werden kann, so kommt es nicht darauf an, ob der Auskunftsverpflichtete die Durchführung der Rechtsfolge als aufwändig oder mühsam oder sonst etwas bezeichnen möchte. Denn innerhalb des Art. 2 DSGVO findet sich diese Einschränkungsmöglichkeit nicht. Sicher ist auch, dass das Anliegen, bestimmten Verantwortlichen den mit der Erfüllung bestimmten Betroffenenrechte verbundenen Aufwand zu ersparen, für sich genommen kein tauglicher Beschränkungszweck ist.

Nur wenn und insoweit dieser Aufwand zur Folge hat, dass eines der in Art. 23 Abs. 1 genannten Rechtsgüter oder Interessen beeinträchtigt wird, kommt eine Beschränkung in Betracht (Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 23 DSGVO, Rn. 12).

Die weitere Behauptung in dem Urteil des Finanzgerichts München, dass das Element „Speicherung in einem Dateisystem“ deshalb wegfalle, weil bei umfangreichen Papierakten die Auskunftserteilung Stunden in Anspruch nähme, ist nichts anderes als das Erkennen der Tätigkeit aus der Rechtsfolge der gesetzlichen Vorschrift. Es ist daher nicht nachzuvollziehen, dass ein „Dateisystem“ deshalb verneint werden könne, weil die Arbeit der verlangten Information kein „Leichtes“ sei.

Weiterhin muss bestritten und damit festgestellt werden, dass die Behauptung, das Heraussuchen von verlangten Informationen/Daten aus einer Akte sei etwas Schweres oder etwas Leichtes, als keine nachprüfbare Tatsache ist. Es wird vom FG München einfach nur als Behauptung in den Raum gestellt, die von keinerlei Tatsachenschilderung untermauert ist.

Konkret wird für jeden Fall zu bestreiten sein, dass es für das angefragte Finanzamt „nicht leicht“ sei, die begehrte Auskunft zu erteilen.

Es ist weiterhin nicht richtig, dass der Anspruch auf Auskunft nach Art. 15 DSGVO nur dann zu erfüllen sei, wenn er etwas „Leichtes“ ist.

Das Kopieren der gesamten Papierakte und das Umspeichern aller digitalen Informationen ist immer leicht, etwas weniger leicht wird es nur, wenn das jeweilige beklagte Finanzamt die eigenen Datenbestände nicht aufgeräumt hat.

Ein Dateisystem bleibt ein Dateisystem, auch wenn das Heraussuchen aus diesem Dateisystem dem Betreiber dieses Dateisystems leicht oder weniger leicht fällt. Die Behauptung, ein Dateisystem sei dann keine Dateisystem mehr, wenn das Heraussuchen kein „Leichtes“ sei, ist eine Fehlinterpretation. Ein Dateisystem liegt dann vor, wenn es nach einem Kriterium geordnet ist. Diese Subsumtion verändert sich nicht, wenn in einem nachfolgenden Gedankengang geprüft wird, ob dieses komfortabel oder nicht komfortabel abfragbar ist.

Es erscheint dem Verfasser eine absurde Überlegung zu sein, die Papierakten bei den Finanzämtern seien kein taugliches Dateisystem, um dem Steueranspruch des Staates Genüge zu tun. Warum sonst sollten diese angelegt sein? Gibt es einen anderen Grund in den Aufgaben der Finanzverwaltung die Papierakten zu führen als in Erfüllung der Aufgabe?

2. Kein Dateisystem, weil umfangreiche Aktensammlung/ unstrukturierte Aktenbündel?

In der Rn. 53 unterstellt nunmehr das Finanzgericht München, es würden bei jedem Steuerpflichtigen „derart umfangreiche Aktensammlungen mit einer großen Zahl nicht weiter strukturierte Dokumentenbündel“ bestehen.

Diese grundsätzliche Behauptung stimmt nicht, weder abstrakt noch im konkreten Fall.  Kein Finanzamt bewahrt „nicht weiter strukturierte Dokumentenbündel“ auf, bei denen nicht der Name des Steuerpflichtigen und seine Steuernummer auf dem Aktendeckel steht; es gibt keine Akte, die nicht einem Steuerpflichtigen zugeordnet werden kann. Damit ist die Struktur und daraus folgend die Zugehörigkeit auch der Papierakte zu einem Dateisystem gegeben.

Unbestritten ist, dass es einzelne Steuerpflichtige gibt, für die das Finanzamt eine umfangreichere Aktensammlung angelegt hat als für andere. Für den jeweils konkreten Fall ist das als Tatsache von der Finanzverwaltung erst darzulegen und zu beweisen. Daher wird es in den meisten Fällen nicht notwendig zu sein, dem Gedankengang aus Rn. 54 des Münchener Urteils zu folgen. Das Urteil des Finanzgericht München will nämlich einzig und allein für „große Aktensysteme“ eine Differenzierung, aufbauend auf einer Funktionsanalyse, vornehmen.

Wenn auch nicht relevant für die Verfahren, so ist auch dieser weitere Gedankengang des FG München nicht nachzuvollziehen. Es ist für die Anwendung der DSGVO egal, ob der Auskunftsverpflichtete insgesamt (für alle seine Kunden) ein großes Aktensystem unterhält. Weder in der DSGVO allgemein noch in den Vorschriften der Abgabenordnung findet sich eine Vokabel der „großen Aktensysteme“ geschweige eine an diese Vokabel anknüpfende Rechtsfolge.

Die grundsätzlich gegebene Berechtigung, Auskunft nach Art. 15 DSGVO zu verlangen, wird nicht dadurch eingeschränkt, dass der Auskunftsverpflichtete von sich behauptet (oder es auch durchführt), er würde eine große Datensammlung (oder ein großes Aktensystem) unterhalten. Eine derartige Einschränkung ergibt sich weder aus dem Wortlaut des Art. 15 DSGVO noch aus der Ermächtigungsgrundlage der möglichen Einschränkung gemäß Art. 23 DSGVO. Schließlich hat auch der deutsche nationale Gesetzgeber für die Formulierung einer Einschränkung aufgrund dieses angeblichen Kriteriums in der Abgabenordnung nicht Gebrauch gemacht. Es gibt keine Ermächtigungsgrundlage und es gibt keine gesetzliche Regelung, die eine Einschränkung überhaupt für möglich hält, wenn der Auskunftsverpflichtete insgesamt eine große Menge an Daten unterhält.

Die Überlegung des Finanzgericht München ab Rn. 53 des Urteils zur Differenzierung bei großen Aktensystemen erfolgen daher ohne Rechtsgrundlage. Es kommt noch nicht einmal darauf an, ob die Ausführungen der Rn. 54 ff. nachvollziehbar sind oder nicht.

3. Die steuerliche Papierakte als „Schriftgutsammlung nicht weiter strukturierter, ungleich aufgebauter Texte“

In den Rn. 55-57 (3.1, 3.2, 3.3) des Münchner Urteils werden steuerliche Aktensysteme genannt, die unstreitig personenbezogene Daten darstellen.

In der Rn. 58 (3.4) wird sodann behauptet, die Papierakte sei nicht in den Schutzbereich der DSGV einbezogen, wohl weil es sich bei der „Schriftgutsammlung um selbst nicht weiter strukturierte ungleich aufgebaute Texte handele.“ Diese enthalten personenbezogene Daten, wird zugestanden, darüber hinaus

enthalten (S)ie aber auch eine Vielzahl von Einzelangaben ohne unmittelbaren Bezug auf den Betroffenen- etwa Bearbeitungsvermerke, Bearbeiternamen, rechtliche Analysen und Subsumtionen. Zum – auch – auf den Betroffenen bezogenen „Sammel“-Datum werden Letztere Informationen überhaupt erst durch die Aufnahme des Schriftstücks in die Schriftgutsammlung, die ihrerseits unter dem Namen des Betroffenen geführt wird. Die enthaltenen Einzelangabe aber „schlummert“ ungehoben in den Volltexten der Schriftgutsammlung. „Eine „Strukturierung nach bestimmten Kriterien“ zur leichten Wiederauffindung (vgl. oben 2.3) erkennt der Senat in diesen noch „ungehobenen“ Einzelangaben gerade nicht“.

Diesen Gedanken muss an vielen Stellen widersprochen werden.

Zunächst bleibt festzustellen, dass auch die Papierakte ein „Dateisystem“ im Sinne der DSGVO ist.  Der Volltext der Schriftgutsammlung ist ein Dateisystem im Sinne der DSGVO, denn auf diesen kann vermittels der stets vorhandenen Ordnungskriterien des Namen des Steuerpflichtigen, dessen Steuernummer sowie dessen Steuer-ID-Nr. zugegriffen werden. Die Papierakte ist ohnehin nicht separat zu betrachten, sondern sie ist Teil des bei dem beklagten Finanzamt geführten Dateisystems insgesamt. Warum sonst sollte sie sonst vorhanden sein?

Die Meinung des Finanzgericht München, dass der sachliche Anwendungsbereich der DSGVO erst dann anfängt, wenn aus den Schriftgutsammlungen durch menschliches Handeln eine Extraktion stattfindet und dadurch die Einzelangaben in ein (gemeint ist wohl computergestütztes) Dateisystem überführt werden, ist sachlich falsch.

Denn der intellektuelle Akt der Zuordnung zu einem Dateisystem (also das Heben des Schatzes) ist schon bei der Einfügung der Einzelangabe (als Beispiel: das Einheften des Briefes des Steuerberaters mit einem Antrag und einer Begründung) in das System der Papierakte erfolgt. Die Extraktion von Papier mit personenbezogenen Daten zu der Unterscheidung von Papieren ohne personenbezogene Daten (der Steuerberater hat aus Versehen den Flyer eines Pizzadienstes beigelegt) hat bei dem Aufnahmevorgang in die Papierakte bereits stattgefunden, indem der Flyer aussortiert wurde. Denn weder Veranlagungsbeamte noch Betriebsprüfer heften Papiere in die Papierakte (als Teil des gesamten Dateisystems), wenn diese nach Meinung der jeweiligen Beamten nichts mit dem Fall zu tun haben. Es gibt keine Akte beim Finanzamt, in der blind und ohne Zusammenhang Schriftstücke als Schriftgutsammlung geführt werden, die nicht zu einer konkreten Person und zu einem konkreten Steuerfall geführt werden.

Darüber hinaus wird bezweifelt, dass an einem Stück Papier überhaupt eine Unterscheidung durchgeführt werden kann, dass aus diesem personenbezogene Daten von nicht personenbezogenen Daten getrennt werden könnten. Welche nicht personenbezogenen Daten würden in dem Schriftsatz des Steuerberaters mit seinem Antrag und seiner Begründung als nicht personenbezogene Daten zu qualifizieren sein?  Die Differenzierung zwischen Einzelangaben „ohne unmittelbaren“ Bezug auf den Steuerpflichtigen und Einzelangaben mit einen Bezug auf den Steuerpflichtigen ist am Gesetz vorbei in die Meinung des Finanzgericht München einbezogen worden. Diese Differenzierung ist in der Praxis auch nicht durchführbar. Die Schriftgutsammlung insgesamt ist Teil des Dateisystems.

Es gibt keine „internen Bearbeitungsvermerke“ (vergleiche Rn. 62 / 3.8), die ihrerseits bei der Frage der Auskunftserteilung dem Auskunftsanspruch des Art. 15 DSGVO nicht unterfallen würden. Für die Bearbeitungsvermerke, die bereits in elektronischen Datenfeldern gespeichert sind, wird das ohnehin nicht bestritten, übrigens auch nicht vom FG München. Da die Papierakte ein Teil des Datensystems ist, kann keine andere Beurteilung eintreten. Die Behauptung, ein interner Bearbeitungsvermerk habe eine Doppelnatur auch als personenbezogene Daten des Autors ist nicht zu beachten („vergleiche dazu hinten“ ist die Bemerkung des Gerichts, auch hier wird die Begründung verschoben).

Der Auskunftsanspruch des Art. 15 Abs. 3 Satz 1 DSGVO richtet sich auf eine „Kopie“ der personenbezogenen Daten. Es geht also nicht um die angeblich zu extrahierten Einzelauskünfte, sondern um die gesamten personenbezogenen Daten, so wie der BGH dieses versteht (Urt. vom 02.02.2022, VI ZR 14/21, Rn. 11).

Dieses gilt natürlich auch für Bearbeitungsvermerke, Bearbeiternamen, rechtliche Analysen und Subsumtionen. In welcher Schriftgutsammlung, die nicht unter dem Namen des Betroffenen geführt wird, soll sich eine rechtliche Analyse des konkreten Steuerfalls und eine Subsumtion des konkreten Steuerfalls denn befinden? Eine sachverhaltslose Sachbearbeitung ohne einen Steuerpflichtigen in einer Nichtakte – soll diese Überlegung der Standardfall in den Finanzämtern sein? Das gibt es nicht. All diese Texte werden immer in der konkreten Akte des Steuerpflichtigen geführt. Das sieht auch das Finanzgericht München so, denn sonst würde es diese Elemente in der Diskussion nicht aufgreifen.  Eine Subsumtion oder Analyse eines konkreten Steuerfalls ist keine ungehobene Einzelangabe; sie ist zielgerichtet in der Akte des Steuerpflichtigen entstanden.

Dieser Versuch des Finanzgericht München zu unterscheiden zwischen einem Dateisystem, welches vor Erfindung des Computers das einziges Dateisystem war, welches den Finanzämtern die Möglichkeit gegeben hat, Steueransprüche zu erkennen und durchzusetzen und einem Teil des jetzigen Systems, welches sich aus eben jenem alten Papiersystem in Verbindung mit einer computergestützten Oberfläche darstellt, kann nicht überzeugen.

Im Übrigen ist für das Wort „Kopie“ auf die Vorlage an den EuGH des Bundesverwaltungsgerichtes Österreich Spruch W211 2222613-2/12E vom 09.08.2021 hinzuweisen. Dieses diskutiert in seiner Vorlagefrage viele Facetten aber nicht die Frage, ob als Kopie die extrahierten personenbezogenen Daten aus einem oder mehreren Blatt Papier zu verstehen sind.

Die Ausführungen des Finanzgericht München überzeugen aber auch in einem weiteren Punkt nicht. Würde man alle Informationen aus den Papierakten, die nicht ausdrücklich die zugestandene Einzelangaben enthalten (also die personenbezogenen Angaben), aussondern dürfen, könnte man, auf die Spitze getrieben, den Auskunftsberechtigten damit abspeisen, dass man auch in Papieren, in denen eine personenbezogene Angabe steht, nur diese Angabe zeigen und die übrigen Sätze und Worte weglassen (z.B. schwärzen).  Diese Sätze und Worte ordnet man dann einfach den nicht personenbezogenen Daten zu. Dies verdeutlicht, dass man den Terminus „personenbezogene Daten“ nicht in Sinne einer „Einzelangabe“ (oder eines Einzelwortes) verstehen darf, sondern im Zusammenhang mit der inhaltlichen Umgebung als „Informationen, die sie sich auf eine identifizierte oder identifizierbare Person beziehen“ (so der Wortlaut von Art. 4 Nr. 1 DSGVO).

In den Rn. 63 und 64 (4) erkennt das Finanzgericht München sehr wohl, dass der Auskunftsverpflichtete gemäß Art. 12 Abs. 3 Satz 1 DSGVO zu einer unverzüglichen Auskunft verpflichtet ist. Warum in die Durchsicht durch einen Menschen erfolgen muss, um Einzelangaben erst zu „heben“ und damit in „leicht auffindbaren Datenbereiche“ zu bewegen ist nicht ersichtlich. Datenbereiche, die der Auskunft unterliegen, sind nicht zu unterteilen in leicht auffindbare und weniger leicht auffindbare Datenbereiche.

Der weiteren Behauptung in Rn. 64, die DS GVO gehe nicht von einer „derart aufwändige Auskunftsverpflichtung“ aus, ist Meinung und wird von keinerlei gesetzlichen Vorschrift gestützt und ist daher zu widersprechen.

In Rn. 65 (5) des Urteils wird der Versuch einer Differenzierung vorgenommen, die darauf hinausläuft, dass das Finanzamt seinen gesamten Datenschatz geheim halten dürfe, bis es selbst auf die Idee komme, falsche Daten von sich aus zu berichtigen, um sie dann dem Auskunftsberechtigten mitzuteilen. Die gesetzliche Konstruktion eine andere. Der Berichtigungsanspruch aus Art. 16 DSGVO schließt sich zeitlich nachfolgend an den erfolgten Auskunftsanspruch aus Art. 15 DSGVO an. Dieses Recht des Auskunftsberechtigten nach erteilter Auskunft eine Berichtigung zu verlangen, ist jedoch nicht das Recht des Auskunftsverpflichteten die Auskunft zu verweigern, weil seine Angaben ja „vorläufig“ seien. In einem derartigen Kreislauf käme es ja nie zur Berichtigung, denn die Auskunft könne ja zeitlich immer wieder herausgeschoben werden, weil die Daten ja lediglich vorläufig seien. In keinem Fall ist das eine Berechtigung zu Verweigerung des Auskunft.

In Rn. 66 weist das FG München darauf hin, dass kein Löschungsanspruch bestehe. Dieses Argumentation ist irrelevant, denn ob ein Recht auf Löschung bestehet oder nicht ist das kein Verweigerungsgrund gegenüber dem Anspruch aus Art. 15 DSGVO.

Die Vorstellung der DSGVO, dass Daten unrichtig (digital) sein können (so Art. 16 DSGVO), ist als Gesetz hinzunehmen, und daher für den Anspruch nach Art. 15 DSGVO irrelevant.

Das Finanzgericht München zitiert falsch in Rn. 68 (6) des Urteils, wenn es behauptet, der EuGH stelle klar, dass der Auskunftsanspruch nach Art. 15 DS GVO kein Recht auf Zugang zu Verwaltungsdokument sichere. Die dort genannten EuGH-Urteile sind verkündet worden zu einem Regelungswerk, welches durch die DSGVO abgelöst wurde. Die Entscheidung des europäischen Gesetzgebers, in einem neuen Regelungswerk, nämlich der DSGVO einen Anspruch als gesetzlichen Norm zu hinterlegen, kann wohl nicht mit Rechtsprechung zu einem anderen Gesetz negiert werden.

Die Ausführungen des Finanzgericht München in Rn. 69 (7), was vor der Einführung der DSGVO galt, haben mit dem hier geltend gemachten Anspruch nur sehr mittelbar etwas zu tun. Bei dem Anspruch aus Art 15 DSGVO wird kein Anspruch auf „Akteneinsicht“ nach den Vorschriften der Abgabenordnung geltend gemacht. Es wird, um die Norm des Art. 15 DSGVO zu zitieren, eine Kopie der personenbezogenen Daten verlangt. Ob die Sammlungen der übergeben Kopien der personenbezogenen Daten von dem einen oder anderen als Akteneinsicht (umgangssprachlich) bezeichnet wird vermag daran nichts zu ändern.

Als Zwischenergebnis ist festzuhalten, dass die beim Finanzamt befindliche Akte, bestehend aus dem elektronischen Teil und dem damit festverbundenen Teil aus Papier vollständig und ohne Einschränkung dem sachlichen Anwendungsbereich des Art. 2 Abs. 1 DSGVO unterfallen.

B. Die gesetzlichen Beschränkungen des Auskunftsanspruches nach Art. 15 DSGVO

Das Finanzgericht München führt in Rn. 70 aus, dass der Auskunftsanspruch nach Art. 15 DSGVO „mit Blick auf die Beschränkungen des Auskunftsrechts in der DSGV selbst, sowie durch die AO und die allgemeinen Grundsätze entsprechend einzugrenzen ist.“

1. Allgemeine Ausführungen zu den Beschränkungen nach FG München

Richtig ist, dass Art. 23 DSGVO die Ermächtigungsgrundlage für den nationalen Gesetzgeber ist, Einschränkungen der DSGVO vorzunehmen.

In den weiteren Rn. 72-78 versucht das Finanzgericht München die nationalen Normen, die es nachfolgend dann als Beschränkungen 1-7 wiedergibt, schon als eine gegebene Beschränkung durch die Abgabenordnung darzustellen. Ob das richtig ist, wird nachfolgend gezeigt.

Sachlich nicht richtig wiedergegeben wurde in Rn. 79 des Urteils die Vorschrift des Art. 13 Abs. 4 DSGVO, nicht die Auskunftspflicht des Art. 15 DSGVO wird eingeschränkt durch diese Norm, sondern die Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person, das ist eine völlig andere Zielrichtung.

Ab Rn. 82 (2) bis einschließlich 86 des Urteils werden Ausführungen gemacht zu der Überschrift „Kein generelles Akteneinsichtsrecht“. Die Ausführungen haben mit dem Anspruch aus Art. 15 DSGVO nichts zu tun. Sie sind für die Entscheidung irrelevant.

2. Beschränkungsermächtigung der DSGVO für nationale Gesetze und unmittelbare Beschränkungen aus der DSGVO

Gemäß Art. 23 DSGVO sind nationale Einschränkungen der Informations- und Auskunftsrechte nach der DSGVO (u.a. nach den Art. 13 bis 15 DSGVO) zulässig, wobei diese Einschränkungen

den Wesensgehalt der Grundrechte und Grundfreiheiten achten und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen

und die in der nachfolgenden Aufzählung der Norm benannten Zwecken sicherstellen müssen. Für das steuerliche Datenverfahren nach der AO hat hierbei insbesondere (nicht abschließend) der Zweck des Art. 23 Abs. 1 e) DSGVO (mit dem Hinweis auf den Steuerbereich) Bedeutung.

Der Umfang der Diskussion der nationalen Einschränkungen muss sich an diesen Grundgedanken der gesamten Norm messen lassen. Sicher ist jedoch, dass das Anliegen, bestimmten Verantwortlichen den mit der Erfüllung bestimmten Betroffenenrechte verbundenen Aufwand zu ersparen, für sich genommen kein tauglicher Beschränkungszweck ist. Nur wenn und insoweit dieser Aufwand zur Folge hat, dass eines der in Art. 23 Abs. 1 DSGVO genannten Rechtsgüter oder Interessen beeinträchtigt wird, kommt eine Beschränkung in Betracht (Kühling/ Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 23 DSGVO, Rn. 12).

Als Zwischenergebnis kann hier bereits ausgeführt werden, dass unabhängig von dem Inhalt der nationalen Umsetzungsnormen der Aufwand in keinem Fall taugliches Kriterium ist, eine Beschränkung der Rechte aus Art. 15 DSGVO zu begründen.

Keine Beschränkung des Auskunftsrechtes aus Art. 15 DSGVO stellt Art. 13 Abs. 4 DSGVO dar. Die Voraussetzung der Anwendung dieser Norm ist die Erhebung von Daten bei der betroffenen Person. In diesem Fall – also im Zeitpunkt der Erhebung der Daten – stellen die Absätze 1 bis 3 des Art. 13 DSGVO sicher, dass die dort konkrete beschriebenen Informationen dem Betroffenen mitgeteilt werden, und zwar ohne gesondertes Auskunftsersuchen wie etwa in Art. 15 DSGVO (dort: „… hat das Recht … zu verlangen“). Es handelt sich bei Art. 13 DSGVO also eine Informationspflicht, nicht um ein Auskunftsrecht und steht zudem in keinem Zusammenhang mit Art. 15 DSGVO.

Rechtfolge des Art 13 Abs. 4 DSGVO ist einzig, dass die Informationsverpflichtungen aus den Abs. 1, 2 und 3 keine Anwendung finden, insoweit die betroffene Person bereits über die Informationen verfügt, die mitzuteilen wären (Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 13 DS-GVO, Rn. 84).

Art. 13 Abs. 4 DSGVO tritt nicht neben die Ermächtigungsgrundlage des Art. 23 DSGVO als eine weiteren Einschränkungsmöglichkeit der Rechte aus Art. 15 DSGVO.

Die in Rn. 79 des Urteils des Finanzgericht München behauptete Beschränkung des Auskunftsrechts nach Art. 15 DSGVO nach der DSGVO ist daher nicht gegeben.

3. Nationale Umsetzung der Beschränkungsmöglichkeiten der DSGVO

In Deutschland wurde von der Beschränkungsmöglichkeit des Art. 23 DSGVO für den Bereich der Steuern durch die Einfügung der §§ 32a ff. AO Gebrauch gemacht.

a. Einschränkung des Auskunftsrechts durch §§ 32a und 32b AO?

§ 32a AO betrifft die Informationspflicht der Finanzbehörde gemäß Art. 13 Abs. 3 DSGVO bei Erhebung personenbezogener Daten bei betroffenen Personen bei diesen selbst.

§ 32b AO betrifft die Informationspflicht der Finanzbehörde gemäß Art. 14 Abs. 1, 2 und 4 DSGVO, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden.

Diese beiden Normen sehen keine Rechtsfolge zur Einschränkung der Auskunftsverpflichtung des Art. 15 DSGVO vor.

Die vom Finanzgericht München aufgezählten Beschränkungen 1-3 und 5 sind (vgl. Rdnr. 74, 88 nicht deckungsgleich ausgeführt) ausschließlich dem Wortlaut des § 32a Abs. 2 AO zuzuordnen.

§ 32a AO ist eine Parallelvorschrift zu § 32b AO; beide nationale Normen wollen die Informationsverpflichtung bei der Erhebung der Daten ergänzend zu DSGVO einschränken. Sie sind jeweils die nationalen zusätzlichen Einschränkungen der bestehenden Informationsverpflichtung aus Art. 13 und 14 DSGVO. Beiden Vorschriften ist gemeinsam, dass diese keine Rechtsfolge der Einschränkung der Rechte des Art. 15 DSGVO haben. Sie sind nur darauf ausgerichtet, die Informationsverpflichtung der Finanzverwaltung einzuschränken.

Ob die nationalen Einschränkungen der Informationsverpflichtungen aus der DSGVO bei der Umsetzung in das nationale Recht (also für die aktiv vorzunehmende Informationspflicht) überschießend geregelt worden sind, ist hier noch nicht von Interesse, denn es geht bei dem Auskunftsanspruch des Art. 15 DSGVO nicht um die Beurteilung einer unaufgeforderten, aber gesetzlichen Verpflichtung des Datenerhebers bei der Datenerhebung nach Art. 13 und 14 DSGVO. Dieses ist ein zeitlich anderer Vorgang als die Auskunftsverpflichtung und hat einen anderen Anlass.

Die in dem Urteil des FG München behaupteten Beschränkungen 1-3 und 5 haben damit in den Normen der §§ 32a und § 32b AO keine nationale Rechtsgrundlage als Einschränkung des Auskunftsrechts nach Art. 15 DSGVO.

b. § 32c AO mit der Beschränkungsmöglichkeit des Art. 15 DSGVO

Bereits hier ist festzustellen, dass § 32c Abs. 1 erster Halbsatz AO die einzige Norm im nationalen Gesetz ist, die als Rechtsfolge die Einschränkung der Auskunft nach Art. 15 DSGVO im Gesetzestext in sich trägt.

§ 32c Abs. 1 AO hat drei Ordnungspunkte, unter denen sich verschiedene Alternativen einordnen. Hier wird nur den Varianten nachgegangen, die das FG München als Beschränkung identifiziert hat. Diese sind nur über § 32c Abs. 1 Nr. 1 AO und über § 32c Abs. 1 Nr. 3a (Beschränkung 7 siehe Urteil des FG München, s. Rn. 88) auffindbar.

§ 32c Abs. 1 Nr. 1 AO

Hier: die betroffene Person nach (…) § 32a Abs. 1 oder § 32b Abs. 1 oder 2 AO (…) nicht zu informieren ist

Es handelt sich damit um die Verneinung des Auskunftsrechtes gemäß Art. 15 DSGVO, allerdings nur bezogen auf die Fälle, in denen die aktive Informationspflicht der Finanzbehörde entweder gemäß Art. 13 DSGVO oder gemäß Art. 14 DSGVO besteht, aber durch nationale Vorschriften ergänzend eingeschränkt sein soll. § 32a Abs. 1 AO will die aktive Informationspflicht des Art. 13 DSGVO einschränken und § 32b Abs. 1 oder 2 AO will die aktive Informationsverpflichtung des Art. 14 weiter einschränken.

Diese Einschränkungen der aktiven Informationsverpflichtungen sind ohnehin europarechtswidrig, denn diese können nicht einfach national

über eine „Ergänzung“ der Ermächtigungsgrundlagen des Art. 23 DSGVO eingeschränkt werden. Da die beiden deutschen Normen von sich aus schon behaupten, sie seien eine „Ergänzung“ der Ermächtigungsgrundlage, sind sie europarechtswidrig.

Durch die Terminologie der ergänzenden Verneinung in § 32b Abs. 1 S. 1 AO und § 32a Abs. 1 S. 1 AO („Die Pflicht (…) besteht ergänzend zu den in Artikel (…) nicht“) wird eine erweiterte Einschränkung der Rechte aus den Art. 13 und Art. 14 DSGVO vorgenommen. Durch die Verweisung des § 32c Abs. 1 Nr. 1 AO auf die europarechtswidrigen Einschränkungen durch die §§ 32a und 32b AO soll eine Einschränkung des Art. 15 DSGV vorgenommen werden. Eine Ergänzung der nach Art. 23 DSGVO maximal möglichen Beschränkungen darf der nationale Gesetzgeber jedoch nicht vornehmen. Insofern kann festgestellt werden, dass die Ausgestaltung des nationalen Gesetzes, welches von sich aus eine nicht vorgesehene „Ergänzung“ der Beschränkungsmöglichkeiten vornimmt, europarechtswidrig ist.

Zwischenergebnis

Die Subsumtion des § 32c Abs. 1 Nr. 1 AO, welcher einen Verweis auf die Normen des § 32a AO und 32b AO vornimmt, ist daher immer europarechtswidrig. Die nachfolgenden Subsumtionen des nationalen Gesetzes sind daher nur noch hilfsweise zu verstehen.

Die Normenketten des FG München

Es folgt die Überprüfung und Anwendung der folgenden vom Finanzgericht München aufgegriffenen Normketten.

§ 32c Abs. 1 Nr. 1 erste Alt. i.V.m. § 32a Abs. 1 AO

§ 32c Abs. 1 Nr. 1 zweite Alt. i.V.m. § 32b Abs. 1 Nr. 1 a) AO

§ 32c Abs. 1 Nr. 1 zweite Alt. i.V.m. § 32b Abs. 1 Nr. 1 b) AO

§ 32c Abs. 1 Nr. 1 zweite Alt. i.V.m. § 32b Abs. 1 Nr. 2 AO

Den drei letztgenannten Normketten ist gemeinsam, dass ergänzend danach überprüft werden muss, ob deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss.

Erste Normenkette

§ 32c Abs. 1 Nr. 1 erste Alt. i.V.m. § 32a Abs. 1 AO

In das Gesetz wurde die Verweisung auf § 32a Abs. 1 AO erst durch das Jahressteuergesetz 2020 mit Wirkung zum 29.12.2020 eingefügt. Nach den Ausführungen des FG München kommt im Rahmen des § 32a Abs. 1 AO nur die Beschränkung 5 (vgl. Rn. 88 des Urteils) entsprechend § 32a Abs. 1 Nr. 4 AO in Betracht: nämlich die Gefährdung des Vertrauens in die vertrauliche Offenbarung geschützter Daten.

Eine Gefährdung der Vertraulichkeit der Informationshingabe ist in steuerlichen Akten schwer vorstellbar. Es wird in der Literatur verwiesen auf § 31a AO Mitteilungen zur Bekämpfung der illegalen Beschäftigung und des Leistungsmissbrauchs, § 31b AO Mitteilungen zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung und Steuerstraftaten (Rüsken in Klein, AO, 15. Aufl. 2020, § 32a Rn. 5). Dies wird so verstanden, dass namentlich in der Steuerakte genannte Informanten dadurch geschützt werden sollen, dass ihre Namen nicht dem Auskunftsanspruch unterliegen (anonyme Hinweisgeber brauchen keinen derartigen Schutz, da sie ohnehin anonym sind). Dieses Anliegen kann jedoch nicht dazu führen, dass der gesamte Auskunftsanspruch des Art. 15 DSGVO verneint wird. Die gebotene Interessenabwägung führt nicht dazu, dass das Interesse des Informanten ohne Weiteres schwerer wiegt, als das des Auskunftsberechtigten (der zudem kein besonderes Interesse für die Geltendmachung seines Auskunftsanspruches nach Art. 15 DSGVO benötigt). Das einfachste Mittel wäre, die Identität des Informanten von der zu erteilenden Auskunft auszunehmen, die Auskunft im Übrigen aber zu erteilen. Dann wäre das Vertrauen in die in die vertrauliche Offenbarung geschützter Daten gewahrt, der Auskunftsanspruch im Übrigen erfüllt. Eine solche Differenzierung ist auch durch den Wortlaut des § 32c Abs. 1 AO geboten, denn das Recht auf Auskunft „… besteht nicht, soweit …“. Dies bedeutet im Umkehrschluss, dass das Recht auf Auskunft besteht, soweit das Vertrauen in die in die vertrauliche Offenbarung geschützter Daten nicht gefährdet ist, und dies ist  – abgesehen von der Identität des Informanten – bei allen anderen Informationen/Daten der Steuerakte der Fall.

Ergänzend wird darauf hingewiesen, dass der Steuerbeamte, der in einer Steuerakte Kenntnis von einer der in §§ 31a, 31b, 370 AO genannten Straftaten erlangt, verpflichtet ist, dies den Strafverfolgungsbehörden mitzuteilen, die ihrerseits entsprechende strafrechtliche Ermittlungen anstellen. Der Informant wandert somit von der Steuerakte in die
(steuer-)strafrechtliche Ermittlungsakte. In der Steuerakte ist er somit nicht (mehr) vorhanden, so dass seine Identität im Falle einer Auskunft nach Art. 15 DSGVO nicht offenbart werden würde. Für die
(steuer-)strafrechtliche Ermittlungsakte greift der Ausnahmetatbestand des Art. 2 Abs. 2 lit. d) DSGVO, so dass hier bereits kein Auskunftsanspruch nach Art. 15 DSGVO bestünde.

Diese Überlegungen zeigen deutlich, dass in der steuerlichen Praxis eine Gefährdung, wie sie §§ 32c Abs. 1 Nr. 1 1. Alt., 32a Abs. 1 Nr. 4 AO verhindern sollen, gar nicht zum Tragen kommt.

Zweite Normenkette

 § 32c Abs. 1 Nr.1 zweite Alt. i.V.m. § 32b Abs. 1 Nr. 1 a) AO

Aufgaben gefährden

(nicht als Beschränkung angesprochen)

Die Erteilung der fremdbeschafften Information müsste (§ 32b Abs. 1 Nr. 1 a) AO) die ordnungsgemäße Erfüllung einer der Aufgaben, soweit diese in die Zuständigkeit der Finanzverwaltung fallen, gefährden. In die Zuständigkeit der Finanzverwaltung, vgl. Art. 105 GG in Verbindung mit dem Finanzverwaltungsgesetz, kommen allenfalls die Aufgaben aus Art. 23 Abs. 1 lit. e DSGVO. Diese Norm unterscheidet zwischen den wichtigen Ziele des allgemeinen öffentlichen Interesses der Union und in den Mitgliedstaaten. Für die Wahrnehmung der Interessen der Union hat die deutsche Finanzverwaltung keinen Auftrag und keine Zuständigkeit. National hat die Finanzverwaltung sicherlich Zuständigkeiten im Steuerbereich. Damit ist lediglich zu untersuchen, ob eine konkrete Auskunft über Informationen, die nicht bei der betroffenen Person erhoben wurden, eine Gefährdung der Aufgaben, die in den Zuständigkeit der Finanzbehörden im Steuerbereich fällt, erzeugen könnte.

Der Fall der Gefährdung durch Auskunft kann sachlich nicht eintreten. Die bloße Auskunft durch zur Verfügungstellung einer Kopie löst bei der Finanzverwaltung nämlich gar nichts aus. Sie hat weiterhin alle Unterlagen, die sie braucht, um ihrer Aufgabe nachzukommen. Die Mitteilung der Daten kann daher niemals eine Gefährdung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben hervorrufen.

Dritte Normenkette

§ 32c Abs. 1 Nr.1 zweite Alt. i.V.m. § 32b Abs. 1 Nr. 1 b) AO

die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde

(nicht als Beschränkung angesprochen)

Die bloße Mitteilung, also die Übersendung einer Kopie der Informationen/Daten, gefährdet weder die Aufgaben der Finanzverwaltung, siehe zuvor, noch wird die öffentliche Sicherheit und Ordnung gefährdet oder werden dem Bund oder dem Land Nachteile bereitet. Wenn er nämlich schon die speziellere Vorschrift für die Finanzverwaltung verneint wurde, so kann die allgemeinere Vorschrift nicht zum Tragen kommen.

Beiden Vorschriften ist gemein, dass die Auskunft nach der DSGVO danach zu untersuchen wäre, ob diese die öffentliche Sicherheit und Ordnung gefährden würde. Die Durchführung sowohl einer europäischen Vorschrift als auch eines deutschen Gesetzes ist gerade die Aufrechterhaltung der öffentlichen Sicherheit und Ordnung. Die Verweigerung eines gesetzlichen Anspruchs durch einen Teil des Staates wäre die Durchbrechung der öffentlichen Sicherheit und Ordnung. Man wird daher umgekehrt zwingend davon ausgehen müssen, dass gerade die Auskunftserteilung der einzige Weg, ist die öffentliche Sicherheit und Ordnung aufrecht zu erhalten.

Vierte Normenkette

§ 32c Abs. 1 Nr.1 zweite Alt. i.V.m. § 32b Abs. 1 Nr. 2 AO

wenn die Daten, ihre Herkunft, ihre Empfänger oder die Tatsache ihrer Verarbeitung nach § 30 oder einer anderen Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen überwiegender berechtigter Interessen eines Dritten im Sinne des Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679, geheim gehalten werden müsse

(Beschränkungsgrund 4)

Soweit also das Finanzgericht München den behaupteten Beschränkungsgrund (4) (Geheimhaltungsinteresse Dritter, vgl. Rn. 75, 88) deshalb angewandt haben möchte (am Ende Rn. 89), da ein gegenläufiges Interesse des Autors von Bearbeitungsvermerken, entscheidungsvorbereitenden Vermerken und Entwürfen vorliege, der ein eigenes Datenschutzrecht beanspruchen könne, ist das nicht nachvollziehbar.

Dem Sachbearbeiter des Finanzamtes mag es vielleicht unangenehm sein, wenn bei Bearbeitungsvermerken und Entwürfen sein Name dem Steuerpflichtigen bekannt gegeben werden soll. Hier ist bereits zu bezweifeln, dass es für ein anderes Interesse eine Rechtgrundlage geben sollte; vielmehr umgekehrt regelt § 43 UrhG in Verbindung mit der ständigen Rechtsprechung, dass dem Arbeitgeber bzw. Auftraggeber kraft Arbeitsvertrag bzw. Dienstvertrag weitreichende und insbesondere ausschließliche Nutzungsrechte eingeräumt werden, und das sogar über das Arbeitsverhältnis (Dienstverhältnis) hinaus. Dies gilt insbesondere für solche Werke, die der Arbeitnehmer (Auftragnehmer) im Rahmen des Arbeitsverhältnisses (Dienstvertrages) und in Erfüllung der ihm obliegenden Pflichten geschaffen hat.

Ob der Beamte ein (bestrittenes) eigenes Recht hat, kann sogar dahinstehen, denn das (tatsächlich nicht durch die konkreten Sachbearbeiter kommunizierte) (höchstpersönliche) Eigeninteresse muss deshalb immer zurückstehen, da es sich notwendigerweise immer um Entwürfe und Bearbeitungsvermerke handelt, die in dienstlicher Eigenschaft, nicht für sich selbst, sondern zu dienstlichen Benutzung angefertigt worden sind, und eben zum Gebrauch in der dienstlichen Akte hinterlegt worden sind. Es gibt keine Beliebigkeit, dienstliche Bearbeitungen oder Vermerke durch die beklagte Finanzbehörde dem Auskunftsanspruch zu entziehen, weil diese Finanzbehörde das persönliche Recht des Autors an einer Geheimhaltung vermutet. Der Fall ist vergleichbar dem verkündeten Urteil eines Gerichtes, der Richter, der sein Urteil mit seinem Namen verbindet, kann sich auch nicht auf ein mögliches privates Interesse, welches dann auch noch überwiegend sein solle, berufen. Die Finanzbehörde selbst ist kein berechtigter Dritter, sie hat kein eigenes entgegenstehendes Recht. Die Finanzbehörde selbst ist auch nicht berechtigt, ein mögliches entgegenstehendes Recht eines Sachbearbeiters für sich zu reklamieren und zu behaupten, ein solches gäbe es. Die Finanzbehörde kann allenfalls im Tatsachenvortrag bei Gericht den Namen des Anfertigers einer Aktennotiz nennen und behaupten, dieser mache ein besonderes Recht geltend. Dann kann der Richter entscheiden, ob er diesen Anfertiger der Aktennotiz als Zeugen laden möchte. Diese Person kann dann auch entscheiden, ob sie eine einstweilige Verfügung beantragt, dass genau ihr Aktenvermerk nicht offenbart wird.

Die auskunftsverpflichtete Finanzverwaltung respektive der für sie dienstlich tätig gewordene Beamte ist keinesfalls tauglicher Dritter als Inhaber entgegenstehender Datenschutz-Interessen.

Der Beschränkungsgrund 4 kann daher nicht eintreten. Selbst wenn der sachbearbeitende Beamte rein theoretisch berechtigter Dritter sein könnte, so würde dessen bloß mutmaßliches Interesse an einer Geheimhaltung deshalb zurücktreten, da er keine privaten Papiere angefertigt hat, sondern diese seine Entwürfe/Vermerke schon der Sachbearbeitung der Akte unterworfen hat. Er hat sein Interesse im Sinne seiner beruflichen Tätigkeit schon zugunsten seines Arbeitgebers, der Finanzverwaltung, aufgegeben.

c. § 32a Abs. 2 AO als Unterpunkt des § 32b Abs. 1 S. 2 AO

Durch die Weiterverweisung des § 32b Abs. 1 Satz 2 AO auf die Norm des § 32a Abs. 2 AO, also nur anwendbar für den behaupteten Beschränkungsgrund 4 (der ohnehin zu negieren war), ist zu untersuchen, ob sich aus dieser Verweisung eine Rechtsfolge ergibt.

aa) Die einengenden Verweisungen der nationalen Norm

Im Rahmen der Weiterverweisung auf § 32a Abs. 2 AO bietet das Gesetz verschiedene Varianten, die das Finanzgericht München als (Beschränkung 1, 2, und 3) (vgl. Rn. 74, 88 des Urteils) ansieht.

Um es deutlich zu machen, § 32a Abs. 2 AO ist niemals unmittelbar anwendbar, denn die Verweisung aus § 32c Abs. 1 Nr. 1 erste Alt. AO verweist nur auf § 32a Abs. 1 AO.

Das Finanzgericht München ordnet keine seiner sieben Beschränkungen den vorbenannten Normen des § 32b Abs. 1 Nr. 1a oder 1b AO zu. (Das wäre auch ergebnislos – wie zuvor gezeigt). Der Norm des § 32b Abs. 1 Nr. 2 AO wurde lediglich die Beschränkung 4 zugeordnet, auch diese ist nicht tauglich als Einschränkungsgrund.

Zwingende Rechtsfolge dieser Subsumtion ist daher, dass die Verweisung gar nicht untersucht werden muss, denn schon die Voraussetzungen einer Beachtung der Weiterverweisung liegen nicht vor. Da aber das Finanzgericht München seine Beschränkungen 1 bis 3 alle der Norm des § 32a Abs. 2 AO zugeordnet hat, fallen diese vermeintlichen Beschränkungen weg. Es gibt keinen nationalen Weg, der diese Beschränkungen anwendbar erscheinen lässt.

Die nachfolgende Überlegung ist eine weitere hilfsweise Betrachtung.

bb) Die Betrachtungen der nicht anwendbaren Vorschrift des § 32a Abs. 2 AO

Höchst hilfsweise kann zu den vom Finanzgericht München behaupteten Beschränkungen vorgetragen werden.

Hier: § 32c Abs. 1 Nr. 1 zweite Alt. i.V.m. § 32b Abs. 1 Nr. 1a) AO

i.V.m. Gefährdung insbesondere nach § 32a Abs. 2 Nr. 1a) AO

„steuerlich bedeutsame Sachverhalte zu verschleiern“

(Beschränkung 1) (Rn. 74, 88 des Urteils)

Hier: § 32c Abs. 1 Nr. 1 zweite Alt. i.V.m. § 32b Abs. 1 Nr. 1a) AO

i.V.m. Gefährdung insbesondere nach § 32a Abs. 2 Nr. 1b) AO

„steuerlich bedeutsame Sachverhalte zu verwischen“

(Beschränkung 1) (Rn. 74,88 des Urteils)

Die diesseitigen Überlegungen zu der behaupteten Beschränkung (1) zu Nummer 1a und Nummer 1b wird an dieser Stelle gemeinsam wiedergegeben. Wie durch Erteilung einer Auskunft ein Betroffener oder gar ein Dritter in der Lage sein sollte, steuerliche Sachverhalte zu verschleiern oder Spuren zu verwischen, ist schon nach den Denkgesetzen der Logik nur sehr schwer vorstellbar. Die Informationen bleiben bei der Finanzverwaltung erhalten; der der Finanzverwaltung bekannte Sachverhält ändert sich nicht dadurch, dass der Auskunftsberechtigte von den personenbezogenen Daten Kenntnis nimmt. Die zusätzliche Kenntnis des Auskunftsberechtigten verschleiert oder verwischt nichts. Die auskunftsverpflichtete Finanzverwaltung übergibt lediglich eine Kopie der vorhandenen personenbezogenen Daten.

Ein Verschleiern oder Verwischen kann also niemals eintreten; denn der Auskunftsberechtigte hat keinen Zugang zu den personenbezogenen Daten, er kann diese nicht mit einem Schleier belegen oder etwas löschen oder hinzufügen.

Der Beschränkungsgrund 1 hat für diese zwei Verhaltensalternativen keinen Grundlage.

Hier: § 32c Abs. 1 Nr.1 zweite Alt. i.V.m. § 32b Abs. 1 Nr. 1 a) AO

i.V.m. Gefährdung insbesondere nach § 32a Abs. 2 Nr. 1 c) AO

„Art und Umfang der Erfüllung steuerlicher Mitwirkungsverpflichtungen an den Kenntnisstand der Finanzverwaltung einzustellen“

(Beschränkung 1) (Rn. 74, 88)

Eine Gefährdung der Arbeit der Finanzbehörde durch Einstellung auf den Kenntnisstand der Finanzbehörde kann nicht eintreten. Das ist nämlich nicht die Gefährdung, sondern die gesetzliche Konstruktion der wechselseitigen Verpflichtungen zwischen Steuerzahler und Finanzbehörde.

§ 88 AO bestimmt den Amtsermittlungsgrundsatz und § 90 AO weist auf die Mitwirkungsverpflichtung hin; diese richtet sich nach dem Einzelfall. Ohne auf alle Verpflichtungen zur Mit-wirkung einzugehen ist jedoch klar, dass die Mit-wirkung immer anknüpft an den Stand der Kenntnis Finanzverwaltung. Gerade die Terminologie des Miteinander wird konterkariert, wenn das Miteinander deshalb nicht möglich ist, weil die eine Partei nicht offenbart, welchen Teil der Informationen sie hat, um hinzuwirken, dass hinsichtlich der Mitwirkung der noch nicht bekannte Teil ergänzt werden kann.

Auch bei Finanzbehörden gelangt durchaus mal eine falsche Information in die Akte. Deshalb hat der Bürger ein Recht auf Berichtigung; Art. 16 DSGVO. Der Abgleich der Information ist auch ein Zweck der DSGVO. Es ist somit Sinn und Zweck der EU-Verordnung 2016/679, sich auf den Kenntnisstand der Behörde einzurichten. Ein Verhalten, das dem Zweck der EU-Verordnung 2016/679 dient, kann daher nicht Grund sein, die begehrte Auskunft zu verweigern.

Der Beschränkungsgrund 1 hat auch für diese dritte zwei Verhaltensalternativen keinen Grundlage.

Ergänzend darf Kritik geübt werden an der uferlosen Adressierung des Normwortlautes des § 32a Abs. 2 Nr. 1 AO. „Wenn die erteilte Information den Betroffenen oder Dritte in die Lage versetzen könnte“. Dieses betrifft alle drei vorbesprochene Normen, die das Finanzgericht München dem Beschränkungsgrund 1 zugeordnet hat. – Diese Voraussetzung ist ein Abstellen auf ein Verhalten, welches im Zweifel nichts mit dem Antragsteller zu tun hat und noch nicht einmal einen Anfangsverdacht einer wie auch immer gearteten Handlung in sich tragen muss. Die Finanzverwaltung wird damit in die Lage versetzt zu behaupten, ein Dritter könnte mit der Information etwas anfangen, welches im Weiteren dort beschrieben wird. Dieser Dritte muss keinen Bezug zum Antragsteller haben und niemand muss einen Verdacht zu einer Handlung zu einem der dort beschriebenen Zwecke haben. Damit könnte Dritter im Sinn der Vorschrift sogar der Leiter des Finanzamtes selbst sein. Es liegt auf der Hand, dass eine solche uferlose Formulierung „ein Dritter könnte“ diese gesetzliche Regelung nicht zu einer tauglichen Rechtsgrundlage einer Informationsverweigerung gemäß Art. 23 DSGVO macht. Rechteausübung knüpft nicht daran an, dass eine dritte Person etwas „könnte“ oder „nicht könnte“. Es gibt kein Recht, welches nur durch besonders qualifizierte (nämlich unverdächtige, die, die nicht „könnten“) Bürger wahrgenommen werden darf. Erst recht unterliegt die Rechteausübung nicht der (falsch) antizipierten Entscheidung eines Beamten der Finanzverwaltung, der behauptet, mit der zu gebenden Information der personenbezogenen Daten „könnte“ irgendwer etwas anfangen.

Mit dieser ausufernde Einleitung des § 32a Abs. 2 Nr. 1 AO schafft sich der nationale Gesetzgeber insgesamt eine Art Bereichsausnahme für die deutsche Finanzverwaltung bei der Anwendung der DSGVO. Bereichsausnahmen können sich jedoch ausschließlich aus dem Unionsrecht selbst ergeben, so etwa durch Art. 45 Abs. 4 AEUV oder Art. 51 Abs. 1 AEUV. Allein aus diesem Grund ist die Regelung des § 32a Abs. 2 Nr. 1 AO europarechtswidrig.

Im Übrigen ist sie auch verfassungswidrig wegen Verstoßes gegen den Bestimmtheitsgrundsatz, denn es handelt sich um ein Gesetz, welches „unbestimmt“ ist.

Zusammenfassend kann gesagt werden, dass der vom Finanzgericht München behauptete Beschränkungsgrund 1 auch in der nur hilfsweisen Betrachtung der Normen des § 32a Abs. 2 AO nicht gegeben ist.

Hier: § 32c Abs. 1 Nr. 1 zweite Alt. i.V.m. § 32b Abs. 1 S. 2 AO

i.V.m. § 32a Abs. 2 Nr. 2 AO

„Rückschlüsse auf die Ausgestaltung automationsgestützter Risikomanagementsysteme zulassen und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde“

(Beschränkung 2) (Rdnr 74, 88 des Urteils)

Hinsichtlich der (Beschränkung 2) „Ausgestaltung automationsgestützter Risikomanagementsysteme“ ist in § 88 Abs. 5 S. 4 AO eine Regelung im Gesetz enthalten. Diese verbietet die fallgruppenbezogene Weisungen zu Art und Umfang von Ermittlungen und Datenverarbeitung nach Abs. 3 Satz 3 wie auch die Einzelheiten des Risikomanagementsystems, soweit die Gleichmäßigkeit und die Gesetzmäßigkeit der Besteuerung im Sinne von § 85 AO gefährdet sein könnte (Klein/Rätke, AO, 15. Aufl. 2020, § 88 AO, Rdnr. 104). Wie derartige Systeme aussehen, ist allgemein bekannt (als Beispiel: Heller, Risikomanagementsysteme im Steuerverfahrensrecht, Der Gestaltungsanspruch des Rechts gegenüber digitalen Instrumenten der Finanzbehörden zur automatisierten Bearbeitung von Steuerfällen, 1. Aufl. 2022).

Die Norm § 32a Abs. 2 Nr. 2 AO will allerdings nur insofern eine Beschränkung (nur der Informationspflicht), als es um „Rückschlüsse“ auf dieses System geht. Die Norm will nicht verhindern, dass die Ergebnisse dieser Systemanwendung bekannt werden. Unter diesem Gesichtspunkt muss also im tatsächlichen untersucht werden, und die beklagte Finanzverwaltung muss das im Klageverfahren vortragen, ab welchem Jahr sie ein solches Risikomanagementsystem für den Auskunftsberechtigten führt und ob in der Akte überhaupt ein Niederschlag aus einem derartigen Risikomanagementsystem vorgekommen ist und sodann, ob das was sich als Ergebnis des Risikomanagementsystems in der Akte findet, Rückschlüsse auf das RMS zulässt, die nicht bereits bekannt sind. Ob das tatsächlich für alle Jahre der Vergangenheit in allen Finanzämtern ein solches System überhaupt vorliegt, ist konkret (oft erfolgreich) zu bestreiten.

Abstrakt müsste die Ausnahme von der Auskunftsverpflichtung des Art. 15 DSGVO von einer Ermächtigungsgrundlage in Art. 23 DSGV gedeckt sein. Die hier behauptete Einschränkungsmöglichkeit müsste sich also innerhalb der Ermächtigung des Art. 23 Abs. 1 lit. e) DSGVO befinden.

Nun wird hier nicht bestritten, dass ein RMS ein Mittel der nationalen Steuerverwaltung ist. Bestritten wird jedoch, dass in den personenbezogenen Daten des Klägers sich grundsätzliche Informationen befinden, die Rückschlüsse auf die „Ausgestaltung“ eines automationsgestütztes Risikomanagementsystems zulassen.

Damit ist der Beschränkungsgrund 2 nicht relevant, es gibt ihn faktisch nicht.

Hier: § 32c Abs. 1 Nr.1 erste Alt. i.V.m. § 32b Abs. 1 S. 2 AO

i.V.m. § 32a Abs. 2 Nr. 2 AO

„Rückschlüsse auf geplanter Kontroll- oder Prüfungsmaßnahmen zulassen und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde“

(Beschränkung 3)

Die Begründung dieser Norm ergibt sich aus der Bundesdrucksache 18/12611, dort insbesondere Seite 86 87, 88:  „Eine Informationserteilung könnte in diesen Fällen wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats im Haushalts- und Steuerbereich und die hiermit verbundenen Kontroll-, Überwachungs- und Ordnungsfunktionen (Artikel 23 Absatz 1 Buchstabe e und h der Verordnung (EU) 2016/679) gefährden.“

Zuzustimmen ist, dass bei der Verpflichtung zur Information der Finanzbehörden bei Erhebung personenbezogener Daten bei betroffenen Personen dieser Norm eine geeignete Ausfüllung der Ermächtigungsgrundlage des Art. 23 DSGVO hinsichtlich einer Einschränkung des Art. 12 DSGVO gegeben ist.

Allerdings ist das keine Generalverweigerung des Auskunftsrechtes nach Art. 15 DSGVO. Soweit durch die Auskunftserteilung gegenüber dem Steuerpflichtigen tatsächlich Rückschlüsse auf geplanter Kontroll- oder Prüfungsmaßnahmen zu befürchten sind, kann diese Gefährdung der ordnungsgemäßen Erfüllung der Aufgaben des Finanzamtes dadurch ausgeschlossen werden, dass etwaige Hinweise auf geplanter Kontroll- oder Prüfungsmaßnahmen in der Steuerakte vor Auskunftserteilung entfernt werden, die Auskunft im Übrigen aber zu erteilen. Eine solche Differenzierung ist auch durch den Wortlaut des § 32c Abs. 1 AO geboten, denn das Recht auf Auskunft „… besteht nicht, soweit …“. Dies bedeutet im Umkehrschluss, dass das Recht auf Auskunft besteht, soweit Rückschlüsse auf geplante Kontroll- oder Prüfungsmaßnahmen nicht möglich sind.

Gemeinsam ist all diesen Gefährdungsvarianten des § 32a Abs. 2 AO, dass ergänzend erfüllt sein muss, dass damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde. Weder Gesetz noch Literatur geben Hinweise, wie das Merkmal der „wesentlichen Erschwerung“ hier zu verstehen ist und wie der Finanzbeamte, der über das Auskunftsbegehren nach Art. 15 DSGVO entscheidet, dieses zu antizipieren hat. In der Klage muss es jedenfalls mit Tatsachenstoff durch das jeweils beklagte Finanzamt unterlegt werden.

d.)   Unverhältnismäßiger Aufwand

Zurückzukommen ist auf das letzte Tatbestandsmerkmal des § 32c Abs. 1 AO, dass zusätzlich das Kriterium des unverhältnismäßigen Aufwandes erfordere, sowie dass eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Da die Berufung auf Aufwand per se (siehe oben) ausgeschlossen ist kommt diesem Merkmal keine Bedeutung mehr zu.

C. Zusammenfassung zum Urteil

Akten des Finanzamtes unterfallen immer dem sachlichen Anwendungsbereich des Art. 2 Abs. 1 DSGVO.

Von den behaupteten sieben Einschränkungen aus dem Urteil des Finanzgericht München bleibt bei Prüfung der Gesetzeslage keine Einschränkung übrig, die eine Gesamtverweigerung des Auskunftsanspruches nach Art. 15 DSGVO stützen würden.

Man muss die Rechtsfolge des § 32c AO, der einzigen Norm die vermeintlich eine Einschränkung des Auskunftsrechtes ermöglicht, ohne Gesetzesverweis auf die Voraussetzungen der §§ 32a AO und 32b AO lesen, denn die Einschränkung dieser beiden Normen befassen sich nur mit der Informationsverpflichtung bei der Datenerhebung (Art. 13 u. 14 DSGVO). Soweit man in die Überlegung kommen möchte, dass aus der hilfsweisen Untersuchung sich ein Verweigerungsrecht ergeben könnte, kann die Finanzverwaltung den Teil aus der Akte entfernen, der auf eine zukünftige geplante Kontrolle oder Prüfungsmaßnahmen bzw. die Identität eventueller Informanten hindeutet.

Die Entnahme weniger einzelner Papiere, die eine Wirkung für die Zukunft entfalten könnten, ist eine Maßnahme, die der Auskunftsberechtigte dulden muss, die jedoch kein ausreichender oder notwendiger Anlass ist, seinem Auskunftsbegehren insgesamt nicht nachzukommen.

Nimmt man die Verweisungen auf die Normen des § 32a Abs. 1 AO und 32b Abs. 1 in der 1. oder 2. Alt. AO hinzu, so kommt man bereits in die Dimension einer europarechtswidrigen Bereichsausnahme. Die weiteren Voraussetzungen des § 32c AO (unverhältnismäßiger Aufwand und Ausschluss anderweitiger Verarbeitung) machen das Recht aus Art. 15 DSGVO gänzlich unanwendbar. Die gesamte gesetzliche Konstruktion aus den Normen §§ 32a, b, c AO ist damit eine Art Bereichsausnahme. Dazu ist kein nationaler Gesetzgeber befugt. Die uferlosen Begrifflichkeiten aller angesprochenen nationalen Normen machen diese Gesetze zu einem beliebigen Spielball der angefragten Verwaltungen und zwingen den Auskunftsberechtigten immer in den Klageweg. Diese Konstruktion der (so gut wie vorgegebenen) nationalen Rechtsverweigerung der Rechte aus DSGVO ist schon per se bedenklich.

Da gemäß Art. 23 DSGVO nationale Einschränkungen der Informations- und Auskunftsrechte nach der DSGVO (u.a. nach den Art. 13 bis 15 DSGVO) nur zulässig sind, wenn diese Einschränkungen den Wesensgehalt der Grundrechte und Grundfreiheiten achten und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen, ist die konkrete deutsche Gesetzeskonstruktion, wie gezeigt, mit der Ermächtigungsgrundlage nicht konform.

Der Staat ist verpflichtet, seine Gesetze europarechtskonform auszulegen und auch so zu gestalten. Das wird durch die Einschränkungen der DSGVO in der Abgabenordnung deutlich konterkariert.

Der gemeinsame Wille eines (so ist der Verdacht) vom BMF gesteuerten Gesetzgebers in Verbindung mit einer Verwaltung, die ihre der Öffentlichkeit dienende objektive Fallbearbeitung aus Gründen, die möglicherweise nur in der subjektiven Sphäre der Mitarbeiter liegt, nicht aufzeigen will, ist schon bedenklich. Ein Urteil, welches dann die einschränkende Rechtsauslegung auch am Gesetz vorbei vornimmt, macht es notwendig, diese Vorgänge dem Europäischen Gerichtshof vorzulegen.

(die Rn. werden zitiert nach https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2021-N-41761?hl=true)

Zum Thema Auskunftsersuchen Finanzamt DSGVO haben wir Ihnen hier weitere Informationen zusammengefasst

Einsicht in die Steuerakte

Ob das Finanzamt über alle steuerlich erheblichen Tatsachen (Wortlaut des § 370 AO) informiert ist, lässt sich zur Überzeugung des Strafrichters oder des Richters am Finanzgericht (im diesbezüglichen Besteuerungs- oder Haftungsverfahren) sicher mit einem (vollständigen) Auszug aus den Akten des Finanzamtes nachweisen. Die arbeitsteilige Verhaltensweise der Finanzämter und die Versetzung der zuständigen Beamten führt dazu, dass eine Zeugenbefragung dieser Personen über deren persönliches, konkretes Wissen oft keine ausreichende Information über die dem Finanzamt vorliegenden Unterlagen mit sich bringt. Umso wichtiger ist der Rückgriff auf die Akte und die Prüfung der darin enthaltenen Informationen.

Weiter lesen