FG München, Az. 15 K 2687/19 vom 04.11.2021 (Urteil)

Gegenstand

Löschungsanspruch nach Art. 17 DSGVO

Tenor

1. Die Klage wird abgewiesen.

2. Der Kläger trägt die Kosten des Verfahrens.

3. Die Revision wird zugelassen.

Entscheidungsgründe

Streitig ist, ob der Kläger aufgrund der Datenschutz-Grundverordnung (DSGVO) verlangen kann, das Datum „Multiple Sklerose in fortgeschrittenem Stadium“ in den Steuerakten und/oder den Datenbanken des Finanzamts zu löschen, sowie die Frage, ob das Finanzamt verpflichtet ist, es zu unterlassen, außerhalb eines Zwangsgeldfestsetzungsverfahrens dieses Datum bzw. die schriftliche Äußerung des steuerlichen Beraters des Klägers, aus dem dieses Datum stammt, Dritten („allen Stellen in der Finanzverwaltung und der Finanzgerichte“) mitzuteilen. Darüber hinaus ist streitig, ob das Finanzamt verpflichtet ist, die Verarbeitung dieses Datums bzw. der Äußerung des steuerlichen Beraters außerhalb des Einspruchsverfahrens gegen die Zwangsgeldfestsetzung zu unterlassen. Schließlich ist streitig, ob es die beantragte Löschung der Daten allen Empfängern mitteilen muss, gegenüber denen diese offengelegt wurden.

Der Kläger zeigte mit Schreiben vom 12.09.2019 unter Berufung auf die DSGVO dem Beklagten - dem Finanzamt - folgenden Sachverhalt an: Der Steuerberater des Klägers habe am 10.05.2019 Einspruch gegen eine Zwangsgeldfestsetzung vom 26.04.2019 eingelegt, die im Zusammenhang mit der angeforderten Abgabe der Einkommensteuererklärung 2017 stehe. Im Einspruchsschreiben habe der Steuerberater dem Finanzamt mitgeteilt, dass der Kläger an einer Multiple-Sklerose-Erkrankung in fortgeschrittenem Stadium leide. Diese Mitteilung sei ausschließlich zu dem Zweck erfolgt, die verspätete Abgabe der Einkommensteuererklärung 2017 zu erklären und zu entschuldigen.

Am 22.07.2019 habe der Mitarbeiter des Finanzamts, (L), in einem Revisionsverfahren über Gewerbesteuermessbescheide für 2004-2011 der KG, deren Rechtsnachfolger der Kläger sei, gegenüber dem Bundesfinanzhof (BFH) folgendes mitgeteilt:

„Begründung:

vorab weise ich auf folgendes hin:

Die steuerliche Vertretung des [Name des Klägers] in dessen Veranlagungsverfahren, die [Name und Anschrift des Steuerberaters], hat in einem Schreiben vom 10.05.2019 Zweifel daran geäußert, dass [Name des Klägers] aufgrund seiner Erkrankung (Multiple Sklerose in fortgeschrittenem Stadium) in der Lage sei, komplexere Vorgänge zu erfassen bzw. die von ihm aktuell unterschriebene Steuererklärung 2017 inhaltlich aufnehmen zu können.“

Am 28.08.2019 habe L dem BFH das Gleiche in einem Beschwerdeverfahren gegen den Beschluss über eine Aussetzung des Verfahrens nach § 74 Finanzgerichtsordnung (FGO) in Sachen der GmbH mitgeteilt, deren Rechtsnachfolger der Kläger sei. Im zugehörigen Hauptsacheverfahren gehe es um gewerbesteuerliche Zuteilungsbescheide für 2007-2009.

Der Kläger teilte durch seinen Bevollmächtigten dem Finanzamt mit Schreiben vom 12.09.2019 mit, dass es sich bei diesen Daten um sogenannte sensible Daten nach Art. 9 Abs. 1 DSGVO handele, deren Verarbeitung grundsätzlich untersagt sei. Soweit § 29b Abgabenordnung (AO) die Verarbeitung sensibler Daten erlaube, sei die Verarbeitung lediglich zu dem Zweck gestattet, zu dem sie erhoben worden seien. Zweck der Mitteilung der Erkrankung sei eindeutig und unmissverständlich die Erläuterung und Entschuldigung der verspäteten Abgabe der Einkommensteuererklärung 2017 bzw. des hierzu geführten Zwangsgeldverfahrens gewesen. Dieser Zweck sei nicht identisch mit den Verfahren vor dem BFH. Hieran ändere nichts, dass der Kläger Rechtsnachfolger der beiden Gesellschaften geworden sei. Die Mitteilung der Daten an den BFH sei somit unbefugt und unzulässig gewesen. Er beantrage die unverzügliche Löschung, die Mitteilung der Löschung gegenüber allen Empfängern, denen diese Daten offengelegt worden seien - soweit bekannt, beträfe dies die beiden beim BFH anhängigen Verfahren -, sowie die Information über gegebenenfalls weitere Empfänger, denen diese Daten mitgeteilt worden seien. Er widerspreche der Verarbeitung und Weiterverarbeitung der Daten außerhalb des Einspruchsverfahrens gegen die Zwangsgeldfestsetzung zur Einkommensteuer. Er erwarte eine Bestätigung über die Durchführung der Anträge und weise auf die Informationspflicht nach Art. 33 DSGVO hin. Er werde zusätzlich von seinem Beschwerderecht nach Art. 77 DSGVO Gebrauch machen.

Das Finanzamt bestätigte mit Schreiben vom 18.09.2019 den Eingang des Schreibens und forderte die Vorlage einer Vollmacht an.

Mit Schreiben vom 26.09.2019 legte der Kläger durch seinen Bevollmächtigten die Vollmacht vor und reklamierte, dass das Finanzamt nicht unverzüglich die geforderten Maßnahmen nach der DSGVO eingeleitet habe. Außerdem bemängelte er, dass der die Anzeige nach der DSGVO bearbeitende Bearbeiter nicht als Datenschutzbeauftragter benannt worden sei. Schließlich erbat er Auskunft, zu welchem Zweck die Offenbarung gegenüber dem BFH erfolgt sei und auf welche Befugnisnorm sich die Behörde insofern berufe. Die Voraussetzungen des § 39b Abs. 2 Satz 2 AO zur Wahrung der Interessen des Klägers seien offenbar nicht eingehalten worden. Er stellt die Frage, wie die Gesundheitsdaten des Klägers vom allgemeinen Veranlagungsplatz in den Arbeitsbereich des L hätten gelangen können, der die Mitteilung gegenüber dem BFH gemacht habe. Darin liege eine unbefugte Offenbarung der sensiblen Daten innerhalb der Behörde zwischen verschiedenen Arbeitsbereichen.

Mit Schreiben vom 09.10.2019 antwortete das Finanzamt auf die Anzeige des Klägers. Der Autor des Schreibens gegenüber dem BFH, L, habe die Funktion eines stellvertretenden Amtsleiters und damit umfassende Zugriffsrechte. Der Zweck der Mitteilung der Daten gegenüber dem BFH ergebe sich nach Auffassung des Finanzamts aus den dem Kläger bereits bekannten Schreiben, sodass ihm nicht ganz klar sei, welche zusätzliche Informationen der Kläger hierzu benötigen könnte. Wie der Kläger selbst richtig ausführe, habe das Gericht die Prozessfähigkeit der Beteiligten von Amts wegen in jedem Stadium des Verfahrens zu prüfen. Die beanstandeten Mitteilungen seien deshalb zulässig. Ebenso hätten sämtliche Stellen der Finanzverwaltung in den dort geführten Verfahren von Amts wegen die Handlungsfähigkeit des Klägers zu prüfen. Es teilte dem Kläger unter Berufung auf Art. 15 DSGVO mit, dass die beanstandeten Informationen an alle Stellen in der Finanzverwaltung und den Finanzgerichten gegeben worden seien oder noch gegeben würden, für deren Verfahren die Handlungsfähigkeit, Geschäftsfähigkeit und/oder Prozessfähigkeit des Klägers von Belang sei; alle derzeit anhängigen Verfahren seien dem Kläger bekannt.

Mit seiner Klage verfolgt der Kläger sein Ziel der Löschung der Daten bzw. der Unterlassung weiterer Mitteilungen, der Untersagung der Verarbeitung und Mitteilung der Löschung an alle Empfänger, weiter.

Das Finanzamt verbreite durch die Weitergabe der Gesundheitsdaten des Klägers nicht nur in unerlaubterweise sensible Daten desselben. Durch den vom Finanzamt generierten „Zusammenhang mit einer gegebenenfalls nicht gegebenen Geschäftsfähigkeit“ würden nicht nur unerlaubte, sondern sogar unzutreffende Behauptungen verbreitet. Der steuerliche Berater des Klägers habe in seinem Schreiben vom 10.05.2019 weder behauptet, der Kläger sei geschäftsunfähig, noch habe irgendeine Behörde oder ein Gericht in den letzten Jahren Anlass zur Überprüfung der Prozessfähigkeit des Klägers gesehen. Die Behauptungen des Beklagten seien somit reine Behauptungen ins Blaue hinein und könnten bereits deshalb eine Weiterverarbeitung sensibler Daten nach § 29c Abs. 2 AO nicht rechtfertigen.

Sollte das Finanzamt Zweifel an der „Handlungs- und Prozessfähigkeit“ des Klägers haben, hätte es diesen Zweifeln zunächst selbst nachgehen müssen, um einen Ausschluss der freien Willensbildung des Klägers zu überprüfen bzw. zu verifizieren. Keinesfalls hätte sich das Finanzamt damit begnügen dürfen, die Krankheit des Klägers und den Vortrag des Klägers im Veranlagungsverfahren zur Einkommensteuer 2017 einfach als „Zweifel“ oder „Verdacht“ an andere Behörden bzw. Gerichte preiszugeben. Denn die medizinische Diagnose und die sonstigen Umstände im Zusammenhang mit der Abgabe der Einkommensteuererklärung 2017 sei nicht geeignet, einen Rückschluss auf die Geschäftsfähigkeit des Klägers zu erlauben. Das Finanzamt könne sich für seine Offenbarung der Gesundheitsdaten des Klägers weder auf Art. 9 Abs. 2 lit. f noch lit. g DSGVO berufen, da ein öffentliches Interesse an der Weiterverarbeitung nicht vorliege. Die Weitergabe der Daten sei auch nicht zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen erforderlich. Die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO stellten keinen Freibrief für eine Datenverarbeitung dar. Das Finanzamt habe die erforderliche Interessenabwägung nicht vorgenommen.

Die Tatsachen, dass der Kläger vom Finanzamt S. veranlagt werde, dass er von der X [der vom Kläger beauftragten Steuerberatungsgesellschaft] steuerlich vertreten werde, sowie die von dieser geschilderten Verhältnisse über die Umstände im Zusammenhang mit der Abgabe der Einkommensteuererklärung 2017 und der Gesundheitszustand des Klägers seien vom Schutzbereich des § 30 AO erfasst. Zweck des Schreibens der Steuerberatungsgesellschaft vom 10.05.2019 und der Mitteilung der Erkrankung des Klägers sei eindeutig und unmissverständlich die Erläuterung und Entschuldigung der verspäteten Abgabe der Einkommensteuererklärung 2017 durch den Kläger gewesen. Dieser Zweck sei nicht identisch mit den Verfahren der GmbH bzw. der anderen Gesellschaften/Steuerpflichtigen vor dem BFH. Die Offenbarung der Gesundheitsdaten des Klägers sei zur Durchführung der Verfahren vor dem BFH nicht erforderlich und nicht notwendig gewesen.

Der Kläger beantragt sinngemäß,

unter Aufhebung des Ablehnungsbescheides vom 09.10.2019 die Daten „Multiple Sklerose im fortgeschrittenen Stadium“ sowie „die Äußerung des steuerlichen Beraters des Klägers, der X, dass die X Zweifel geäußert habe, ob der Kläger aufgrund seiner Erkrankung in der Lage sei, komplexere Vorgänge zu erfassen bzw. die von ihm aktuell unterschriebene Steuererklärung 2017 inhaltlich aufnehmen zu können“

außerhalb des Einspruchsverfahrens gegen die Festsetzung eines Zwangsgeldes zur Einkommensteuer für 2017 zu löschen, sowie es zu unterlassen,

die Daten außerhalb des Einspruchsverfahrens Dritten mitzuteilen, sowie die Daten außerhalb des Einspruchsverfahrens zu verarbeiten.

Sowie allen Empfängern, denen die Daten mitgeteilt worden seien, deren Löschung mitzuteilen.

Das Finanzamt beantragt,

die Klage abzuweisen.

Die streitgegenständlichen Angaben seien dem Finanzamt unaufgefordert mitgeteilt worden. Eine Beschränkung der Verwendung der darin gemachten Angaben sei darin nicht thematisiert worden. Vielmehr sei dem Steuerberater als fachkundigem bewusst gewesen, dass die von ihm gegebene Information auch für alle anderen von der Finanzverwaltung geführten Verfahren von Belang sei. Der Kläger erwecke fortlaufend den Eindruck, das Finanzamt habe eigene Erkenntnisse über den Gesundheitszustand des Klägers und diese weitergegeben. Richtig sei, dass lediglich das wiedergegeben worden sei, was im Schreiben des steuerlichen Vertreters des Klägers vom 10.05.2019 enthalten gewesen war.

Die Mitteilungen an den BFH seien in der erfolgten Form zulässig und erforderlich gewesen. Die Rechtsgrundlage für die Weiterverarbeitung der Daten des Klägers sei im vorliegenden Fall § 29c Abs. 2 AO. Die Weiterverarbeitung und Übermittlung der beanstandeten Daten habe der Durchführung gerichtlicher Verfahren in Steuersachen gedient. Sie sei auch erforderlich gewesen zur Sicherstellung eines gesetzmäßigen Besteuerungsverfahrens und der damit zusammenhängenden Gerichtsverfahren, so dass das Interesse des Finanzamts an der Verarbeitung die Interessen des Steuerpflichtigen überwiege.

Würde der Auffassung des Klägers gefolgt, so wäre es ein Leichtes, sich auf Krankheitsdaten zu berufen, wenn unangenehme Verfahrens- oder Prozesshandlungen anstehen. Sobald die gewünschte Rechtsfolge eingetreten sei, würde dann die Löschung der Daten nach der DSGVO beantragt werden und es wäre nicht mehr nachvollziehbar, auf welcher Grundlage Entscheidungen getroffen worden seien. Damit wäre der missbräuchlichen Berufung auf Krankheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO Tür und Tor geöffnet.

Darüber hinaus sei die Deutung falsch, dass das Finanzamt von einer fehlenden Geschäftsfähigkeit des Klägers ausgehe. Vielmehr gäben die Formulierungen in dem oben genannten Schreiben der Steuerberatungsgesellschaft lediglich Anlass, die Geschäftsfähigkeit bzw. Prozessfähigkeit des Klägers zu überprüfen. Eine solche Überprüfung müsse jedoch in allen anhängigen Verfahren erfolgen, da sonst die Gefahr bestehe, dass unwirksame Entscheidungen getroffen würden. Die Mitteilung sei erforderlich, weil ansonsten die Gefahr bestünde, dass der BFH den Anlass für eine notwendige Überprüfung der Prozessfähigkeit nicht erkenne. Dies gelte auch für das vorliegende Verfahren bezüglich Datenschutz. Die vom Kläger den Prozessbevollmächtigten erteilte Vollmacht datiere vom 03.09.2019 und könne daher unter Umständen unwirksam sein. Das Finanzamt rege daher an, den Kläger zur Vorlage des kompletten Gutachtens der neurologischen Klinik vom 01.04.2019 aufzufordern, um die Prüfung der Handlungs- und Prozessfähigkeit des Klägers zu erleichtern.

Wegen des Schriftwechsels und der Argumentation der Beteiligten im Einzelnen wird auf das schriftsätzliche Vorbringen und die Akte zum Löschungsverfahren verwiesen.

Auf die Niederschrift der mündlichen Verhandlung am 04.11.2021 wird verwiesen. Ausweislich des Protokolls ist der Kläger trotz ordnungsgemäßer Ladung nicht erschienen.

II.

1. Die Klage ist zulässig.

Der Rechtsweg zu den Finanzgerichten ist im Streitfall nach § 32i Abs. 2 AO eröffnet.

Statthafte Klageart für die gerichtliche Geltendmachung eines gegen eine Behörde gerichteten Auskunftsanspruchs aus Art. 15 Abs. 1 der DSGVO ist die Verpflichtungsklage (vgl. BVerwG, Urteil vom 16.09.2020 - 6 C 10/19 -, Rn. 12, HFR 2021, 419). Es bestehen aus Sicht des erkennenden Senats keine ernsthaften Anhaltspunkte, an der Prozessfähigkeit des Klägers zum Zeitpunkt der Klageerhebung am 06.11.2019 oder der Wirksamkeit der Prozessvollmacht im Zeitpunkt der Erteilung am 03.09.2019 zu zweifeln. Der einzige Anhaltspunkt insoweit ist das Schreiben des Steuerberaters vom 10.05.2019, das Zweifel lediglich für zu diesem Zeitpunkt vergangene bzw. in naher Zukunft liegende Zeiträume zu säen vermochte.

2. Die Klage ist nicht begründet.

Die DSGVO ist auch auf die Datenverarbeitung im Bereich der direkten Steuern anwendbar (a.). Der Streit betrifft auch Rechte aus Verarbeitung personenbezogener Daten (b.).

Die im Streit stehende Verarbeitung unterliegt jedoch nicht dem in Art. 2 DSGVO umschriebenen sachlichen Anwendungsbereich der DSGVO, da die konkrete Verarbeitung der Daten manuell und somit nicht automatisiert oder teilautomatisiert erfolgt ist und eine Speicherung der Daten in einem Dateisystem nicht erfolgt oder vorgesehen ist (c.).

Selbst wenn davon ausgegangen würde, dass der sachliche Anwendungsbereich der DSGVO eröffnet wäre, stünde dem Löschungsbegehren des Klägers entgegen, dass die Verwendung des Datums auch dann zulässig gewesen wäre (d.). Weder hat das Finanzamt gegen das Zweckbindungsgebot, das Gebot des besonderen Schutzes sensibler Daten verstoßen, noch hindert der Widerspruch des Klägers die Rechtmäßigkeit der Verarbeitung (e.). Die dem Löschungsantrag folgenden Anträge auf Unterlassung der weiteren Verarbeitung und Mitteilung der Löschung an Mitteilungsempfänger stehen dem Kläger damit nicht zu (f.).

a. Die DSGVO ist auf die Verarbeitung von Daten auch bei der Verwaltung direkter Steuern anwendbar.

(1) Als EU-Verordnung gilt die DSGVO gem. Art. 288 AEUV unmittelbar in jedem Mitgliedsstaat der Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf (vgl. auch FG Sachsen, Urteil vom 08.05.2019 - 5 K 337/19 -, EFG 2020, 661, Rn. 12).

Nach Art. 1 DSGVO schützt die Verordnung die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Nach dem Willen des EU-Verordnungsgebers leitet sich der grundsätzlich umfassende Wirkungsbereich der Verordnung direkt aus Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (Charta) sowie Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) ab (vergleiche Erwägungsgründe zur DSGVO [Erw] 1, 2). Sie soll „zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts … beitragen“ (Erw 2). Damit nimmt der Verordnungsgeber die zwischen der Union und den Mitgliedsstaaten geteilte Kompetenz des Art. 4 Abs. 2 j AEUV für sich in Anspruch.

(2) Diesen grundsätzlich umfassend gesehenen Wirkungsbereich schränkt der Verordnungsgeber in Art. 2 Abs. 2 DSGVO u.a. mit Blick auf die Kompetenzen der Mitgliedstaaten ein. Danach findet die Verordnung etwa keine Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt (Art. 2 Abs. 2 a DSGVO) oder auf die Datenverarbeitung durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Art. 2 Absatz 2 d DSGVO).

Welche Tätigkeiten aus dem Geltungsbereich der Verordnung ausgenommen sein sollen, weil sie nicht in den Anwendungsbereich des Unionsrechts fallen (Art. 2 Abs. 2 a DSGVO), führt der Verordnungsgeber nicht explizit aus. In den Erwägungsgründen nennt er beispielhaft die nationale Sicherheit und Datenverarbeitung im Rahmen der gemeinsamen Außen- und Sicherheitspolitik.

Die Tätigkeit, die im Streitfall im Raume steht, ist die Datenverarbeitung im Bereich der Verwaltung direkter Steuern. Da die Verwaltungstätigkeit selbst immanent in die Kompetenz der Mitgliedsstaaten fällt, kann nur darauf abgestellt werden, ob die verwalteten Steuern in die Kompetenz der Union fallen. Das ist im Grunde für die nicht harmonisierten direkten Steuern zu verneinen (Drüen in: Tipke/Kruse, AO/FGO, 166. Lieferung 05.2021, § 2a AO, Rn. 6, m.w.N.). Andererseits beansprucht der Europäische Gerichtshof (EuGH) eine Kompetenz für die Prüfung, ob Vorschriften der Mitgliedsstaaten im Bereich der direkten Steuern gegen Unionsrecht oder etwa die Grundfreiheiten verstoßen. Der BFH erkennt diese Kompetenz an (vgl. z.B. BFH, EuGH-Vorlage vom 06.11.2019 - I R 32/18 -, BStBl II 2021, 68, Rn. 21; Urteil vom 20.04.1988 - I R 219/82 -, BStBl II 1990, 701, Rn. 21), so dass sich die Frage stellt, ob für die Anwendung des Art. 2 Abs. 2 a DSGVO davon gesprochen werden kann, dass die direkten Steuern nicht in den Anwendungsbereich des Unionsrechts fallen. Dies zumal sich die DSGVO auf die geteilte Kompetenz des Art. 4 Abs. 2 j AEUV stützt (vgl. bereits oben und Erw. 2).

Demgemäß sind die Antworten auf die Frage der Anwendbarkeit der DSGVO im Bereich der direkten Steuern kontrovers (vgl. zum Streitstand Drüen in: Tipke/Kruse, AO/FGO, 166. Lieferung 05.2021, § 2a AO, Rn. 6).

(3) Allerdings kann der Senat die Frage der unmittelbaren Geltung der DSGVO kraft Rechtssetzungsakt der Union im Ergebnis dahingestellt sein lassen, da der Bundesgesetzgeber ihre Geltung zumindest durch Verweisung in § 2a AO angeordnet hat. Durch die Verweisung werden die Texte, auf die Bezug genommen wird (Bezugsnormen und andere Bezugstexte) zu einem Bestandteil der verweisenden Regelung (Ausgangsnorm) (Bundesministerium der Justiz und für Verbraucherschutz, Handbuch der Rechtsförmlichkeiten, 3. Aufl. 2008, Teil B, 4.1, Rn. 2018, zit. nach http://hdr.bmj.de/page_b.4.html, Aufruf vom 16.07.2021).

Der deutsche Gesetzgeber ist bei der Normierung des § 2a AO bzw. der §§ 29b, 29c und 32a ff. AO (eingefügt durch Art. 17 des Gesetzes vom 17.07.2017, BGBl I 2017, 2541) von folgendem Verständnis ausgegangen (BT-Drs. 18/12611, Seite 74):

„Die Regelungen der AO sollen an das Recht der Europäischen Union, im Besonderen der [DSGVO] angepasst werden. Dabei sollen aufgrund der Regelungsaufträge der [DSGVO] die bereits bestehenden Vorschriften über die Verarbeitung personenbezogener Daten an die Regelungen und Begriffsbestimmungen dieser Verordnung angepasst bzw. neue bereichsspezifische Regelungen in enger Anlehnung an das neue Bundesdatenschutzgesetz geschaffen werden. Zugleich sollen auf Grundlage des Art. 23 der [DSGVO] bereichsspezifische Einschränkungen der betroffenen Rechte bestimmt werden, damit die Finanzbehörden weiterhin ihrem Verfassungsauftrag nachkommen können, die Steuern nach Maßgabe der Gesetze gleichmäßig festzusetzen und zu erheben und Steuerverkürzungen aufzudecken.“

In der Gesetzesbegründung zu § 2a Abs. 3 AO wird weiter ausgeführt:

„Abs. 3 stellt klar, dass die unmittelbar anzuwendenden europarechtlichen Regelungen über den Schutz personenbezogener Daten natürlicher Personen, insbesondere die [DSGVO], den Regelungen der AO und der Steuergesetze vorgehen, soweit diese den Mitgliedstaaten keine Regelungsaufträge erteilen oder Regelungsbefugnisse einräumen und dementsprechende nationale Regelungen getroffen worden sind.“

In dieser Begründung drückt sich der unbedingte Wille des Bundesgesetzgebers deutlich aus, dass der bereichsspezifische Datenschutz im Bereich des gesamten Steuerrechts durch die AO und die dieser vorgehende DSGVO geregelt sein soll, im Bereich der Einzelsteuergesetze gegebenenfalls für deren Bereich modifiziert. Es lässt sich nach Ansicht des erkennenden Senats weder aus der Gesetzesbegründung, noch aus dem Gesetzeswortlaut des § 2a AO herauslesen, dass die Regelungen der AO bzw. der DSGVO lediglich im Bereich der harmonisierten Steuern und nicht auch im Bereich der direkten Steuern gelten sollten.

Die Gesetzesbegründung zu § 2a Abs. 5 AO bekräftigt das vorstehend gefundene Ergebnis. Der Gesetzgeber ist mit dieser Vorschrift bestrebt, den Anwendungsbereich der DSGVO auch auf Fälle auszuweiten, in denen sie nach Erw. 27 zur DSGVO an sich nicht gilt. Dies entspreche dem allgemeinen Grundsatz der AO, dass verfahrensrechtliche Regelungen - die regelmäßig zugleich Regelungen über die Verarbeitung personenbezogener Daten darstellen - für alle vom Steuer- und Steuerverfahrensrecht Betroffenen ungeachtet ihrer Rechtsform grundsätzlich gleichermaßen gelten.

Der unbedingte Wille des Gesetzgebers zur Geltung der Europäischen Datenschutzregeln drückt sich darüber hinaus in der generalklauselartigen Vorschrift des § 1 Abs. 8 Bundesdatenschutzgesetz (BDSG) aus, wonach die DSGVO und die Teile 1 und 2 BDSG entsprechende Anwendung finden, soweit nicht im BDSG bzw. im bereichsspezifischen Gesetz - hier der AO - Abweichendes geregelt ist.

Nach dem Vorstehenden ist also davon auszugehen, dass der deutsche Gesetzgeber von der unmittelbaren Geltung der DSGVO für die Verarbeitung personenbezogener Daten durch die Finanzbehörden ausgeht (§ 2a Abs. 1 AO). Der Verweis auf dieselbe dürfte somit als deklarativer Verweis gedacht gewesen sein. Nach Auffassung des erkennenden Senats schließt dies jedoch nicht eine hilfsweise Auslegung als konstitutiven Verweis aus. Der Gesetzgeber wollte die Geltung der DSGVO - modifiziert durch eigene Regelungen u.a. in der AO - für die gesamte Tätigkeit der Finanzbehörden - ohne eine je nach Steuerart differenzierte Handhabung. Anderenfalls hätte er dies in § 2a Abs. 1 AO anders formuliert.

Diese Sicht entspricht auch der Rspr. des Bundesverwaltungsgerichts (BVerwG, EuGH-Vorlage vom 04.07.2019 - 7 C 31/17 -, Rn. 14, juris), das folgendes ausführt:

„Mit den Ergänzungen der Abgabenordnung verfolgt der Gesetzgeber - wie sich insbesondere aus § 2a Abs. 3 und 5 AO ergibt - das Ziel, über den unmittelbaren Anwendungsbereich der [DSGVO] hinaus dem allgemeinen Grundsatz der Abgabenordnung entsprechend einheitliche verfahrensrechtliche Regelungen - die regelmäßig zugleich Regelungen über die Verarbeitung personenbezogener Daten darstellen - für alle vom Steuer- und Steuerverfahrensrecht Betroffenen ungeachtet ihrer Rechtsform vorzusehen (vgl. BT-Drs. 18/12611, S. 76). Anhaltspunkte dafür, dass dieses Regelungsziel sich auf unionsrechtlich determinierte Steuern beschränkt, sind nicht ersichtlich. Eine nach Steuerschuldnern und Steuerarten differenzierende Verarbeitung der Daten wäre im Übrigen - wie die Vertreter des für die Novellierung der Abgabenordnung federführend zuständigen Bundesministeriums der Finanzen in der mündlichen Verhandlung erläutert haben - auch technisch nicht zu realisieren. […] Vor diesem Hintergrund kommt eine „gespaltene“ Auslegung der Neuregelungen in der Abgabenordnung für dem Unionsrecht unterfallende Sachverhalte einerseits und diesem nicht unterfallende Sachverhalte andererseits nicht in Betracht.“

Nach alledem geht der erkennende Senat von der zumindest inhaltlichen Geltung der DSGVO für die gesamte Daten verarbeitende Tätigkeit der Finanzbehörden aus (wie hier, jedoch nur in summarischer Würdigung FG Saarland, Beschluss vom 03.04.2019 - 2 K 1002/16 -, EFG 2019, 1217; ohne Problemerörterung FG Sachsen, Urteil vom 08.05.2019 - 5 K 337/19 -, EFG 2020, 661; ohne Problemerörterung FG Köln, Urteil vom 18.09.2019 - 2 K 312/19 -, EFG 2020, 413; a.A. unter Verweis auf die Literatur FG Niedersachsen, Urteil vom 28.01.2020 - 12 K 213/19 -, EFG 2020, 665).

(4) Die BMF-Schreiben vom 12.01.2018, BStBl I 2018, 185 (ersetzt durch BMF-Schreiben vom 13.01.2020 IV A 3-S 0130/19/10017:004, 2019/1129406) geben die vorstehend begründete Rechtsauffassung wieder, so dass festgehalten werden kann, dass auch die Finanzverwaltung von der Geltung der DSGVO im Bereich der Steuerverwaltung ausgeht.

b. Der sachliche Anwendungsbereich der DSGVO ist im Streitfall insoweit eröffnet, als die Verarbeitung personenbezogener Daten zu beurteilen ist.

(1) (1.1) Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO).

(1.2) Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach der Verordnung (EG) Nr. 45/2001 oder der Vorgängernorm der DSGVO, der RL 95/46/EG, sind dies alle Informationen über eine bestimmte oder bestimmbare natürliche Person.

(1.3) Der Begriff der „Personenbezogenen Daten“ wird vom zur Auslegung berufenen EuGH (vgl. BVerwG, EuGH-Vorlage - 7 C 31/17 -, a.a.O.) weit ausgelegt, so dass auch etwa die Antworten des Prüfungsteilnehmers auf Prüfungsfragen und die Korrekturanmerkungen des Prüfers (nicht aber die Prüfungsfragen selbst) personenbezogene Daten darstellen können (EuGH, Urteil vom 20.12.2017 - C-434/16 -, Rn. 34, juris; vgl. hierzu auch VG Gelsenkirchen, Urteil vom 27.04.2020 - 20 K 6392/18 -, Rn. 140, juris). In seiner zur RL 95/46/EG ergangenen Entscheidung leitet er dies aus den zwei Zielrichtungen der Richtlinie ab: Einmal fänden die in ihr vorgesehenen Schutzprinzipien ihren Niederschlag in den Pflichten, die den für die Verarbeitung Verantwortlichen obliegen; diese Pflichten beträfen insbesondere die Datenqualität, die technische Sicherheit, die Meldung bei der Kontrollstelle und die Voraussetzungen, unter denen eine Verarbeitung vorgenommen werden könne. Zum anderen kämen sie zum Ausdruck in den Rechten der Personen, deren Daten Gegenstand von Verarbeitungen sind, über diese informiert zu werden, Zugang zu den Daten zu erhalten, ihre Berichtigung verlangen bzw. unter gewissen Voraussetzungen Widerspruch gegen die Verarbeitung einlegen zu können (ebenda, Rn. 48).

(1.4) Der EuGH arbeitet in einer weiteren zur RL 95/46/EG ergangenen Entscheidung vom 17.07.2014 - C-141/12 und C-372/12 -, CR 2015, 103, den Unterschied zwischen personenbezogenen Daten und den Dokumenten heraus, die u.a. personenbezogene Daten enthalten. In den dem Vorabentscheidungsersuchen zugrundeliegenden Verfahren begehrten die Antragsteller Einsicht in eine sog. „Entwurfsschrift“, die Daten über den Verfahrensbeteiligten, aber auch eine rechtliche Analyse enthielt. Der EuGH hat entschieden, dass auch in dieser Entwurfsschrift enthaltenen Daten, die die Tatsachengrundlage für die in der Entwurfsschrift ebenfalls enthaltene rechtliche Analyse darstellen, personenbezogene Daten des Verfahrensbeteiligten sind. Er bejaht insoweit ein Auskunftsrecht. Dagegen verneint er ein Auskunftsrecht hinsichtlich der rechtlichen Analyse. Diese könne nicht Gegenstand einer Nachprüfung durch den Antragsteller und einer Berichtigung sein. Würde das Auskunftsrecht auf diese rechtliche Analyse ausgedehnt, so würde dies in Wirklichkeit nicht dem Ziel der Richtlinie dienen, den Schutz der Privatsphäre dieses Antragstellers bei der Verarbeitung von ihn betreffenden Daten zu gewährleisten, sondern dem Ziel, ihm ein Recht auf Zugang zu Verwaltungsdokumenten zu sichern, auf das die RL 95/46 jedoch nicht gerichtet sei (EuGH, ebenda, Rn. 46).

(2) Nach Maßgabe dieser Rechtsgrundsätze sind personenbezogene Daten nicht nur alle Einzelangaben, die in den Datenbanksystemen des Finanzamts mit Bezug auf den Kläger bzw. dessen Steuer- oder Steueridentifikationsnummern gespeichert sind. Personenbezogene Daten liegen auch insoweit vor, als in Steuerakten - gleich ob elektronisch oder auf Papier manifestiert - Dokumente enthalten sind, in deren nicht weiter strukturierten Texten Einzelangaben über die steuerlichen und damit stets auch persönlichen Verhältnisse des Klägers wiedergegeben sind. Damit stellt die streitige Textpassage bzw. die darin sinngemäß enthaltene Angabze zu einer Muliple-Sklerose-Erkrankung ein personenbezogenes Datum des Klägers dar. Das gilt gleichgültig, ob man das streitgegenständliche Datum als „Gesamtäußerung des steuerlichen Vertreters“ oder als „Diagnose“ bewertet.

c. Die streitgegenständlichen Daten werden durch das Finanzamt nicht automatisiert verarbeitet. Eine Speicherung der Daten in einem Dateisystem ist nicht erfolgt und auch nicht vorgesehen, so dass der sachliche Anwendungsbereich der DSGVO nicht eröffnet ist (Art. 2 Abs. 1 DSGVO).

(1) „Nicht automatisiert“ bedeutet „manuelle“ Verarbeitung (Erwägungen zur DSGVO, - Erw. - 15). Es darf kein Teilschritt der Verarbeitung automatisiert stattfinden. Soweit die Steuerverwaltung Schriftgut in Papierform in Steuerakten ablegt und Angaben daraus für Schreiben verwendet, ist eine solche manuelle Verarbeitung gegeben.

Die streitgegenständliche Textpassage, die das Datum „Multiple Sklerose im fortgeschrittenen Stadium“ enthält, wurde vom Finanzamt nicht unter einer bestimmten Kennziffer ihrer Datenbanken erfasst. Vielmehr findet sich diese Passage lediglich in einem Schriftsatz des Steuerberaters des Klägers, der in der Steuerakte abgeheftet wurde. Die Aufnahme einer solchen Textpassage im Wege des Langzitats in ein eigenes Schreiben des Finanzamts (im Streitfall an den BFH) ist eine rein manuelle Verarbeitung. Von einer zumindest teilautomatisierten Verarbeitung kann nach Auffassung des erkennenden Senats nicht schon deshalb gesprochen werden, weil zur Erstellung des Schreibens ein PC mit einem handelsüblichen Schreibprogramm benutzt worden ist. Die Persönlichkeitsrechte des Betroffenen werden durch zitierende Verwendung personenbezogener Daten in einem selbst nicht weiter strukturierten Text, der unter Verwendung eines handelsüblichen Texteditors erstellt und ausgedruckt wird, nicht stärker gefährdet, als bei der Erstellung des Texts mit einer Schreibmaschine.

Eine stärkere Gefährdung durch die maschinelle Verarbeitung - der die Datenschutz Grundverordnung begegnen möchte - tritt erst dann ein, wenn Einzelangaben einer Strukturierung unterworfen werden, etwa durch Zuordnung der Einzelangaben zu Kriterienbezeichnern bzw. einer „Verkennzifferung“. Dies wird daraus deutlich, dass die DSGVO im Interesse einer Technologieneutralität (vgl. Erw. 15) die manuelle Datenverarbeitung nur dann in ihren sachlichen Anwendungsbereich einbezieht, wenn die verarbeiteten Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO).

(2) Das streitgegenständliche Datum wird nicht in einem Dateisystem gespeichert und soll auch nicht ein einem solchen gespeichert werden. Dass das die Textpassage enthaltende Schreiben in der Finanzamtsakte abgelegt sein dürfte, erfüllt nicht den Tatbestand der „Speicherung in einem Dateisystem“.

(2.1) Wann eine (vorgesehene) Speicherung in einem Dateisystem (Art. 2 Abs. 1 DSGVO) vorliegt, ist noch nicht hinreichend geklärt. Art. 4 Nr. 6 DSGVO definiert das Dateisystem als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet geführt wird“. Nach der h.M. ist dieser Begriff im Wesentlichen gleichbedeutend mit dem in der Vorgängervorschrift der DSGVO (der RL 95/46) verwendeten Begriff der Datei (Kühling, DSGVO Art. 6 Nr. 6 Rn. 1). Eine Sammlung ist nach gängiger Vorstellung eine planmäßige, strukturierte Zusammenstellung einzelner Angaben, die einen inneren Zusammenhang vorweisen, entweder durch Gleichartigkeit der Informationen (z.B. Kundendaten) oder des Zwecks (z.B. Zugangskontrolle) der Sammlung (Kühling, DSGVO Art. 4 Nr. 6 Rn. 3). Nach dem BDSG a.F. war damit ein gleichartiger Aufbau der Zusammenstellung gemeint, eine äußere Form, die eine gewisse Anordnung aufweisen muss. Danach durfte kein zufälliger oder wechselnder Aufbau der Angaben vorliegen. Vielmehr bedurfte es eines formalen Ordnungsschemas (ebenda).

(2.2) Rechtsprechung des EuGH zur Auslegung des Begriffs „Dateisystem“ liegt - soweit ersichtlich - noch nicht vor. Zum in der Vorgängervorschrift der DSGVO verwendeten Begriff der „Datei“ führt der EuGH (EuGH, Urteil vom 10.07.2018 - C-25/17 -, Celex-Nr. 62017CJ0025) folgendes aus:

„Gemäß den Erwägungsgründen 15 und 27 der RL 95/46 muss der Inhalt einer Datei so strukturiert sein, dass er einen leichten Zugriff auf die personenbezogenen Daten ermöglicht. In Art. 2 Buchst. c dieser Richtlinie ist zwar nicht näher geregelt, nach welchen Kriterien die Datei strukturiert sein muss, aber den genannten Erwägungsgründen zufolge müssen die Kriterien „personenbezogen“ sein. Demnach ist mit dem Erfordernis, dass die Sammlung personenbezogener Daten „nach bestimmten Kriterien strukturiert“ sein muss, nur gemeint, dass die Daten über eine bestimmte Person leicht wiederauffindbar sind.

Abgesehen von diesem Erfordernis regelt Art. 2 Buchst. c der RL 95/46 weder die Modalitäten, nach denen eine Datei strukturiert werden muss, noch die Form, die sie aufweisen muss. Insbesondere geht weder aus dieser, noch aus irgendeiner anderen Bestimmung dieser Richtlinie hervor, dass die in Rede stehenden personenbezogenen Daten in spezifischen Kartotheken oder Verzeichnissen oder einem anderen Recherchesystem enthalten sein müssten, damit das Vorliegen einer Datei im Sinne dieser Richtlinie bejaht werden kann. […] Somit ist auf die zweite [Vorlage-]Frage zu antworten, dass Art. 2 Buchst. c der RL 95/46 dahin auszulegen ist, dass der in dieser Bestimmung genannte Begriff „Datei“ eine Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen (EuGH, Urteil vom 10.07.2018, C-25/17, Celex-Nr. 62017CJ0025, Rn. 57 f, 62)“.

Zugrunde lag dem Vorabentscheidungsersuchen die Besuchstätigkeit der Zeugen Jehovas, die sich im Rahmen ihrer von Tür zu Tür durchgeführten Verkündigungstätigkeit Notizen über Besuche bei Personen machen, die weder ihnen noch der Gemeinschaft bekannt sind. Zu den erhobenen Daten können u. a. die Namen und Adressen der aufgesuchten Personen, sowie Informationen über ihre religiösen Überzeugungen und Familienverhältnisse gehören. Diese Daten werden als Gedächtnisstütze erhoben, und um für den Fall eines erneuten Besuchs wiederauffindbar zu sein, ohne dass die betroffenen Personen hierin eingewilligt hätten oder darüber informiert worden wären.

Die Gemeinschaft der Zeugen Jehovas hat ihren Mitgliedern Anleitungen zur Anfertigung solcher Notizen gegeben, die in mindestens einem ihrer der Verkündigungstätigkeit gewidmeten Mitteilungsblätter abgedruckt sind. Die Gemeinschaft und ihre Gemeinden organisieren und koordinieren die von Tür zu Tür durchgeführte Verkündigungstätigkeit ihrer Mitglieder insbesondere dadurch, dass sie Gebietskarten erstellen, auf deren Grundlage Bezirke unter den Mitgliedern, die sich an der Verkündigungstätigkeit beteiligen, aufgeteilt werden, und indem sie Verzeichnisse über die Verkündiger und die Anzahl der von ihnen verbreiteten Publikationen der Gemeinschaft führen. Außerdem führen die Gemeinden der Gemeinschaft der Zeugen Jehovas eine Liste der Personen, die darum gebeten haben, nicht mehr von den Verkündigern aufgesucht zu werden. Die in dieser Liste, der sogenannten „Verbotsliste“, enthaltenen personenbezogenen Daten werden von den Mitgliedern der Gemeinschaft verwendet. Früher stellte die Gemeinschaft ihren Mitgliedern für die Erhebung dieser Daten im Rahmen ihrer Verkündigungstätigkeit Formulare zur Verfügung; deren Verwendung wurde aber infolge einer Empfehlung des Datenschutzbeauftragten eingestellt. Die erhobenen Daten waren nicht in Form einer Kartothek strukturiert.

(2.3) Wenn nach der Rspr. des EuGH für das Vorliegen einer Datei bzw. eines Dateisystems genügt, dass Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind und eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen muss, dann wird der Begriff des Dateisystems auf den ersten Blick konturlos.

Um diese scheinbare Konturlosigkeit aufzulösen, lohnt der Blick in die Erw. 15 zur DSGVO, wonach Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich dieser Verordnung fallen sollten. Wann Akten oder Aktensammlungen „nicht nach bestimmten Kriterien geordnet sind“, führt die DSGVO nicht näher aus. Allerdings kann damit nicht gemeint sein, dass eine einzelne Akte innerhalb einer Aktensammlung etwa nach dem einem Kriterium „Name“ bzw. „Steuernummer“ aufgefunden werden kann, da sonst jede Aktensammlung „nach bestimmten Kriterien geordnet“ erschiene und deren Ausnahme vom Anwendungsbereich der DSGVO gänzlich leerliefe. Denn eine Aktensammlung ohne wenigstens ein Ordnungskriterium zur Reihung der enthaltenen Akten ist praktisch kaum vorstellbar.

Demgemäß fordert die wohl h.M. in der Literatur zur Bejahung einer „Ordnung nach Kriterien“ (Erw. 15), dass die Sammlung nach zumindest zwei Kriterien sortierbar ist (Kühling, DSGVO Art. 2 Rn. 18), was bei der Sammlung der Steuerakten, die lediglich nach Az. bzw. Steuernummer abgelegt sind, nicht der Fall ist.

In besonderem Maße gilt dies für die Inhalte jeder einzelnen Steuerakte, in der Dokumente als Volltext ohne weitere „Ordnung nach Kriterien“ in historischer Reihung abgelegt sind.

Eine Strukturiertheit im Sinne einer leichten Wiederauffindbarkeit von Daten war in dem Referenzfall des EuGH (C-25/17, Jehovas Zeugen) vor allem auch deshalb gegeben, weil der einzelne Besuchsbericht relativ wenige, überschaubare Daten in strukturierter Form enthielt. Das ist bei einer Akte, die ohne weitere Ordnung eine Vielzahl von nicht einheitlich und weitgehend unstrukturierten Schriftstücken in der Reihenfolge der Veraktung enthält - bei Papiersteuerakten nicht selten hohe zweistellige und auch dreistellige Blattzahlen -, nicht der Fall.

Anders als bei einer Sammlung von in sich strukturierten Einzelblättern ist der Aufwand des Heraussuchens von Einzelangaben zu einem bestimmten Kriterium aus einer Akte gerade kein „Leichtes“. Vielmehr benötigte ein menschlicher Bearbeiter, der für eine Auskunft alle Einzelangaben aus den in einer umfangreicheren Steuerakte enthaltenen Schriftstücken heraussuchen wollte, viel Zeit - im Einzelfall wohl Stunden. Im Ergebnis kann daher bei Akten - insbesondere Papierakten -, die umfangreiche, nicht weiter strukturierte Einzeldokumente enthalten, nicht von vorneherein einer „Speicherung in einem Dateisystem“ ausgegangen werden.

(3) Soweit ersichtlich, hatte die Rspr. noch keine Gelegenheit, näher zur datenschutzrechtlichen Behandlung derart umfangreicher Aktensammlungen mit einer großen Zahl nicht weiter strukturierter Dokumentbündel, wie sie etwa die Steuerakten darstellen, Stellung zu nehmen.

Grundsätzlich nicht in den Schutzbereich der DSGVO einbezogen ist nach Auffassung des erkennenden Senats die papierene Steuerakte, die in zeitlicher Abfolge sortierte Ablage der schriftlichen Kommunikation der Verwaltung mit dem Betroffenen/Steuerpflichtigen und diverser anderer unstrukturierter Texte. Während die in den Datenbanken abgelegten Einzelangaben strukturiert und Kriterien zugeordnet sind, handelt es sich bei der Schriftgutsammlung um selbst nicht weiter strukturierte, ungleich aufgebaute Texte. Zwar enthalten diese selbst auch solche Einzelangaben, die einen Bezug auf den Betroffenen aufweisen, mithin „personenbezogene Daten“. Über diese hinaus enthalten Sie aber auch eine Vielzahl von Einzelangaben ohne unmittelbaren Bezug auf den Betroffenen - etwa Bearbeitungsvermerke, Bearbeiternamen, rechtliche Analysen und Subsumtionen. Zum - auch - auf den Betroffenen bezogenen „Sammel“- Datum werden letztere Informationen überhaupt erst durch die Aufnahme des Schriftstücks in die Schriftgutsammlung, die ihrerseits unter dem Namen des Betroffenen geführt wird. Die enthaltene Einzelangabe aber „schlummert“ ungehoben in den Volltexten der Schriftgutsammlung. Eine „Strukturierung nach bestimmten Kriterien“ zur „leichten Wiederauffindung“ (vgl. oben) erkennt der Senat in diesen noch „ungehobenen“ Einzelangaben gerade nicht. Sie unterliegen daher nach Auffassung des erkennenden Senats erst dann dem sachlichen Anwendungsbereich der DSGVO, wenn sie durch menschliches Handeln der Akte entnommen und in ein Dateisystem überführt werden. Dieser Akt der Extraktion stellt nach Auffassung des erkennenden Senats eine manuelle und somit „nichtautomatisierte“ Verarbeitung dar. Erst das einen intellektuellen menschlichen Akt darstellende „Heben“ der Einzelangabe durch Zuweisung des Inhalts zu einem Kriterium - die vorgesehene Verwendung des Datums für die nachfolgende teilweise automatisierte Verarbeitung für Besteuerungszwecke - führte dazu, dass dieses Datum im Sinne des Art. 2 Abs. 1 DSGVO in einem Dateisystem gespeichert wird/werden soll.

Nach diesen Rechtsgrundsätzen fällt die manuelle Verwendung von Angaben des Steuerpflichtigen oder seines steuerlichen Vertreters in einem Schreiben nicht in den Anwendungsbereich der DSGVO, auch wenn das Schreiben zur Steuerakte genommen worden ist.

d. Selbst wenn man die Steuerakte und die darin enthaltenen Schriftstücke, die darin nicht weiter strukturierten Textpassagen und Einzelangaben als „Speicherung in einem Dateisystem“ ansähe, könnte der Kläger mit seinen Klageanträgen keinen Erfolg haben. Das Finanzamt durfte das maßgebliche Datum (1) auch bei unterstellter Anwendbarkeit der DSGVO durch Mitteilung an den BFH verarbeiten (2), da es hierzu nach Art. 6 Abs. 1 c DSGVO befugt war (3).

(1) Daten Als „Daten“ bzw. „Informationen“, bezüglich derer datenschutzrechtliche Rechte bestehen können, kommen im Streitfall einmal eine selbst schon kombinierte Einzelangabe - „Multiple Sklerose im fortgeschrittenen Stadium“ - und sodann die diese Wortfolge enthaltende Textpassage im Schreiben des Steuerberaters in Betracht.

Bereits der Einzelangabe kommt nur dann eine Bedeutung zu, wenn ihr eine solche zugeschrieben wird.

Diese zugeschriebene Bedeutung könnte im Streitfall lauten „Krankheit des Klägers“ - in diesem Sinne versteht sie offensichtlich der Kläger. Die zugeschriebene Bedeutung kann aber auch lauten: „Behauptete Krankheit des Klägers“ oder: „unbewiesene, behauptete Krankheit des Klägers zum Zwecke der Vermeidung eines Zwangsgeldes“ - in diesem letzteren Sinne dürfte sie das Finanzamt verstehen. Je nach zugeschriebener Bedeutung wäre die Einzelangabe richtig oder falsch - einmal unterstellt, der Kläger sei völlig gesund.

Dieses Beispiel illustriert aus Sicht des erkennenden Senats das Problem, wenn Textfragmente eines erst den Bedeutungskontext schaffenden Schreibens als „Daten“ angesehen werden, ohne dass ihnen eine eindeutige Bedeutung durch einen Bezeichner/Kriterium zugewiesen worden ist.

Betrachtet man die im Langzitat dem BFH mitgeteilte gesamte Textpassage als ein weiteres Datum, so ist dieses Datum unzweifelhaft richtig, denn es ist unstreitig, dass der Steuerberater Zweifel geäußert hat, dass der Kläger aufgrund seiner Erkrankung (Multiple Sklerose in fortgeschrittenem Stadium) in der Lage gewesen ist, die Steuererklärung 2017 inhaltlich aufnehmen zu können. Seine Bedeutung erhält das Zitat aus dem beigefügten Kontext, nämlich der Tatsache, dass der steuerliche Vertreter im Schreiben vom 10.05.2019 eben diese Äußerung getan hat.

(2) Datenverarbeitung durch Verwendung

Die Mitteilung eines Datums an den BFH im Wege des Langzitats aus dem Schreiben des Steuerberaters ist eine Datenverarbeitung in Form der Verwendung bzw. Offenlegung durch Übermittlung (Art. 4 Nr. 2 DSGVO).

(3) Grundlage der Datenverarbeitung

Nach Art. 6 Abs. 1 c DSGVO ist die Datenverarbeitung u.a. dann zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Darüber hinaus ist die Verarbeitung nach Art. 6 Abs. 1 e DSGVO rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diesen Erlaubnisvorbehalt füllte der bundesdeutsche Gesetzgeber für den Bereich der Abgabenordnung durch Schaffung der Erlaubnistatbestände § 29b und § 29c AO aus. In der Gesetzesbegründung (BTDrs. 18/12611, Seiten 76 ff.) führt der Gesetzgeber aus: „Nach § 85 AO haben die Finanzbehörden die Steuern nach Maßgabe der Gesetze gleichmäßig festzusetzen und zu erheben.[…] Soweit die Vorschrift bei der Verarbeitung personenbezogener Daten zu Zwecken gemäß Artikel 2 der [DSGVO] zur Anwendung kommt, wird mit ihr eine Rechtsgrundlage auf der Grundlage von Artikel 6 Absatz 1 Buchstabe e i. V. m. Absatz 2 und Absatz 3 der [DSGVO] geschaffen.“

Der historische Gesetzgeber ging also davon aus, eine Erlaubnisnorm auf Grundlage des Art. 6 Abs. 1 e DSGVO zu schaffen. Tatsächlich erfüllt § 29b AO im Zusammenspiel mit der in der Gesetzesbegründung selbst genannten rechtlichen Verpflichtung der Finanzbehörden nach § 85 AO auch alle Merkmale des Art. 6 Abs. 1 c DSGVO. Dies hat Bedeutung für die Prüfung des Antrags auf Löschung (dazu sogleich).

e. Der Antrag auf Löschung des Datum ist daher selbst dann unbegründet, wenn der Anwendungsbereich der DSGVO eröffnet wäre.

Nach Art. 17 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn einer der dort aufgeführten Gründe zutrifft.

(1) Der Kläger stützt sich vor allem auf die Unrechtmäßigkeit der Datenverarbeitung als solcher und damit auf Art. 17 Abs. 1 d DSGVO. Er stützt sich auf das Verbot des Art. 9 Abs. 1 DSGVO und die diesen ausfüllende Vorschrift des Art. 29b AO. Er reklamiert dabei für sich, dass die Erklärung des Steuerberaters ausschließlich zu dem Zweck erfolgt sei, die verspätete Erklärungsabgabe zu entschuldigen und zu rechtfertigen. In der Verwendung der Erklärung für andere Besteuerungsverfahren - insbesondere, hinsichtlich anderer Besteuerungssubjekte - sei eine unerlaubte Zweckänderung zu sehen.

Dieser Sichtweise vermag das Gericht nicht zu folgen, weil sie auf mehreren Rechtsirrtümern beruht.

(1.1) Soweit sich der Kläger auf das Zweckbindungsgebot des Art. 5 Abs. 1 b DSGVO beruft, ist zutreffend, dass Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Allerdings verkennt der Kläger, dass eine „Erhebung“ schon nicht vorliegt, wenn der Kläger bzw. dessen steuerlicher Vertreter unaufgefordert Daten beim Finanzamt einreicht. Ein „Erheben“ setzt nämlich ein aktives Tun des Verantwortlichen voraus, das dann nicht vorliegt, wenn die personenbezogenen Daten ohne eigenes Zutun in den Verfügungsbereich des Verantwortlichen gelangen (vgl. Kühling, DSGVO Art. 4 Nr. 2, Rn. 21; Bayerisches Landessozialgericht, Urteil vom 31.03.2011 - L 15 SB 80/06 -, Rn. 32, juris). Der Zweck der Verarbeitung wird also im Streitfall nicht schon durch einen bei der Erhebung genannten Zweck beschränkt. Beschränkt wird er allerdings immanent durch die Rechtsgrundlage, auf der die Verarbeitung beruht. Das ist der Auftrag und die Pflicht des Finanzamts aus § 85 AO. Insoweit gilt das Gleiche, wie bei einer Erhebung ohne vorheriger Festlegung des Zwecks: dann ist nach der Rspr. der objektive Verwendungszweck maßgeblich, der sich nach dem erkennbar verfolgten Ziel bestimmt (VGH Baden-Württemberg, Urteil vom 30.07.2014 - 1 S 1352/13 -, Rn. 65, juris).

Die berechtigte Erwartung, dass eine Angabe gegenüber einer Finanzbehörde zunächst innerhalb dieser Behörde verbleibe, mag dazu führen, dass etwa die Weiterleitung von Daten an andere Behörden oder z.B. die Mitteilung an den BFH als Zweckänderung zu beurteilen ist. Die vorgetragene Erwartung des Klägers, die Angabe werde jedoch nur in einem Teilverfahren vor dem Finanzamt verwendet und nur von einer konkreten Abteilung, ist nach Auffassung des Senats keine berechtigte Erwartung. Anderenfalls würden der Besteuerung je nachdem wie die arbeitsteilige Organisation intern geregelt ist, unterschiedliche Sachverhalte zugrunde gelegt. Der sinngemäße Anspruch des Klägers, der Steuerpflichtige vermochte selbst vorzugeben, für welches Besteuerungsverfahren welche Daten bzw. einander widersprechende Daten verwendet werden dürfen, erscheint nicht vereinbar mit dem Grundsatz des § 85 AO und dem Grundsatz der Sachverhaltsermittlung kraft Amtes. Vielmehr ist davon auszugehen, dass grundsätzlich innerhalb des Kreises der für einen Steuerpflichtigen zuständigen Abteilungen bzw. in die Bearbeitung einbezogenen Beschäftigten der örtlich und sachlich zuständigen Finanzbehörde zulässigerweise ein freier Informationsfluss zu einem einheitlichen Zweck der zutreffenden Besteuerung hinsichtlich aller Steuerarten und Teilverfahren stattfindet.

Soweit Daten an andere Behörden oder im Streitfall den BFH für ein Verfahren übermittelt werden, das ein anderes Besteuerungssubjekt betrifft, dürfte eine Zweckänderung im Sinne der DSGVO insoweit angenommen werden müssen, als der Zweck durch die Person des Betroffenen bzw. das diesen betreffende Besteuerungsverfahren begrenzt wird. Letztlich kann der Senat dies jedoch dahingestellt sein lassen. Denn die Verwendung für andere Besteuerungsverfahren (sei es gerichtlich oder ein Verwaltungsverfahren) und damit eine Zweckänderung erlauben im Streitfall § 29c Abs. 1 Nr. 1 AO und § 29c Abs. 1 Nr. 2 AO i.V.m. § 30 Abs. 4 AO explizit. Das Finanzamt hat insoweit rechtlich zutreffend darauf abgestellt, dass den vom Kläger selbst - diesem ist das Handeln seines Steuerberaters zuzurechnen - geäußerten Anhaltspunkten für eine temporäre Beschränkung seiner prozessualen Handlungsfähigkeit von Amts wegen nachgegangen werden muss und dies davon potentiell betroffenen Verwaltungs- oder Gerichtsverfahren dient. Wenn die Äußerung des Steuerberaters als wahr unterstellt wird und der Kläger danach nicht in der Lage war, den Inhalt seiner Steuererklärung zu erfassen, besteht berechtigter Anlass, dessen Prozessfähigkeit zu prüfen (§ 50 Abs. 1 FGO), weil nicht von vorneherein ausgeschlossen werden kann, dass die geschilderte kognitive Einschränkung des Klägers zu einer ggf. auch länger andauernden zumindest beschränkten Prozessfähigkeit führte oder führt (BFH, Urteil vom 15.02.1977 - VII R 42/74 -, BStBl II 1977, 434).

Soweit § 29c Abs. 2 AO hinsichtlich besonders sensibler Daten Zweckänderungen zusätzlichen Voraussetzungen unterwirft, sind diese erfüllt (dazu sogleich).

(1.2) Soweit der Kläger sich auf den besonderen Schutz sensibler Daten des Art. 9 Abs. 1 DSGVO beruft, kann das Finanzamt dem die Zulässigkeit der Verarbeitung nach Art. 9 Abs. 2 f und g DSGVO entgegenhalten.

Dabei kann der Senat zunächst dahingestellt sein lassen, ob „personenbezogenes Datum“ im Streitfall die Angabe einer Krankheit des Klägers ist, also ein „Gesundheitsdatum“ nach Art. 9 DSGVO darstellt oder ob das personenbezogene Datum eine Textpassage bzw. Behauptung darstellt, also die nicht weiter geprüfte Mitteilung des Klägers in einem Verwaltungsverfahren ist. In letzterem Kontext versteht das Finanzamt dieses Datum und in der Tat erscheint zweifelhaft, ob die Mitteilung der Passage im Sinne einer Mitteilung über den Gesundheitszustand des Klägers - als „Gesundheitsdatum“ - zu lesen ist. Die Mitteilung des Finanzamts ist vielmehr eher dahingehend zu verstehen, dass lediglich die Behauptung des Klägers dem BFH zur Prüfung vorgelegt werden sollte, also dessen „unbestätigte Behauptung über das Vorliegen einer Krankheit“.

Selbst wenn wegen der konkreten Bezeichnung der Krankheit ein „Gesundheitsdatum“ vorläge und damit Art. 9 DSGVO anzuwenden wäre, gestattete diese Vorschrift die Verarbeitung.

Art. 9 Abs. 2 f DSGVO erlaubt die Verarbeitung, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist. Die Verarbeitung durch Verwendung in den Schreiben an den BFH diente der Prozessführung des Finanzamts und ist damit zur Verteidigung von dessen Rechtsansprüchen. Sie war auch erforderlich. Das Finanzamt hat im Rahmen seiner Pflicht und Aufgabe aus § 85 AO in Prozessen und Verwaltungsverfahren die Rechtsposition des Fiskus zu wahren und in diesem Zusammenhang das Gericht über Anhaltspunkte zu informieren, die dem Gericht ein Sachurteil verwehren und ggf. zur Klageabweisung als unzulässig führen könnten. Zur Erfüllung dieser Pflicht stand dem Finanzamt kein milderes, gleich wirksames Mittel zur Verfügung, als diese Anhaltspunkte - die Textpassage, die im Rahmen der Verteidigung gegen das Zwangsgeld vorgetragen wurde - dem BFH zur Kenntnis zu geben.

Darüber hinaus erlaubt auch Art. 9 Abs. 2 g DSGVO die Mitteilung gegenüber dem BFH und anderen Gerichten. Diese Vorschrift erlaubt die Verarbeitung auf Grundlage etwa des Bundesdeutschen Rechts und wird durch § 29b Abs. 2 AO entsprechend ausgefüllt. Eine auf Grundlage dieser Vorschrift vorgenommene Verarbeitung zu einem anderen Zweck lässt § 29c Abs. 2 AO im Wege des Verweises zu. § 29c Abs. 2 AO lässt die Verarbeitung besonders sensibler Daten im Sinne des Art. 9 Abs. 1 DSGVO zu, soweit die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen; in diesem Fall hat die Finanzbehörde angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen; § 22 Abs. 2 Satz 2 BDSG ist entsprechend anzuwenden. Diese Voraussetzungen sind im Streitfall gegeben.

Nach dieser Maßgabe war die Verarbeitung der Mitteilung des Klägers durch Übermittlung an den BFH in der Stellungnahme des Finanzamts zulässig, auch sofern insoweit eine Zweckänderung vorliegt, weil die Mitteilung in anderen Verfahren erfolgt ist, als demjenigen, in dessen Rahmen die Daten dem Finanzamt mitgeteilt worden waren. Es besteht ein erhebliches öffentliches Interesse daran, dass Behörden im Rahmen von Gerichtsverfahren in ihren Stellungnahmen sämtliche im Bereich der Finanzbehörden vorhandenen, entscheidungserheblichen Informationen vortragen.

(2) Soweit der Kläger sich für die Löschung auf seinen erklärten Widerspruch bezieht, kann er sich nicht mit Erfolg auf Art. 17 Abs. 1 c DSGVO berufen, weil das dort in Bezug genommene Widerspruchsrecht nur hinsichtlich von Datenverarbeitungen besteht, die sich auf Art. 6 Abs. 1 e oder f DSGVO beziehen. Wie oben bereits ausgeführt verarbeitet das Finanzamt Daten aufgrund seiner rechtlichen Verpflichtung nach § 85 AO i.V.m. § 29b AO und damit unter der Erlaubnisbedingung des Art. 6 Abs. 1 c DSGVO. Ein Widerspruchsrecht steht dem Kläger damit nicht zu. Im Übrigen schließt § 32f Abs. 5 AO das Recht auf Widerspruch aus denselben Gründen aus. An der Mitteilung von Tatsachen an das Gericht, die Prozessvoraussetzungen betreffen, besteht ein zwingendes öffentliches Interesse, weil das Finanzamt anderenfalls seiner Aufgabe aus § 85 AO nicht wirksam nachkommen könnte.

(3) Aus Art. 17 Abs. 1 a DSGVO - Löschung, wenn die Daten sind für den Verarbeitungszweck nicht mehr notwendig sind - kann der Kläger ebenfalls kein Löschungsrecht ableiten. Die die streitgegenständlichen Daten enthaltenden Schreiben des Steuerberaters bzw. die darin enthaltenen Daten sind schon von daher „notwendig“ als sie für alle Verfahren von Bedeutung sind, in denen die Prozessfähigkeit oder auch nur die verwaltungsrechtliche Handlungsfähigkeit des Klägers in dem genannten Zeitraum relevant ist.

(4) Darüber hinaus schließt Art. 17 Abs. 3 DSGVO die Löschung generell aus, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Die Aufbewahrung des Schriftwechsels zwischen Finanzamt und Steuerpflichtigen bis zum Ablauf der gesetzlichen Aufbewahrungsfristen erfolgt in Wahrnehmung der Aufgabe und Pflicht des § 85 AO und folgt aus der Dokumentations- und Beweisfunktion der Steuerakte (vgl. hierzu auch BVerfG, Dreierausschussbeschluss vom 06.06.1983 - 2 BvR 244/83 -, NJW 1983, 2135; BVerwG, Beschluss vom 16.03.1988 - 1 B 153/87 -, Rn. 13, NVwZ 1988, 621). Eine Löschung von Teilen der Akte würde den aus Art. 20 Abs. 3 GG resultierenden Grundsatz der Aktenvollständigkeit und -wahrheit von behördlichen bzw. gerichtlichen Akten verletzen (vgl. dazu BVerfG, Beschuss vom 14.07.2016 - 2 BvR 2474/14 -, StV 2017, 361; VGH Baden-Württemberg, Urteil vom 30.07.2014 - 1 S 1352/13 -, Rn. 90, DVBl 2014, 1326; VG Würzburg, Urteil vom 09.11.2016 - W 6 K 16.517 -, juris).

(5) Schließlich beschränkt § 32f AO die Verarbeitung personenbezogener Daten unter bestimmten Umständen nicht - so etwa, wenn die Unrichtigkeit der Daten nicht feststeht (§ 32f Abs. 1 AO). Betrachtet man das Datum „Multiple Sklerose in fortgeschrittenem Stadium“, so ist nicht geklärt, ob dieses Datum zutrifft. Das Datum wurde auch nicht aus dem Kontext der bloßen Behauptung gerissen, mithin wurde die Sachlage in geeigneter Weise festgehalten (§ 32f Abs. 1 Satz 2 AO). Auch die Verarbeitung - im Streitfall die Mitteilung an den BFH - erfolgte durch das Langzitat mit dem konkludenten Hinweis, dass die Behauptung nicht überprüft worden ist (§ 32f Abs. 1 Satz 3 AO).

f. Antrag auf Unterlassung der weiteren Verarbeitung/ Mitteilung an Dritte Wie ausgeführt, erfolgt die Verarbeitung der streitgegenständlichen Daten rechtmäßigerweise, so dass der Antrag des Klägers auf Unterlassung der weiteren Verarbeitung in dem vom Finanzamt mitgeteilten Fällen schon von daher ins Leere geht. Mit seinem Antrag auf Mitteilung der Löschung bezieht sich der Kläger auf Art. 19 DSGVO. Auch dieser Antrag geht angesichts der Erkenntnis, dass das Finanzamt zu einer Löschung nicht verpflichtet ist, ins Leere. Die Klage ist auch insoweit unbegründet.

3. Das FG hat die DSGVO unter Beachtung der Rspr. des EuGH selbst ausgelegt und brauchte die Streitsache nicht dem EuGH vorzulegen (Gräber, Finanzgerichtsordnung, 8. Aufl., FGO § 115, Rn. 84). Erstinstanzliche Gerichte sind unionsrechtlich nicht zur Vorlage verpflichtet (BFH, Beschluss vom 14.01.2014 - III B 89/13 -, BFH/NV 2014, 521).

4. Die Revision wird nach § 115 Abs. 2 Nr. 1 und 2 FGO zugelassen, da der Frage nach dem Umfang des Auskunftsrechts im Bereich der Steuerverwaltung nach der Einführung der DSGVO im Jahr 2018 grundsätzliche Bedeutung beizumessen ist. Darüber hinaus erscheint angesichts der oben zitierten widerstreitenden Entscheidungen der Finanzgerichte zum Anwendungsbereich der DSGVO im Bereich der direkten Steuern die Zulassung der Revision zur Sicherung einer einheitlichen Rechtsprechung erforderlich.

5. Die Kostenentscheidung beruht auf § 135 Abs. 1 FGO.

Datenquelle d. amtl. Textes: Bayern.Recht