Der datenschutzrechtliche Auskunftsanspruch gegenüber dem Finanzamt

Die Verarbeitung personenbezogener Daten durch die Finanzverwaltung unterfällt dem Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO). Auf eine Differenzierung nach der Art der Aktenführung, der Art der Dokumente oder der Form der Bearbeitung kommt es nicht an. Auch Art. 2 Abs. 2 Buchst. a DSGVO beschränkt die Anwendung der Datenschutz-Grundverordnung nicht auf den Bereich der harmonisierten Steuern.  Ein Ausschluss des Auskunftsrechts nach Art. 12 Abs. 5 Satz 2 DSGVO kommt nur in Betracht, wenn sich der Verantwortliche hierauf beruft und darlegt, dass ein offenkundig unbegründeter oder exzessiver Antrag vorliegt.

Art. 15 Abs. 3 Satz 1 DSGVO gewährt keinen gegenüber Art. 15 Abs. 1 DSGVO eigenständigen Anspruch gegenüber dem Verantwortlichen auf Zurverfügungstellung von Dokumenten mit personenbezogenen Daten. Nur wenn eine Kopie von Dokumenten unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen, besteht nach Art. 15 Abs. 3 Satz 1 DSGVO ein Anspruch darauf, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die unter anderem diese Daten enthalten, zur Verfügung gestellt zu bekommen.

Die Datenschutz-Grundverordnung gewährt in Art. 15 Abs. 1 einen Anspruch auf Auskunft, welche personenbezogenen Daten über einen Steuerpflichtigen verarbeitet werden. Hiermit hatte sich nunmehr der Bundesfinanzhof nunmehr erstmals zu befassen.

Im vom Bundesfinanzhof entschiedenen Verfahren verlangte ein Steuerpflichtiger zunächst gegenüber dem Finanzamt die Zurverfügungstellung (elektronischer) Kopien von Verwaltungsakten mit den ihn betreffenden personenbezogenen Daten. Das Finanzamt kam diesem Begehren nicht nach. Auch das Finanzgericht Berlin-Brandenburg sah keine rechtliche Grundlage für einen entsprechenden Anspruch[1]

Der Bundesfinanzhof hat demgegenüber nun klargestellt, dass ein Steuerpflichtiger vom Finanzamt grundsätzlich Auskunft über die ihn betreffenden personenbezogenen Daten verlangen kann. Dies gilt ungeachtet der Art der Aktenführung, der Art der Dokumente oder der Form der Datenverarbeitung durch die Finanzverwaltung. Auch ist der Auskunftsanspruch nicht davon abhängig, für welche Steuerart die Datenverarbeitung erfolgt. Grundsätzlich ist der datenschutzrechtliche Auskunftsanspruch darauf beschränkt, dass der Steuerpflichtige darüber informiert wird, welche ihn betreffenden personenbezogenen Daten verarbeitet werden. Der Auskunftsanspruch gewährt grundsätzlich aber kein Recht auf die (elektronische) Zurverfügungstellung von Kopien von ganzen Akten bzw. einzelnen Dokumenten mit personenbezogenen Daten. Nur ausnahmsweise, wenn der Steuerpflichtige diese zwingend benötigt, um seine Rechte nach der Datenschutz-Grundverordnung durchsetzen zu können, sind ihm auch Kopien von Dokumenten mit seinen personenbezogenen Daten (elektronisch) zur Verfügung zu stellen. Zu den Grenzen des Auskunftsanspruchs hat der Bundesfinanzhof im Übrigen klargestellt, dass die Finanzverwaltung zwar einen gegen sie gerichteten Auskunftsanspruch nach der Datenschutz-Grundverordnung zurückweisen kann, falls dieser offenkundig unbegründet oder exzessiv ist. Hierfür muss sie jedoch die Umstände darlegen, die zu einer offenkundigen Unbegründetheit beziehungsweise zu einem Exzess des Auskunftsersuchens führen. Dass der Steuerpflichtige mit seinem Auskunftsersuchen Ziele außerhalb der Datenschutz-Grundverordnung verfolgt, erlaubt der Finanzverwaltung nicht, die Auskunft über die verarbeiteten personenbezogenen Daten zu verweigern.

Die Verarbeitung personenbezogener Daten natürlicher Personen (als betroffene Person im Sinne von Art. 4 Nr. 1 DSGVO) durch das Finanzamt (als Verantwortlicher im Sinne von Art. 4 Nr. 7 Halbsatz 1 DSGVO) im Rahmen eines Besteuerungsverfahrens unterliegt unabhängig von der Steuerart den Vorgaben der Datenschutz-Grundverordnung.

Als Verordnung der Europäischen Union ist die Datenschutz-Grundverordnung nach Art. 288 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Sachlich gilt die Datenschutz-Grundverordnung nach Art. 2 Abs. 1 DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Die zu den Steuerpflichtigen von der Finanzverwaltung verarbeiteten Daten enthalten auch personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Denn die von der Finanzverwaltung verarbeiteten Daten enthalten Informationen, die sich auf eine jedenfalls identifizierbare natürliche Person beziehen. Dies gilt insbesondere, wenn es sich -wie vorliegend- um die Steuerakten einer natürlichen Person handelt.

Der Anwendung der Datenschutz-Grundverordnung steht nicht entgegen, dass personenbezogene Daten in Akten enthalten sind, die von der Finanzverwaltung (noch) in Papierform geführt werden.

Eine teilweise automatisierte Verarbeitung liegt vor, wenn die personenbezogenen Daten teilweise manuell und teilweise automatisiert verarbeitet werden. Der Schutz der personenbezogenen Daten soll nach Erwägungsgrund 15 Satz 1 DSGVO technologieneutral erfolgen. Insbesondere soll der Schutz nach Erwägungsgrund 15 Satz 2 DSGVO auch für die manuelle Verarbeitung personenbezogener Daten gelten. Dem entsprechend hat der Gerichtshof der Europäischen Union zur Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr[2] entschieden, dass diese genauso für die automatisierte wie für die manuelle Verarbeitung personenbezogener Daten gilt, damit der Schutz, den sie den von der Datenverarbeitung betroffenen Personen verleiht, nicht von den verwendeten Techniken abhängt und keine Risiken der Umgehung dieses Schutzes entstehen[3]. Zwar wurde die Datenschutz-Richtlinie durch die Datenschutz-Grundverordnung abgelöst. Da Art. 2 Abs. 1 DSGVO jedoch Art. 3 Abs. 1 Datenschutz-RL bis auf den Bezug auf die Datenschutz-Grundverordnung beziehungsweise auf die Datenschutz-Richtlinie wortgleich entspricht, gelten die vom EuGH bereits aufgestellten Rechtsgrundsätze fort[4]. Lediglich bei einer rein manuellen Datenverarbeitung ist es für die Eröffnung des Schutzbereichs der Datenschutz-Grundverordnung nach Art. 2 Abs. 1 DSGVO erforderlich, dass die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Unter einem Dateisystem ist nach Art. 4 Nr. 6 DSGVO jede strukturierte Sammlung personenbezogener Daten zu verstehen, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Zwar ist nicht näher konkretisiert, nach welchen Kriterien die Datei strukturiert sein muss. Nach der zu Art. 3 Abs. 1 Datenschutz-RL ergangenen und auf die hier streitige Rechtslage übertragbaren Rechtsprechung ist damit jedoch nur gemeint, dass die Daten über eine bestimmte Person leicht wiederauffindbar sein müssen[5]. Lediglich Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, fallen nach Erwägungsgrund 15 Satz 3 DSGVO nicht in den Anwendungsbereich der Datenschutz-Grundverordnung.

Ungeachtet dessen, ob die Papierakten diesen Anforderungen aufgrund der jeweiligen verwaltungsinternen Vorgaben zur Aktenführung genügen, dienen die in den Papierakten enthaltenen personenbezogenen Daten der Durchführung des Besteuerungsverfahrens. Dieses erfolgte in den Jahren 2013 bis 2015 teilweise digitalisiert. Mithin erfolgt die Datenverarbeitung zumindest teilautomatisiert. Die Verarbeitung personenbezogener Daten durch die Finanzverwaltung unterfällt damit dem Anwendungsbereich der Datenschutz-Grundverordnung. Auf eine Differenzierung nach der Art der Aktenführung (Papier, elektronisch, hybrid), der Art der Dokumente (interne Vermerke, Gutachten, interne E-Mails et cetera) oder der Form der Bearbeitung durch den zuständigen Sachbearbeiter (anhand von Ausdrucken oder digital) kommt es nicht an.

Der Anwendungsbereich der Datenschutz-Grundverordnung ist auch nicht nach Art. 2 Abs. 2 Buchst. a DSGVO auf den Bereich der harmonisierten Steuern beschränkt.

Die Ausnahmen vom sachlichen Anwendungsbereich der Datenschutz-Grundverordnung sind in Art. 2 Abs. 2 und Abs. 3 DSGVO erschöpfend festgelegt[6]. Nach Erwägungsgrund 2 Satz 1 DSGVO sollen die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten, dass sowohl ihre Grundrechte und Grundfreiheiten als auch insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Die Datenschutz-Grundverordnung soll in Anbetracht dessen nach ihrem Erwägungsgrund 2 Satz 2 DSGVO zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen. Vor diesem Hintergrund sind die Ausnahmen vom Anwendungsbereich der Datenschutz-Grundverordnung nach Art. 2 Abs. 2 Buchst. a DSGVO, wie die anderen in Art. 2 Abs. 2 vorgesehenen Ausnahmen, eng auszulegen[7].

Gemäß Art. 2 Abs. 2 Buchst. a DSGVO findet die Datenschutz-Grundverordnung keine Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. Dies bringt auch Erwägungsgrund 16 Satz 1 DSGVO so zum Ausdruck. Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, sind nach der Rechtsprechung des EuGH etwa die nationale Sicherheit betreffende Tätigkeiten sowie Tätigkeiten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union[8]. Daraus folgt, dass Art. 2 Abs. 2 Buchst. a DSGVO im Licht von Erwägungsgrund 16 DSGVO so zu verstehen ist, dass damit vom Anwendungsbereich dieser Verordnung allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit vorgenommen werden, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann. Der bloße Umstand, dass eine Tätigkeit eine spezifische Tätigkeit eines Staates oder einer Behörde ist, reicht nicht aus[9].

Der Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO gilt daher nicht für die Durchführung des Besteuerungsverfahrens durch die Finanzverwaltung[10]. Das Besteuerungsverfahren dient nicht einer Tätigkeit der gleichen Kategorie wie die nationale Sicherheit. Wie in § 3 Abs. 1 AO zum Ausdruck kommt, dienen Steuern im Wesentlichen der Staatsfinanzierung. Hingegen dienen sie nicht unmittelbar, wie die nationale Sicherheit, der Wahrung der staatlichen Integrität. Dies gilt auch für die Verwaltung direkter Steuern. Auch in diesem Bereich findet die Datenschutz-Grundverordnung unmittelbare Anwendung[11]. Zwar steht den Organen der EU keine Regelungskompetenz für den Bereich der Verwaltung der direkten Steuern -wie vorliegend betroffen- zu. Der Schutz der personenbezogenen Daten wird jedoch ohne entsprechende Einschränkung für den Bereich des nicht harmonisierten Rechts in Art. 8 der Charta der Grundrechte der Europäischen Union (EUGrdRCh) sowie durch Art. 16 Abs. 1 AEUV sichergestellt. Im Übrigen gebietet auch der Effektivitätsgrundsatz („effet utile“) die unmittelbare Anwendung der Datenschutz-Grundverordnung im Bereich der Verwaltung direkter Steuern, um ein möglichst hohes und einheitliches Datenschutzniveau gemäß dem Erwägungsgrund 10 DSGVO innerhalb der gesamten EU zu gewährleisten. Nach diesem Erwägungsgrund soll durch die Harmonisierung des Datenschutzes ein gleichmäßiges und hohes Datenschutzniveau gewährleistet werden. Der Effektivitätsgrundsatz wiederum besagt, dass die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich gemacht oder übermäßig erschwert werden darf[12]. Dem stünde es entgegen, wenn die Datenschutz-Grundverordnung wegen einer Bereichsausnahme nach Art. 2 Abs. 2 Buchst. a DSGVO im Bereich der Verwaltung direkter Steuern nicht anwendbar und damit weite Teile des Besteuerungsverfahrens nicht unmittelbar der Datenschutz-Grundverordnung unterworfen wären. Zwar wird der Datenschutz im Bereich des Steuerrechts auch durch eine Vielzahl nationaler Vorschriften, beispielsweise durch die §§ 29b bis 32j AO, gewährleistet. Ein Berufen auf diese Vorschriften zum Schutz des unter anderem durch Art. 8 EUGrdRCh gewährleisteten Rechts auf Schutz der personenbezogenen Daten liefe jedoch dem aus Erwägungsgrund 3 DSGVO sowie Erwägungsgrund 10 Satz 1 DSGVO als auch Erwägungsgrund 53 Satz 2 DSGVO zum Ausdruck kommenden Harmonisierungsgedanken der Datenschutz-Grundverordnung zuwider. Nach Erwägungsgrund 3 DSGVO diente die Vorgängerrichtlinie zur Datenschutz-Grundverordnung, die Datenschutz-Richtlinie, der Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie der Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten. Nichts anderes kann für die Datenschutz-Grundverordnung gelten. Denn nach Erwägungsgrund 53 Satz 2 DSGVO sollte die Datenschutz-Grundverordnung Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse harmonisieren, insbesondere wenn die Verarbeitung dieser Daten für gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen.

Das Finanzgericht hat jedoch Art. 15 Abs. 3 DSGVO rechtsfehlerhaft angewendet.

Art. 15 Abs. 3 Satz 1 DSGVO gewährt keinen gegenüber Art. 15 Abs. 1 DSGVO eigenständigen Anspruch gegen den Verantwortlichen auf Zurverfügungstellung von Dokumenten mit personenbezogenen Daten.

Art. 15 Abs. 1 DSGVO gewährt der betroffenen Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die näher in Art. 15 Abs. 1 Buchst. a bis h DSGVO bezeichneten Informationen. Nach Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Durch die Rechtsprechung des EuGH ist geklärt, dass Art. 15 DSGVO nicht dahin auszulegen ist, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt. Im Übrigen bezieht sich der Begriff „Kopie“ nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind[13]. Der Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten setzt keine Begründung voraus, weshalb es auch nicht entgegensteht, wenn er mit anderen als den in Erwägungsgrund 63 Satz 1 DSGVO genannten Zwecken begründet wird[14].

Nur wenn die Zurverfügungstellung einer Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind, besteht nach Art. 15 Abs. 3 Satz 1 DSGVO ein Anspruch darauf, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erhalten[15]. Anders als der Steuerpflichtige meint, besteht hierfür jedoch keine generelle Vermutung. Vielmehr obliegt es der betroffenen Person, darzulegen, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO für die Wahrnehmung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte nicht genügt. Begehrt die betroffene Person die Zurverfügungstellung von Kopien von Dokumenten mit ihren personenbezogenen Daten, ist es vielmehr an ihr zu benennen, welche ihr durch die Datenschutz-Grundverordnung verliehenen Rechte sie auszuüben gedenkt und darzulegen, aus welchen Gründen die Zurverfügungstellung von Kopien von Akten mit personenbezogenen Daten hierfür unerlässlich ist. Andernfalls liefe das durch den EuGH aufgestellte Regel-Ausnahme-Prinzip ins Leere. Denn nach der Rechtsprechung des EuGH ist der Anspruch nach Art. 15 Abs. 1 und Abs. 3 DSGVO grundsätzlich auf die Zurverfügungstellung einer Kopie der verarbeiteten personenbezogenen Daten der betroffenen Person gerichtet[13]. Wenn dies für die Wahrnehmung der Rechte aus der Datenschutz-Grundverordnung nicht genügt, kann ausnahmsweise ein Anspruch auf eine (auszugsweise) Kopie der Quelle, in der die personenbezogenen Daten verarbeitet sind, bestehen[15]. Einer entsprechenden Vermutung der Unerlässlichkeit bedarf es im Übrigen auch nicht, um einen effektiven Datenschutz zu gewährleisten. Regelmäßig genügt es für die Wahrnehmung der durch die Datenschutz-Grundverordnung verliehenen Rechte, wenn die betroffene Person Kenntnis von den über sie verarbeiteten personenbezogenen Daten erlangt und ihr die Informationen nach Art. 15 Abs. 1 Buchst. a bis h DSGVO mitgeteilt werden. Insbesondere durch die Mitteilung, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck diese Verarbeitung erfolgt, ist die betroffene Person bereits regelmäßig in der Lage, die Richtigkeit der personenbezogenen Daten und die Rechtmäßigkeit deren Verarbeitung zu überprüfen.

Ausgehend von anderen Rechtsgrundsätzen, hat es das Finanzgericht unterlassen, die erforderlichen Feststellungen für eine abschließende Beurteilung zu treffen. Es fehlt an Feststellungen, ob beziehungsweise inwiefern der Steuerpflichtige geltend gemacht hat, dass die begehrten Kopien für ihn unerlässlich sind, um ihm die wirksame Ausübung der ihm durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen. Ferner fehlt es an Feststellungen, welche Rechte der Datenschutz-Grundverordnung der Steuerpflichtige überhaupt beabsichtigt geltend zu machen.

Das Finanzgericht ist zudem rechtsfehlerhaft davon ausgegangen, dass der durch den Steuerpflichtigen geltend gemachte Anspruch aufgrund eines exzessiven Antrags im Sinne von Art. 12 Abs. 5 Satz 2 und Satz 3 DSGVO ausgeschlossen ist.

Nach Art. 12 Abs. 5 Satz 2 DSGVO kann der Verantwortliche bei offenkundig unbegründeten oder -insbesondere im Fall von häufiger Wiederholung- exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden (Art. 12 Abs. 5 Satz 2 Buchst. a DSGVO), oder sich weigern, aufgrund des Antrags tätig zu werden (Art. 12 Abs. 5 Satz 2 Buchst. b DSGVO). Mangels Erfordernis der Begründung des Auskunftsbegehrens besteht die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann, wenn der betreffende Antrag mit einem anderen als den in Erwägungsgrund 63 Satz 1 DSGVO genannten Zwecken begründet wird[16]. Der Verantwortliche hat gemäß Art. 12 Abs. 5 Satz 3 DSGVO den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen. Hieraus folgt, dass ein Ausschluss des Auskunftsrechts nach Art. 12 Abs. 5 Satz 2 DSGVO nur in Betracht kommt, wenn sich der Verantwortliche hierauf beruft und darlegt, dass ein offenkundig unbegründeter oder exzessiver Antrag vorliegt[17].

Ist der Antrag nach diesen Grundsätzen exzessiv, kann in diesem -entgegen der Ansicht des Steuerpflichtigen- nicht zugleich als Weniger ein statthafter Antrag auf Zurverfügungstellung von Kopien personenbezogener Daten erblickt werden. Dies ergibt sich eindeutig aus Art. 12 Abs. 5 Satz 2 Buchst. b DSGVO. Verlangt der Verantwortliche nicht ein angemessenes Entgelt, braucht er bei einer Verweigerung aufgrund eines exzessiven Antrags nicht tätig zu werden. Im Übrigen erweist sich eine Reduktion des exzessiven Antrags auf ein zulässiges Maß nicht als ein Minus, sondern als unzulässiges Aliud zum ursprünglichen Begehren[18].

Diesen Maßstäben genügen die Ausführungen der Vorinstanz zu Art. 12 Abs. 5 Satz 2 und Satz 3 DSGVO nicht. Es fehlt bereits an der Feststellung eines rechtsmissbräuchlichen Verhaltens beziehungsweise an Feststellungen zu dem Vorbringen des Finanzamtes vor dem Hintergrund der ihm obliegenden Nachweispflicht eines offenkundig unbegründeten oder exzessiven Antrags. Zudem vermag der Bundesfinanzhof der Würdigung des Finanzgerichtes nicht zu folgen, dass der Antrag des Steuerpflichtigen auf Zurverfügungstellung von Kopien nach Art. 15 Abs. 3 Satz 1 DSGVO offensichtlich unbegründet sei, da er lediglich pauschal gestellt und damit offensichtlich überschießend sei. Wie die obigen Ausführungen zeigen, steht dem Steuerpflichtigen ein Anspruch nach Art. 15 Abs. 3 Satz 1 DSGVO dem Grunde nach zu, sodass die Geltendmachung eines entsprechenden Begehrens jedenfalls nicht offenkundig unbegründet sein kann. Inwiefern dem Steuerpflichtigen Informationen zu seinen personenbezogenen Daten und auch die Kopie von Steuerbescheiden angeboten worden sind, ist hierfür nicht von Bedeutung, da der Steuerpflichtige mit seinem Begehren die Zurverfügungstellung von Kopien der näher bezeichneten Verwaltungsakten mit seinen personenbezogenen Daten begehrt. Auch soweit das Begehren des Steuerpflichtigen nach dem Finanzgericht nicht den Zielen der Datenschutz-Grundverordnung diene, ist der Antrag auf Zurverfügungstellung von Kopien nach Art. 15 Abs. 3 Satz 1 DSGVO nach den genannten Grundsätzen weder offenkundig unbegründet noch exzessiv.

Die angefochtene Entscheidung erweist sich auch nicht aus anderen Gründen als rechtmäßig (§ 126 Abs. 4 FGO).

Das Finanzamt kann dem Begehren des Steuerpflichtigen nicht entgegenhalten, dass die Erfüllung des Auskunftsanspruchs mit unverhältnismäßigem Aufwand verbunden sei. Der Bundesfinanzhof braucht nicht zu entscheiden, inwiefern ein solcher Einwand dem Grunde nach durchgreifen kann. Denn es fehlt bereits an entsprechenden Feststellungen der Vorinstanz, dass die Auskunftserteilung mit einem unverhältnismäßigen Aufwand verbunden ist. Entsprechende Anhaltspunkte liefert auch nicht das entsprechende pauschale Vorbringen des Finanzamtes im Revisionsverfahren.

Es steht nicht im Belieben des Finanzamtes, das Begehren des Steuerpflichtigen durch die Gewährung von Akteneinsicht zu erfüllen.

Zwar steht es nach § 32d Abs. 1 AO im pflichtgemäßen Ermessen des Finanzamtes, die Form der Auskunftserteilung zu bestimmen. Dies gilt jedoch nur, soweit in Art. 12 bis 15 DSGVO keine diesbezüglichen Regelungen enthalten sind. Dies ist mit Art. 15 Abs. 3 Satz 1 und Satz 3 DSGVO jedoch der Fall. Hiernach hat der Verantwortliche eine (elektronische) Kopie der personenbezogenen Daten und unter gewissen Umständen auch der Quellen, in denen solche Daten verarbeitet wurden, zur Verfügung zu stellen.

Inwiefern die Gewährung der Akteneinsicht anstelle der Zurverfügungstellung von Kopien nach § 11 Abs. 2 des Brandenburgischen Datenschutzgesetzes genügt, unterliegt nicht der Beurteilung durch den Bundesfinanzhof. Revisibel ist nach § 118 Abs. 1 Satz 1 FGO nur die Verletzung von Bundesrecht. Auch erklärt das Brandenburgische Datenschutzgesetz nicht den Finanzrechtsweg für eröffnet (§ 33 Abs. 1 Nr. 4, § 118 Abs. 1 Satz 2 FGO). Ein Ausnahmefall, wonach im Revisionsverfahren ausnahmsweise auch eine an sich irreversible Vorschrift des Landesrechts zu prüfen ist[19], liegt nicht vor.

Das Finanzamt kann sich nicht mit Erfolg auf § 34 Abs. 1 des Bundesdatenschutzgesetzes berufen. Die Regelung ist durch die speziellere Regelung des § 32c AO („lex specialis„) verdrängt.

Soweit nach § 32c Abs. 1 AO das Recht auf Auskunft der betroffenen Person gegenüber einer Finanzbehörde gemäß Art. 15 DSGVO nicht besteht, fehlt es an den erforderlichen Feststellungen, die eine Subsumtion unter die hierfür erforderlichen Voraussetzungen zulassen. Entsprechende Anhaltspunkte wurden auch nicht vorgetragen.

Zwar wird die Auskunft ferner nach § 32c Abs. 3 FGO nur erteilt, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht. Dies gilt jedoch nur, sofern die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateisystemen gespeichert sind. Dies ist jedoch -wie bereits dargelegt- nicht der Fall. Im Übrigen fehlt es auch an der Feststellung eines außer Verhältnis stehenden Aufwandes.

Die Sache ist nicht spruchreif und daher an das Finanzgericht zurückzuverweisen.

Das Finanzgericht wird zu prüfen haben, inwiefern der Steuerpflichtige der ihm obliegenden Darlegungslast nachgekommen ist und die Zurverfügungstellung von (elektronischen) Kopien der Akten des Finanzamtes zur wirksamen Ausübung seiner ihm nach der Datenschutz-Grundverordnung zustehenden Rechte unerlässlich ist. Hierbei wird das Finanzgericht die Rechtsprechung des EuGH zu berücksichtigen haben, dass sich die Wiedergabe von Auszügen aus Dokumenten oder von ganzen Dokumenten als unerlässlich erweisen kann, wenn diese in ihrem Zusammenhang dargestellt werden müssen, um ihre Verständlichkeit zu gewährleisten[20]. Insbesondere wenn personenbezogene Daten aus anderen Daten generiert werden oder wenn sie auf freien Feldern beruhen, das heißt einer fehlenden Angabe, aus der eine Information über die betroffene Person hervorgeht, ist der Kontext, in dem diese Daten Gegenstand der Verarbeitung sind, unerlässlich, damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann[21].

Das Finanzgericht wird zudem im zweiten Rechtsgang Feststellungen nachholen müssen, inwiefern das Finanzamt der ihm nach Art. 12 Abs. 5 Satz 3 DSGVO obliegenden Nachweispflicht nachgekommen ist und ein offenkundig unbegründeter oder exzessiver Antrag vorliegt. Hierbei ist die Rechtsprechung des EuGH zu berücksichtigen, wonach sich die beiden Gründe, bei denen der Verantwortliche dem Begehren des Betroffenen nach Art. 12 Abs. 5 Satz 2 DSGVO nicht nachkommen muss, auf Fälle des Rechtsmissbrauchs beziehen[22].

Sollte das Finanzgericht unter Anwendung der vorgenannten Rechtssätze zu dem Ergebnis kommen, dass dem Steuerpflichtigen ein Anspruch aus Art. 15 Abs. 3 Satz 1 DSGVO auf Zurverfügungstellung von Kopien zusteht, sind die Informationen dem Steuerpflichtigen nach Art. 15 Abs. 3 Satz 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen. Dass die E-Mail an das Finanzamt vom 14.10.2020 die Voraussetzungen einer elektronischen Antragstellung in diesem Sinne erfüllt, ist zwischen den Beteiligten unstreitig, weshalb der Bundesfinanzhof auf weitere Erläuterungen verzichtet.

Inwieweit die vom Steuerpflichtigen gerügten Verfahrensfehler vorliegen, kann dahinstehen bleiben, da das Verfahren bereits aus materiellen Gründen an das Finanzgericht zur anderweitigen Verhandlung und Entscheidung zurückzuweisen ist.

Einer Vorlage an den EuGH nach Art. 267 Abs. 3 AEUV bedarf es im vorliegenden Verfahren nicht. Die Rechtslage ist aus den jeweils genannten Gründen eindeutig („acte clair“)[23] beziehungsweise bereits durch die aufgezeigte Rechtsprechung des EuGH in einer Weise geklärt, die keinen vernünftigen Zweifel offenlässt („acte éclairé“)[24]. Insbesondere hat der Bundesfinanzhof vor dem Hintergrund des Art. 2 Abs. 1 DSGVO und Art. 4 Nr. 6 DSGVO sowie Erwägungsgrund 15 Satz 1 und Satz 2 DSGVO als auch der Rechtsprechung des EuGH[25] keine Zweifel an den Voraussetzungen des sachlichen Anwendungsbereichs der Datenschutz-Grundverordnung und dass dieser insbesondere auch die in den vom Finanzamt geführten Papierakten enthaltenen personenbezogenen Daten umfasst. Vor dem Hintergrund des Art. 8 EUGrdRCh sowie Art. 16 Abs. 1 AEUV als auch dem Erwägungsgrund 2 Satz 1 DSGVO und der Rechtsprechung des EuGH[26] sowie dem effet utile-Grundsatz hat der Bundesfinanzhof keine Zweifel, dass der Bereich der Verwaltung der nicht harmonisierten Steuern nicht vom Anwendungsbereich der Datenschutz-Grundverordnung nach Art. 2 Abs. 2 Buchst. a DSGVO ausgenommen ist. Ferner ist durch die Rechtsprechung des EuGH geklärt, dass Art. 15 Abs. 1 i.V.m. Abs. 3 DSGVO grundsätzlich nur einen Anspruch auf die Zurverfügungstellung der personenbezogenen Daten enthalten und nur bei Unerlässlichkeit für die Wahrnehmung der Rechte der Datenschutz-Grundverordnung ein Anspruch auf Kopie der Quelle, in der die personenbezogenen Daten verarbeitet wurden, besteht[27]. Auch sieht der Bundesfinanzhof aufgrund der Rechtsprechung des EuGH die Voraussetzungen für einen offenkundig unbegründeten oder exzessiven Antrag im Sinne von Art. 12 Abs. 5 Satz 2 DSGVO als geklärt an[28].

Bundesfinanzhof, Urteil vom 12. März 2024 – IX R 35/21

  1. FG Berlin-Brandenburg, Urteil vom 27.10.2021 – 16 K 5148/20, EFG 2022, 586[]
  2. ABl.EG L 281 vom 23.11.1995, S. 31 -Datenschutz-Richtlinie oder Datenschutz-RL[]
  3. EuGH, Urteil Jehovan todistajat vom 10.07.2018 – C-25/17, EU:C:2018:551, Rz 53[]
  4. vgl. EuGH, Urteil Latvijas Republikas Saeima (Points de pénalité) vom 22.06.2021 – C-439/19, EU:C:2021:504, Rz 64 ff.[]
  5. EuGH, Urteil Jehovan todistajat vom 10.07.2018 – C-25/17, EU:C:2018:551, Rz 57[]
  6. vgl. EuGH, Urteil Koalitsia „Demokratichna Bulgaria – Obedinenie“ vom 20.10.2022 – C-306/21, EU:C:2022:813, Rz 33[]
  7. so im Ergebnis auch EuGH, Urteile Kommission/Polen (Indépendance et vie privée des juges) vom 05.06.2023 – C-204/21, EU:C:2023:442, Rz 316; Koalitsia „Demokratichna Bulgaria – Obedinenie“ vom 20.10.2022 – C-306/21, EU:C:2022:813, Rz 35 sowie Latvijas Republikas Saeima (Points de pénalité) vom 22.06.2021 – C-439/19, EU:C:2021:504, Rz 62, m.w.N.[]
  8. vgl. EuGH, Urteile Koalitsia „Demokratichna Bulgaria – Obedinenie“ vom 20.10.2022 – C-306/21, EU:C:2022:813, Rz 36; sowie Latvijas Republikas Saeima (Points de pénalité) vom 22.06.2021 – C-439/19, EU:C:2021:504, Rz 63[]
  9. vgl. EuGH, Urteile Kommission/Polen (Indépendance et vie privée des juges) vom 05.06.2023 – C-204/21, EU:C:2023:442, Rz 317; Koalitsia „Demokratichna Bulgaria – Obedinenie“ vom 20.10.2022 – C-306/21, EU:C:2022:813, Rz 39; Latvijas Republikas Saeima (Points de pénalité) vom 22.06.2021 – C-439/19, EU:C:2021:504, Rz 66 sowie Land Hessen vom 09.07.2020 – C-272/19, EU:C:2020:535, Rz 70[]
  10. vgl. EuGH, Urteil Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) vom 24.02.2022 – C-175/20, EU:C:2022:124, Rz 47, wonach die Erhebung von Informationen, die große Mengen personenbezogener Daten enthalten, durch die Steuerverwaltung eines Mitgliedstaats bei einem Wirtschaftsteilnehmer den Anforderungen der Datenschutz-Grundverordnung genügen muss[]
  11. so auch BT-Drs. 18/12611, S. 75; BT-Drs. 18/7457, S. 47; Schreiben des Bundesministeriums der Finanzen vom 13.01.2020, BStBl I 2020, 143, Rz 1 f.; van Armansperg, Deutsches Steuerrecht 2021, 453, 457; Wargowske in Gosch, AO § 2a Rz 13; vgl. auch EuGH, Urteil Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) vom 24.02.2022 – C-175/20, EU:C:2022:124, Rz 47, wobei der EuGH jedoch nicht darauf eingeht, inwieweit die Entscheidung auch nicht harmonisiertes Recht betrifft; a.A. Drüen in Tipke/Kruse, § 2a AO Rz 6; Krumm, Der Betrieb 2017, 2182, 2186[]
  12. vgl. EuGH, Urteil La Quadrature du Net u.a. vom 06.10.2020 – C-511/18, EU:C:2020:791, Rz 223, m.w.N.[]
  13. EuGH, Urteile FT (Copies du dossier médical) vom 26.10.2023 – C-307/22, EU:C:2023:811, Rz 72 und Österreichische Datenschutzbehörde vom 04.05.2023 – C-487/21, EU:C:2023:369, Rz 32[][]
  14. EuGH, Urteil FT (Copies du dossier médical) vom 26.10.2023 – C-307/22, EU:C:2023:811, Rz 50 und Rz 52[]
  15. vgl. EuGH, Urteile FT (Copies du dossier médical) vom 26.10.2023 – C-307/22, EU:C:2023:811, Rz 75 und Österreichische Datenschutzbehörde vom 04.05.2023 – C-487/21, EU:C:2023:369, Rz 41 und Rz 45[][]
  16. vgl. EuGH, Urteil FT (Copies du dossier médical) vom 26.10.2023 – C-307/22, EU:C:2023:811, Rz 50 und Rz 52[]
  17. vgl. Gola/Heckmann/Frank, DSGVO, 3. Aufl., Art. 12 Rz 41 und Art. 15 DSGVO Rz 50; Paal in Paal/Pauly, DSGVO, 3. Aufl., Art. 15 Rz 9; Schneider/Schwartmann in Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, 2. Aufl., Art. 12 DSGVO Rz 69; BeckOK DatenschutzR/Quaas, 46. Ed. [01.11.2023], DSGVO Art. 12 Rz 48; Heckmann/Paschke in Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 12 Rz 49; vgl. Kühling/Buchner/Bäcker, 4. Aufl., DSGVO Art. 15 Rz 42b; Taeger/Gabel/Mester, 4. Aufl. [2022], DSGVO, Art. 15 Rz 21[]
  18. vgl. BFH, Beschluss vom 05.05.2017 – X B 36/17, Rz 20 zur Überlassung von Kopien bestimmter Aktenteile bei einem auf die Überlassung des vollständigen Akteninhalts gerichteten Begehrens[]
  19. vgl. Krumm in Tipke/Kruse, § 118 FGO Rz 30, m.w.N.[]
  20. EuGH, Urteile FT (Copies du dossier médical) vom 26.10.2023 – C-307/22, EU:C:2023:811, Rz 74 sowie Österreichische Datenschutzbehörde vom 04.05.2023 – C-487/21, EU:C:2023:369, Rz 41[]
  21. EuGH, Urteil „Österreichische Datenschutzbehörde“ vom 04.05.2023 – C-487/21, EU:C:2023:369, Rz 42[]
  22. EuGH, Urteil FT (Copies du dossier médical) vom 26.10.2023 – C-307/22, EU:C:2023:811, Rz 31[]
  23. BVerfG, Beschluss vom 04.03.2021 – 2 BvR 1161/19, Rz 55; EuGH, Urteil CILFIT /Ministero della Sanità vom 06.10.1982 – 283/81, EU:C:1982:335, Rz 16[]
  24. BVerfG, Beschlüsse vom 04.03.2021 – 2 BvR 1161/19, Rz 55 sowie vom 19.07.2011 – 1 BvR 1916/09, BVerfGE 129, 78, Rz 80; EuGH, Urteil CILFIT /Ministero della Sanità vom 06.10.1982 – 283/81, EU:C:1982:335, Rz 16[]
  25. EuGH, Urteil Jehovan todistajat vom 10.07.2018 – C-25/17, EU:C:2018:551[]
  26. EuGH, Urteile Kommission/Polen (Indépendance et vie privée des juges) vom 05.06.2023 – C-204/21, EU:C:2023:442; Koalitsia „Demokratichna Bulgaria – Obedinenie“ vom 20.10.2022 – C-306/21, EU:C:2022:813; Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) vom 24.02.2022 – C-175/20, EU:C:2022:124; Latvijas Republikas Saeima (Points de pénalité) vom 22.06.2021 – C-439/19, EU:C:2021:504, Rz 62, m.w.N.; Land Hessen vom 09.07.2020 – C-272/19, EU:C:2020:535[]
  27. EuGH, Urteile FT (Copies du dossier médical) vom 26.10.2023 – C-307/22, EU:C:2023:811; Österreichische Datenschutzbehörde vom 04.05.2023 – C-487/21, EU:C:2023:369[]
  28. EuGH, Urteil FT (Copies du dossier médical) vom 26.10.2023 – C-307/22, EU:C:2023:811[]

Das dürfte Sie auch interessieren: