Mit der Aufnahme der Grundrechte-Charta in das Europäische Vertragswerk (über Art. 6 Abs. 1 Satz 1 des Vertrages über die Europäische Union) infolge des am 1. Dezember 2009 in Kraft getretenen Lissabon-Vertrages hat auch der Datenschutz eine verbindliche Stärkung erfahren. Das betrifft vor allem Art. 7 (Recht auf Achtung des Privatlebens und der Kommunikation) und Art. 8 (Recht auf Schutz der personenbezogenen Daten) der Grundrechte-Charta.
Dieses Grundrechtspaar wirkt auch auf die Überprüfung des Europäischen Rechtsrahmens, insbesondere die Überarbeitung der Datenschutzrichtlinie von 1995, durch die Europäische Kommission ein (s. Nr. 3.1).
Parallel soll eine Novellierung der Europarats-Konvention 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Da-ten erfolgen. Dieses Übereinkommen wurde am 28. Januar 2011 30 Jahre alt und ist Pate des Europäischen Datenschutztages (s. Nr. 3.3).
7.1 Entwicklung der Sicherheitspolitik der EU – Stockholmer Programm
Mit der Entwicklung des „Stockholmer Programms“ hat die Europäische Kommission in der zweiten Hälfte des Jahres 2009 ein Konzept entworfen, das die politischen Ziele zur Weiterentwicklung des Raums der Freiheit, der Sicherheit und des Rechts für die Bürger der Union für die nächsten fünf Jah-re festschJah-reibt.
Das vom Europäischen Rat gebilligte Programm hebt zwar einerseits die Wahrung der persönlichen Freiheitsrechte und den Schutz der Privatsphäre hervor. Als Instrumente sollen zur Umsetzung Aufklärungskampagnen zum Datenschutz und die Förderung von datenschutzfreundlichen Technologien dienen. Ein umfangreicher Katalog der Europäischen Kommission enthält aber andererseits besonders eingriffsintensive Maßnahmen wie z. B. ein elektronisches Register- sowie Vorabgenehmigungssystem für Ein- und Aus-reisen in und aus der EU oder den Aufbau eines europäischen Strafregister-informationssystems.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat deshalb im Oktober 2009 eine Entschließung („Datenschutzdefizite in Europa
auch nach Stockholmer Programm“, Anlage 5) verabschiedet, in der sie Maßnahmen benennt, um in Europa ein ausgewogenes Verhältnis von Si-cherheit und Freiheit zu erreichen.
Der Bundesrat hat in seinem Beschluss vom 4. Juni 2010 (BR-Drs. 246/10) konkretere Vorschläge der Kommission in deren Aktionsplan kritisch bewer-tet. So wurde festgestellt, dass die Vorschläge teilweise den Rahmen des Stockholmer Programms überschreiten und teilweise weit hinter ihm zurück-bleiben.
7.2 Neues Abkommen zu SWIFT
Bereits im VIII. Tätigkeitsbericht (Nr. 7.6) schilderte der Landesbeauftragte datenschutzrechtliche Bedenken im Zusammenhang mit dem bestehenden Abkommen zu SWIFT und der damit verbundenen Datenübermittlung an die USA.
Das Ziel aller Datenschutzbeauftragten in Europa war, die Regelungen zu datenschutzrechlichen Fragen entscheidend nachzubessern. So forderte be-reits die 78. Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Oktober 2009 in Berlin in einer Entschließung: „Kein Ausverkauf von europäischen Finanzdaten an die USA!“ (Anlage 4). Auch aus anderen Kreisen wurde Kritik zum bestehenden Abkommen laut. So rügte unter ande-rem die Bundesjustizministerin den fehlenden Rechtsschutz.
Die weitere Datenübermittlung im Rahmen von SWIFT an die USA wurde erst einmal gestoppt. Ein weiteres Betriebszentrum wurde in der Schweiz er-richtet. Die Daten werden nun dort gespiegelt und nicht, wie bisher, in den USA.
In den USA wurde durch das amerikanische Finanzministerium nach den Terroranschlägen vom 11. September 2001 ein Programm zum Aufspüren der Finanzierung des Terrorismus (Terrorist Finance Tracking Program – TFTP) entwickelt. Für die Umsetzung dieses Programms benötigten die Amerikaner auch die Transaktionsdaten aus Europa. Somit waren auch sie am Zustandekommen eines Abkommens interessiert, das ihnen die weitere Übermittlung der benötigten Daten garantiert.
Der Bundesrat verabschiedete hierzu am 27. November 2009 (BR-Drs.
788/09) eine Entschließung, in welcher er unter anderem die verfassungs-rechtlichen Anforderungen an Eingriffe in das Recht auf informationelle Selbstbestimmung hervorhebt, und die Bundesregierung bittet, einem Ab-kommen nur zuzustimmen, wenn Zweck und Voraussetzungen der Daten-übermittlung klar festgelegt sind, eine Weitergabe der Daten an Drittländer ausgeschlossen und ein effektiver Rechtsschutz gewährleistet ist.
Ebenfalls am 27. November 2009 veröffentlichte der Rat der Europäischen Union (Drs. 16110/09) einen Beschluss über die Unterzeichnung eines beab-sichtigten neuen Abkommens zwischen der Europäischen Union und den USA, welches am 1. Februar 2010 in Kraft treten und bis zu diesem Zeit-punkt vorläufig angewendet werden sollte. In diesem Abkommen wurden die wesentlichen Forderungen des Bundesrates, der Datenschutzbeauftragten
und vieler anderer Kritiker nicht berücksichtigt. Trotz aller Bedenken wurde das Abkommen am 30. November 2009 unterzeichnet.
Am 11. Februar 2010 hat das Europäische Parlament gegen das Abkommen gestimmt und somit die Weitergabe der Transaktionsdaten an die amerikani-schen Terrorfahnder unterbrochen.
Noch im Frühjahr 2010 handelte die Kommission daraufhin ein geändertes Abkommen mit den USA aus, welches am 28. Juni 2010 unterzeichnet wur-de.
Nach Zustimmung des Europäischen Parlaments ist das neue SWIFT-Abkommen am 1. August 2010 in Kraft getreten.
Eine Datenübermittlung an die USA soll nun nur noch auf Antrag erfolgen.
Dabei muss das Auskunftsersuchen so eng wie möglich gefasst sein, um die zu übermittelnden Daten auf ein Minimum zu beschränken. Inlandsüberwei-sungen und ÜberweiInlandsüberwei-sungen innerhalb der EU sollen nicht mehr erfasst wer-den. Gleichzeitig mit der Anfrage an SWIFT geht eine Kopie des Ersuchens an EUROPOL, wo überprüft wird, ob die Anfrage im Rahmen des Abkom-mens erfolgt. Erst nach Prüfung der Rechtmäßigkeit durch EUROPOL sind die Daten zu übermitteln.
Auch Auskunfts- und Beschwerderechte wurden im neuen Abkommen gere-gelt. Hiernach ist der Antrag auf Auskunft an die zuständige nationale Daten-schutzbehörde zu richten, welche die Anfrage dann an den Datenschutzbe-auftragten des Finanzministeriums der USA weiterleitet. Von dort erfolgt dann die Meldung, ob Auskunft erteilt werden kann oder ob Daten berichtigt oder auch gelöscht worden sind. Gegen diese Entscheidung des Finanzmi-nisteriums der USA kann Rechtsmittel eingelegt werden.
Im März 2011 wurde ein Bericht bekannt, wonach EUROPOL Datenschutz-verletzungen im Rahmen des Abkommens bemängelt. Die Abfragen seien zu abstrakt und allgemein. EUROPOL könne daher die geforderte datenschutz-rechtliche Prüfung nicht wie vorgesehen durchführen.
Diese Meldung veranlasste die 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2011, eine Entschließung zu fassen, in der auf „Gravierende Defizite bei der Umsetzung des SWFT-Abkommens - dringender Handlungsbedarf auf nationaler und internationaler Ebene“ (An-lage 21) hingewiesen wurde.
7.3 Datenschutzabkommen zwischen der EU und den Vereinigten Staaten von Amerika
Bereits im Jahr 2009 hat das Europäische Parlament in einer Entschließung ein Abkommen zwischen der EU und den Vereinigten Staaten gefordert, das einen ausreichenden Schutz der bürgerlichen Freiheiten und der personen-bezogenen Daten bei der Übermittlung von Daten und Informationen zu Strafverfolgungszwecken gewährleistet. Dieses Abkommen soll in Zukunft die Grundlage für alle Datenübermittlungen an die Vereinigten Staaten von Amerika zu Strafverfolgungszwecken bilden.
Im Sommer 2010 hat die Europäische Kommission einen ersten Entwurf ei-nes neuen Datenschutz-Rahmenabkommens vorgelegt. Der Bundesrat be-grüßt mit Beschluss vom 26. November 2010 (BR-Drs. 741/10) die Bemü-hungen der Kommission. Dabei betont er die Bedeutung, die dem Recht auf informationelle Selbstbestimmung bei der Verarbeitung personenbezogener Daten zukommt.
Die europäischen Datenschutzbeauftragten fordern in diesem Zusammen-hang unter anderem, dass ein solches Abkommen Standards enthält, welche nicht nur für zukünftig abzuschließende Abkommen gelten, sondern auch für bereits bestehende Abkommen umgesetzt werden. Weiterhin muss gewähr-leistet werden, dass europäische Bürger und Bürgerinnen ihre Datenschutz-rechte in den Vereinigten Staaten durchsetzen können. Weitere Grundanfor-derungen sind die Beachtung der Unvereinbarkeit einer unverhältnismäßig langen anlasslosen Speicherdauer über viele Jahre mit dem europäischen Datenschutzrecht sowie die Benennung einer unabhängigen Kontrollbehör-de.
Das bilaterale Abkommen zwischen Deutschland und den USA wurde trotz Bedenken u. a. des Bundesrates (BR-Drs. 637/09 (Beschluss) vom 10. Juli 2009; vgl. auch IX. Tätigkeitsbericht, Nr. 8.1) vom Bundestag verabschiedet (BGBl. II 2009 S. 1010 und BGBl. I 2009 S. 2998).
7.4 Verwendung von Flugpassagierdaten und Körperscannern
Seit vielen Jahren beobachtet der Landesbeauftragte mit Besorgnis die zu-nehmende Datenerfassung und -speicherung im Zusammenhang mit Flug-reisen (vgl. VIII. Tätigkeitsbericht, Nr. 7.5 und IX. Tätigkeitsbericht, Nrn. 8.3 und 8.4).
Diese Thematik war auch in diesem Berichtszeitraum von unveränderter Ak-tualität. So legte die Europäische Kommission Anfang 2011 einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen bei europäischen Flügen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität (Ratsdok. 6007/11) vor.
Die Datenschutzbeauftragten des Bundes und der Länder kritisierten diesen Vorschlag in einer Entschließung der 81. Konferenz im März 2011 „Keine Vorratsspeicherung und Rasterung von Flugpassagierdaten!“ (Anlage 22) dahingehend, dass ein solches Zusammenspiel von Vorratsdatenspeiche-rung und RasteVorratsdatenspeiche-rung von Passagierdaten weder mit der EU-Grundrechte-Charta noch mit dem verfassungsrechtlich garantierten Recht auf informatio-nelle Selbstbestimmung vereinbar sei. Insbesondere im Hinblick auf die jüngste Rechtsprechung des Bundesverfassungsgerichts in seinem Urteil vom 2. März 2010 (1 BvR 256/08) zur Vorratsdatenspeicherung von Tele-kommunikationsdaten (NJW 2010, 833) wird angemahnt, dass die Bundes-republik sich auch auf europäischer und internationaler Ebene dafür einzu-setzen hat, dass die Bürgerinnen und Bürger der Bundesrepublik nicht total erfasst und registriert werden dürfen.
Auch der Bundesrat hat mit Beschluss vom 18. März 2011 (BR-Drs. 73/11) kritisiert, dass der neue Entwurf den bereits im Februar 2008 gegen den da-maligen Richtlinienentwurf geäußerten Bedenken nicht in hinreichendem Maße nachkommt. Er betont, dass bei der Verfolgung des Ziels der Bekämp-fung von Terrorismus und organisierter bzw. schwerer Kriminalität das Ver-hältnis zwischen der Wahrung der Freiheitsrechte und dem Schutz der öf-fentlichen Sicherheit in ein angemessenes Gleichgewicht zu bringen ist. Für die Erlangung dieses Ziels ist ein Höchstmaß an Datenschutz zu gewährleis-ten. In dieser Frage bestehen jedoch gegen den vorliegenden Richtlinien-entwurf erhebliche Bedenken.
Weiterhin stellt der Bundesrat in seiner Stellungnahme klar, dass die Spei-cherung der Passenger Name Record (PNR) Daten ohne Anlass, also ohne Anknüpfung an ein zurechenbar vorwerfbares Verhalten, einen besonders schweren Eingriff in die informationelle Selbstbestimmung und das Recht auf Achtung des Privatlebens darstellt. Ein solcher Eingriff kann nur dann zuläs-sig sein, wenn im Hinblick auf das Ziel ein besonderes Bedürfnis besteht und der Grundsatz der Verhältnismäßigkeit gewahrt bleibt. Ein solcher Nachweis wurde nach Auffassung des Bundesrates auch mit dem vorgelegten Vor-schlag einer Richtlinie nicht erbracht.
Die Justizministerkonferenz schloss sich dieser Kritik im Mai 2011 an.
Aber nicht nur die Speicherung der PNR stieß bei den Datenschutzbeauftrag-ten auf Kritik, auch die Erprobung im Einsatz und die damit im Zusammen-hang stehenden Probleme der Körperscanner auf deutschen Flughäfen fan-den Beachtung. Hierzu haben die Datenschutzbeauftragten des Bundes und der Länder in ihrer Entschließung der 79. Konferenz im März 2010 „Körper-scanner – viele offene Fragen“ (Anlage 12) gefordert, dass die Geräte auch einen nennenswerten Sicherheitsgewinn erzielen, beispielsweise indem sie auch Materialien mit geringer Dichte, wie etwa pulverförmige Substanzen, nachweisen, die Speicherung der beim Einsatz des Körperscanners erhobe-nen Daten ausgeschlossen wird, sowie die Grundrechte der Betroffeerhobe-nen, insbesondere die absolut geschützte Menschenwürde und das Recht auf körperliche Unversehrtheit nicht verletzt werden.
Auch die Europäische Datenschutzkonferenz hat sich im April 2010 („Ent-schließung zum Einsatz von Körperscannern für die Sicherheit an Flughä-fen“, Anlage 35) für die Einhaltung der grundlegenden Datenschutzbestim-mungen ausgesprochen.
Die Tests der Körperscanner am Flughafen Hamburg ergaben technische Mängel bzw. zu viele Fehlalarme. Die Nutzung der Körperscanner war auf freiwilliger Basis möglich. Das Bundesinnenministerium dürfte das Vorhaben absagen.
Der Landesbeauftragte wird in beiden Fällen die weitere Entwicklung kritisch begleiten. Für die Körperscanner könnte eine europäische Regelung kom-men.
7.5 Europäische Datenschutzkonferenzen
Die Europäische Konferenz der Datenschutzbeauftragten einigte sich im April 2009 auf eine Entschließung, in welcher die Notwendigkeit einheitlicher Da-tenschutzstandards bei bilateralen und multilateralen Abkommen im Bereich der polizeilichen und justiziellen Zusammenarbeit bekräftigt wurde (Ent-schließung der Frühjahrskonferenz 2009 der Europäischen Datenschutzbe-auftragten zu bilateralen und multilateralen Abkommen zwischen europäi-schen Staaten und Drittstaaten im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen, Anlage 33). Weiterhin wurde eine Erklä-rung verabschiedet, welche die Notwendigkeit hoher Datenschutzstandards auf der Grundlage umfassender Gesetzgebung des Datenschutzes in Europa bekräftigte („Erklärung zur Führungsrolle und Zukunft des Datenschutzes in Europa“, Anlage 32).
Bei der Europäischen Konferenz der Datenschutzbeauftragten im April 2010 lag der Schwerpunkt der Beratungen wiederum in der Verabschiedung einer Entschließung zu Anforderungen an ein geplantes Abkommen über Daten-schutzstandards im Bereich der polizeilichen und justiziellen Zusammenar-beit (Entschließung der Frühjahrskonferenz 2010 der Europäischen Daten-schutzbeauftragten zu dem geplanten Abkommen zwischen der Europäi-schen Union und den Vereinigten Staaten von Amerika über Datenschutz-standards im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen, Anlage 34) sowie zum Einsatz von Körperscannern an Flughä-fen (Entschließung zum Einsatz von Körperscannern für die Sicherheit an Flughäfen, Anlage 35).
Auf der Europäischen Datenschutzkonferenz in Brüssel im April 2011 wurde eine Entschließung zum Rechtsrahmen für den Datenschutz gefasst (Ent-schließung über die Notwendigkeit eines umfassenden Rechtsrahmens für den Datenschutz, Anlage 36).
7.6 Internationale Konferenzen der Beauftragten für den Datenschutz und den Schutz der Privatsphäre
Im Mittelpunkt der 31. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre im November 2009 stand die Forderung nach globalen Datenschutzstandards für eine globale Welt mittels einer Entschließung („Internationale Standards zum Schutz der Privatsphä-re“, Anlage 37). Man erarbeitete weiter einen gemeinsamen Vorschlag zur Erstellung internationaler Standards; u. a. wurden grundlegende Prinzipien, die Notwendigkeit der Rechtfertigung der Verarbeitung und die Rechte der Betroffenen formuliert.
Die 32. Internationale Datenschutzkonferenz im Oktober 2010 diskutierte an-hand der sozialen Netzwerke über die unterschiedlichen Anforderungen der verschiedenen Generationen an den Datenschutz. Dabei wurden die aktuel-len Herausforderungen hervorgehoben, die aufgrund der Entwicklung immer neuer Technologien an den Datenschutz gestellt werden. Bereits bei der Entwicklung von Entwürfen solcher informationstechnischen Systeme sollten die Datenschutzanforderungen frühzeitig Berücksichtigung finden.
8 Finanzwesen
8.1 Auskunftsrecht für Betroffene im Steuerverfahren – Teil II
In seinem IX. Tätigkeitsbericht (Nr. 9.1) verwies der Landesbeauftragte auf eine Verwaltungsanweisung des Bundesministeriums der Finanzen, in wel-cher der Auskunftsanspruch der Bürgerinnen und Bürger im Besteuerungs-verfahren von einem „berechtigten Interesse“ abhängig gemacht wird. Diese Verfahrensweise entspricht nach Auffassung des Landesbeauftragten nicht der Rechtsprechung des Bundesverfassungsgerichts (Beschluss vom 10. März 2008, 1 BvR 2388/03, NJW 2008, 2099).
Auch ist die Landesregierung der Meinung, dass der Beschluss nur für „Da-tensammlungen, bei denen die Daten entweder ohne Mitwirkung des Betrof-fenen erhoben werden oder deren Speicherung von dem ursprünglichen Er-hebungszweck gelöst wird“, gilt (Stellungnahme zum IX. Tätigkeitsbericht des Landesbeauftragten, LT-Drs. 5/2385).
Allerdings ist, mangels spezialgesetzlicher Regelung in der Abgabenord-nung, grundsätzlich die allgemeine Regelung zum Auskunftsrecht im § 19 BDSG – und somit auch § 15 DSG-LSA – anwendbar. Wenn bereits ein Aus-kunftsanspruch nach § 19 BDSG bzw. § 15 DSG-LSA für diese sensibleren, unter Umgehung des Grundsatzes der Erhebung beim Betroffenen gewon-nenen Daten bejaht wird, ist erst recht von einem Auskunftsanspruch bezüg-lich der Daten im Besteuerungsverfahren bei den Finanzämtern auszugehen.
Die Datenschutzbeauftragten des Bundes und der Länder verstärkten im zu-rückliegenden Berichtszeitraum ihre Bemühungen, eine einheitliche Rege-lung in der Abgabenordnung zu schaffen, die dem Beschluss des Bundesver-fassungsgerichts vom 10. März 2008 und den allgemeinen datenschutzrecht-lichen Regelungen zum Auskunftsrecht gerecht wird.
Die Landesregierung wies in ihrer Stellungnahme zum I. Tätigkeitsbericht des Landesbeauftragten für die Informationsfreiheit vom 10. Dezember 2010 (LT-Drs. 6/131) auf die zurzeit stattfindende Erörterung eines Entwurfs eines Auskunftsanspruchs in der Abgabenordnung und konkret darauf hin, dass an dem Erfordernis der Darlegung eines Informationsinteresses nicht mehr fest-gehalten wird. Eine klarstellende Regelung soll der Finanzbehörde die Mög-lichkeit geben, im Einzelfall die Darlegung des Informationsinteresses zu for-dern.
Eine solche Formulierung in der Abgabenordnung wäre zwar bereits eine Verbesserung zur Verwaltungsanweisung des Bundesministeriums der Fi-nanzen, jedoch stände sie immer noch hinter der voraussetzungslosen Ge-währung des Auskunftsanspruchs nach § 19 BDSG bzw. § 15 DSG-LSA zu-rück.
Ein in diesem Sinne überarbeiteter Entwurf einer gesetzlichen Regelung liegt bis heute nicht vor.
8.2 Ablösung der Lohnsteuerkarte – ELStAM
Im IX. Tätigkeitsbericht (Nr. 9.4) berichtete der Landesbeauftragte über die Gesetzgebung zum Wegfall der Lohnsteuerkarte zum Jahr 2011.
Wie bereits dargelegt, wurde zu diesem Zweck beim Bundeszentralamt für Steuern eine Datenbank geschaffen, die Daten wie Religionszugehörigkeit, Familienstand und Angaben zu Angehörigen einer Person, welche bisher nur in den einzelnen Meldebehörden gespeichert waren, in einer bundesweiten Datenbank mit weiteren steuerlich relevanten Daten zusammenfasst, die so-genannten elektronischen Lohnsteuerabzugsmerkmale (ELStAM). Da die Daten in Zukunft für den Abruf durch die Arbeitgeber bereitstehen, kann auf die bisherige Lohnsteuerkarte verzichtet werden.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fasste hierzu am 24. Juni 2010 die Entschließung „Erweiterung der Steuerda-tenbank enthält große Risiken“ (Anlage 14), da die Befürchtung bestand, dass z. B. Arbeitgeber Daten unberechtigt abrufen könnten.
Hierzu hat der Gesetzgeber inzwischen Regelungen getroffen. So kann auf-grund des neu eingeführten § 52b Abs. 8 Einkommensteuergesetz jede Ar-beitnehmerin und jeder Arbeitnehmer die Bereitstellung der ELStAM für be-stimmte Arbeitgeber freigeben oder sperren lassen.
Bei der Verfahrensentwicklung kam es zu Verzögerungen, sodass der ge-plante Beginn der Abrufe der ELStAM auf das Jahr 2012 verschoben wurde.
So lag z. B. auch das Sicherheitskonzept für das ELStAM-Abrufverfahren noch nicht vor. Wenn dieses erstellt ist, wird der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit mit Unterstützung der Landes-beauftragten eine Prüfung durchführen. Für das Jahr 2011 wurde eine Rege-lung vereinbart, die es ermöglichte, für die Steuerabführung die vorhandenen Daten des Jahres 2010 weiter zu nutzen.
8.3 Evaluierung des „anderen sicheren Verfahrens“ der ElsterOnline-Anmeldung Im IX. Tätigkeitsbericht (Nr. 9.7) thematisierte der Landesbeauftragte die Ri-siken der unsicheren Authentifizierung bei der ElsterOnline-Anmeldung. Da-bei wies der Landesbeauftragte auch darauf hin, dass es keine gesetzliche Definition gebe, die die Anforderungen an ein „anderes sicheres Verfahren“
klarstellt und dass eine gesetzlich vorgeschriebene Pflicht zur Evaluierung bestehe.
Im Oktober 2010 wurde der Landesbeauftragte durch den Bundesbeauftrag-ten für den DaBundesbeauftrag-tenschutz und die Informationsfreiheit von einer Besprechung mit dem Bundesministerium der Finanzen zum Evaluierungsbericht des „an-deren sicheren Verfahrens“ nach § 87a Abs. 6 AO unterrichtet.
Bereits im Vorfeld hatten sich die Datenschutzbeauftragten des Bundes und der Länder auf einen Standpunkt geeinigt, welche Aspekte in einem Evaluie-rungsbericht zwingend zu berücksichtigen wären. Dabei stellten die Daten-schutzbeauftragten klar, dass der Maßstab, an welchem das „andere sichere
Verfahren“ zu messen sei, nur die derzeit gültige rechtliche Grundlage sein kann, also die Qualifizierte elektronische Signatur (QES).
Diese und weitere durch die Datenschutzbeauftragten vorgebrachten Argu-mente wurden zwar durch das Bundesministerium der Finanzen zur Kenntnis genommen, doch letztlich nicht im Evaluierungsbericht berücksichtigt. Dies wurde mit der Formulierung aus dem Gesetz heraus begründet, wonach ge-mäß § 87a Abs. 6 Satz 3 AO die Verwendung eines anderen sicheren Ver-fahrens zu evaluieren ist. Eine Beurteilung möglicher Alternativen sei nicht verlangt worden. Das Bundesministerium der Finanzen vertritt die Ansicht, dass somit nicht die Schutzmöglichkeiten, die die QES bietet, zu betrachten seien, sondern nur, ob es bei der Benutzung des „anderen sicheren Verfah-rens“ zu sicherheitsrelevanten Problemen gekommen sei.
Ziel der Einführung eines „anderen sicheren Verfahrens“ ist es, die elektroni-sche Übermittlung steuerlich relevanter Daten zu fördern. Hierzu muss das Verfahren so anwenderfreundlich wie möglich gestaltet werden. Dies wird er-reicht, indem die ursprünglichen hohen Schutzanforderungen an eine elek-tronische Übermittlung der Daten durch eine QES heruntergefahren werden.
Das „andere sichere Verfahren“ muss gewährleisten, dass die übermittelten Daten einem Absender zugeordnet werden können (Authentizität), nicht un-bemerkt verändert werden können (Integrität) und dass das Steuergeheimnis gewahrt wird.
Bereits die eindeutige Zuordnung einer mittels „anderem sicheren Verfahren“
Bereits die eindeutige Zuordnung einer mittels „anderem sicheren Verfahren“