Europarecht

Aktenzeichen  15 K 1212/19

Leitsatz

1. Ein genereller Anspruch auf Akteneinsicht gegenüber den Finanzbehörden besteht nach std. Rspr. des BFH nicht (vgl. BFH, Beschluss vom 03.11.2020 – III R 59/19). (Rn. 155) (redaktioneller Leitsatz)
2. EuGH stellt klar, dass der Auskunftsanspruch nach Art. 15 DSGVO kein Recht auf Zugang zu Verwaltungsdokumenten sichert (EuGH, C-141/12, a.a.O. zur Vorgängervorschrift), so dass dies erst recht für die gesamte Dokumentensammlung gelten muss. (Rn. 131) (redaktioneller Leitsatz)

Tenor

1. Die Klage wird abgewiesen.
2. Die Klägerin trägt die Kosten des Verfahrens.
3. Die Revision wird zugelassen.

Gründe

I.
Streitig ist, ob ein Anspruch der Klägerin aus Art. 15 Datenschutzgrundverordnung (DSGVO) besteht, welchen Umfang dieser Anspruch hat und ob er durch die Gewährung von Einsichtnahme in einzelne Dokumente bzw. Überlassung von Kopien erfüllt wurde.
1. Die Klägerin ist eine Bank, (…).
2. Die Klägerin erhielt am … …2019 ein auf den … …2019 datiertes Schreiben des Finanzamts X, Steuerfahndungsstelle (im Folgenden: Steuerfahndung). Darin wurden der Klägerin eine Vielzahl von Ermittlungsergebnissen mitgeteilt, die sich inhaltlich auf gewisse Investmentfonds beziehen, für die die Klägerin im Jahr 2010 als Depotbank fungiert hatte. Das Schreiben kündigte an, dass die steuerlichen Folgen bei der Klägerin gezogen werden sollten. Mit dem Schreiben übersandt wurden steuerliche Kurzberichte über die Änderung der Kapitalertragsteuer-Anmeldungen der Klägerin in Steuersachen verschiedener Investmentfonds (wegen der genauen Auflistung mit dem Schreiben übersandten Unterlagen wird auf die von der Klägerin eingereichte Anlage K2 – Klageakte Blatt 32 – verwiesen).
3. Unter Bezugnahme auf das vorgenannte Schreiben beantragte die Klägerin mit Schreiben vom … …2019 beim Beklagten – dem Finanzamt – Gewährung rechtlichen Gehörs und Akteneinsicht. Letzteren Anspruch leitete die Klägerin aus § 91 Abgabenordnung (AO), bzw. einem Anspruch auf Akteneinsicht nach pflichtgemäßem Ermessen, sowie hilfsweise aus § 32c AO und Art. 15 Abs. 3 DSGVO her.
4. Mit Schreiben vom … …2019 verwies das Finanzamt darauf, dass der Antrag auf Akteneinsicht in die Ermittlungsakte der Steuerfahndung nach § 147 Abs. 5 Strafprozessordnung (StPO) bei der Staatsanwaltschaft X zu stellen sei. Eine Einsicht in die Kapitalertragsteuerakte lehnte das Finanzamt ab, da der gesamte Inhalt dieser Akte der Klägerin bereits bekannt sei. Der Kapitalertragsteuerstelle lägen die bereits übersandten Ermittlungsberichte der Investmentfonds vor. Es sei beabsichtigt, die Ergebnisse dieser Ermittlungsberichte der Besteuerung zugrunde zu legen und die betroffenen Kapitalertragsteueranmeldungen entsprechend zu ändern. Die Klägerin habe die Möglichkeit, sich zu den für die Entscheidung erheblichen Tatsachen bis zum … …2019 zu äußern. Über den Antrag nach Art. 15 Abs. 3 DSGVO werde in Kürze ein gesondertes Schreiben ergehen.
Gegen diesen Ablehnungsbescheid erhob die Klägerin Einspruch (Anlage K7, Klageakte Blatt 117), über den noch nicht entschieden ist.
5. Mit Schreiben vom … …2019 lehnte das Finanzamt den hilfsweise gestellten Auskunftsantrag nach der DSGVO ab (Klageakte Blatt 45). Es begründete die Ablehnung damit, dass die Kapitalertragsteuerakte ausschließlich Unterlagen beinhalte, die der Antragstellerin bereits bekannt seien. Alle anderen aufgeführten Unterlagen seien Inhalt von Ermittlungsakten in einem Steuerstrafverfahren, das von der Staatsanwaltschaft X geführt werde. Diesbezüglich sei schon zweifelhaft, ob Art. 15 DSGVO auf die Ermittlungsakten überhaupt Anwendung finde, da nach Art. 2 Abs. 2 d DSGVO, § 2a Abs. 4 AO die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten finde. Selbst wenn dies der Fall wäre, ständen einer Auskunftserteilung die §§ 32c Abs. 1 Nr. 1, 32b Abs. 1 Satz 1 Nr. 1 a, Satz 2, § 32a Abs. 2 AO – Gefährdung der ordnungsgemäßen Aufgabenerfüllung – entgegen. Durch die Akteneinsicht könne nicht ausgeschlossen werden, dass dadurch Informationen offenbar würden, die die Klägerin oder die Investmentfonds in die Lage versetzen könnten, steuerlich bedeutsame Sachverhalte zu verschleiern, steuerlich bedeutsame Spuren zu verwischen, oder Rückschlüsse auf geplante Kontroll- oder Prüfungsmaßnahmen zulassen, und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich zu erschweren. Im Übrigen komme dieser Ausnahme von der Auskunftspflicht in einer Ex-post-Betrachtung besondere Bedeutung zu, da nach aktuellem Kenntnisstand zwischenzeitlich gegen die Klägerin ein Ermittlungsverfahren durch die Staatsanwaltschaft X eingeleitet worden sei. Im Übrigen verwies das Finanzamt auf das Akteneinsichtsrecht nach § 147 StPO. Ein solcher Antrag wäre jedoch bei der Staatsanwaltschaft zu stellen.
6. Mit Schreiben vom … …2019 erhob die Klägerin Klage gegen die Ablehnung der Auskunft auf Grundlage des Art. 15 Abs. 3 DSGVO durch den Bescheid vom … …2019.
Sie verfolgt darin ihr Ziel weiter, eine Kopie der auf die Klägerin bezogenen Daten, die Gegenstand der Verarbeitung durch das Finanzamt sind, zu erhalten (Klageakte Blatt 90 ff).
a. Die Verpflichtungsklage sei zulässig, das Finanzgericht München sachlich und örtlich zuständig. Ein Vorverfahren finde nicht statt, die Klagefrist sei gewahrt.
Die Klage sei auch begründet. Der Anspruch aus Art. 15 DSGVO sei unmittelbar auf eine Datenkopie gerichtet. Die Klägerin sei nach § 2a Abs. 5 Nr. 2 AO als „Société Anonyme“, S.A., als identifizierte rechtsfähige Personenvereinigung vom Schutzbereich der DSGVO umfasst. Das Finanzamt sei als Verarbeiter personenbezogener Daten der Klägerin Anspruchsgegner. Die vom Finanzamt reklamierte Bereichsausnahme greife nicht, da mit der Übernahme der Erkenntnisse des Strafverfahrens in das Besteuerungsverfahren eine Zweckänderung stattgefunden habe, sodass nunmehr die Bereichsausnahme nicht mehr eingreife. Auch seien keine anderen Ausschlüsse des Auskunftsrechts ersichtlich.
b. So habe die Klägerin keine umfassende Kenntnis von den verarbeiteten Daten. Die Behauptung der Beklagten insoweit sei pauschal und unsubstantiiert. Keinem Schreiben der Beklagten seien die in den Verweisen und Fußnoten genannten Dokumente beigefügt gewesen. Der Anspruch sei auch nicht auf die Kapitalertragsteuerakte beschränkt. Nach dem materiellen Aktenbegriff seien alle Dokumente, die mit der Klägerin in Zusammenhang stehen, folglich auch die Dokumente, auf die sich die fraglichen Verweise und Fußnoten beziehen, umfasst.
c. Die Auskunft gefährde auch nicht die ordnungsgemäße Aufgabenerfüllung der in der Zuständigkeit des Finanzamts liegenden Aufgaben. Das Finanzamt habe nicht vorgetragen, inwieweit der Klägerin durch Erteilung der Auskunft möglich sein sollte, steuerlich relevante Tatsachen zu verschleiern oder irreführende Maßnahmen zu ergreifen. Das Finanzamt gebe im Wesentlichen den Gesetzestext wieder, ohne auf den Einzelfall einzugehen. Abgesehen davon habe die Klägerin ein überwiegendes Interesse an der Erteilung der Auskunft. Die Beklagte habe keine konkreten Anhaltspunkte für eine konkrete Kollisionslage vorgetragen. Die Ausführungen in der Ablehnung erschöpften sich in floskelhaften Wiedergaben des Gesetzestextes ohne Einzelfallabwägung. Bei der konkreten Interessenabwägung überwägen deutlich die Interessen der Klägerin. Besonders fielen die erheblichen finanziellen Folgen einer Steuernachzahlung ins Gewicht. Die Höhe des Betrages erfordere eine genaue Prüfung des Sachverhalts zwecks vollumfänglicher Aufklärung. Für die Klägerin sprächen weiterhin die ihr zustehenden Rechte auf ein faires Verfahren und auf rechtliches Gehör. Die Beklagte könne nicht einerseits das Wissen der Steuerfahndung X zu Zwecken des Erlasses von Bescheiden über Nachforderungen verarbeiten, aber andererseits keinen vollen Einblick in die personenbezogenen Daten der Klägerin gewähren, die Gegenstand der Verarbeitung waren. Das Ungleichgewicht werde auch nicht durch das Akteneinsichtsrecht kompensiert. Beide Rechte stünden seit der Einführung der DSGVO nebeneinander.
d. Der Auskunftsanspruch sei auch nicht durch Verweis auf § 147 StPO ausgeschlossen. Beim Steuerstrafverfahren handele es sich, wie bereits dargestellt, um ein vom Besteuerungsverfahren zu unterscheidendes Verfahren.
Entgegen der Ansicht des Finanzamts stehe die Entscheidung über die Erteilung der Auskunft in Form einer Datenkopie nicht mehr im Ermessen der Finanzbehörden. So habe das Finanzamt kein Ermessen hinsichtlich der Zurverfügungstellung einer Kopie. Auch der Umfang der Kopie stehe nicht im Ermessen des Verantwortlichen.
Wegen der rechtlichen Argumentation im Einzelnen wird auf die Klagebegründung (insbesondere Klageakte Blatt 90 ff., 179 ff., 251 ff., 278 ff., und Schriftsatz vom 28.01.2022) verwiesen.
7. Die Klägerin beantragt,
den Bescheid vom … …2019 aufzuheben und das Finanzamt zu verpflichten, der Klägerin eine Kopie der auf sie bezogenen Daten, die Gegenstand der Verarbeitung durch den Beklagten sind, zur Verfügung zu stellen.
Das Finanzamt beantragt,
die Klage abzuweisen.
8. a. Dem Antrag auf Auskunft nach der DSGVO sei bereits teilweise entsprochen worden. Auf eine weitergehende Auskunft habe die Klägerin keinen Anspruch. Die Klägerin könne sich nur deshalb auf die DSGVO berufen, weil § 2a Abs. 5 Nr. 2 AO deren Anwendungsbereich auf juristische Personen erweitere, was im Rahmen der Auslegung der DSGVO berücksichtigt werden solle. Im Streitfall sei deutlich zwischen den Informationen zu Verarbeitungsvorgängen im Besteuerungsverfahren einerseits und den Verarbeitungsvorgängen im Steuerstrafverfahren andererseits zu unterscheiden. Diese Trennung sei bei einer datenschutzrechtlichen Beurteilung zwingend geboten, da nur Teile der begehrten Informationen, nämlich die aus dem Besteuerungsverfahren, überhaupt in den Anwendungsbereich der DSGVO fielen.
b. Hinsichtlich der Verarbeitungsvorgänge von Daten im Rahmen des Besteuerungsverfahrens habe das Finanzamt die Auskunft bereits erteilt. Das Finanzamt habe die aufgeführten Ermittlungsberichte der Steuerfahndungsstelle der Klägerin bereits übersandt und mitgeteilt, dass in der Kapitalertragsteuerakte die Kapitalertragsteueranmeldung des Jahres 2010 mit dem dazugehörigen Schriftverkehr enthalten sei. Die Klägerin habe die Kapitalertragsteueranmeldungen selbst ausgefüllt, sei zudem entweder Adressatin oder Absenderin des dazugehörigen Schriftverkehrs gewesen. Dementsprechend sei der Klägerin der gesamte Inhalt der Kapitalertragsteuerakte bekannt.
c. Hinsichtlich der übrigen Akteninhalte, in die die Klägerin Akteneinsicht begehre, könne sie sich nicht auf Art. 15 DSGVO berufen, da es sich bei diesen Inhalten um Strafakten – noch dazu auch solche Dritter – handele, auf die bereits die DSGVO keine Anwendung finde. Vielmehr gelte insoweit das BDSG. Insoweit sei jedoch der Rechtsweg zu den Finanzgerichten nicht eröffnet.
d. Hilfsweise trägt das Finanzamt vor, dass für sämtliche Unterlagen, die im Zusammenhang mit dem laufenden Steuerstrafverfahren stünden, jedenfalls der Ausnahmetatbestand des Art. 23 Abs. 1 e DSGVO i.V.m. §§ 32c Abs. 1 Nr. 1, 32b Abs. 1 Satz 1 Nr. 1 a, Satz 2, § 32 Abs. 2 AO eingreife (Gefährdung der Aufgabenerfüllung). Es liege auf der Hand, dass die Klägerin oder andere Personen, gegen die zum Teil Strafverfahren eingeleitet worden seien, sich auf den Kenntnisstand der Finanzbehörden einrichten könnten, wenn Ihnen der Akteninhalt bekannt gemacht würde, zumal die Ermittlungen noch nicht abgeschlossen seien. Müssten die Steuerfahndungsstellen ihre Ermittlungserkenntnisse im laufenden Verfahren preisgeben, könnten sämtliche Straftaten des § 370 AO künftig nicht mehr effektiv verfolgt werden. Die Wertung des § 147 StPO würde ausgehebelt.
e. Auch würden im Falle einer weitergehenden Auskunftserteilung dem Wohl des Bundes oder eines Landes Nachteile bereitet (Art. 23 Abs. 1 e DSGVO i.V.m. §§ 32c Abs. 1 Nr. 1, 32b Abs. 1 Satz 1 Nr. 1 b AO). Bei den im Zusammenhang stehenden laufenden Straf- und Ermittlungsverfahren gehe es um einen laut Medienberichten geschätzten Schaden für die Staatskasse in Milliardenhöhe. Möglicherweise würde damit die Aufklärung und strafrechtliche Ahndung „eines der größten Steuerskandale der deutschen Geschichte“ (sogenannte „Cum-Ex“-Fälle) vereitelt. Angesichts der Höhe des Schadens stehe das Bundesinteresse einer effektiven Aufklärung und der Durchsetzung der Steuerrückzahlungen deutlich im Vordergrund gegenüber dem Individualinteresse der Klägerin an einer Auskunftserteilung.
f. Schließlich griffe hinsichtlich sämtlicher Akteninhalte aus Strafverfahren gegen andere Personen der Ausnahmetatbestand des Art. 23 Abs. 1 e und i DSGVO i.V.m. §§ 32c Abs. 1 Nr. 1, 32b Abs. 1 Satz 1 Nr. 2 AO, Art. 15 Abs. 4 DSGVO. Die begehrten Unterlagen enthielten daher Informationen, die zweifellos geeignet seien bei Bekanntgabe die Rechte und Freiheiten Dritter zu gefährden. Das Interesse der betroffenen Person an der Informationserteilung müsse hinter diesen Rechten einer Vielzahl Dritter (Angeschuldigte, Zeugen, Behördenmitarbeiter etc.) zurücktreten. Sämtliche Ermittlungsergebnisse fielen unter das in § 30 AO besonders geschützte Steuergeheimnis. Es fehle bereits an einer Offenbarungsbefugnis, die es dem Beklagten gestatten würde, die Klägerin über die Daten Dritter zu informieren.
g. Jeder einzelne der dargestellten Ausnahmetatbestände habe ein solches Gewicht, dass gegenüber jedem einzelnen das Individualinteresse der Klägerin an der Informationserteilung zurücktreten müsse. Das Interesse der Klägerin an einer Überprüfung der in den Akten gespeicherten Daten sei durchaus verständlich. Sie dürfe jedoch davon ausgehen, dass sämtliche Verarbeitungsvorgänge innerhalb des Beklagten datenschutzkonform in rechtmäßiger Weise auf der Grundlage von §§ 29b, 29c Abs. 1 AO erfolgt seien. Gleichzeitig stünden der Klägerin ausreichend anderweitige Rechtsschutzmöglichkeiten zu, die sie ebenfalls ergreifen könne bzw. schon ergriffen habe und die ebenfalls diese Überprüfungsmöglichkeit bieten. So könne die Klägerin die Akteneinsicht im Ordnungswidrigkeitenverfahren nach § 49 OWiG beantragen, im Strafverfahren nach § 147 StPO. Die rechtsstaatliche Kontrolle der Steuerbescheide erfolge durch das bereits laufende finanzgerichtlichen Einspruchsverfahren bzw. gegebenenfalls im Rahmen einer nachfolgenden Klage.
h. Das Finanzamt ist der Auffassung, dass Art. 15 DSGVO jedenfalls kein Recht auf Akteneinsicht bzw. auf Übersendung einer Kopie des Akteninhalts vorsehe. Der Anspruch der Klägerin sei bereits erloschen, soweit diese bereits über die Informationen verfüge. Im Übrigen beziehe sich der Auskunftsanspruch nicht auf sämtliche internen Vorgänge eines Verantwortlichen, wie z.B. Vermerke, rechtliche Bewertungen oder Analysen. Solche Dokumente stellten keine personenbezogenen Daten dar. Eine Herausgabe sämtlicher interner Dokumente käme inhaltlich einem Akteneinsichtsrecht gleich, das Art. 15 DSGVO jedoch gerade nicht biete.
i. Das Finanzamt widerspreche ausdrücklich der Auffassung der Klägerin, dass es sich beim Auskunftsanspruch des Art. 15 DSGVO um einen gebundenen Anspruch handele, der hinsichtlich der Art der Auskunftserteilung jegliches Ermessen ausschließe. Sowohl in der DSGVO selbst (Art.12 Abs. 1 DSGVO) als auch speziell in § 32d Abs. 1 AO sei ausdrücklich geregelt, dass es sich bei Art. 12-15 DSGVO um Regelungen handle, die pflichtgemäßem Ermessen unterlägen.
Ausdrücklich werde auch der Auffassung widersprochen, dass ein Anspruch auf Kopie des Akteninhalts aus Art. 15 DSGVO ableitbar sei.
k. Eine Übersendung der den Streitfall betreffenden Akten hat das Finanzamt zunächst verweigert, da es andernfalls eine Vorwegnahme der Hauptsache befürchtet hat. Es hat insoweit auf den Beschluss des Bundesfinanzhofs (BFH) vom 03.06.2015 (VII S 11/15, BFH/NV 2015, 1100) verwiesen.
Wegen der Argumentation im Einzelnen wird auf das schriftsätzliche Vorbringen (insbesondere Klageakte Blatt 141 ff., 219 ff., 294 ff., 384 ff.) verwiesen.
9. a. Mit Schreiben vom … …2020 hat die Klägerin mitgeteilt, dass sie mittlerweile Einsicht in die Ermittlungsakten der Staatsanwaltschaft X habe nehmen können. Die Auswertung der Akte im Umfang von rund 32.000 Blatt dauere an. Durch die Einsicht in die Ermittlungsakten sei der hier geltend gemachte Anspruch auf Vorlage von Kopien personenbezogener Daten weder erfüllt noch sonst erledigt, denn die Klägerin könne durch die Akteneinsicht im Strafverfahren nicht in Erfahrung bringen, welche personenbezogenen Daten die Beklagte im Rahmen der Besteuerung verarbeite. Die Klägerin müsse vielmehr davon ausgehen, dass ihr die von dem Beklagten zum Zwecke der Kapitalertragsteuer verarbeiteten personenbezogenen Daten weiterhin nicht vollständig vorlägen, da ihr der Beklagte den Zugang beharrlich vorenthalte.
b. Auf Anforderung des Gerichts hat das Finanzamt die den Streitfall betreffende Akte (vgl. BFH, Beschluss vom 19.12.2016 – XI B 57/16 -, BFH/NV 2017, 599) – das ist das datenschutzrechtliche Auskunftsbegehren, der hierzu ausgetauschte Schriftwechsel und die ergangene Entscheidung – eingereicht.
Wegen der Argumentation im Weiteren wird auf das schriftsätzliche Vorbringen der Beteiligten verwiesen.
II.
Die zulässige Klage ist unbegründet.
1. Die Klage ist zulässig.
a. Der Rechtsweg zu den Finanzgerichten ist nach § 32i Abs. 2 AO eröffnet, da sich die Klage der betroffenen Person gegen das Finanzamt als Finanzbehörde (§ 6 Abs. 2 Nr. 5 AO) hinsichtlich der Verarbeitung personenbezogener Daten auf Rechte aus der DSGVO (hier: Art. 15 Abs. 1 DSGVO) stützt.
Der Rechtsweg bestimmt sich nach dem Streitgegenstand. Dieser umfasst im Streitfall nur den Anspruch auf Auskunft aus der DSGVO gegenüber der Finanzbehörde als für die Besteuerung zuständige Behörde.
(1) Nach dem sog. zweigliedrigen Streitgegenstandsbegriff wird der Streitgegenstand im Allgemeinen als der prozessuale Anspruch durch die erstrebte, im Klageantrag umschriebene Rechtsfolge und den Klagegrund, d.h. den Sachverhalt, aus dem sich die Rechtsfolge ergeben soll, gekennzeichnet (stRspr., vgl. BVerwG, Beschluss vom 20.09.2012 – 7 B 5/12 -, Rn. 6, NVwZ 2012, 1563). Bei einem Verpflichtungsbegehren wird zu seiner Bestimmung, Umgrenzung und Präzisierung auch die gesetzliche Anspruchsgrundlage herangezogen (ebenda; BFH-Beschluss vom 07.04.2020 – 2015 II B 82/19 -, BStBl II 2020, 624; BVerwG, Beschluss vom 18.11.2019 – 10 B 20/19, BFH/NV 2020, 336, Rz 7; im Ergebnis ebenso: BFH, Beschluss vom 16. Juni 2020 – II B 65/19 -, BStBl II 2020, 622). Auch im Fall eines einheitlichen Klageantrags können daher mehrere Streitgegenstände vorliegen. Voraussetzung hierfür ist, dass der Antrag auf mehrere Sachverhalte und Ansprüche gestützt wird (BGH, Beschluss vom 27.11.2013 – III ZB 59/13 -, BGHZ 199, 159, Rn. 16).
(2) Wird im Schnittbereich von Besteuerungs- und Steuerstrafverfahren Auskunft aus dem Verhältnis des Datenverarbeiters zum Betroffenen beantragt und vorgetragen, aus dieser Auskunft ergäbe sich ein Recht auf Kopie der Verwaltungsakte oder Teilen hiervon, so müssen vier verschiedene Streitgegenstände unterschieden werden:
aa) Einmal die anlasslose – aus der Datenverarbeitung abgeleitete – und nicht von einem konkreten Verwaltungsrechtsverhältnis abhängige datenschutzrechtliche Auskunft im Anwendungsbereich der DSGVO.
bb) Zum anderen die ebenso anlasslose – aus der Datenverarbeitung abgeleitete -, verfahrensunabhängige Auskunft jenseits des sachlichen Anwendungsbereichs der DSGVO, soweit der Betroffene Auskunft von Strafverfolgungsbehörden begehrt.
cc) Zum Dritten aus einem konkreten Verwaltungsrechtsverhältnis abgeleitete selbständige und unselbständige Akteneinsichtsrechte, gerichtet auf die Akten konkreter Besteuerungsverfahren.
dd) Zum Vierten aus dem konkreten Rechtsverhältnis als Unterworfener unter strafrechtliche Ermittlungen abgeleitete Akteneinsichtsrechte.
Für diese vier Streitgegenstände sind verschiedene Rechtswege eröffnet. Während für aa) gem. § 32i AO der besonders zugewiesene Finanzrechtsweg eröffnet ist und für cc) der allgemeine Finanzrechtsweg nach § 33 Abs. 1 Finanzgerichtsordnung (FGO), ist für bb) der Rechtsweg zu den Verwaltungsgerichten eröffnet und für dd) der Rechtsweg zu den Strafgerichten.
Das ergibt sich daraus, dass für die datenschutzrechtlichen Auskunftsansprüche aus dem Datenverarbeitungsverhältnis im Verhältnis von Behörden zu Bürgern (oben aa und bb) – also außerhalb eines konkreten Verwaltungsrechtsverhältnisses – im Grundsatz eine öffentlich-rechtliche Streitigkeit nichtverfassungsrechtlicher Art vorliegt, für die vorbehaltlich einer Sonderzuweisung der allgemeine Verwaltungsrechtsweg gegeben ist (§ 40 Abs. 1 VwGO; BVerwG, Beschluss vom 18.11.2019 – 10 B 20/19 -, Rn. 4, BFH/NV 2020, 336). Das gilt auch für die Datenverarbeitung durch Strafverfolgungsbehörden (oben bb., vgl. BFH, Beschluss vom 07.04.2020 – II B 82/19 -, BStBl II 2020, 624). Mit der abdrängenden Sonderzuweisung des § 32i AO hat der Gesetzgeber Fragen der Datenverarbeitung im Bereich der Finanzbehörden (oben aa) den sachnäheren Finanzgerichten zugewiesen.
Dagegen wurzeln Akteneinsichtsrechte nicht in der Tatsache der Datenverarbeitung, sondern leiten sich aus dem konkreten Verwaltungs- bzw. Besteuerungsverfahrensrechtsverhältnis ab; entsprechendes gilt für den als Beschuldigter einem Strafermittlungsverfahren Unterworfenen. Im letzteren Fall ist der Akteneinsichtsanspruch einfachgesetzlich in § 147 StPO geregelt, mit der Zuweisung des Rechtsweges zu den Strafgerichten (§ 147 Abs. 5 StPO).
Ein einfachgesetzliches Akteneinsichtsrecht im Besteuerungsverfahren hat der Gesetzgeber nicht normiert. Für etwaige Streitigkeiten wäre jedoch der allgemeine Finanzrechtsweg eröffnet (§ 33 FGO). Ebensolches gilt für den von der Rechtsprechung entwickelten verfassungsunmittelbaren Anspruch auf Entscheidung nach pflichtgemäßem Ermessen über einen Einsichtsantrag (vgl. BFH, Urteil vom 08. Juni 2021 – II R 15/20 -, Rn. 10, juris; BFH, Urteil vom 30.07.2003 – VII R 45/02 -, BStBl II 2004, 387).
(3) Im Streitfall ist nur ein Auskunftsantrag nach Art. 15 DSGVO Streitgegenstand und nicht etwa ein aus dem Verwaltungsrechtsverhältnis abgeleiteter Anspruch auf rechtliches Gehör, auf Akteneinsicht oder etwa ein unselbständiger Anspruch auf Mitteilung der Besteuerungsunterlagen (§ 364 AO). Diese Ansprüche hat die Klägerin zwar vorprozessual ebenfalls beim Finanzamt vorgebracht, das diese Ansprüche verneint hat. Über den statthaften eingelegten Rechtsbehelf des Einspruchs ist aber noch nicht entschieden. Auch begehrt die Klägerin hierüber im Klageverfahren keine Entscheidung sondern leitet ihren Anspruch alleine aus Art. 15 DSGVO her. Daher liegt im Streitfall – anders als wohl bei der Entscheidung des BFH (BFH, Urteil vom 08. Juni 2021 – II R 15/20 -, Rn. 10, juris) – kein einheitlicher Streitgegenstand im Verhältnis des Anspruchs auf Akteneinsicht aus dem konkreten Besteuerungsverfahren und dem Anspruch auf Auskunft nach Art. 15 DSGVO vor.
Aus der vorstehend zitierten BFH-Entscheidung kann im Übrigen nach Auffassung des erkennenden Senats nicht herausgelesen werden, dass stets ein einheitlicher Streitgegenstand vorläge, sobald der Kläger Akteneinsicht auch aus der DSGVO beansprucht. Da der Streitgegenstand maßgebend durch den vom Kläger im jeweiligen Verfahren vorgetragenen Sachverhalt bestimmt wird, kann aus dem vom BFH entschiedenen Einzelfall keine generelle Aussage abgeleitet werden. Entscheidend für die Annahme zweier unterschiedlicher Streitgegenstände ist im Streitfall darüber hinaus, dass sich der Auskunftsanspruch aus der DSGVO grundsätzlich von dem Anspruch auf ermessensfehlerfreie Entscheidung über den Akteneinsichtsantrag im konkreten Besteuerungsverfahren unterscheidet. Während der Auskunftsanspruch anlassfrei als gebundene Entscheidung eine Auskunft des Datenverarbeitenden an den Betroffenen gewährleistet, unterliegt der selbständige Anspruch auf ermessensfehlerfreie Bescheidung über ein Akteneinsichtsgesuch dem Ermessen des Finanzamtes. Die im zweiten Fall zu treffende Ermessensentscheidung unterliegt nicht nur hinsichtlich der Verwaltungsentscheidung und der im Rechtsbehelfsverfahren zu treffenden Einspruchsentscheidung, sondern auch hinsichtlich der gerichtlichen Überprüfung gänzlich verschiedenen Maßstäben.
Auch der klagebegründende Sachverhalt unterscheidet sich bei den beiden Ansprüchen: Während der datenschutzrechtliche Auskunftsanspruch mit dem Sachverhalt begründet wird, dass der Verantwortliche personenbezogene Daten des Betroffenen in einem Dateisystem verarbeitet bzw. dies beabsichtigt (Art. 2 DSGVO), bedarf es zur Anspruchsbegründung eines Akteneinsichtsanspruchs der Darlegung eines konkreten Verwaltungsrechtsverhältnisses, aufgrund dessen die Behörde Akten führt und konkreter Tatsachen, die – entgegen der grundsätzlich vom Gesetz nicht gewährleisteten Akteneinsicht – im konkreten Fall eine Ermessensentscheidung der Behörde zu Gunsten einer Akteneinsicht bedingen. Dem entsprechend unterscheidet auch das BVerwG zwischen dem Akteneinsichtsrecht im konkreten Besteuerungsverfahren und etwa dem Auskunftsanspruch aus Informationsfreiheitsgesetzen und nimmt insoweit zwei Streitgegenstände an, für die einmal der Rechtsweg zu den Finanzgerichten und zum anderen zu den Verwaltungsgerichten eröffnet ist (BVerwG, Beschluss vom 18.11.2019 – 10 B 20/19 -, Rn. 4, BFH/NV 2020).
(4) Der Antrag der Klägerin richtet sich auch nicht auf datenschutzrechtliche Auskunft aus dem Tätigkeitsbereich des Finanzamts als Strafermittlungsbehörde (Streitgegenstand oben bb). Die Klägerin hat auf den Einwand des Finanzamts insoweit klargestellt, dass sie lediglich Auskunft aus dem Bereich der Kapitalertragsteuerstelle begehrt, wobei sie davon ausgeht, dass die entsprechenden Unterlagen von der Steuerfahndungsstelle an diese übergeben worden seien und somit Teil der Besteuerungsdaten geworden seien (…).
(5) Schließlich richtet sich der Anspruch der Klägerin nicht auf konkrete Akteneinsicht als Unterworfener strafrechtlicher Ermittlungen. Sie trägt explizit vor, dass Streitgegenstand nicht ein Antrag auf Akteneinsicht nach § 147 StPO sein solle (…).
b. Statthafte Klageart für die gerichtliche Geltendmachung eines gegen eine Behörde gerichteten Auskunftsanspruchs aus Art. 15 Abs. 1 der DSGVO ist die Verpflichtungsklage. Denn bei der Entscheidung über einen datenschutzrechtlichen Auskunftsanspruch durch eine Behörde handelt es sich um einen Verwaltungsakt. Der Erteilung der Auskunft geht eine behördliche Entscheidung voraus, die auf der Grundlage eines gesetzlichen Prüfprogramms zu treffen ist und bei der die Behörde besondere verfahrensrechtliche Vorkehrungen wie Begründungs- oder Anhörungspflichten zu beachten hat. Daher geht der Auskunftserteilung durch eine Behörde auf der Grundlage des Art. 15 Abs. 1 DSGVO stets eine Prüfung möglicher Ausschluss- und Beschränkungstatbestände voraus (vgl. BVerwG, Urteil vom 16.09.2020 – 6 C 10/19 -, Rn. 12, HFR 2021, 419).
c. Die Klage richtet sich auch gegen den richtigen Beklagten. Passivlegitimierter der datenschutzrechtlichen Ansprüche aus der DSGVO ist der Verantwortliche (Art. 15 Abs. 1 DSGVO). Das ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auch § 2a AO knüpft die Verantwortlichkeiten im Zusammenhang mit dem Schutz personenbezogener Daten an die Finanzbehörde bzw. Stelle öffentlicher Verwaltung. Damit ist Zurechnungssubjekt der Rechte und Pflichten im Bereich des Datenschutzes die jeweils im Rahmen ihrer Aufgabenzuständigkeit über diese Verarbeitung entscheidende Behörde. Der Anspruch kann sich daher nur auf die in der Entscheidungskompetenz der jeweiligen Behörde liegende Verarbeitung von Daten und auf diese Daten richten. Das ist im Streitfall – da Auskunft über die im Besteuerungsverfahren verarbeiteten Daten begehrt wird – das beklagte Finanzamt.
Die Klage richtet sich – wie vorstehend bereits ausgeführt – nicht auf Auskunft über Daten eines Strafermittlungsverfahrens. Insoweit wäre der Anwendungsbereich der DSGVO auch nicht eröffnet. Vielmehr wäre insoweit der Rechtsweg zu den Verwaltungsgerichten eröffnet. Passiv legitimiert wäre im Übrigen die konkrete Staatsanwaltschaft, und zwar auch, soweit es um Akten ihrer Hilfsbeamten – also etwa der Steuerfahndungsstelle – geht.
2. Die Klage ist unbegründet.
Die Klägerin hat einen Anspruch auf Auskunft nach Art. 15 Abs. 1 DSGVO, der allerdings nicht die begehrte Einsicht in Verwaltungsdokumente umfasst. Die tatsächlich für den Nach- bzw. Rückforderungsbescheid verarbeiteten, also der Besteuerung zugrunde gelegten Daten sind der Klägerin bereits bekannt. Darüber hinaus hat das Finanzamt durch Übersendung der umfangreichen Berichte mit Schreiben vom … …2019 der Klägerin auch über den Anspruch nach Art. 15 Abs. 1 DSGVO hinausgehend, Besteuerungsunterlagen mitgeteilt bzw. offengelegt und Beweismittel überlassen.
Eine Einsicht in die bloßen Eingabedaten zur Bescheiderstellung bzw. die Grunddatenübersicht – oder eine Kopie hiervon – beides wäre von ihrem Anspruch nach Art. 15 DSGVO umfasst – begehrt die Klägerin erkennbar nicht.
Das Finanzamt ist aus dem datenschutzrechtlichen Auskunftsanspruch nicht verpflichtet, über die überlassenen Informationen hinaus Akteneinsicht in die Steuerakten zu gewähren, Kopien der Akte zu überlassen oder Daten aus der Steuerakte herauszusuchen und mitzuteilen.
Die DSGVO ist auch im Bereich der direkten Steuern anwendbar (a.).
Das Finanzamt ist als Verarbeiter im Sinne der DSGVO auch richtiger Beklagter bzw. Passivlegitimierter des Anspruchs auf Auskunft (b.).
Der sachliche Anwendungsbereich der DSGVO ist im Streitfall insoweit eröffnet, als die Verarbeitung personenbezogener Daten zu beurteilen ist (c.), jedoch nur insoweit, als die personenbezogenen Daten durch das Finanzamt zum Teil auch automatisiert oder teilautomatisiert verarbeitet werden (d.).
Der bereits dadurch umgrenzte Auskunftsanspruch ist mit Blick auf die Beschränkungen des Auskunftsrechts in der DSGVO selbst, sowie durch die AO und allgemeine Grundsätze entsprechend eingegrenzt (e.).
Er gewährt kein Akteneinsichtsrecht oder ein Recht auf Einsicht in Verwaltungsdokumente (f.).
a. Die DSGVO ist auf die Verarbeitung von Daten auch bei der Verwaltung direkter Steuern anwendbar.
(1) Als EU-Verordnung gilt die DSGVO gem. Art. 288 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) unmittelbar in jedem Mitgliedsstaat der Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf (vgl. auch FG Sachsen, Urteil vom 08.05.2019 – 5 K 337/19 -, EFG 2020, 661, Rn. 12).
Nach Art. 1 DSGVO schützt die Verordnung die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Nach dem Willen des EU-Verordnungsgebers leitet sich der grundsätzlich umfassende Wirkungsbereich der Verordnung direkt aus Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (Charta) sowie Art. 16 Abs. 1 AEUV ab (vergleiche Erwägungsgründe zur DSGVO [Erw] 1, 2). Sie soll „zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts … beitragen“ (Erw 2). Damit nimmt der Verordnungsgeber die zwischen der Union und den Mitgliedsstaaten geteilte Kompetenz des Art. 4 Abs. 2 j AEUV für sich in Anspruch.
(2) Diesen grundsätzlich umfassend gesehenen Wirkungsbereich schränkt der Verordnungsgeber in Art. 2 Abs. 2 DSGVO u.a. mit Blick auf die Kompetenzen der Mitgliedstaaten ein. Danach findet die Verordnung etwa keine Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt (Art. 2 Abs. 2 a DSGVO) oder auf die Datenverarbeitung durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Art. 2 Absatz 2 d DSGVO).
Welche Tätigkeiten aus dem Geltungsbereich der Verordnung ausgenommen sein sollen, weil sie nicht in den Anwendungsbereich des Unionsrechts fallen (Art. 2 Abs. 2 a DSGVO), führt der Verordnungsgeber nicht explizit aus. In den Erwägungsgründen nennt er beispielhaft die nationale Sicherheit und Datenverarbeitung im Rahmen der gemeinsamen Außen- und Sicherheitspolitik.
Die Tätigkeit, die im Streitfall im Raume steht, ist die Datenverarbeitung im Bereich der Verwaltung direkter Steuern. Da die Verwaltungstätigkeit selbst immanent in die Kompetenz der Mitgliedsstaaten fällt, kann nur darauf abgestellt werden, ob die verwalteten Steuern in die Kompetenz der Union fallen. Das ist im Grunde für die nicht harmonisierten direkten Steuern zu verneinen (Drüen in: Tipke/Kruse, AO/FGO, 166. Lieferung 05.2021, § 2a AO, Rn. 6, m.w.N.). Andererseits beansprucht der EuGH eine Kompetenz für die Prüfung, ob Vorschriften der Mitgliedsstaaten im Bereich der direkten Steuern gegen Unionsrecht oder etwa die Grundfreiheiten verstoßen. Der BFH erkennt diese Kompetenz an (vgl. z.B. BFH, EuGH-Vorlage vom 06.11.2019 – I R 32/18 -, BFHE 269, 205, BStBl II 2021, 68, Rn. 21; Urteil vom 20.04.1988 – I R 219/82 -, BFHE 154, 38, BStBl II 1990, 701, Rn. 21), so dass sich die Frage stellt, ob für die Anwendung des Art. 2 Abs. 2 a DSGVO davon gesprochen werden kann, dass die direkten Steuern nicht in den Anwendungsbereich des Unionsrechts fallen. Dies, zumal sich die DSGVO auf die geteilte Kompetenz des Art. 4 Abs. 2 j AEUV stützt (vgl. bereits oben und Erw. 2).
Demgemäß sind die Antworten auf die Frage der Anwendbarkeit der DSGVO im Bereich der direkten Steuern kontrovers (vgl. zum Streitstand Drüen in: Tipke/Kruse, AO/FGO, 166. Lieferung 05.2021, § 2a AO, Rn. 6).
(3) Allerdings kann der Senat die Frage der unmittelbaren Geltung der DSGVO kraft Rechtssetzungsakt der Union im Ergebnis dahingestellt sein lassen, da der Bundesgesetzgeber ihre Geltung zumindest durch Verweisung in § 2a AO angeordnet hat. Durch die Verweisung werden die Texte, auf die Bezug genommen wird (Bezugsnormen und andere Bezugstexte) zu einem Bestandteil der verweisenden Regelung (Ausgangsnorm) (Bundesministerium der Justiz und für Verbraucherschutz, Handbuch der Rechtsförmlichkeiten, 3. Aufl. 2008, Teil B, 4.1, Rn. 2018, zit. nach http://hdr.bmj.de/page_b.4.html, Aufruf vom 16.07.2021).
Der deutsche Gesetzgeber ist bei der Normierung des § 2a AO bzw. der §§ 29b, 29c und 32a ff. AO (eingefügt durch Art. 17 des Gesetzes vom 17.07.2017, BGBl I 2017, 2541) von folgendem Verständnis ausgegangen (BT-Drs. 18/12611, Seite 74):
„Die Regelungen der AO sollen an das Recht der Europäischen Union, im Besonderen der [DSGVO] angepasst werden. Dabei sollen aufgrund der Regelungsaufträge der [DSGVO] die bereits bestehenden Vorschriften über die Verarbeitung personenbezogener Daten an die Regelungen und Begriffsbestimmungen dieser Verordnung angepasst bzw. neue bereichsspezifische Regelungen in enger Anlehnung an das neue Bundesdatenschutzgesetz geschaffen werden. Zugleich sollen auf Grundlage des Art. 23 der [DSGVO] bereichsspezifische Einschränkungen der betroffenen Rechte bestimmt werden, damit die Finanzbehörden weiterhin ihrem Verfassungsauftrag nachkommen können, die Steuern nach Maßgabe der Gesetze gleichmäßig festzusetzen und zu erheben und Steuerverkürzungen aufzudecken.“
In der Gesetzesbegründung zu § 2a Abs. 3 AO wird weiter ausgeführt:
„Abs. 3 stellt klar, dass die unmittelbar anzuwendenden europarechtlichen Regelungen über den Schutz personenbezogener Daten natürlicher Personen, insbesondere die [DSGVO], den Regelungen der AO und der Steuergesetze vorgehen, soweit diese den Mitgliedstaaten keine Regelungsaufträge erteilen oder Regelungsbefugnisse einräumen und dementsprechende nationale Regelungen getroffen worden sind.“
In dieser Begründung drückt sich der unbedingte Wille des Bundesgesetzgebers deutlich aus, dass der bereichsspezifische Datenschutz im Bereich des gesamten Steuerrechts durch die AO und die dieser vorgehende DSGVO geregelt sein soll, im Bereich der Einzelsteuergesetze gegebenenfalls für deren Bereich modifiziert. Es lässt sich nach Ansicht des erkennenden Senats weder aus der Gesetzesbegründung, noch aus dem Gesetzeswortlaut des § 2a AO herauslesen, dass die Regelungen der AO bzw. der DSGVO lediglich im Bereich der harmonisierten Steuern und nicht auch im Bereich der direkten Steuern gelten sollten.
Die Gesetzesbegründung zu § 2a Abs. 5 AO bekräftigt das vorstehend gefundene Ergebnis. Der Gesetzgeber ist mit dieser Vorschrift bestrebt, den Anwendungsbereich der DSGVO auch auf Fälle auszuweiten, in denen sie nach Erw. 27 zur DSGVO an sich nicht gilt. Dies entspreche dem allgemeinen Grundsatz der AO, dass verfahrensrechtliche Regelungen – die regelmäßig zugleich Regelungen über die Verarbeitung personenbezogener Daten darstellen – für alle vom Steuer- und Steuerverfahrensrecht Betroffenen ungeachtet ihrer Rechtsform grundsätzlich gleichermaßen gelten.
Der unbedingte Wille des Gesetzgebers zur Geltung der Europäischen Datenschutzregeln drückt sich darüber hinaus in der generalklauselartigen Vorschrift des § 1 Abs. 8 Bundesdatenschutzgesetzes (BDSG) aus, wonach die DSGVO und die Teile 1 und 2 BDSG entsprechende Anwendung finden, soweit nicht im BDSG bzw. im bereichsspezifischen Gesetz – hier der AO – Abweichendes geregelt ist.
Nach dem Vorstehenden ist also davon auszugehen, dass der deutsche Gesetzgeber von der unmittelbaren Geltung der DSGVO für die Verarbeitung personenbezogener Daten durch die Finanzbehörden ausgeht (§ 2a Abs. 1 AO). Der Verweis auf dieselbe dürfte somit als deklarativer Verweis gedacht gewesen sein. Nach Auffassung des erkennenden Senats schließt dies jedoch nicht eine hilfsweise Auslegung als konstitutiven Verweis aus. Der Gesetzgeber wollte die Geltung der DSGVO – modifiziert durch eigene Regelungen u.a. in der AO – für die gesamte Tätigkeit der Finanzbehörden – ohne eine je nach Steuerart differenzierte Handhabung. Anderenfalls hätte er dies in § 2a Abs. 1 AO anders formuliert.
Diese Sicht entspricht auch der Rspr. des BVerwG (EuGH-Vorlage vom 04.07.2019 – 7 C 31/17 -, Rn. 14, juris), folgendes ausführt:
„Mit den Ergänzungen der Abgabenordnung verfolgt der Gesetzgeber – wie sich insbesondere aus § 2a Abs. 3 und 5 AO ergibt – das Ziel, über den unmittelbaren Anwendungsbereich der [DSGVO] hinaus dem allgemeinen Grundsatz der Abgabenordnung entsprechend einheitliche verfahrensrechtliche Regelungen – die regelmäßig zugleich Regelungen über die Verarbeitung personenbezogener Daten darstellen – für alle vom Steuer- und Steuerverfahrensrecht Betroffenen ungeachtet ihrer Rechtsform vorzusehen (vgl. BT-Drs. 18/12611, S. 76). Anhaltspunkte dafür, dass dieses Regelungsziel sich auf unionsrechtlich determinierte Steuern beschränkt, sind nicht ersichtlich. Eine nach Steuerschuldnern und Steuerarten differenzierende Verarbeitung der Daten wäre im Übrigen – wie die Vertreter des für die Novellierung der Abgabenordnung federführend zuständigen Bundesministeriums der Finanzen in der mündlichen Verhandlung erläutert haben – auch technisch nicht zu realisieren. […] Vor diesem Hintergrund kommt eine „gespaltene“ Auslegung der Neuregelungen in der Abgabenordnung für dem Unionsrecht unterfallende Sachverhalte einerseits und diesem nicht unterfallende Sachverhalte andererseits nicht in Betracht.“
Nach alledem geht der erkennende Senat von der zumindest inhaltlichen Geltung der DSGVO für die gesamte Daten verarbeitende Tätigkeit der Finanzbehörden aus (wie hier, jedoch nur in summarischer Würdigung FG Saarland, Beschluss vom 03.04.2019 – 2 K 1002/16 -, EFG 2019, 1217; ohne Problemerörterung FG Sachsen, Urteil vom 08.05.2019 – 5 K 337/19 -, EFG 2020, 661; ohne Problemerörterung FG Köln, Urteil vom 18.09.2019 – 2 K 312/19 -, EFG 2020, 413; a.A. unter Verweis auf die Literatur FG Niedersachsen, Urteil vom 28.01.2020 – 12 K 213/19 -, EFG 2020, 665).
(4) Die BMF-Schreiben vom 12.01.2018, BStBl I 2018, 185 (ersetzt durch BMF-Schreiben vom 13.01.2020 IV A 3-S 0130/19/10017:004, 2019/1129406) geben die vorstehend begründete Rechtsauffassung wieder, so dass festgehalten werden kann, dass auch die Finanzverwaltung von der Geltung der DSGVO im Bereich der Steuerverwaltung ausgeht.
b. Die DSGVO und die im Zusammenhang stehenden Vorschriften der AO finden Anwendung auf die Verarbeitung personenbezogener Daten durch das Finanzamt im Besteuerungsverfahren.
Die Datenschutzvorschriften der AO, der Steuergesetze und der DSGVO gelten nach § 2a Abs. 1 AO für die Verarbeitung personenbezogener Daten durch Finanzbehörden. Beim Finanzamt handelt es sich um eine solche (§ 6 Abs. 2 Nr. 5 AO). Das beklagte Finanzamt ist „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet und damit Passivlegitimierter des Anspruchs aus Art. 15 DSGVO.
Da die Klägerin keine Auskunft aus den Ermittlungsakten der Steuerfahndung begehrt (vgl. oben die Ausführungen zum Streitgegenstand), bedarf es keines näheren Eingehens auf die Frage, ob insoweit das Finanzamt als organisatorischer Träger der Steuerfahndungsstelle passivlegitimiert wäre, oder – wohl vorzugswürdig – die funktional ermittlungsführende Staatsanwaltschaft. Der Rechtsgedanke des § 147 StPO spräche wohl eher für letzteres.
c. Der sachliche Anwendungsbereich der DSGVO ist im Streitfall insoweit eröffnet, als die Verarbeitung personenbezogener Daten zu beurteilen ist.
Nicht nur die in Datenbankfeldern gespeicherten Einzelangaben mit Bezug auf die Steuernummer bzw. den Namen der Klägerin sind personenbezogene Daten. Auch bei den in unstrukturierten Volltexten enthaltenen Angaben mit Bezug zu ihrer Person handelt es sich unter den Umständen des Streitfalls um personenbezogene Daten.
(1) (1.1) Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO).
§ 2a Abs. 5 AO ordnet die entsprechende Geltung der DSGVO auf verstorbene natürliche Personen und Körperschaften, rechtsfähige oder nicht rechtsfähige Personenvereinigungen oder Vermögensmassen wie die Klägerin an.
(1.2) Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach der Verordnung (EG) Nr. 45/2001 oder der Vorgängernorm der DSGVO, der RL 95/46/EG, sind dies alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Aus der unterschiedlichen Begrifflichkeit „beziehen“ statt „über“ ergibt sich kein wesentlich unterschiedlicher Bedeutungsgehalt. Personenbezogene Daten sind demnach Einzelangaben (so ausdrücklich § 3 Abs. 1 BDSG alte Fassung), also nicht etwa Akten oder Aktensammlungen (so Erw. 15 zur DSGVO).
(1.3) Der Begriff der „Personenbezogenen Daten“ wird vom zur Auslegung berufenen EuGH (vgl. BVerwG, EuGH-Vorlage 7 C 31/17, a.a.O.) weit ausgelegt, so dass auch etwa die Antworten des Prüfungsteilnehmers auf Prüfungsfragen und die Korrekturanmerkungen des Prüfers (nicht aber die Prüfungsfragen selbst) personenbezogene Daten darstellen können (EuGH, Urteil vom 20.12.2017 – C-434/16 -, Rn. 34, juris; vgl. hierzu auch VG Gelsenkirchen, Urteil vom 27.04.2020 – 20 K 6392/18 -, Rn. 140, juris; sehr weitgehend auch OLG Köln, Urteil vom 26.07.2019 – I-20 U 75/18 -, Rn. 303, CR 2019, 654). In seiner zur RL 95/46/EG ergangenen Entscheidung leitet er dies aus den zwei Zielrichtungen der Richtlinie ab: Einmal fänden die in ihr vorgesehenen Schutzprinzipien ihren Niederschlag in den Pflichten, die den für die Verarbeitung Verantwortlichen obliegen; diese Pflichten beträfen insbesondere die Datenqualität, die technische Sicherheit, die Meldung bei der Kontrollstelle und die Voraussetzungen, unter denen eine Verarbeitung vorgenommen werden könne. Zum anderen kämen sie zum Ausdruck in den Rechten der Personen, deren Daten Gegenstand von Verarbeitungen sind, über diese informiert zu werden, Zugang zu den Daten zu erhalten, ihre Berichtigung verlangen bzw. unter gewissen Voraussetzungen Widerspruch gegen die Verarbeitung einlegen zu können (ebenda, Rn. 48).
(1.4) Der EuGH arbeitet in einer weiteren zur RL 95/46/EG ergangenen Entscheidung vom 17.07.2014 – C-141/12 und C-372/12 -, CR 2015, 103, den Unterschied zwischen personenbezogenen Daten und den Dokumenten heraus, die u.a. personenbezogene Daten enthalten. In den dem Vorabentscheidungsersuchen zugrundeliegenden Verfahren begehrten die Antragsteller Einsicht in eine sog. „Entwurfsschrift“, die Daten über den Verfahrensbeteiligten, aber auch eine rechtliche Analyse enthielt. Der EuGH hat entschieden, dass auch in dieser Entwurfsschrift enthaltene Daten, die die Tatsachengrundlage für die in der Entwurfsschrift ebenfalls enthaltene rechtliche Analyse darstellen, personenbezogene Daten des Verfahrensbeteiligten sind. Er bejaht insoweit ein Auskunftsrecht. Dagegen verneint er ein Auskunftsrecht hinsichtlich der rechtlichen Analyse. Diese könne nicht Gegenstand einer Nachprüfung durch den Antragsteller und einer Berichtigung sein. Würde das Auskunftsrecht auf diese rechtliche Analyse ausgedehnt, so würde dies in Wirklichkeit nicht dem Ziel der Richtlinie dienen, den Schutz der Privatsphäre dieses Antragstellers bei der Verarbeitung von ihn betreffenden Daten zu gewährleisten, sondern dem Ziel, ihm ein Recht auf Zugang zu Verwaltungsdokumenten zu sichern, auf das die RL 95/46 jedoch nicht gerichtet sei (EuGH, ebenda, Rn. 46).
Auch stellt der EuGH klar, dass die Richtlinie es den Mitgliedsstaaten überlasse, festzulegen, in welcher konkreten Form die Auskunft zu erteilen sei, soweit sie der betroffenen Person ermögliche, von den sie betreffenden personenbezogenen Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig seien und der Richtlinie gemäß verarbeitet würden, so dass sie gegebenenfalls die ihr in der Richtlinie verliehenen Rechte ausüben könne (EuGH, ebenda, Rn. 57). Zur Wahrung des Auskunftsrechts genüge es, wenn der Antragsteller eine vollständige Übersicht über die in der Entwurfsschrift wiedergegebenen Daten – also auch solche personenbezogenen Daten, die in der rechtlichen Analyse enthalten sind, in verständlicher Form erhalte (EuGH, ebenda, Rn. 59). Soweit mit dieser Auskunft das mit dem Auskunftsrecht angestrebte Ziel erreicht werden könne, stehe der betroffenen Person weder aus dem Auskunftsrecht noch aus Art. 2 Abs. 2 der Charta das Recht zu, eine Kopie des Dokuments oder der Originaldatei, in der diese Daten enthalten sind, zu erhalten. Damit die betroffene Person keinen Zugang zu anderen Informationen als den sie betreffenden personenbezogenen Daten erhalte, könne sie eine Kopie des Dokuments oder der Originaldatei erhalten, in denen diese anderen Informationen unkenntlich gemacht worden seien (EuGH, ebenda, Rn. 58).
(2) Nach Maßgabe dieser Rechtsgrundsätze sind personenbezogene Daten nicht nur alle Einzelangaben, die – meist unter Kennziffern (deren Bedeutung entspricht in etwa dem Begriff der Kategorie) – in den Datenbanksystemen des Finanzamts mit Bezug auf den Betroffenen bzw. dessen Steuer- oder Steueridentifikationsnummern gespeichert sind. Personenbezogene Daten liegen auch insoweit vor, als in Steuerakten – gleich ob elektronisch oder auf Papier manifestiert – Dokumente enthalten sind, in deren nicht weiter strukturierten Texten Einzelangaben über die steuerlichen und damit stets auch persönlichen Verhältnisse der Klägerin wiedergegeben sind. Den Charakter personenbezogener Daten haben auch unter Kennziffern oder in selbst nicht weiter strukturierenden Texten enthaltene Beurteilungen, Werturteile und Einschätzungen der Klägerin bzw. seiner steuerlichen Verhältnisse durch Sachbearbeiter des Finanzamts.
(2.1) Zwar können Zweifel bestehen, ob nicht oder wenig strukturierte Texte, die eine Vielzahl von Einzelangaben in freier sprachlicher Beschreibung enthalten, als „Daten“ angesehen werden können, solange sie nicht in Einzelangaben strukturiert wurden, also in entsprechend strukturierte geordnete Paare, bestehend aus „Kategorie“ und „Wert“ bzw. Feldbezeichner und Feldinhalt, extrahiert worden sind – etwa indem sie in ein Formular strukturiert und separiert übertragen wurden.
Nach der weiten Auslegung des Begriffs „Daten“ durch den EuGH ist es jedoch unerheblich, welchen formalen Strukturierungsgrad die in einem Text enthaltenen Einzelangaben haben. Es genügt nach der oben zitierten Rspr. des EuGH für das Vorliegen von „Daten“, dass in einem Text in fortlaufender, nicht weiter strukturierter Sprache Sachverhalte geschildert sind, die dem Betroffenen zugeordnet – und damit personenbezogen – sind.
(2.2) Nach der oben zitierten Entscheidung des EuGH, wonach auch Korrekturanmerkungen der Prüfer personenbezogene Daten des Prüfungsteilnehmers werden, sobald sie – z.B. durch handschriftliches Aufbringen – dessen Prüfungsbogen und damit dessen Person zugeordnet werden, kann nichts anderes für – ggf. auch rein subjektive – Einschätzungen und Bemerkungen in Form von Gesprächsnotizen und Bearbeitungsvermerken von Sachbearbeitern gelten. Lediglich die reine rechtliche Analyse zu einem Besteuerungssachverhalt stellt kein personenbezogenes Datum dar. Freilich kann diese im Text wiederum auf den Betroffenen bezogene Einzelangaben enthalten, und wird dies auch typischerweise in einem fachgerecht verfassten juristischen Subsumtionsteil.
(2.3) Von einer Zuordnung der Daten auf die Klägerin ist auszugehen, da die Akte, die die Schriftstücke mit den Sachverhaltsschilderungen enthält, unter deren Namen bzw. der mit diesem verknüpften Steuernummer geführt wird und somit die enthaltenen Schriftstücke und aufgebrachten Vermerke in Bezug zur Klägerin setzen. Einzelangaben in Datenbanken sind durch deren Struktur ohnehin unproblematisch dem jeweiligen Betroffenen zuzuordnen.
d. Der sachliche Anwendungsbereich der DSGVO ist nur insoweit eröffnet, als die personenbezogenen Daten durch das Finanzamt zum Teil auch automatisiert oder teilautomatisiert verarbeitet werden (Art. 2 Abs. 1 Alt. 1 DSGVO).
(1) Eine zumindest teilautomatisierte Datenverarbeitung liegt vor, wenn Datenverarbeitungsanlagen zum Einsatz kommen (Kühling/Buchner, Kommentar zur DS-GVO und zum BDSG, Beck, 3. Auflage, DS-GVO Art. 2 Rn. 15 – Kühling -). Eine konkrete Definition der „automatisierten Datenverarbeitung“ findet sich in der DSGVO nicht. Dies entspricht dem Willen des Verordnungsgebers, ein technologieneutrales Schutzsystem zu gestalten, das auch zukünftige technologische Entwicklungen abdeckt (vergleiche Erw. 15). In der Konsequenz ist der Begriff der teilautomatisierten Datenverarbeitung sehr weit auszulegen (Kühling, DSGVO Art. 2 Rn. 15). Hierunter fallen unproblematisch sämtliche Bearbeitungsschritte, die mit Hilfe der Computersysteme der Steuerverwaltung ausgeführt werden.
Die Erstellung eines Schreibens unter Verwendung von Daten mit einem PC unter Nutzung eines handelsüblichen Schreibprogramms ist dabei nicht bereits als automatisierte Datenverarbeitung anzusehen, da die Rechte des Betroffenen hierbei nicht stärker gefährdet werden, als bei Erstellung eines Texts mit einer Schreibmaschine (vgl. FG München, Urteil vom 04.11.2021 – 15 K 2687/19 -, juris).
(2) Eine nicht automatisierte Verarbeitung unterliegt dem Anwendungsbereich der DSGVO nur, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 Alt. 2 DSGVO).
„Nicht automatisiert“ bedeutet „manuelle“ Verarbeitung (Erw. 15). Es darf kein Teilschritt der Verarbeitung automatisiert stattfinden. Soweit die Steuerverwaltung Schriftgut in Papierform in Steuerakten ablegt, ist eine solche manuelle Verarbeitung gegeben.
(2.1) Wann eine (vorgesehene) Speicherung in einem Dateisystem (Art. 2 Abs. 1 DSGVO) vorliegt, ist noch nicht hinreichend geklärt. Art. 4 Nr. 6 DSGVO definiert das Dateisystem als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet geführt wird“. Nach der h.M. ist dieser Begriff im Wesentlichen gleichbedeutend mit dem in der Vorgängervorschrift der DSGVO (der RL 95/46) verwendeten Begriff der Datei (Kühling, DSGVO Art. 6 Nr. 6 Rn. 1). Eine Sammlung ist nach gängiger Vorstellung eine planmäßige, strukturierte Zusammenstellung einzelner Angaben, die einen inneren Zusammenhang vorweisen, entweder durch Gleichartigkeit der Informationen (z.B. Kundendaten) oder des Zwecks (z.B. Zugangskontrolle) der Sammlung (Kühling, DSGVO Art. 4 Nr. 6 Rn. 3). Nach dem BDSG a.F. war damit ein gleichartiger Aufbau der Zusammenstellung gemeint, eine äußere Form, die eine gewisse Anordnung aufweisen muss. Danach durfte kein zufälliger oder wechselnder Aufbau der Angaben vorliegen. Vielmehr bedurfte es eines formalen Ordnungsschemas (ebenda).
(2.2) Rechtsprechung des EuGH zur Auslegung des Begriffs „Dateisystem“ liegt – soweit ersichtlich – noch nicht vor. Zum in der Vorgängervorschrift der DSGVO verwendeten Begriff der „Datei“ führt der EuGH (EuGH, Urteil vom 10.07.2018 – C-25/17 -, Celex-Nr. 62017CJ0025) folgendes aus:
„Gemäß den Erwägungsgründen 15 und 27 der RL 95/46 muss der Inhalt einer Datei so strukturiert sein, dass er einen leichten Zugriff auf die personenbezogenen Daten ermöglicht. In Art. 2 Buchst. c dieser Richtlinie ist zwar nicht näher geregelt, nach welchen Kriterien die Datei strukturiert sein muss, aber den genannten Erwägungsgründen zufolge müssen die Kriterien „personenbezogen“ sein. Demnach ist mit dem Erfordernis, dass die Sammlung personenbezogener Daten „nach bestimmten Kriterien strukturiert“ sein muss, nur gemeint, dass die Daten über eine bestimmte Person leicht wiederauffindbar sind.
Abgesehen von diesem Erfordernis regelt Art. 2 Buchst. c der RL 95/46 weder die Modalitäten, nach denen eine Datei strukturiert werden muss, noch die Form, die sie aufweisen muss. Insbesondere geht weder aus dieser, noch aus irgendeiner anderen Bestimmung dieser Richtlinie hervor, dass die in Rede stehenden personenbezogenen Daten in spezifischen Kartotheken oder Verzeichnissen oder einem anderen Recherchesystem enthalten sein müssten, damit das Vorliegen einer Datei im Sinne dieser Richtlinie bejaht werden kann. […] Somit ist auf die zweite [Vorlage-]Frage zu antworten, dass Art. 2 Buchst. c der RL 95/46 dahin auszulegen ist, dass der in dieser Bestimmung genannte Begriff „Datei“ eine Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen (EuGH, Urteil vom 10.07.2018 – C-25/17 -, Celex-Nr. 62017CJ0025, Rn. 57 f, 62)“.
Zugrunde lag dem Vorabentscheidungsersuchen die Besuchstätigkeit der Zeugen J., die sich im Rahmen ihrer von Tür zu Tür durchgeführten Verkündigungstätigkeit Notizen über Besuche bei Personen machen, die weder ihnen noch der Gemeinschaft bekannt sind. Zu den erhobenen Daten können u. a. die Namen und Adressen der aufgesuchten Personen, sowie Informationen über ihre religiösen Überzeugungen und Familienverhältnisse gehören. Diese Daten werden als Gedächtnisstütze erhoben, und um für den Fall eines erneuten Besuchs wiederauffindbar zu sein, ohne dass die betroffenen Personen hierin eingewilligt hätten oder darüber informiert worden wären.
Die Gemeinschaft der Zeugen J. hat ihren Mitgliedern Anleitungen zur Anfertigung solcher Notizen gegeben, die in mindestens einem ihrer der Verkündigungstätigkeit gewidmeten Mitteilungsblätter abgedruckt sind. Die Gemeinschaft und ihre Gemeinden organisieren und koordinieren die von Tür zu Tür durchgeführte Verkündigungstätigkeit ihrer Mitglieder insbesondere dadurch, dass sie Gebietskarten erstellen, auf deren Grundlage Bezirke unter den Mitgliedern, die sich an der Verkündigungstätigkeit beteiligen, aufgeteilt werden, und indem sie Verzeichnisse über die Verkündiger und die Anzahl der von ihnen verbreiteten Publikationen der Gemeinschaft führen. Außerdem führen die Gemeinden der Gemeinschaft der Zeugen J. eine Liste der Personen, die darum gebeten haben, nicht mehr von den Verkündigern aufgesucht zu werden. Die in dieser Liste, der sogenannten „Verbotsliste“, enthaltenen personenbezogenen Daten werden von den Mitgliedern der Gemeinschaft verwendet. Früher stellte die Gemeinschaft ihren Mitgliedern für die Erhebung dieser Daten im Rahmen ihrer Verkündigungstätigkeit Formulare zur Verfügung; deren Verwendung wurde aber infolge einer Empfehlung des Datenschutzbeauftragten eingestellt. Die erhobenen Daten waren nicht in Form einer Kartothek strukturiert.
(2.3) Wenn nach der Rspr. des EuGH für das Vorliegen einer Datei bzw. eines Dateisystems genügt, dass Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind und eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen muss, dann wird der Begriff des Dateisystems auf den ersten Blick konturlos.
Zur Auflösung dieser scheinbaren Konturlosigkeit, lohnt der Blick in die Erw. 15 zur DSGVO, wonach Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich dieser Verordnung fallen sollten. Wann Akten oder Aktensammlungen „nicht nach bestimmten Kriterien geordnet sind“, führt die DSGVO nicht näher aus. Allerdings kann damit nicht gemeint sein, dass eine einzelne Akte innerhalb einer Aktensammlung etwa nach dem einem Kriterium „Name“ bzw. „Steuernummer“ aufgefunden werden kann, da sonst jede Aktensammlung „nach bestimmten Kriterien geordnet“ erschiene und deren Ausnahme vom Anwendungsbereich der DSGVO gänzlich leerliefe. Denn eine Aktensammlung ohne wenigstens ein Ordnungskriterium zur Reihung der enthaltenen Akten ist praktisch kaum vorstellbar.
Demgemäß fordert die wohl h.M. in der Literatur zur Bejahung einer „Ordnung nach Kriterien“ (Erw. 15), dass die Sammlung nach zumindest zwei Kriterien sortierbar ist (Kühling, DSGVO Art. 2 Rn. 18), was bei der Sammlung der Steuerakten, die lediglich nach Az. bzw. Steuernummer abgelegt sind, nicht der Fall ist.
In besonderem Maße gilt dies für die Inhalte jeder einzelnen Steuerakte, in der Dokumente als Volltext ohne weitere „Ordnung nach Kriterien“ in historischer Reihung abgelegt sind.
Eine Strukturiertheit im Sinne einer leichten Wiederauffindbarkeit von Daten war in dem Referenzfall des EuGH (C-25/17, Jehovas Zeugen) vor allem auch deshalb gegeben, weil der einzelne Besuchsbericht relativ wenige, überschaubare Daten in strukturierter Form enthielt. Das ist bei einer Akte, die ohne weitere Ordnung eine Vielzahl von nicht einheitlich und weitgehend unstrukturierten Schriftstücken in der Reihenfolge der Veraktung enthält – bei Papiersteuerakten nicht selten hohe zweistellige und auch dreistellige Blattzahlen -, nicht der Fall.
Anders als bei einer Sammlung von in sich strukturierten Einzelblättern ist der Aufwand des Heraussuchens von Einzelangaben zu einem bestimmten Kriterium aus einer Akte gerade kein „Leichtes“. Vielmehr benötigte ein menschlicher Bearbeiter, der für eine Auskunft alle Einzelangaben aus den in einer umfangreicheren Steuerakte enthaltenen Schriftstücken heraussuchen wollte, viel Zeit – im Einzelfall wohl Stunden. Im Ergebnis kann daher bei Akten – insbesondere Papierakten -, die umfangreiche, nicht weiter strukturierte Einzeldokumente enthalten, nicht von vorneherein einer „Speicherung in einem Dateisystem“ ausgegangen werden. Entsprechend hat der deutsche Gesetzgeber in § 496 Abs. 3 StPO im dortigen Kontext klargestellt, dass Akten keine Dateisysteme im Sinne der Datenverarbeitungsvorschriften der StPO sind.
(3) Soweit ersichtlich, hatte die Rspr. noch keine Gelegenheit, näher zur datenschutzrechtlichen Behandlung derart umfangreicher Aktensammlungen mit einer großen Zahl nicht weiter strukturierter Dokumentbündel, wie sie etwa die Steuerakten darstellen, Stellung zu nehmen. Gleiches gilt für die Frage, ob sich aus der Differenzierung zwischen ganz und teilweise automatisierter Datenverarbeitung und der nichtautomatisierten Datenverarbeitung in Art. 2 DSGVO Folgerungen für den Umfang des Auskunftsrechts nach Art. 15 DSGVO ergeben müssen.
Der erkennende Senat hält es für geboten, den Anwendungsbereich der DSGVO und im Wechselspiel die Rechte der DSGVO für große Aktensysteme differenziert zu beantworten, und zwar ausgehend von deren Funktion.
(3.1) Zu unterscheiden sind bei solchen Systemen die in Datenbanken gehaltenen Einzelangaben, wie etwa im Streitfall die „eDaten“ und die „Grunddaten“ in den Datenbanken der Finanzämter. Diese unterliegen ohne Zweifel dem Anwendungsbereich der DSGVO, weil sie konkret zur maschinellen Verarbeitung gespeichert werden.
(3.2) Gleiches gilt für die im Rahmen der Steuerveranlagung den Steuerbescheiden zugrunde gelegten Einzelangaben, wie etwa die verkennzifferten Besteuerungsgrundlagen, die der Steuerberechnung zugrunde liegen. Sie sind Ausgangspunkt der maschinellen Steuerberechnung.
(3.3) Auch das Ergebnis der Steuerberechnung, die in den Bescheiden ausgewiesenen aggregierten Teilergebnisse und Ergebnisse stellen erzeugte personenbezogene Daten dar. Sie werden ebenfalls zur ggf. weiteren Verarbeitung in den Datenbanken gespeichert.
(3.4) Grundsätzlich nicht in den Schutzbereich der DSGVO einbezogen ist nach Auffassung des erkennenden Senats die papierene Steuerakte selbst, die in zeitlicher Abfolge sortierte Ablage der schriftlichen Kommunikation der Verwaltung mit dem Betroffenen/Steuerpflichtigen und diverser anderer unstrukturierter Texte. Während die in den Datenbanken abgelegten Einzelangaben strukturiert und Kriterien zugeordnet sind, handelt es sich bei der Schriftgutsammlung um selbst nicht weiter strukturierte, ungleich aufgebaute Texte. Zwar enthalten diese selbst auch solche Einzelangaben, die einen Bezug auf den Betroffenen aufweisen, mithin „personenbezogene Daten“. Über diese hinaus enthalten Sie aber auch eine Vielzahl von Einzelangaben ohne unmittelbaren Bezug auf den Betroffenen – etwa Bearbeitungsvermerke, Bearbeiternamen, rechtliche Analysen und Subsumtionen. Zum – auch – auf den Betroffenen bezogenen „Sammel“- Datum werden letztere Informationen überhaupt erst durch die Aufnahme des Schriftstücks in die Schriftgutsammlung, die ihrerseits unter dem Namen des Betroffenen geführt wird. Die enthaltene Einzelangabe aber „schlummert“ ungehoben in den Volltexten der Schriftgutsammlung. Eine „Strukturierung nach bestimmten Kriterien“ zur „leichten Wiederauffindung“ (vgl. oben 2.3) erkennt der Senat in diesen noch „ungehobenen“ Einzelangaben gerade nicht. Sie unterliegen daher erst dann dem sachlichen Anwendungsbereich der DSGVO, wenn sie durch menschliches Handeln der Akte entnommen und in ein Dateisystem überführt werden. Dieser Akt der Extraktion stellt eine manuelle und somit „nichtautomatisierte“ Verarbeitung dar. Erst das einen intellektuellen menschlichen Akt darstellende „Heben“ der Einzelangabe durch Zuweisung des Inhalts zu einem Kriterium – die vorgesehene Verwendung des Datums für die nachfolgende teilweise automatisierte Verarbeitung für Besteuerungszwecke – führt dazu, dass dieses Datum im Sinne des Art. 2 Abs. 1 DSGVO in einem Dateisystem gespeichert wird/werden soll.
(3.5) Soweit elektronische Indizes oder Inhaltsverzeichnisse für die unter 3.4 behandelte Ablage der schriftlichen Kommunikation geführt werden, ermöglichen diese „das leichte Wiederauffinden“ (vgl. oben 2.3) etwa der Erkenntnis, dass ein Schriftwechsel mit einem bestimmten Titel oder Typ an einem bestimmten Tag verzeichnet ist. Auch diese an sich bedeutungslosen Indexdaten werden durch die Zuordnung zur Steuernummer und damit dem Betroffenen zum personenbezogenen Datum. Sie unterliegen damit dem Anwendungsbereich der DSGVO.
(3.6) Kontrollmaterial aus anderen Besteuerungsverfahren wird in aller Regel zunächst als mehr oder minder unstrukturierter Volltext – Schriftwechsel vorliegen, so dass die unter 3.4 dargestellten Grundsätze Anwendung finden. Ob besonders hervorgehobene Mitteilungen (zum Beispiel der sogenannte „grüne Bogen“) wegen ihrer Farbe als strukturiert gelten müssen, kann der Senat dahingestellt sein lassen, da solche Inhalte den Beschränkungen des Auskunftsrechts unterfallen und im Streitfall unerheblich sind.
(3.7) Die Inhalte aus von Dritten übermittelten Besteuerungsgrundlagen (z.B. übermittelte Krankenversicherungsbeiträge oder abgeführte Lohnsteuern) sind naturgemäß computerlesbare strukturierte Daten, für die die unter 3.1 genannten Grundsätze gelten.
(3.8) Interne Bearbeitungsvermerke können in Datenbankfeldern gespeichert sein (zum Beispiel die Meldung zur Betriebsprüfung) und unterliegen dann den unter 3.1 genannten Grundsätzen. Bearbeitungsvermerke, die mit Schriftstücken verbunden oder auf diesen aufgebracht sind, dürften in aller Regel als unstrukturierter Inhalt den Grundsätzen nach 3.4 unterliegen. Wegen ihrer Doppelnatur als personenbezogene Daten auch des Autors des Vermerks bzw. ihrer entscheidungsvorbereitenden Natur dürften solche internen Vermerke regelmäßig Beschränkungen des Auskunftsanspruchs unterfallen.
(4) Die unter (3) für umfangreiche Datensammlungen samt zugehöriger Aktensammlungen vorgenommene Differenzierung zwischen leicht wieder auffindbaren, unter Kriterienbezeichnern strukturiert abgelegten Daten einerseits und in sich selbst nicht weiter strukturierten Volltextdokumenten andererseits spiegelt sich in dem Aufwand, den eine Auskunft nach Art. 15 DSGVO für den Verantwortlichen verursacht. Über leicht auffindbare, strukturiert abgelegte Daten vermag der Verantwortliche mit vertretbarem Aufwand Auskunft zu geben. Dagegen würde eine Pflicht zur Auskunft über die in der unstrukturierten Schriftstücke-Sammlung enthaltenen Einzelangaben bedeuten, dass diese Dokumente durch einen Menschen – und damit manuell – durchgesehen werden müssten, um – ausschließlich für Auskunftszwecke – die darin enthaltenen Einzelangaben erst zu „heben“ und damit in den leicht auffindbaren Datenbereich zu bewegen.
Die DSGVO geht selbst nicht von einer derart aufwändigen Auskunftsverpflichtung aus. Zwar normiert sie in Art. 12 Abs. 1 DSGVO eine Obliegenheit des Verantwortlichen, Maßnahmen zu ergreifen, die ihm eine rasche Auskunft erlauben. Damit ist aber nicht gemeint, dass der Verantwortliche etwa den gesamten Schriftwechsel vorsorglich durcharbeiten muss, um darin enthaltene Einzelangaben zu extrahieren und ausschließlich für potentielle Auskunftsanträge vorzuhalten.
(5) In nicht weiter strukturierten Volltextdokumenten ungehoben „schlummernde“ Einzelangaben haben eine gänzlich andere Qualität, als Einzelangaben, die unter einem Kriterium mit dem Ziel erfasst werden, darauf eine Entscheidung – eine Datenverarbeitung – zu gründen. Erst diese Bestimmung, „verarbeitet zu werden“ lässt es praktikabel erscheinen, das Einzeldatum als „zutreffend“ oder „falsch“ zu beurteilen und daran Rechte des Betroffenen etwa auf Richtigstellung zu knüpfen. Dagegen enthalten die Dokumente des Schriftwechsels zwischen Finanzamt und Betroffenem zwar häufig auch Sachverhaltsangaben. Diese stellen aber meist zunächst einmal nicht weiter verifizierbare Behauptungen des Betroffenen bzw. vorläufige Annahmen des Finanzamts dar. Auch mag sich eine in einem früheren Dokument enthaltene Annahme des Finanzamts im weiteren Schriftwechsel als falsch herausstellen, gar vom Finanzamt als falsch eingeräumt erweisen. Dann wäre es aber sinnlos, dem Auskunftsberechtigten das frühere, als falsch erkannte, Datum mitzuteilen.
Dass der Betroffene wegen der Dokumentationsfunktion der Akte ohnehin wohl keinen Löschungsanspruch hinsichtlich der in einem früheren Schriftwechsel gemachten Angabe haben kann und obendrein jedenfalls die Inhalte seines Schriftwechsels mit dem Finanzamt – bzw. des Finanzamts mit ihm – bereits kennen sollte, sei mit Blick auf die Beschränkungen des Auskunftsrechts an dieser Stelle bereits angemerkt.
Die Vorstellung der DSGVO, dass Daten binär als „zutreffend“ oder „falsch“ beurteilbar sind, trifft für die in Volltexten enthaltenen – ungehobenen – Einzelangaben vielfach nicht zu.
(6) Ein weiteres Spezifikum der Steuerakten verbietet es nach Ansicht des erkennenden Senats, Auskunft über die verarbeiteten Daten mit einem Akteneinsichtsrecht gleichzusetzen. In Volltexten typischerweise und vielfältig enthaltene Beschreibungen angenommener, behaupteter, für wahr oder falsch beurteilter oder zu beurteilender Besteuerungssachverhalte sind in aller Regel Beschreibungen von Transaktionen zwischen dem Betroffenen und anderen Personen. Wollte man nun Akteneinsicht gewähren, so müsste zur Wahrung der Rechte dieser Personen manuell der gesamte in der Akte enthaltene Schriftverkehr auf das Aufscheinen der Namen Dritter durchgesehen werden, diese müssten händisch geschwärzt werden, weil deren Rechte der Auskunft in aller Regel entgegenstünden; ggf. müsste in jedem Einzelfall deren Einwilligung angefragt werden. Das gleiche gilt für den behördlichen, arbeitsteiligen Entscheidungsprozess dokumentierende Vermerke, bei denen ihre Personenbezogenheit nur darauf fußt, dass sie eine Entscheidung in einem konkreten Steuerfall dokumentieren. Der zu erwartende Aufwand des Heraussuchens und Anonymisierens steht in keinerlei Verhältnis zu dem Erkenntnisgewinn des Betroffenen. Dies, zumal er den eigenen Schriftwechsel mit dem Finanzamt ohnehin kennen sollte.
(7) Eine besondere Funktion im Besteuerungsverfahren haben Berichte, etwa der Betriebsprüfungs- und Steuerfahndungsstellen. Sie dienen der konzentrierten Zusammenfassung komplexer Besteuerungssachverhalte, die ihrerseits aus einer Vielzahl von Einzelsachverhalten bestehen. Sie können eine vorläufige Geltung beanspruchen oder den Abschluss der Ermittlungen markieren. Vor allem im letzteren Fall dienen sie als Grundlage und meist auch Begründung nachfolgender Verwaltungsakte. Daher werden sie in aller Regel anstelle einer ausführlichen Begründung im Verwaltungsakt selbst dem Betroffenen im Rahmen des rechtlichen Gehörs bzw. der Mitteilung der Besteuerungsgrundlagen – also innerhalb des konkreten Verwaltungsrechtsverhältnisses – als Begründung überlassen.
Datenschutzrechtlich werden nach dem Vorstehenden in solchen Berichten enthaltene Daten erst dadurch gehoben, dass der für die Besteuerung zuständige Bearbeiter die Daten zur Fertigung des Steuerbescheides umsetzt – ab diesem Zeitpunkt unterliegen die Eingabedaten ohne Zweifel der datenschutzrechtlichen Auskunft. Details zu den zugrundeliegenden Steuersachverhalten entziehen sich aber einer strukturierten Erfassung. Insoweit können diese Sachverhalte nur den mehr oder minder umfangreichen sprachlichen Darstellungen des Sachverhalts im Bericht entnommen werden. Damit sind diese Sachverhalte aber nicht mehr „leicht zugänglich“ im Sinne der oben zitierten Rechtsprechung des EuGH. Vielmehr bedarf es jeweils einer manuellen „Sichtung“ der Sachverhalte in dem Sinne, dass ein menschlicher Leser den geschilderten Sachverhalt unter Berücksichtigung sprachlicher Ungenauigkeiten seinem Bedeutungsgehalt nach erfasst. Daher bleibt es hinsichtlich der Volltexte der Berichte selbst und der darin enthaltenen Sachverhaltsangaben bei den auch sonst für Volltexte ausgeführten Grundsätzen. Dies ist trotz der Bedeutung gerade dieser Sachverhalte für das Besteuerungsverfahren hinnehmbar, weil die für das konkrete Verfahren geltenden Verfahrensvorschriften die Begründung des Verwaltungsakts gerade gebieten und hierzu in aller Regel der entsprechende Bericht überlassen wird. Dies zeigt im Übrigen auch gerade der Streitfall, in dem das Finanzamt die wesentlichen Berichte vor Erlass des Nachforderungsbescheides der Klägerin überlassen hat.
(8) Nicht nur die Erwägungsgründe zur DSGVO (Erw. 15) nehmen Akten und Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind, vom Anwendungsbereich der DSGVO aus. Auch der EuGH stellt klar, dass der Auskunftsanspruch nach Art. 15 DSGVO kein Recht auf Zugang zu Verwaltungsdokumenten sichert (EuGH, C-141/12, a.a.O. zur Vorgängervorschrift). Wenn dies für das einzelne Dokument gilt, so muss dies erst recht für die gesamte Dokumentensammlung gelten.
(9) Auch der BFH und das BVerfG sahen es bislang – vor Inkrafttreten der DSGVO – als gerechtfertigt an, dass die AO im Bereich des Steuerrechts kein generelles Akteneinsichtsrecht gewährleistet (vergleiche auch dazu weiter unten).
e. Umfang des Auskunftsanspruchs
Die Klägerin hat demnach gegenüber dem Finanzamt nur einen durch den vorstehend umgrenzten Anwendungsbereich der DSGVO beschränkten Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO, dessen Umfang nach Maßgabe der vorstehend dargestellten Rechtsgrundsätze zu konturieren und mit Blick auf die Beschränkungen des Auskunftsrechts in der DSGVO selbst, sowie durch die AO und allgemeine Grundsätze weiter einzugrenzen ist.
(1) Dabei ist von einem gebundenen Anspruch auf Auskunft auszugehen. Zwar geht die Rechtsprechung des BFH davon aus, dass mangels eines normierten Anspruchs Akteneinsicht nach pflichtgemäßem Ermessen der Behörde zu gewähren sei. Dies lässt sich nicht auf den Auskunftsanspruch nach Art. 15 DSGVO übertragen. Letzterer unterliegt nach dem Wortlaut der Norm nicht dem Ermessen der Behörde. Lediglich hinsichtlich der Form der Auskunftserteilung räumt § 32d Abs. 1 AO dem Finanzamt in ein Ermessen ein. So ist diesem etwa in diesem Rahmen freigestellt, die Auskunft durch Überlassung eines Datenausdrucks, Einräumung eines Onlinezugriffs oder gar die Gewährung von Akteneinsicht zu erteilen (zu dieser besonderen Form der Auskunftserteilung siehe BFH, Beschluss vom 29.08.2019 – X S 6/19 -, Rn. 23, BFH/NV 2020, 25).
(2) Wenn nach Art. 15 Abs. 3 DSGVO dem Betroffenen eine Kopie der Daten zur Verfügung zu stellen ist, die Gegenstand der Verarbeitung sind, dann ist damit nicht – wie von der Klägerin vorgetragen – eine Fotokopie etwa von Papierdokumenten gemeint. Das „Datum“ als solches ist körperlos. Mit Kopie ist nichts anderes gemeint, als ein darstellbares Duplikat der Daten. Der Begriff der „Kopie“ hat also keinen über die „Verkörperung der Auskunft“ hinausgehenden Bedeutungsgehalt (ebenso die h.M. in der Kommentarliteratur: Kamlah in Plath, DSGVO/BDSG, Art. 15 Rz. 16; Paal in Paal/Pauly, DSGVO/BDSG, Art. 15 Rz. 33; Schaffland/Holthaus in Schaffland/Wiltfang, DSGVO, Art. 15 DSGVO Rz. 44.; a.A. Härting, CR 2019, 219).
(3) Nach Maßgabe der obigen Rechtsgrundsätze kann die Klägerin aus Art. 15 DSGVO nicht die begehrte Einsicht in oder die Überlassung einer Kopie der Dokumente beanspruchen, die sie in ihren Schriftsätzen umschreibt. Ein Recht auf die bei der Akte befindlichen Volltexte, insbesondere soweit sie ungehobene Quelldaten enthalten, gewährt Art. 15 DSGVO nicht.
Soweit die Klägerin sinngemäß vorträgt, das Finanzamt habe Daten aus lediglich im Wege des Kurzzitates genannten weiteren Quellberichten verarbeitet, der Anspruch auf Auskunft erstrecke sich jedoch auf diese Quelldaten, kann ihr nicht gefolgt werden. Der Anspruch auf Auskunft erstreckt sich (nur) auf die für den konkreten Steuerbescheid verarbeiteten (Eingabe-) Daten. Handelt es sich hierbei bereits um aggregierte Daten, wie etwa Summenbeträge, so gewährt das Auskunftsrecht des Art. 15 DSGVO nicht etwa die womöglich über eine Verweiskette erst zu hebenden Quelldaten aus anderen Verwaltungsdokumenten bzw. Einzelbeträge. Aus Sicht des Datenschutzes genügt daher die Überlassung der Berichte mit der Erläuterung der Herkunft der Beträge dem berechtigten Informationsinteresse der Klägerin.
Insbesondere verpflichtet der Auskunftsanpruch aus Art. 15 DSGVO das Finanzamt nicht, Akten oder Aktenteile bzw. Schriftstücke aus anderen Verfahren, konkret dem strafrechtlichen Ermittlungsverfahren bei der Steuerfahndung, erst beizuziehen, um dann hieraus Auskunft zu geben. Das Finanzamt hat insoweit erklärt (…), dass es der Klägerin sämtliche Unterlagen bereits übersandt hat, die bei der Kapitalertragsteuerstelle vorhanden sind. Die insoweit sinngemäß geäußerten Zweifel der Klägerin sind nicht substantiiert. Das Gericht hat daher nach dem bisherigen Vorbringen der Beteiligten keinen Anlass, an der Wahrhaftigkeit des Beklagten zu zweifeln. Im Übrigen sieht die DSGVO im Verhältnis Verantwortlicher-Betroffener kein „Verifikationsverfahren“ für die Vollständigkeit der Auskunft vor.
Die Klägerin ist damit nicht rechtlos gestellt. Vielmehr geben ihr die Verfahrensvorschriften der Abgabenordnung umfangreiche und stärkere verfahrens- und prozessuale Rechte, als der anlasslose Anspruch auf Auskunft aus der DSGVO. Zur Erfüllung dieser Informationsansprüche der Klägerin hat ihr das Finanzamt demgemäß mit Schreiben vom … …2019 einen ganzen Leitzordner mit den wesentlichen Unterlagen zur beabsichtigten Nachversteuerung überlassen. Soweit ihr Informationsinteresse noch nicht erfüllt ist, kann sie nach Maßgabe der AO-Vorschriften in diesem Verfahren (das sich im Einspruchsverfahrensstadium befindet) oder spätestens in einem anschließenden Finanzgerichtsprozess weitere Informationen oder auch Akteneinsicht in die dem Gericht vorzulegenden Akten erhalten. Darüber hinaus hat die Klägerin nach ihren Angaben Ihre Informationsrechte auch im strafrechtlichen Ermittlungsverfahren geltend gemacht und dort offenbar Einsicht in wesentliche Unterlagen erhalten. Das Begehr nach Einsicht in weitere Dokumente kann sie mit den in der StPO vorgesehenen Rechtsbehelfen und nach Maßgabe der Vorschriften der StPO weiterverfolgen.
Dass die Klägerin mit dem gehaltvollsten Anspruch auf Akteneinsicht auf die aus dem konkreten Besteuerungsverfahrensverhältnis abzuleitenden Rechte bzw. auf die Rechte als Beschuldigter oder sonst Betroffener eines strafrechtlichen Ermittlungsverfahrens verwiesen ist, ist auch sachgerecht. Die jeweiligen Verfahrensordnungen regeln sachnah und austariert das Rechtsverhältnis zwischen dem Steuerpflichtigen bzw. dem Beschuldigten und der Behörde – dies präziser, als es die Normierung des allgemeinen und recht generellen Auskunftsanspruchs des von einer Datenverarbeitung Betroffenen vermag. Weitete man das Auskunftsrecht aus der DSGVO in die verarbeiteten Daten zu einer anlassfreien Akteneinsicht aus, käme es unweigerlich zu Konflikten mit den vom Gesetzgeber verfahrensspezifisch geregelten Maßstäben im Besteuerungs- bzw. Strafverfahren.
(4) Danach kommt es auf die vom Finanzamt vorgetragenen Begrenzungen des Auskunftsrechts und die von der Klägerin angeführte Gegenargumentation nicht mehr an. Allerdings schließen auch die Ausschlussgründe der DSGVO und der AO eine aus dem Auskunftsrecht abgeleitete Einsicht in die Steuerakten weitestgehend aus.
Die Argumente des Finanzamts zeigen deutlich, dass eine Erstreckung des Auskunftsanspruchs auf sämtliche In Volltexten enthaltenen personenbezogenen Daten den zur Auskunft Verpflichteten vor unverhältnismäßige Probleme stellen würde, einmal vor das Klassifikationsproblem, was denn nun das auskunftspflichtige Datum ist (sogleich 4.1) und zum anderen vor das für jedes gefundene Datum im Einzelfall zu treffende Entscheidung, ob ein Ausschlussgrund eingreift (4.2) und wie ggf. eine im Ausschlussgrund geforderte Interessenabwägung ausgeht (4.2.3).
(4.1) Klassifikationsproblem
Während bei einem Datensatz von vorneherein klar ist, was das Datum ist (die Einzelangabe, z.B. der Betrag der steuerlichen Bemessungsgrundlage für die Kapitalertragsteuer) und was das Kriterium (der Feldbezeichner, z.B. die Bezeichnung, dass im zugehörigen Feld die „steuerliche Bemessungsgrundlage für die Kapitalertragsteuer“ angegeben ist) und von daher auch leicht die Richtigkeit des Datums überprüft werden kann (durch Vergleich des in dem Feld eingegebenen Betrags mit dem in der Realität erwiesen richtigen Betrag), ist dies bei Volltext-Schriftstücken in Akten nicht der Fall: Ist der gesamte vom Autor des Schriftstücks verfasste Text ein personenbezogenes Datum? Sind es einzelne Textpassagen, die bestimmte Besteuerungssachverhalte darstellen? Sind es einzelne Wertpapiertransaktionen mit der Angabe eines Gesamtbetrags oder etwa aufgeschlüsselt auf jede einzelne Transaktion?
Dieses Klassifikationsproblem spiegelt sich in der Frage, wie die Berichtigung eines für falsch erachteten Datums bei einem Volltext aussehen soll – und die Berichtigung eines falschen Datums ist ja gerade ein, wenn nicht das wesentliche Ziel das der Auskunftsanspruch ermöglichen soll:
– Ist ein gesamtes Schreiben das personenbezogene Datum: wie soll dies berichtigt werden?
– Ist das „Datum“ die einzelne Textpassage, die einen Besteuerungstatbestand darstellt: macht etwa das vom Autor behauptete bzw. angenommene bzw. argumentativ verwendete Attribut, der Steuerpflichtige habe vorsätzlich gehandelt, die gesamte Textpassage falsch, die z.B. eine komplexe geschäftliche Transaktion darstellt?
– Ist das „Datum“ die Einzelangabe, beispielsweise der Betrag oder Gesamtbetrag einer Transaktion: Nur in diesem Fall ließe sich die Richtigkeit des Datums ähnlich leicht klären, wie wenn das Datum bereits „gehoben“, in ein Datenbankfeld übertragen, worden ist. Allerdings stellt sich die Frage, ob der Zeitpunkt des Vergleichs „Richtig“ oder „Falsch“ nicht sinnvollerweise der Moment ist, in dem das Datum durch das „Heben“ den Bedeutungsgehalt zugewiesen erhalten hat, dass des tatsächlich verarbeitet werden soll.
(4.2) Ausschlusstatbestände
(4.2.1) Beschränkungen der DSGVO und der AO
Nach Art. 15 Abs. 1 DSGVO hat der Betroffene (Art. 4 Nr. 1 DSGVO) gegenüber dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Recht auf Auskunft über die seine Person betreffenden verarbeiteten personenbezogenen Daten. Diese Auskunft erfolgt, indem der Verantwortliche dem Betroffenen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellt (Art. 15 Abs. 3 DSGVO). Das Recht auf Erhalt einer Kopie nach Art. 15 Abs. 1 b) DSGVO darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen (Art. 15 Abs. 4 DSGVO – der Verordnungsgeber denkt hierbei an Geheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, vgl. Erw. 63).
(4.2.1.1) Die §§ 32a AO ff. beschränken die Betroffenenrechte in Ausübung der durch Art. 23 DSGVO den Mitgliedsstaaten eingeräumten Kompetenz, namentlich der Beschränkungskompetenz des Art. 23 Abs. 1 e) DSGVO. Soweit hier von Bedeutung, normiert die AO folgende Beschränkungen:
Nach § 32c Abs. 1 Nr. 1 AO i.V.m. § 32a Abs. 1 Nr. 1, Abs. 2 AO besteht das Auskunftsrecht der betroffenen Person nicht, wenn die Erteilung der Information die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden liegenden Aufgaben gefährden würde und die Interessen der Finanzbehörden an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen. Das ist namentlich dann der Fall, wenn die Auskunftserteilung
– die betroffene Person oder Dritte in die Lage versetzen könnte, steuerlich bedeutsame Sachverhalte zu verschleiern (1.a), steuerlich bedeutsame Spuren zu verwischen (1.b) oder Art und Umfang der Erfüllung steuerlicher Mitwirkungspflichten auf den Kenntnisstand der Finanzbehörden einzustellen (1.c), oder
– Rückschlüsse auf die Ausgestaltung automationsgestützter Risikomanagementsysteme oder geplante Kontroll- oder Prüfungsmaßnahmen zulassen (2.)
– und damit die Aufdeckung steuerlich bedeutsamer Sachverhalte wesentlich erschwert würde.
Das Auskunftsrecht besteht nach § 32c Abs. Nr. 1 AO i.V.m. § 32b Abs. 1 Nr. 2 AO ferner dann nicht, wenn die Daten, ihre Herkunft, ihre Empfänger oder die Tatsache ihrer Verarbeitung nach § 30 AO oder einer anderen Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen überwiegender berechtigter Interessen eines Dritten im Sinne des Art. 23 Abs. 1 i der DSGVO, geheim gehalten werden müssen und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss. Letzteres entspricht der bereits in Art. 15 Abs. 4 DSGVO enthaltenen Beschränkung.
Das Auskunftsrecht besteht nach § 32c Abs. Nr. 1 AO i.V.m. § 32b Abs. 1 Nr. 1a AO nicht, soweit die Erteilung der Information die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden […] liegenden Aufgaben im Sinne des Art. 23 Abs. 1 d bis h der DSGVO gefährden würde.
Ebenfalls kein Auskunftsrecht besteht nach § 32c Abs. 1 Nr. 1 AO i.V.m. § 32a Abs. 1 Nr. 4 AO soweit die Erteilung der Information eine vertrauliche Offenbarung geschützter Daten gegenüber öffentlichen Stellen gefährden würde.
Sind die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateisystemen gespeichert, wird die Auskunft nur erteilt, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht (§ 32c Abs. 3 AO).
Die DSGVO selbst schränkt in Artikel 13 Abs. 4 DSGVO die Informationspflicht dahingehend ein, dass dem Betroffenen bekannte Informationen nicht der Informationspflicht und damit auch nicht der Auskunftspflicht (vgl. § 32c Abs. 1 Nr. 1 AO i.V.m. § 32a Abs. 1 AO, Art. 13 Abs. 4, Art. 14 Abs. 5 a DSGVO) unterliegen.
Das Recht auf Auskunft besteht ferner nicht, wenn die personenbezogenen Daten
– nur deshalb gespeichert sind, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder
– ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist (§ 32c Abs. 1 Nr. 3 AO).
(4.2.1.2) Die vorgenannten Beschränkungen bestanden teilweise wortgleich bereits vor Inkrafttreten der DSGVO bzw. der diese ausfüllenden Vorschriften der AO (vgl. etwa im Anwendungsbereich des bis 24.05.2018 geltenden BDSG alter Fassung: § 19 BDSG). Die zu Auskunftsrechten ergangene Rechtsprechung der Finanzgerichtsbarkeit und des BVerfG lehnte unter Berufung in diesem Zusammenhang etwa eine Auskunft über bei der Informationszentrale Ausland (IZA) gespeicherten Daten ab, weil dies die ordnungsgemäße Erfüllung der in deren Zuständigkeit bzw. der in den Einzelfällen zuständigen Finanzämter liegenden Aufgaben gefährden würde (BFH, Urteil vom 30.07.2003 – VII R 45/02 -, BStBl II 2004, 387; BVerfG, Beschluss vom 10.03.2008 – 1 BvR 2388/03 -, BStBl II 2009, 23). Die Finanzrechtsprechung geht von der Fortgeltung dieser Beschränkung auch unter der Geltung der DSGVO aus (FG Köln, Urteil vom 18.09.2019 – 2 K 312/19 -, EFG 2020, 413; die hiergegen eingelegte Revision zum BFH trägt das Aktenzeichen II R 43/19).
(4.2.2) Kein generelles Akteneinsichtsrecht
Die Rspr. vor Inkrafttreten der DSGVO unterschied deutlich zwischen Auskunft und Akteneinsicht. Ein genereller Anspruch auf Akteneinsicht gegenüber den Finanzbehörden bestand nach std. Rspr. des BFH nicht (zusammenfassend m.w.N.: BFH, Beschluss vom 03.11.2020 – III R 59/19 -, NJW 2021, 1263, Rn. 7; Urteil vom 23.02.2010 – VII R 19/09 -, BStBl II 2010, 729). Die Ablehnung jedenfalls eines gebundenen Akteneinsichtsanspruchs beruhte auf der Erwägung, dass der Gesetzgeber ein allgemeines Akteneinsichtsrecht im Steuerverwaltungsverfahren für nicht praktikabel gehalten habe, weil diesem Gesichtspunkte des Schutzes Dritter und das Ermittlungsinteresse der Finanzbehörden sowie der Verwaltungsaufwand der Finanzbehörde entgegenstünden, die vor jeder Akteneinsicht zu prüfen hätte, ob ein Geheimhaltungsinteresse Dritter beeinträchtigt sein könnte und dann das gesamte Kontrollmaterial, behördeninterne Vermerke und Anweisungen und Ähnliches aus den Akten zu entfernen hätte (BTDrs 7/4292, S. 24 f.). Daraus hat der BFH abgeleitet, dass die Einsichtnahme in die Akten während des laufenden Verwaltungs- oder Steuerermittlungsverfahrens lediglich eine in Anwendung des § 91 AO oder des § 364 AO aus Gründen der Gewährung des rechtlichen Gehörs zu gewährende Ausnahme sein soll.
Im Beschluss vom 26.05.1995 (- VI B 91/94 -, BFH/NV 1995, 1004) nahm der BFH an, dass das Finanzamt nach seinem Ermessen Akteneinsicht gewähren kann, obwohl in der AO ein allgemeines Akteneinsichtsrecht nicht geregelt ist, und dies jedenfalls dann regelmäßig geschehen sollte, wenn Verhältnisse Dritter nicht berührt werden. Im Ergebnis nimmt der BFH einen Anspruch auf eine pflichtgemäße und fehlerfreie Ermessensentscheidung der Behörde an, der gewahrt sei, wenn die Behörde im Rahmen einer Interessenabwägung dessen Belange und die der Behörde gegeneinander abgewogen habe (BFH, in III R 59/19, a.a.O.). Ausdrücklich offengelassen hat der BFH in dieser Entscheidung die Frage, ob Art. 15 DSGVO über das Auskunftsrecht hinaus ein Recht auf Einsicht in die Steuerakten begründet (BFH, ebenda, Rn. 16).
Den Anspruch des Steuerpflichtigen auf Gewährung des rechtlichen Gehörs nach Art. 103 Abs. 1 GG oder seinen Anspruch auf Gewährung gerichtlichen Rechtsschutzes (Art. 19 Abs. 4 GG) sah der BFH durch die verweigerte Akteneinsicht im Verwaltungsverfahren nicht als verletzt an (BFH, Beschluss vom 04.06.2003 – VII B 138/01 -, BStBl II 2003, 790, Rn. 15). Art. 19 Abs. 4 GG gewährleiste den Anspruch auf eine wirksame gerichtliche Kontrolle (BVerfG, Urteil vom 15.12.1983 – 1 BvR 209/83 u.a. – Volkszählungsurteil -, BVerfGE 65, 1, 70) und Art. 103 Abs. 1 GG gewährleiste, dass der Steuerpflichtige im gerichtlichen Verfahren Gelegenheit erhält, sich zu dem einer Entscheidung zugrunde liegenden Sachverhalt vor deren Erlass zu äußern. Der Sicherung dieser Ansprüche dienten die in den Prozessordnungen verankerten Akteneinsichtsrechte nach § 147 Strafprozessordnung im (Steuer-) Strafverfahren und § 78 FGO im finanzgerichtlichen Verfahren. Dem Anspruch auf rechtliches Gehör im Steuerstrafverfahren und dem Anspruch auf ein faires rechtsstaatliches Verfahren sei nach Auffassung des BVerfG Genüge getan, wenn die Akten und Beweisstücke dem Beschuldigten in einem rechtsstaatlich geordneten Strafverfahren nach Abschluss der Ermittlungen offengelegt würden (BVerfG, Beschlüsse vom 12.01.1983 – 2 BvR 864/81 -, NJW 1983, 1043; vom 10.02.1981 – 7 B 26/81 -, NJW 1981, 2270).
Aus Vorgängerregelungen der DSGVO leitete der BFH ebenfalls keinen gebundenen Auskunftsanspruch her. Vielmehr beurteilte er im Licht der im vormaligen BDSG enthaltenen Subsidiaritätsklausel die AO als abschließende bereichsspezifische Datenschutzregelung. Dass der Gesetzgeber dort kein Akteneinsichtsrecht normiert habe, sei als „absichtsvoller Regelungsverzicht“ zu respektieren (BFH, vom 04.06.2003 – VII B 138/01 -, a.a.O.).
Die DSGVO räumt dem Betroffenen ebenfalls kein Akteneinsichtsrecht ein, wie oben unter d. mit Blick auf die EuGH-Rspr. zur Vorgängervorschrift (EuGH – C-141/12 -, a.a.O.) ausgeführt worden ist. Art. 15 Abs. 1 DSGVO gewährleistet kein Recht auf Zugang zu Verwaltungsdokumenten und damit kein Akteneinsichtsrecht.
(4.2.3) Anwendung der Beschränkungen auf Steuerakten
Die unter (4.2) bislang ausführlich zitierten Beschränkungen lassen sich auf sieben zusammenfasssende Grundsätze verkürzen: So ist das Auskunftsrecht suspendiert, wenn – vorbehaltlich der Interessenabwägung die Auskunft dem Betroffenen ermöglicht,
– sich auf den Kenntnisstand der Finanzbehörde einzustellen, er in die Lage versetzt würde, zu verschleiern oder Spuren zu verwischen (Beschränkung 1),
– Rückschlüsse auf das Risikomanagementsystem (Beschränkung 2) oder
– auf geplante Kontroll- oder Prüfungsmaßnahmen zu ziehen (Beschränkung 3),
– wenn überwiegende Geheimhaltungsinteressen Dritter entgegenstehen (Beschränkung 4),
– wenn das Vertrauen in die vertrauliche Offenbarung geschützter Daten gefährden würde (Beschränkung 5),
– wenn die Informationen dem Betroffenen nicht schon bekannt sind (Beschränkung 6)
– oder wenn sie im Wesentlichen wegen gesetzlicher Aufbewahrungsvorschriften aufbewahrt werden (Beschränkung 7).
Weiter komprimiert stecken darin folgende Wertungen des Gesetzgebers:
– Das Finanzamt darf für künftige Überprüfungen der Erklärungen des Steuerpflichtigen ein geheimes Wissen um Besteuerungssachverhalte behalten (Beschränkungen 1, 2, 3).
– Geheimhaltungsinteressen Dritter sind zu wahren (Beschränkung 4).
– Die Person eines Informanten darf geheim gehalten werden (Beschränkung 5).
– Über bereits Bekanntes braucht keine Auskunft gegeben werden (Beschränkung 6).
– Aufbewahrungsvorschriften gehen vor (Beschränkung 7).
Da diese Suspendierungen teilweise in einem gänzlichen Gegensatz zum datenschutzrechtllichen Grundsatz der Transparenz stehen, kann die Entscheidung nahezu immer erst in einer Abwägung der widerstreitenden Interessen gefunden werden. Wäre diese Abwägung am einzelnen Datum – konkret – vorzunehmen, so ließe etwa alleine die Darstellung der argumentativen Abwägung der Interessen in der Begründung des ablehnenden Bescheids Rückschlüsse auf den Kenntnisstand des Finanzamts zu. Wollte man für jedes personenbezogene Datum der Steuerakte eine konkrete Abwägung vornehmen, wäre ein völlig außer Verhältnis stehender Begründungsaufwand für die Beantwortung jedes anlassfreien (!) datenschutzrechtlichen Auskunftsersuchens die Folge.
Praktikabel kann die Abwägung daher nur abstrakt bezogen auf Klassen von Daten vorgenommen werden, wie dies bereits unter d.(3) dargestellt wurde. Die in den Volltexten der Steuerakte enthaltenen Daten bilden in diesem Sinne aus Sicht des erkennenden Senats grundsätzlich eine Klasse. Wollte man hinsichtlich dieser gesamten Klasse „Angaben in Volltexten“ dem datenschutzrechtlichen Transparenzprinzip Vorrang einräumen, so hieße dies praktisch, das Finanzamt zu einer anlassfreien Akteneinsicht in jede Steuerakte zu verpflichten.
Und dies, obwohl die Beschränkungen in ihrer Summe nahezu für sämtliche Inhalte der Steuerakte das Auskunftsrecht suspendieren:
Der Schriftwechsel zwischen Finanzamt und Steuerpflichtigen ist diesem bekannt oder sollte ihm bekannt sein, früherer Schriftwechsel, aber auch wegen Zeitablauf obsolet gewordene Daten über Steuersachverhalte, fallen wegen der Dokumentationsfunktion der Steuerakte unter die Aufbewahrungspflichten (Beschränkungen 6 und 7).
Soweit in der Akte Daten für künftige Überprüfungen enthalten sind, dürfte die durch die Beschränkungen 1-3 gebotene Interessenabwägung aufgrund der Wahrheitspflicht des Steuerpflichtigen generell zu Gunsten der Prüfungsmöglichkeit des Finanzamts ausfallen. Gleiches gilt für Kontrollmaterial, Prüfberichte und etwa Anzeigen von Informanten, aber auch auf Aktenvermerke, die Hinweise auf die Überprüfung künftiger Steuererklärungen geben.
Akteninhalte für die aktuelle laufende Besteuerung fallen – wie der Streitfall exemplarisch zeigt -unter die Beschränkung, dass sich der Betroffene auf den Kenntnisstand des Finanzamts einstellen kann. Eine Interessenabwägung bei diesen Daten muss jedoch trotz der Wahrheitspflicht des Steuerpflichtigen nicht stets zu dessen Lasten gehen. Er hat ein berechtigtes Interesse, die der Besteuerung zugrunde gelegten Sachverhalte zu überprüfen und ggf. Zweifel im Rahmen des Besteuerungsverfahrens und des ihm zustehenden rechtlichen Gehörs aufzudecken. Insoweit besteht nur wenig Unterschied zwischen dem Auskunftsrecht zum unselbständigen Verfahrensrecht des § 364 AO. Wenn aber dem Steuerpflichtigen im Rahmen des aktuellen Besteuerungsverfahrens ohnehin mit der Begründung des Verwaltungsakts und der Offenlegung der Besteuerungsunterlagen ein Mehr im Vergleich zu einem datenschutzrechtlichen Auskunftsrecht zusteht, erscheint es bei der Interessenabwägung nicht geboten, zusätzlich und neben diesen Grund-Verfahrensrechten ein Auskunftsrecht zu gewähren, das in einem gesonderten Verfahren dem Betroffenen letztlich eher ein Weniger an Information gibt.
(5) Auf den ihr zustehenden Anspruch auf Überlassung einer Kopie etwa der für die Erstellung des Bescheides verarbeiteten Eingabe- und Berechnungsdaten und der Grunddatenübersicht kommt es der Klägerin ersichtlich nicht an.
3. Das Finanzgericht brauchte die entscheidungserheblichen Rechtsfragen nicht dem EuGH vorzulegen (Gräber, Finanzgerichtsordnung, 8. Aufl., FGO § 115, Rn. 84). Erstinstanzliche Gerichte sind unionsrechtlich nicht zur Vorlage verpflichtet (BFH, Beschluss vom 14.01.2014 – III B 89/13 -, BFH/NV 2014, 521).
4. Die Kostenentscheidung beruht auf § 135 Abs. 1 FGO.
5. Die Revision wird nach § 115 Abs. 2 Nr. 1 und 2 FGO zugelassen, da der Frage nach dem Umfang des Auskunftsrechts im Bereich der Steuerverwaltung nach der Einführung der DSGVO im Jahr 2018 grundsätzliche Bedeutung beizumessen ist. Darüber hinaus erscheint angesichts der oben zitierten widerstreitenden Entscheidungen der Finanzgerichte zum Anwendungsbereich der DSGVO im Bereich der direkten Steuern die Zulassung der Revision zur Sicherung einer einheitlichen Rechtsprechung erforderlich.
6. Es erscheint als sachgerecht, durch Gerichtsbescheid zu entscheiden (§ 90 a FGO).