21. Tätigkeitsbericht (1999)


4.10

Steuerverwaltung

4.10.1

Steuerdatenabrufverordnung - es grenzt an einen Schildbürgerstreich

Der Streit zwischen Behörden verhindert bisher einen einheitlichen Sicherheitsstandard beim automatisierten Abruf von Steuerdaten.

Wenn früher ein Finanzbeamter für die Bearbeitung eines Vorganges aus seinem Zuständigkeitsbereich Informationen aus einer Steuerakte einer anderen Abteilung oder eines anderen Finanzamtes benötigte, ließ er sich vom betreffenden Kollegen eine Auskunft erteilen oder forderte die Akte zur Einsichtnahme an. Die Rechtmäßigkeit eines solchen Datenaustausches im Hinblick auf die Wahrung des Steuergeheimnisses, das auch innerhalb der Verwaltung gilt, konnte wegen des aktiven Handelns von mindestens zwei Personen leicht überprüft werden.

Als im Zeichen der Automatisierung in den Finanzämtern die Steuerdaten zunehmend in Computerdatenbanken gespeichert wurden, entstand der Wunsch, die erforderlichen Informationen auch direkt aus den EDV-Systemen abrufen zu können. Dies hat der Gesetzgeber im Jahre 1985 durch eine Änderung der Abgabenordnung gestattet, aber zur Vermeidung von Datenmißbräuchen (es entfiel ja die Kontrolle der Rechtmäßigkeit durch den Kollegen, der die Daten "rauszurücken" hatte) bestimmt, daß der Bundesfinanzminister in einer Rechtsverordnung festlegen kann, "welche technischen und organisatorischen Maßnahmen gegen den unbefugten Abruf von Daten zu treffen sind".

Von der Möglichkeit des automatisierten Datenabrufes haben die Finanzämter umgehend Gebrauch gemacht. Auf die sicherheitstechnischen Rahmenbedingungen konnten sich der Bund, die Länder und die Kommunen, die z. B. für die Grund- und Gewerbesteuern zuständig sind, jedoch im Verlaufe von 13 Jahren (!) nicht einigen. Als sich vor etwa zwei Jahren Bund und Länder nach der Diskussion von ca. zwei Dutzend Entwürfen endlich auf ein Regelwerk verständigt hatten, das im wesentlichen auch den datenschutzrechtlichen Belangen entsprach, bekamen sie Sperrfeuer von den kommunalen Verbänden, weil denen das technische Sicherheitsniveau zu hoch erschien. Nach einer Phase der Ratlosigkeit gelang im abgelaufenen Jahr ein wahrer Schildbürgerstreich. Anstelle einer Rechtsverordnung erließ der Bundesfinanzminister den unveränderten Text als bundeseinheitliche Verwaltungsanweisung, die allerdings nur für die Finanzämter, nicht aber für die kommunalen Steuerbehörden verbindlich war.

Kaum war dies geschehen, signalisierten die Kommunen, sie könnten mit diesen Regelungen wahrscheinlich doch leben. Noch in diesem Jahr wird deshalb auf höchster Ebene eine neue Verhandlungsrunde beginnen. Man darf gespannt sein, wann die Verwaltung sich endlich bereit findet, einen Auftrag des Gesetzgebers, der ihr im Jahr 1985 erteilt wurde, zu erfüllen.

Was ist zu tun?
Die Finanzminister sollten ein Machtwort sprechen, die Verordnung beschließen und alle Steuerbehörden anweisen, endlich die Sicherheitsvorschriften zu beachten, die schon vor 13 Jahren als sinnvoll angesehen waren.

4.10.2

Registrierung von Barzahlern als Druckmittel

Die Finanzämter haben einen Anspruch darauf, Einblick in alle Buchführungsbelege zu erhalten. Dabei dürfen sie auch Daten über Dritte (Kunden, Lieferanten, Mitarbeiter) zur Kenntnis nehmen. Sie können aber nicht verlangen, daß die Identität von "Barzahlern" nur deshalb ermittelt wird, um die Steuerpflichtigen zu mehr Steuerehrlichkeit zu bewegen.

Die Finanzämter haben es wahrlich nicht leicht: Der Finanzminister drängt sie, sehr genau hinzusehen und möglichst jeden auch noch so kleinen Steuerbetrag zu kassieren. Die Steuerpflichtigen bemühen sich dagegen manchmal redlich, manchmal unredlich, den Beamten weis zu machen, daß von ihnen getätigte Geschäfte gar keine Geschäfte waren und somit auch keine Steuer fällig werden könne. Bei besonders hartleibigen Steuerpflichtigen greifen deshalb Steuerbeamte das eine oder andere Mal zu Mitteln, die mit dem geltenden Recht nur schwer vereinbar sind.

Um vermeintlichen unerlaubten Steuertricksereien auf die Spur zu kommen, verpflichtet man die "verdächtigen" Steuerpflichtigen gerne und in zunehmendem Maße zu besonders umfangreichen Aufzeichnungen. So sollte z. B. ein Verein die Identität auch von solchen Spendern feststellen, die eine Barspende geleistet hatten und keinen Wert auf eine Spendenbescheinigung legten. Dem Geschäftsführer wurde erklärt, hierzu sei er verpflichtet, weil der Verdacht von Unregelmäßigkeiten bei der Vereinsfinanzierung bestehe und deshalb die Gemeinnützigkeit zu überprüfen sei. Die Frage, ob deshalb der Verein auf anonyme Spenden verzichten müßte, und wer einen Spender (z. B. bei Straßensammlungen) zwingen könne, seinen Namen preiszugeben, konnte nicht beantwortet werden. Wir haben dem Geschäftsführer mitgeteilt, daß er nach unserer Auffassung dem Ansinnen des Finanzamtes nicht nachkommen muß. Es hat die Sache offenbar auf sich beruhen lassen. In einem anderen Fall sollte der Vermieter von Ferienwohnungen auch dann die Identität von Mietern in der Buchführung vermerken, wenn die Gäste ihre Miete bar bezahlten. Auch hiergegen hat sich der Steuerpflichtige erfolgreich verwahrt.

Für diese und vergleichbare Fälle (vgl. z. B. die angebliche Pflicht der Apotheker, die Kundennamen im Fahrtenbuch zu vermerken, wenn die bereits bezahlten Arzneien frei Haus geliefert werden, 19. TB, Tz. 4.10.3) gelten folgende Kontrollfragen: Wozu will das Finanzamt die Daten verwenden? Will es z. B. alle Spender fragen, ob sie tatsächlich gespendet, oder alle Mieter, ob sie tatsächlich dort übernachtet haben? Wie ist zu entscheiden, wenn sich herausstellt, daß die Identitäten nicht stimmen? Trägt dann der Steuerpflichtige die Verantwortung und muß mehr Steuern zahlen?

Was ist zu tun?
Die Finanzämter müssen zur Kenntnis nehmen, daß kein Bürger verpflichtet ist, bei Bargeschäften seine Identität preiszugeben, es sei denn, es bestehen ausdrückliche gesetzliche Regelungen, wie z. B. im Geldwäschegesetz. Hieraus folgt, daß die Aufforderung zur Erfassung von Kundendaten kein Druckmittel gegenüber Steuerpflichtigen sein kann.

4.10.3

Restrisiken beim Fax-Verkehr

Bei der Verwendung von Fensterbriefumschlägen kommt es selten vor, daß ein Schriftstück beim falschen Empfänger landet. Seit allerdings sogar Steuerdaten von den Finanzämtern per Fax versandt werden, reicht ein Tippfehler und schon ist das Steuergeheimnis verletzt.

Da staunte Herr X nicht schlecht, als sein Fax-Gerät plötzlich die Mitteilung eines Finanzamtes ausspuckte, sein beantragter Zahlungsaufschub für die xxx-Steuer in Höhe von xxx DM werde ihm hiermit gewährt. Er hatte nämlich gar keine Stundung beantragt. Bei genauerem Hinsehen stellte er fest, daß dieses Fax von einem Finanzamt am anderen Ende Schleswig-Holsteins stammte und gar nicht für ihn bestimmt war. Es war nur deshalb auf seinem Gerät gelandet, weil dem Absender in die Ortskennzahl eine falsche Ziffer gerutscht war. Nun wußte er, weil ja der richtige Name in dem Schreiben vermerkt war, wer die Steuerschulden und obendrein Zahlungsschwierigkeiten hatte.

Daß ein Fehler vorlag, wurde vom Finanzamt nicht bestritten. Wäre er aber zu verhindern gewesen? Die Untersuchung ergab folgendes: Mit großer Akribie hatte die Oberfinanzdirektion im Jahre 1989 die Telefaxnutzung durch die Finanzämter geregelt. Bezeichnend ist allerdings für die "Motivlage" das Zitat aus einer Dienstanweisung: "Wegen der Portoerhöhungen der Bundespost und des Preisverfalls bei den Telefaxgeräten ist es nunmehr wirtschaftlich und zweckmäßig, die Dienststellen der Steuerverwaltung mit Faxgeräten auszustatten." Es folgen dann auf ca. 20 Seiten vielfältige Handlungsanweisungen wie z. B.

  • liegt die Fax-Einverständniserklärung des Adressaten vor?

  • Steuerbescheide nicht per Fax bekannt geben!

  • sensible Schriftstücke nur nach Absprache mit dem Beteiligten faxen!

  • Vorblatt zur Absender-/Empfängeridentifikation oder Vollständigkeitskontrolle erforderlich?

  • Fax-Nummer des Adressaten noch gültig?

  • Fax-Nummer richtig eingegeben?

  • Sendeprotokoll prüfen und dem Vorgang beifügen!

Trotz all dieser Vorsichtsmaßnahmen, der Fall zeigt drei Dinge:

Ein Tippfehler genügt, und schon ist das Steuergeheimnis verletzt. Der Schaden ist nicht rückgängig zu machen. Das (Rest)risiko wird zunehmend größer, da sich hinter immer mehr Telefonnummern auch Faxgeräte "verstecken".

Der Verlust der Vertraulichkeit darf nicht der Preis für die vorgenannten Zweckmäßigkeits- und Wirtschaftlichkeitsüberlegungen sein.

Was ist zu tun?
Künftig sollten Textdokumente mit steuerlichen Inhalten nur dann per Fax versandt werden, wenn eine außergewöhnliche Eilbedürftigkeit besteht und die Steuerpflichtigen ausdrücklich darum gebeten haben. In diesen seltenen Ausnahmefällen muß von den Mitarbeitern eine entsprechende Sorgfalt bei der Adressierung erwartet werden. Sie sollten über die Folgen von Fahrlässigkeiten aufgeklärt werden.

4.10.4

Wahrung des Steuergeheimnisses - in erster Linie eine Frage der Haushaltsmittel?

Wer tagtäglich mit "hochsensiblen" Steuerdaten umgeht, verliert offenbar leicht das Gefühl für das erforderliche und angemessene Sicherheitsniveau. Anders ist nicht zu erklären, warum gravierende Sicherheitsmängel in Kauf genommen wurden, um das Geld für ein paar Schlüssel zu sparen.

Im Rahmen der unter Textziffer 6.7.2 dargestellten sicherheitstechnischen Überprüfung der Computersysteme in einem Finanzamt "stolperte" unser Mitarbeiter geradezu über Schwachstellen bei der Verwaltung der Steuerakten. Diese wurden in meist überfüllten zentralen Aktenräumen, in den Büros der Mitarbeiter oder einfach in Kammern gelagert. Die Aktenschränke waren vielfach so alt, daß sie aufgrund ihres desolaten Zustandes nicht mehr abgeschlossen werden konnten. Selbst für die Personalakten der Bediensteten waren keine ausreichenden abschließbaren Behältnisse vorhanden. Wegen der angeblich begrenzten finanziellen Mittel wurden in jüngster Zeit in Abstimmung mit der Oberfinanzdirektion statt neuer verschließbarer Schränke offene Regale angeschafft.

Welchen Stellenwert die Wahrung des Steuergeheimnisses in diesem Finanzamt hatte, macht folgendes Beispiel deutlich: Eine über den Flur zu erreichende Kammer war zu einer "Aktenzentrale" umgestaltet worden. Die Tür stand ständig offen, so daß sich jedermann ungehindert Zugang verschaffen konnte. Unser Prüfer hat sich jedenfalls mehrfach unbeobachtet im Raum aufgehalten und hätte ungehindert auf hunderte von Akten aus dem Bereich "gewerbliche Veranlagung" (wesentlicher Inhalt: Bilanzen, Gewinn- und Verlustrechnungen, Betriebsprüfungsberichte usw.) zugreifen können. Dem verantwortlichen Sachgebietsleiter war diese Situation bekannt. Ein regelmäßiges Verschließen der Tür und die Aufbewahrung des Schlüssels an einer zentralen Stelle erschien ihm jedoch nicht zumutbar, da eine größere Anzahl von Mitarbeitern häufig Akten entnehmen und wieder einsortieren müßten. Für die Bereitstellung mehrerer Schlüssel seien keine finanziellen Mittel vorhanden.

Diese Aussage ist vor dem Hintergrund zu sehen, daß der Steuerverwaltung für derartige Sachmittel im letzten Haushalt über 500 000 DM zur Verfügung standen. Geld für ein paar Schlüssel sollte da abzuzweigen sein. In der Tat ist dieser Mangel nach unserer Beanstandung vom Finanzamt abgestellt worden. Ansonsten hat es sich auf eine recht formale Position zurückgezogen: Die Mitarbeiter seien durch eine Dienstanweisung gehalten, die Akten so zu verwahren, daß es zu Verletzungen des Steuergeheimnisses nicht kommen könne. Es werde künftig verstärkt auf ihre Einhaltung geachtet und somit "den an den Datenschutz zu stellenden Mindestanforderungen genügt". Wir werden uns zu gegebener Zeit durch eine Nachprüfung ein eigenes Bild machen!

Was ist zu tun?
Für Daten, die einem "besonderen" Amtsgeheimnis unterliegen, sind auch "besondere" Sicherheitsmaßnahmen zu treffen. Fahrlässig handelt, wer, anstatt ein wirksames Sicherheitskonzept zu entwickeln, nur versucht, den Mindestanforderungen zu genügen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel