24. Tätigkeitsbericht (2002)

4.10

Steuerverwaltung

4.10.1

Outsourcing - Die große Freiheit der Steuerverwaltung?

Das Steuergeheimnis wird neben dem Arzt-, dem Brief- und dem Fernmeldegeheimnis seit je her als ein ganz besonders wichtiges Rechtsgut angesehen. Die Finanzbehörden sehen dies offenbar etwas lockerer, wenn es um die Optimierung ihrer Verwaltungsabläufe geht. Die zuständigen Gremien im Bundesrat und Bundestag unterstützen diese Bestrebungen und lehnen klare gesetzliche Regelungen ab.

In mehreren Tätigkeitsberichten haben wir uns mit der Frage befasst, ob das geltende Steuerrecht es den Finanzämtern gestattet, bei der Festsetzung und Erhebung von Steuern externe Dienstleister einzusetzen, wenn sich nicht vermeiden lässt, dass diesen bei ihren Tätigkeiten ”steuerliche Verhältnisse” bekannt werden (vgl. 23. TB, Tz. 4.9.1).

In der Vergangenheit wurde von den Steuerverwaltungen und den Datenschutzbeauftragten übereinstimmend die Auffassung vertreten, dass die Ausgestaltung des Steuergeheimnisses in der Abgabenordnung ein Outsourcing (früher nannte man es Auftragsdatenverarbeitung) von Verarbeitungsprozessen ausschließt. Die Regelung im Finanzverwaltungsgesetz, nach der, wenn EDV-Anlagen anderer Verwaltungsträger für die Festsetzung und Erhebung von Steuern eingesetzt werden, die zuständige Finanzbehörde fachliche Weisungen zu erteilen hat, wurde nicht als eine ”Öffnung” des Steuergeheimnisses angesehen.

Die ursprünglich strikte Abschottung der Daten der Finanzbehörden gegenüber anderen Verwaltungsbereichen und privaten Stellen unterliegt in den letzten Jahren aufgrund von Kosten- und Praktikabilitätsüberlegungen der Verwaltung einer zunehmenden Erosion. Waren es zunächst nur weniger gravierende ”lässliche Sünden” wie z. B. der Druck von Lohnsteuerkarten durch private Stellen oder die kurzzeitige Einschaltung von Datenerfassungsbüros bei der Abwicklung von Arbeitnehmerveranlagungen, so stehen aktuell das Outsourcing von Rechenzentrumsdienstleistungen und die externe Administration von Arbeitsplatzsystemen und Computernetzwerken im Zentrum der Diskussion.

Nachdem auch in Schleswig-Holstein entsprechende Verfahrensweisen beschlossen worden sind (Konzentration der Rechenzentrumsaktivitäten beim Landesamt für Informationstechnik in Hamburg und Aufbau eines zentralen Druckzentrums in der Datenzentrale), haben wir rechtliche Bedenken wegen der fehlenden Offenbarungsbefugnisse in der Abgabenordnung geltend gemacht (vgl. 22. TB, Tz. 4.9.3). Die wurden zwar vom Finanzministerium nicht geteilt, gleichwohl hat man, um die Rechtsunsicherheit zu beenden, eine Bundesratsinitiative gestartet. Das Ziel war, die Regelungen im Finanzverwaltungsgesetz so umzugestalten, dass eine Offenbarung steuerliche Verhältnisse im Rahmen von Auftragsdatenverarbeitungen durch andere Verwaltungsträger zulässig sein sollte.

Dieses ”Ansinnen” wurde durch die Finanzministerien der anderen Länder im Bundesrat und durch das Bundesfinanzministerium mit einer Begründung abgelehnt, die in einem eklatanten Widerspruch zu den vom Bundesverfassungsgericht formulierten Aussagen über den Zweck und die Bedeutung des Steuergeheimnisses steht (vgl. nebenstehender Kasten).

Ohne auf die offensichtliche Abweichung von der bisher ”herrschenden” Rechtsauffassung einzugehen, wurde behauptet, dass technische Hilfstätigkeiten durch automatisierte Einrichtungen eines anderen Bundeslandes oder anderer Verwaltungsträger generell zulässig seien, weil sie dem Besteuerungsverfahren ”dienen”. Eine besondere Brisanz steckt in der weitergehenden Begründung: Die von Schleswig-Holstein gewünschte Ergänzung könnte ungewollt den Schluss nahe legen, dass auch in den anderen Fällen der Auftragsverarbeitung von dem Steuergeheimnis unterliegenden Daten eine ausdrückliche gesetzliche Regelung erforderlich sei. Dies geschehe nämlich auch durch nichtöffentliche Stellen. Voraussetzung für die Rechtmäßigkeit in diesen Fällen sei nur, dass die bei der Auftragsdatenverarbeitung eingesetzten Personen durch eine Verpflichtung nach dem Verpflichtungsgesetz Amtsträgern gleichgestellt werden. Konsequenz dieser Argumentation: Private Rechenzentren könnten die gesamten IT-Aktivitäten der Steuerverwaltungen übernehmen, wenn ihre Mitarbeiter eine Unterschrift unter einen etwa 10-zeiligen Vordruck gesetzt haben.

Vollends verwirrend wirkt die Argumentation der Bundesrats- und Bundestagsgremien dadurch, dass sie abschließend feststellen: ”Will man dagegen eine besondere gesetzliche Regelung für die Zulässigkeit der Offenbarung von dem Steuergeheimnis unterliegenden Daten in Fällen der Auftragsdatenverarbeitung schaffen, sollte eine solche Regelung in der einschlägigen Verfahrensordnung, im Anschluss an § 30 Abgabenordnung, erfolgen.”

So ganz wohl scheint ihnen also bei ihrer ”extremen” Auslegung der derzeit geltenden gesetzlichen Bestimmungen nicht zu sein, denn danach wäre jedwede Änderung der Steuergeheimnisregelungen überflüssig. Dies legt den Schluss nahe, dass es im Augenblick nur darum geht, der Verwaltung den von ihr gewünschten größtmöglichen Handlungsspielraum zu geben, Steuergeheimnis hin, Steuergeheimnis her.

Was ist zu tun?
Im Rahmen der Anpassung der Abgabenordnung an die Vorgaben der EU-Datenschutzrichtlinie müssen in Bezug auf das Outsourcing in der Steuerverwaltung klare Verhältnisse geschaffen werden. Die Landesregierung sollte insoweit aktiv werden. Bis zu einer Entscheidung des Gesetzgebers sollten externen Dienstleistern keine Steuerdaten offenbart werden.

4.10.2

Gemeinsame Softwareentwicklung der Steuerbehörden ein Problemfall

Durch die Gründung eines externen Softwarehauses (FISCUS GmbH) soll versucht werden, die seit Jahren ungelösten Probleme bei der Schaffung eines bundeseinheitlichen automatisierten Steuerfestsetzungs- und Erhebungsverfahrens in den Griff zu bekommen. Nachdem der Fortbestand des Softwarehauses aufgrund einer Entscheidung der Finanzminister-Konferenz nicht mehr infrage steht, ist es dringend erforderlich, die datenschutzrechtlich bedenklichen ”Altlasten” in den bisherigen FISCUS-Konzepten zu bereinigen.

Eine Arbeitsgruppe des ”Arbeitskreises Steuer” der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, an der wir beteiligt sind (vgl. 23. TB, Tz. 4.9.2), hat Kontakt zur FISCUS GmbH geknüpft und erörtert folgende Teilkomplexe:

  • Allgemeine Security-Policy des FISCUS-Projektes,

  • Zugangs- und Zugriffskonzepte,

  • Konzept der ”elektronischen Steuerakte” und

  • Anforderungen an den Test und die Freigabe von FISCUS-Modulen sowie die künftige Rolle des Bundesfinanzministeriums auf diesem Gebiet (Konsequenzen aus den Erfahrungen mit dem Modul ELSTER).

In der bisherigen sehr umfassenden Security-Policy waren die Aussagen zu den grundlegenden rechtlichen Vorgaben, zu den strategischen Zielen ihrer Umsetzung und zu den Anforderungen an die technischen Systeme sowie an die organisatorischen Gegebenheiten in der Praxis verknüpft mit teilweise sehr detaillierten technischen Lösungskonzepten und Handlungsalternativen. Das Konzept enthielt dagegen keine Aussagen zu dem Sicherheitsniveau der bereits praktizierten Verfahrensabläufe (Rahmenbedingungen, in die die FISCUS-Module eingebettet werden), das die Grundlage für das Sicherheitsniveau im Rahmen von FISCUS ist. Da in datenschutzrechtlicher Hinsicht insbesondere die Vertraulichkeitsanforderungen von Bedeutung sind, ist bei allen technischen Lösungen von einem hohen Schutzniveau auszugehen.

Das FISCUS-Konzept geht weiterhin davon aus, dass alle Informationen zu einer bestimmten steuerlich relevanten Person landesweit zusammengeführt werden. Obwohl das Steuerrecht vielfältige Bestimmungen enthält, die eine Verknüpfung unterschiedlicher Steuerfälle bedingen (einheitliche und gesonderte Feststellungen, Kontrollmitteilungen, Zusammenveranlagungen) ist eine uneingeschränkte Verknüpfung aller Daten einer Person gleichwohl verfahrensrechtlich nicht unproblematisch. Als ”Rollen”, in denen Personen neben ihrer Eigenschaft als Steuerpflichtige in Erscheinung treten können, kommen z. B. Steuerberater, Zustellungsbevollmächtigte, Einzelrechtsnachfolger, Gesamtrechtsnachfolger, Drittschuldner, gesetzliche Vertreter, Kinder, Betreuer, Anzeigenerstatter, Gutachter, sonstige Verfahrensbeteiligte, Zeugen und frühere Miteigentümer in Betracht. Ohne eine abschließende Analyse der rechtlichen Konsequenzen, die sich aus der jeweiligen Rolle ergeben, können Zugriffsregeln nicht definiert werden.

Der Umstand, dass FISCUS zu elektronischen Steuerakten führen soll, sagt noch nichts über deren rechtliche Relevanz aus. Offen war bisher die Frage, ob die elektronischen Akten als der authentische Datenbestand angesehen werden sollen oder nur als Arbeitskopien der papierenen Akten. Erst daraus ergibt sich jedoch, welche Daten wie lange im elektronischen Bestand vorgehalten werden müssen. Die Zugriffsregeln für den elektronischen Datenbestand können außerdem umso enger gefasst werden, je mehr Daten nach wie vor in den papierenen Akten verfügbar sind. Keinesfalls dürfen Daten elektronisch gespeichert bleiben, obwohl sie aus dem authentischen papierenen Bestand bereits entfernt sind. Auch insoweit fehlt es zurzeit noch an einer abschließenden Klärung von Rechtsfragen und der Festlegung von systemtechnischen Konsequenzen.

Für die Vergabe von Zugriffsrechten ist es zudem erforderlich, die ”Rollen”, in denen sich die Mitarbeiter der Steuerverwaltung in dem System bewegen, zu klären. Es dürfte zwischen folgenden ”Rollen” zu unterscheiden sein: Finanzamtsvorsteher, Sachgebietsleiter, Sachbearbeiter, Mitarbeiter, sonstige Assistenzkräfte, Kassenmitarbeiter, Vollstreckungsstellenmitarbeiter, Stundungs- und Erlassstellenmitarbeiter, Betriebsprüfer, Mitarbeiter der Steuerfahndungs- und Strafsachenstellen, Innenrevision, Systemadministration in den Finanzämtern, Mitarbeiter anderer Finanzämter, EDV-Mitarbeiter der Oberfinanzdirektion, Groß- und Konzernbetriebsprüfer, Auszubildende, Referendare und Praktikanten. Von den diesen Rollen zugewiesenden Zuständigkeiten hängen die zu erteilenden Zugriffsberechtigungen ab.

Die Sicherheitslücke in dem vom Bundesland Bayern erstellten und von den anderen Bundesländern genutzten Verfahren ”ELSTER” hat gezeigt, dass gerade bei einer Verbundentwicklung dem Test und der Freigabe eine große Bedeutung beikommt. Im Fall des Verfahrens ELSTER war die Sicherheitslücke so tief in der Systemarchitektur verankert, dass sie nur für Internet-Spezialisten erkennbar war. Selbst bei gründlichsten Prüfungen durch Steuerfachleute wäre eine Entdeckung unwahrscheinlich gewesen. Insoweit ist dem Land Bayern wohl kein Vorwurf bezüglich unzureichender Tests zu machen. Problematisch erscheint aber, dass die Steuerverwaltungen der anderen Länder offenbar sehr wenig über die Spezifikationen des Produktes wussten. Obwohl sie ihren Steuerpflichtigen gegenüber die Konsequenzen aus der Sicherheitslücke zu verantworten hatten, wurde in Presseveröffentlichungen auf die ”Zuständigkeit” der Bayerischen Steuerverwaltung verwiesen. Im Ergebnis ist damit versucht worden, die Verantwortung auf das ”Softwarehaus” abzuschieben. Auch bei einem Verbundverfahren wie FISCUS bleiben die jeweiligen Steuerverwaltungen der Länder für dessen Rechtmäßigkeit und Sicherheit verantwortlich. Entwicklungsgremien und die FISCUS-GmbH sind lediglich als Dienstleister anzusehen. Die Korrektheit ihrer Arbeit ist von den Auftraggebern zu prüfen und die Software in jedem Land für den Einsatz freizugeben.

Es ist daher zu begrüßen, dass alle bisherigen Entwicklungen auch unter diesen Gesichtspunkten von der FISCUS-GmbH ”auf den Prüfstand gestellt” werden sollen. Zwischen unserer Arbeitsgruppe und der FISCUS-GmbH wurden weitere regelmäßige Kontakte verabredet.

Was ist zu tun?
Die Steuerverwaltungen des Bundes und der Länder sollten sich kurzfristig darüber verständigen, wie im Rahmen der anlaufenden Verbundentwicklung von Software ein Test- und Freigabeverfahren gestaltet werden kann, das der tatsächlichen Verantwortung für die Abwicklung der automatisierten Steuerfestsetzungs- und Erhebungsverfahren Rechnung trägt. Die Gremien der Datenschutzbeauftragten sollten sowohl in der Planungs- und Entwicklungs- als auch in der Prüfphase beteiligt werden.

4.10.3

Datenerhebung zur Zweitwohnungssteuer nicht korrekt

Wenn Kommunen eigene Steuern erheben, sind auch sie an die strengen Regeln der Abgabenordnung gebunden. Bei der Gestaltung von Erklärungsvordrucken zur Zweitwohnungssteuer wurde dies in vielen Fällen nicht beachtet, den Steuerpflichtigen wurden viel zu viele Angaben abverlangt.

Die Zweitwohnungssteuer wird von denjenigen, die sie zu zahlen haben, seit Jahren als ungerecht angesehen. Gerichte wurden angerufen und Satzungen korrigiert. Letztendlich ist aber das Steuerschöpfungsrecht der Kommunen auch in Bezug auf die Zweitwohnungen nicht zu bestreiten. Allerdings sind sie insoweit Finanzbehörden und müssen sich den strengen Datenerhebungsregelungen der Abgabenordnung und des Landesdatenschutzgesetzes unterwerfen; dies sieht das Kommunalabgabengesetz so vor.

Eine Reihe von Zweitwohnungssteuerpflichtigen monierten diesbezügliche Mängel in den Erklärungsvordrucken mehrerer Kommunen. Sie fühlten sich unzureichend über die Rechtsgrundlagen aufgeklärt und kritisierten außerdem den übermäßigen Datenhunger.

In der Tat waren die von den Städten und Gemeinden selbst entwickelten Vordrucke und Informationsbriefe gleich in mehrfacher Hinsicht zu beanstanden. Abgefragt wurden neben den unbestreitbar erforderlichen Angaben zum Steuerpflichtigen und zur Art der Wohnungsnutzung z. B.

  • die Namen und die Anzahl von Angehörigen, die die betreffende Wohnung von wann bis wann aus welchen Gründen genutzt haben,

  • eine zeitliche und namentliche Einzelaufstellung von Mietern,

  • ob Vermietungsagenturen zu Festmieten oder auf Provisionsbasis eingeschaltet worden waren,

  • im Falle des zwischenzeitlichen Verkaufs der Name des Käufers und

  • Kopien der Dauermietverträge.

Die Steuerpflichtigen wurden dabei im Unklaren darüber gelassen, zu welchen Auskünften sie verpflichtet waren und welche Angaben und Unterlagen der Erklärung zweckmäßigerweise von vornherein beigelegt werden sollten, um ergänzende Nachfragen zu vermeiden. Es gab also keine erkennbare Unterscheidung zwischen den Pflicht- und den freiwilligen Angaben.

Als besonders problematisch erwiesen sich Formulierungen, die von dem Betroffenen als Drohungen betrachtet werden mussten, für die allerdings bei genauerem Hinsehen gar keine Rechtsgrundlage bestand. So wiesen einige Verwaltungen forsch darauf hin, dass sie ”ermächtigt” seien, die Angaben der Steuerpflichtigen bei den zuständigen Finanzämtern mit den dort vorliegenden Einkommenssteuerveranlagungen abzugleichen. Dieses ist objektiv unrichtig, da das Steuergeheimnis derartige Abgleiche unterbindet.

Weiterhin wurden von allen Steuerpflichtigen Versicherungen an Eides statt dahin gehend abverlangt, dass die Erklärung richtig und vollständig sei und das man ”nach bestem Wissen und Gewissen die reine Wahrheit gesagt und nichts verschwiegen” habe. Ergänzt wurde diese Passage um den Text der Strafnorm zur falschen Versicherung an Eides statt und Hinweisen auf das Landesverwaltungsgesetz und die Abgabenordnung. Hätten die Verfasser der Vordrucke die von ihnen selbst zitierten Vorschriften gelesen, müsste ihnen ihr Fauxpas aufgefallen sein: Das Landesverwaltungsgesetz und die Abgabenordnung schränken derartig gravierende rechtliche Maßnahmen nämlich auf Fälle ein, in denen ”andere Mittel zur Erforschung der Wahrheit nicht vorhanden sind, zu keinem Ergebnis geführt haben oder einen unverhältnismäßigen Aufwand erfordern”. Außerdem muss dies ”in den betreffenden Verfahren durch Gesetz oder Verordnung vorgesehen und die Behörden durch Rechtsvorschrift für zuständig erklärt worden sein”. Zusätzlich ist das Verfahren formal bis ins Detail geregelt. Eine Versicherung an Eides statt ”en passant” in einer Steuererklärung ist somit weder zulässig noch rechtswirksam.

Die betreffenden Kommunen haben auf die Beanstandungen einsichtig reagiert und zugesagt, uns ihre neuen Erklärungsvordrucke für das Jahr 2001 bis Anfang 2002 zur Prüfung vorzulegen.

Was ist zu tun?
Erklärungsvordrucke müssen das geltende Recht korrekt widerspiegeln. Bei ihrer Entwicklung und vor ihrem Einsatz in der Praxis müssen sie daher verfahrens- und datenschutzrechtlich geprüft werden.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel