Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

4.10

Steuerverwaltung

4.10.1

Neues zur Steuerdatenabrufverordnung

Bereits vor Jahren hat der Gesetzgeber den Bundesfinanzminister aufgefordert, für automatisierte Abrufe von Steuerdaten Sicherheitsvorschriften in einer Rechtsverordnung festzulegen. Im Jahr 2003 wird die Verordnung endlich in Kraft treten. In der amtlichen Begründung wird dieser Verzug mit keinem Wort begründet. Stattdessen wird das gesamte Datenschutzrecht für den Bereich der Steuerverwaltung für nicht anwendbar erklärt.

Im Jahr 1986 ist der Schutzbereich des Steuergeheimnisses durch eine Änderung der Abgabenordnung erweitert worden. Bis dahin verbot das Steuergeheimnis lediglich, ihm unterliegende Daten Dritten gegenüber unbefugt zu offenbaren oder sie unbefugt zu verwerten. Die damalige Neuregelung im Steuerbereinigungsgesetz postulierte zusätzlich einen Schutz gegen den unbefugten Abruf von Daten im Rahmen automatisierter Verfahren (§ 30 Abs. 2 Nr. 3 AO). Zugleich ermächtigte der Gesetzgeber das Bundesfinanzministerium, durch eine Rechtsverordnung zu bestimmen, welche technischen und organisatorischen Maßnahmen gegen einen unbefugten Datenabruf zu treffen sind. Insbesondere sollten Regelungen getroffen werden über die Art der zum Abruf bereitgehaltenen Daten sowie über die abrufberechtigten Amtsträger.

Die ersten Entwürfe der so genannten Steuerdatenabrufverordnung stammten aus den 80er-Jahren und waren wegen ihrer Restriktionen aus sicherheitstechnischer Sicht durchaus vorbildlich. In dem Maße, in dem in der Verwaltung die Möglichkeiten der automatisierten Abrufverfahren erkannt wurden, regte sich der Widerstand gegen die Art der Regulierung. Immer neue Versionen der Verordnungsentwürfe wurden erarbeitet, stets mit dem Ergebnis, dass sich das Sicherheitsniveau nach unten und die Handlungsfreiheit der Verwaltung nach oben orientierten. Als zehn Jahre nach In-Kraft-Treten der gesetzlichen Neuregelung endlich alles in ”trockenen Tüchern” schien, regte sich Protest aus den Reihen der Kommunen. Sie hatten zwischenzeitlich festgestellt, dass die Verordnung auch von ihnen zu beachten war, und sahen dies als unmöglich an. Daraufhin wurde aus der Verordnung eine Verwaltungsanweisung ausschließlich für den Bereich der Finanzämter und des Bundesamtes für Finanzen; die Kommunen bewegten sich weiter in einem regelungsfreien Raum.

Dies wäre eigentlich unproblematisch gewesen, da in den Datenschutzgesetzen der meisten Bundesländer die Einrichtung automatisierter Abrufverfahren generell nur aufgrund spezieller Rechtsverordnungen zulässig ist. Auch diese Klippe wurde jedoch ”geschickt” umschifft. Kurz und bündig stellte man seitens des Bundesfinanzministeriums fest, dass die gesamte Abgabenordnung ”eine eigene Datenschutzvorschrift mit abschließendem Charakter” sei. Auch soweit sie für ihren Anwendungsbereich keine konkreten Regelungen treffe, sei für andere Datenschutzvorschriften kein Raum. Der Hinweis der Datenschutzbeauftragten des Bundes und der Länder, dass diese sonst von niemandem geteilte Auffassung der AO-Referenten der Finanzministerien den Intensionen des Gesetzgebers ganz offenbar zuwiderlaufe und das gesamte Datenschutzrecht infrage stelle, bleibt bis heute unbeachtet.

Zurzeit liegt ein neuer Entwurf zur Steuerdatenabrufverordnung vor, der nach vielen ”kosmetischen” Korrekturen auch den Segen der Kommunen gefunden hat. Anfang 2003 gibt es also endlich die seit Jahren überfälligen bundeseinheitlichen bereichsspezifischen Regelungen. Sie entsprechen zwar nicht in allen Punkten den Vorstellungen der Datenschutzbeauftragten, man kann aber mit ihnen leben - wäre da nicht der Text der amtlichen Begründung, in dem völlig überflüssig und offenbar nur um die Position der Steuerverwaltung zu zementieren, der alte Rechtsstandpunkt bezüglich der Nichtanwendbarkeit des Datenschutzrechts in der Steuerverwaltung noch einmal ausdrücklich wiederholt wird.

4.10.2

Konsequenzen aus der Steuerdatenübermittlungsverordnung

Steuerpflichtige werden ihre Steuererklärungen künftig mit der fortgeschrittenen elektronischen Signatur unterschreiben können, obwohl dies kein vollwertiger Unterschriftsersatz im Sinne des Signaturgesetzes ist. Die Steuerverwaltung meint durch flankierende Maßnahmen eine ausreichende Sicherheit gewährleisten zu können.

Die EU-Richtlinie zur Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Umsatzsteuern, die Abgabenordnung (§ 150 AO), das Einkommenssteuergesetz (§ 45 a EStG) und auch das Umsatzsteuergesetz (§ 18 a UStG) erlaubt es dem Bundesfinanzminister, durch eine Rechtsverordnung zu bestimmen, dass die Inhalte der Steuererklärungen von den Steuerpflichtigen auch auf elektronischem Wege an die Finanzämter übermittelt werden können. Was der Gesetzgeber als regelungsbedürftig ansieht, ist in der Abgabenordnung katalogmäßig dargestellt. Es sind dies

• die Voraussetzungen für die Anwendung der Verfahren,

• Näheres über die Form, den Inhalt, die Verarbeitung und die Sicherung der Daten,

• die Art und Weise der Übermittlung der Daten,

• die Zuständigkeit für die Entgegennahme der Daten,

• die Haftung von Dritten bei der unrichtigen Übermittlung oder Verarbeitung der Daten,

• der Umfang und die Form der besonderen Erklärungspflichten der Steuerpflichtigen,

• die Verweise auf die Veröffentlichung sachverständiger Stellen.

Der unübliche Konkretisierungsgrad in einer Verordnungsermächtigung hat dem Bundesfinanzministerium enge Zügel angelegt. Der Ende 2002 vorgestellte Entwurf der ”Steuerdatenübermittlungsverordnung” (StDÜV) reflektiert den vorgenannten Katalog und entspricht im Wesentlichen auch den datenschutzrechtlichen Anforderungen.

Der ”zukunftsweisende” Aspekt dieser Verordnung besteht darin, dass für elektronische Steuererklärungen statt einer an sich erforderlichen ”qualifizierten elektronischen Signatur” (umfassender Unterschriftsersatz im Sinne des Signaturgesetzes) nur die fortgeschrittene elektronische Signatur vorgeschrieben wird. Diese Entscheidung soll demnächst durch eine Neuregelung an anderer Stelle in der Abgabenordnung legitimiert werden. Sie wird u. a. damit begründet, dass die bei einer qualifizierten elektronischen Signatur erforderliche kostenpflichtige Einschaltung einer Zertifizierungsstelle sowie die unzureichende Verbreitung und Nutzung der dafür erforderlichen Signaturerstellungseinheit zumindest in der nahen Zukunft einen zügigen Ausbau der elektronischen Kommunikation zwischen den Steuerpflichtigen und der Steuerverwaltung behindern würde. Neben den Signaturen der qualifizierten Trustcenter sollen auch die z. B. durch Banken und Arbeitgeber herausgegebenen Signaturen genutzt werden können. Welche Anforderungen des Signaturgesetzes in diesen Fällen nicht erfüllt werden müssen, wird in der geplanten Verordnung akribisch festgelegt. Das Bundesfinanzministerium meint, dass die Verwendung derartiger fortgeschrittener Signaturen trotzdem ”für eine Übergangszeit technisch weitgehend die gleichen Sicherheiten bieten wie die qualifizierten Signaturen”.

Ob diese Verfahrensweise die Verfügbarkeit, die Integrität und insbesondere die Vertraulichkeit der elektronischen Kommunikation zwischen den Steuerpflichtigen und den Finanzämtern hinreichend gewährleistet, wird sich zeigen. Besonders gravierend ist, dass durch diese Verordnung die fortgeschrittene elektronische Signatur in einem der größten Verwaltungsbereiche zum ”Industriestandard” gemacht wird. Wer als Zertifikatsanbieter die Bedingungen der Steuerdatenübermittlungsverordnung erfüllt, bekommt praktisch einen ”Ritterschlag”, der ihn qualifiziert, auch in anderen, im Hinblick auf die Sensibilität der Daten möglicherweise weniger bedeutsamen Verwaltungsbereichen eingesetzt zu werden. Es dürfte an der Zeit sein, in einer umfassenden Sicherheitsanalyse zu ermitteln, welche Konsequenzen sich für Wirtschaft und Verwaltung ergeben, wenn die fortgeschrittene elektronische Signatur auf der Basis einer Vielzahl ”privater” Zertifikate zum Standard und die qualifizierte Signatur zum Exoten wird bzw. in der Versenkung der Kostenvermeidung verschwindet.

4.10.3

ELSTER soll sicherer werden

Mängel in einer Software, die bundesweit in der Steuerverwaltung eingesetzt wird, können rechtlich und sicherheitstechnisch gravierende Folgen haben. Vor ihrem Echteinsatz sind daher ganz besonders sorgfältige Tests durchzuführen. Wenn nicht jedes Bundesland eigene Prüfungen vornehmen soll, bedarf es hierfür einer bundeseinheitlichen Infrastruktur und entsprechender Audit- und Zertifizierungsprozeduren.

Als im März 2001 die Stiftung Warentest eine Sicherheitslücke in dem Verfahren ELSTER, mit dem man seine Steuererklärungen auf elektronischem Wege über das Internet bei seinem Finanzamt abgeben kann, entdeckte (vgl. 24. TB, Tz. 4.10.2), standen die Länderfinanzbehörden ziemlich ratlos da. Sie empfingen die für sie bestimmten Datensätze zwar über eine Clearingstelle in München, die systemtechnischen Details des Verfahrens waren ihnen jedoch nicht bekannt. Es ist von der bayerischen Steuerverwaltung entwickelt und den anderen Ländern zur Verfügung gestellt worden. Diese haben sich, ohne selbst zu prüfen, auf die Korrektheit der Software und die Sicherheit bei deren Verteilung verlassen, nach der Devise: ”Was für Bayern gut ist, kann für uns nicht schlecht sein.” Der Fehler wurde schleunigst behoben. Neue Schwachstellen wurden bislang nicht entdeckt, obwohl zwischenzeitlich weit mehr als eine Million Steuererklärungen und 12 Millionen Steueranmeldungen elektronisch abgegeben wurden. So könnte es eigentlich nur positiv bewertet werden, dass das bestehende Grundmodul um neue Komponenten und Funktionen erweitert werden soll.

Zunächst soll eine elektronische Lohnsteuerkarte eingeführt werden. Die Arbeitgeber vermerken dabei nicht mehr die Daten über das Bruttoeinkommen, die einbehaltenen Steuern und die Zeitdauer des Arbeitsverhältnisses auf der Rückseite der Karteikarte, sondern übermitteln diese Daten direkt an das zuständige Finanzamt, das sie bei der Abgabe der Steuererklärung durch den Arbeitnehmer automatisch berücksichtigt. Dazu bedarf es natürlich eines unverwechselbaren Ordnungsbegriffes für jeden Arbeitnehmer, der aus bestimmten Teilen des Namens, des Geburtsdatums und des Wohn- und Geburtsortes gebildet wird. Außerdem braucht man eine technische Infrastruktur, an die die Planer u. a. folgende Anforderungen stellen:

• höchste Datensicherheit,

• systemunabhängige Client-Software,

• elektronische Signatur,

• optimale Lastverteilung,

• zentrale Datenverfolgung,

• revisionssichere Ablage und Archivierung und

• einheitliche Schnittstellen.

Darüber hinaus wird in der Steuerverwaltung an der Umsetzung der elektronischen Signatur unter Verwendung von beliebigen Signaturkomponenten gearbeitet. Hierzu wird ein Verfahren entwickelt, welches dynamisch die beim Anwender installierten Signaturkomponenten erkennt und verwendet. Seit Juli 2002 ermöglichen es mehrere große Banken und Sparkassen, deren Signaturkarte auch bei ELSTER einzusetzen. Einer raschen Verbreitung der elektronischen Signatur für die elektronische Steuererklärung steht dann nichts mehr im Wege (vgl. auch Tz. 4.10.2).

Ein weiterer zentraler Punkt ist die Schaffung von Online-Diensten über das Internet. Vorgesehen sind die Möglichkeiten der Online-Steuerkontoabfrage und die Abfrage des Bearbeitungszustandes der Steuererklärung. Schließlich zeichnet sich die Schaffung eines zentralen und unveränderbaren Identitätskennzeichen für alle steuerlich relevanten Personen ab. Ähnlich wie im Bereich der Wirtschaftsverwaltung (vgl. Tz. 4.6) gäbe es dann auch in den Besteuerungsverfahren ein Personenkennzeichen, das die Verknüpfung aller elektronischen Datenbestände, die zu einer Person angelegt worden sind, ermöglicht.

Zurzeit ist allerdings noch ungeklärt, wer all diese bundesweit eingesetzten Projekte entwickelt, sie testet und zum Einsatz freigibt. Obwohl mit der FISCUS-GmbH ein zentrales Softwarehaus der Steuerverwaltungen des Bundes und der Länder gegründet worden ist, laufen, wie bei dem Verfahren ELSTER, parallel auch weiterhin Länderentwicklungen. Auch ist noch unklar, ob die FISCUS-GmbH ihre Produkte eigenständig entwickelt und auf dem Markt anbietet oder ob sie nur Auftragsentwicklungen tätigt. In diesem Fall stellt sich die Frage, wer Auftraggeber und Abnehmer der Software ist. Eine entsprechende ”Infrastruktur” auf Bundes- und Länderebene ist jedenfalls noch nicht geschaffen. Sie ist allerdings Voraussetzung für die Gewährleistung eines hinreichenden Standards für Datenschutz und Datensicherheit auf Produktebene sowie für die gebotene Transparenz der entsprechenden Funktionen für die Behörden, die die Produkte in der täglichen Praxis handhaben.

4.10.4

Irritationen über die öffentliche Nutzung der Steuernummern

Kleine Ursache, große Wirkung - diese Aussage passt im besonderen Maße zu einer neuen Regelung im Umsatzsteuergesetz, nach der Unternehmer ihre Steuernummer auf den Rechnungen zu vermerken haben. Die Finanzämter müssen bei Auskunftserteilungen viel vorsichtiger sein als bisher. Die Steuerpflichtigen sind trotzdem besorgt, dass das Steuergeheimnis nicht mehr so sicher ist wie bisher. Außerdem bestehen Zweifel, ob das Ziel der Maßnahme überhaupt erreicht wird.

Steuernummern waren einerseits nie geheim, sie wurden aber andererseits auch nicht veröffentlicht. Teilweise konnte man aus ihnen nämlich Rückschlüsse auf steuerliche Verhältnisse ziehen. Fälle mit bestimmten Besteuerungstatbeständen waren in abgegrenzten Nummernkreisen zusammengefasst, sodass jemand, der einer solchen Gruppe angehörte, aus dem Wissen um seine eigene Steuernummer Rückschlüsse ziehen konnte, wenn ihm die Steuernummer einer anderen Person mit gleichen Merkmalen bekannt wurde. Deshalb ist die Steuernummer auch nicht im Anschriftenfeld eines Briefes des Finanzamtes sichtbar, obwohl Rückläufe leichter der absendenden Stelle innerhalb des Finanzamtes zuzuordnen wären. Bis zu einem gewissen Grad wurde die Steuernummer als Identitätsnachweis bei telefonischen Anfragen bei einem Finanzamt genutzt. Dies muss seit Mitte 2002 der Vergangenheit angehören. Das Umsatzsteuergesetz verpflichtet den Rechnungssteller, seine Steuernummer auf der Rechnung anzugeben. Damit ist sie ebenso öffentlich wie die Telefonnummer und die Kontoverbindung.

Ziel dieser Maßnahme ist es, Steuerhinterziehungen durch Manipulationen beim Vorsteuerabzug zu erschweren. Im Ergebnis sollen Scheinrechnungen dadurch aufgedeckt werden, dass bei Überprüfungen im Bereich des Rechnungsempfängers anhand der Steuernummer die Existenz und die korrekte Besteuerung des Rechnungsstellers überprüft wird. Es bestehen bei Fachleuten zwar erhebliche Zweifel, ob dies ein praktikables Verfahren ist. Die gesetzliche Regelung ist gleichwohl bindend.

Bei den Steuerpflichtigen haben die Zweifel an der Sinnhaftigkeit der Regelung und die Furcht vor dem Missbrauch der nunmehr öffentlichen Steuernummer zu Irritationen geführt, die sich in einer Vielzahl von schriftlichen und mündlichen Anfragen niederschlugen. Auf die Frage, ob durch die Maßnahme tatsächlich Fälle der Steuerhinterziehung aufgedeckt werden, konnten wir keine Antwort geben. Zu der Frage des möglichen Missbrauchs haben wir uns allerdings von der Oberfinanzdirektion bestätigen lassen, dass die Finanzämter angewiesen sind, künftig keinerlei Auskünfte zu erteilen, wenn als Authentifikationsmerkmal des Auskunftsersuchenden nur die Steuernummer genannt wird. Hieran scheinen sich die Mitarbeiter zu halten, obwohl es die Kommunikation mit Steuerberatern und Steuerpflichtigen im Einzelfall durchaus behindert.

Nicht ganz so eindeutig ist die Problematik mit den ”sprechenden” Steuernummern. Die Oberfinanzdirektion ist zwar der Auffassung, dass aufgrund der in Schleswig-Holstein für den Bereich Umsatzsteuer genutzten Systematik aus ihnen keine Informationen abgeleitet werden können, die dem Steuergeheimnis unterliegen. Man hat aber wohl eine gewisse Großzügigkeit bei den entsprechenden Überprüfungen walten lassen, denn der Verwaltungsaufwand für die Änderung tausender von Steuernummern, nur um für einige wenige ”Wissende” nicht erkennbar werden zu lassen, dass z. B. jemand beschränkt steuerpflichtig ist, erscheint ihr zu hoch. Generell kann die Steuernummer nur noch sehr begrenzt als Organisationsmittel eingesetzt werden. Hierauf haben wir die Oberfinanzdirektion und die Steuerpflichtigen hingewiesen; konkrete Missbrauchsfälle sind uns allerdings bisher nicht bekannt geworden.

4.10.5

Forderungen der Datenschutzbeauftragten zur Änderung der Abgabenordnung

Die Abgabenordnung ist trotz der Regelungen über das Steuergeheimnis ein Verwaltungsverfahrensgesetz mit einem niedrigen Datenschutzniveau. Bisher hat sich die Steuerverwaltung erfolgreich gegen Änderungswünsche gewehrt. Selbst das allgemeine Datenschutzrecht hält sie im Steuerbereich nicht für anwendbar, obwohl dies dem Wortlaut des Bundesdatenschutzgesetzes und der Länderdatenschutzgesetze widerspricht.

Die Grundzüge des steuerlichen Verfahrensrechts sind in der Reichsabgabenordnung von 1919 festgelegt worden. Sie war mit vielen Änderungen und Ergänzungen fast 60 Jahre in Kraft und wurde im Jahr 1977 durch die derzeit geltende Abgabenordnung modernisiert. Auch diese hat vielfältige Änderungen erfahren, ohne dass die obrigkeitsstaatlich geprägte Grundstruktur des steuerlichen Verfahrensrechts korrigiert worden ist. Dies hatte zur Folge, dass zwar das Steuergeheimnis (§ 30 AO) eine der zentralen bereichsspezifischen Datenschutzvorschriften darstellt, dass die Abgabenordnung aber das inhaltliche Spektrum des Datenschutzrechts nicht widerspiegelt. Selbst eine Ergänzung und Anpassung der Normen an das im Volkszählungsurteil manifestierte informationelle Selbstbestimmungsrecht der Bürgerinnen und Bürger ist nicht erfolgt.

Hieraus folgt, dass für viele Datenverarbeitungsprozesse in den Finanzämtern das allgemeine Datenschutzrecht anzuwenden ist. In vielen anderen Verwaltungsbereichen führt das zu keinen besonderen Schwierigkeiten. Das Datenschutzrecht wird dort als ein Bestandteil des Verwaltungsverfahrensrechts betrachtet. Die Steuerverwaltung vermochte sich diesen vom Gesetzgeber gewollten Gegebenheiten bislang nicht anzupassen. Einerseits bestreitet man generell die Gültigkeit der Datenschutzgesetze für den Anwendungsbereich der Abgabenordnung, weil alle Datenschutzfragen dort abschließend geregelt seien (vgl. Tz. 4.10.1). Andererseits sperrt man sich dagegen, die Abgabenordnung um Regelungen zu erweitern, die dem gängigen Datenschutzstandard entsprechen. Alle Initiativen der Datenschutzbeauftragten sind bisher im Sande verlaufen.

Dies haben sie zum Anlass genommen, den Bundesfinanzminister nunmehr konkrete Formulierungsvorschläge für einzelne Regelungen zu unterbreiten und diese im Detail zu begründen. In dem umfangreichen Katalog sind folgende Komplexe von besonderer Bedeutung:

• Konkretisierung der gesetzlichen Regelungen zum Umfang und zur Absicherung automatisierter Datenabrufe,

• Zweckbindung der gespeicherten Daten und Begrenzung der Speicherung von Daten für ”künftige Zwecke” (Vorratsspeicherung),

• Definition der Akteneinsichts- und Auskunftsansprüche der Steuerpflichtigen,

• Festlegung des Umfangs und der Voraussetzungen für die Erhebung, Verarbeitung und Nutzung von Daten durch Auftragnehmer (entsprechend den Regelungen im Sozialgesetzbuch X),

• Konkretisierung der Regelungen über die zwischenstaatliche Rechts- und Amtshilfe in Steuersachen,

• Klarstellung der Befugnisse zum Erstellen von Kontrollmitteilungen,

• Festlegung von Fristen für die Sperrung und Löschung von Daten,

• Schaffung einer Berichtigungspflicht von Daten, insbesondere in steuerlichen Informationssystemen (z. B. in den Bereichen ”Auslandsbeziehungen” und ”Steuerfahndung”),

• Neuregelung des Schadensersatzes bei unzulässigen oder unrichtigen Datenverarbeitungsprozessen.

Das Bundesfinanzministerium hat immerhin signalisiert, dass diese Vorleistung der Datenschutzbeauftragten anerkannt wird. Es ist zu erwarten, dass es nunmehr zu konstruktiveren Erörterungen kommen wird als in der Vergangenheit. Die Zeit der Totalverweigerung ist hoffentlich vorüber.

4.10.6

Fehler bei der automatischen Identitätsprüfung

Um Doppelspeicherungen zu vermeiden, wird in den automatisierten Besteuerungsverfahren versucht, identische Personen, die in mehreren Steuerfällen von Bedeutung sind, zu erkennen und die Namens- und Adressdaten nur einmal zu speichern. Wenn dabei etwas schief geht, ist es möglich, dass Steuerbescheide einer falschen Person zugestellt werden. Das ist bei einigen Finanzämtern passiert, weil die entsprechenden Programme nicht miteinander synchronisiert waren.

Wenn jemand innerhalb weniger Tage insgesamt acht Steuerbescheide von drei unterschiedlichen Steuerbehörden bekommt und keiner ihn selbst, sondern andere Steuerpflichtige betrifft, dann stimmt etwas nicht. Das musste auch die Oberfinanzdirektion dem Rundfunksender gegenüber eingestehen, der Anfang 2002 diesen Sachverhalt der Öffentlichkeit darstellte. Auch wir wurden über diese eklatante Verletzung des Steuergeheimnisses informiert.

Die Ursache der Panne zu finden war schwieriger als erwartet, weil sie nicht im Bereich des ”menschlichen Versagens” lag. Vielmehr handelte es sich um einen Mangel im Zusammenspiel verschiedener Softwarekomponenten, die in den automatisierten Besteuerungsverfahren eingesetzt werden. Dazu muss man Folgendes wissen: Viele Menschen stehen in unterschiedlichen Rollen in Beziehungen zu einer Mehrzahl von Steuerfällen. Das gilt z. B. für Personen, die mehrere Autos oder Grundstücke besitzen, die als Steuerberater tätig sind oder - wie im vorliegenden Fall - von den eigentlichen Steuerpflichtigen als Zustellungsbevollmächtigte für Steuerbescheide benannt worden sind. Damit man deren Namen und Anschrift nicht etliche Male speichert, wird bei jeder Neuaufnahme einer Person programmgesteuert geprüft, ob sie schon registriert ist. Ist dies der Fall, wird bei den Daten des betreffenden Steuerobjektes nur eine Nummer als Verweis auf den ausgelagerten Adressdatensatz abgelegt. Das hat den Vorteil, dass Adressänderungen, einmal eingegeben, für alle Steuerfälle automatisch wirksam werden. Steht eine Person zu keinem Steuerobjekt mehr in Beziehung, wird sie im Bestand gelöscht, die Verknüpfungsnummer wird also frei. Anstatt die vielen frei gewordenen Nummern auf Dauer frei zu lassen, hat man aus Gründen eines besseren Datenbankmanagements damit begonnen, sie neu zu belegen und dabei übersehen, dass in einigen Datenbeständen noch Hinweise gespeichert waren, die nunmehr auf eine falsche Person ”zielten”. Im vorliegenden Fall wurde ein ”normaler” Steuerpflichtiger fälschlicherweise zum Zustellungsvertreter mehrerer anderer Personen und bekam somit deren Steuerbescheide zugestellt.

Der Oberfinanzdirektion war dieser Effekt offensichtlich sehr peinlich, zeigte er doch auf, dass hier ein konzeptioneller Fehler vorlag, der zudem durch alle Tests ”gerutscht” war. Die Wiederbelegung interner Verknüpfungsmerkmale wurde unverzüglich beendet. Für eine Reihe von Konstellationen der Verwendung bereits gespeicherter Daten in anderen Fällen wurden manuelle Prüfroutinen angeordnet.

4.10.7

Wer trägt die Verantwortung für die Arbeit der Steuerfahnder?

Die Steuerfahnder der Finanzämter sind Diener zweier Herren. Einerseits sind sie Steuerbeamte und unterliegen damit den Weisungen der Finanzamtsvorsteher, andererseits sind sie Hilfsbeamte der Staatsanwaltschaften. Wenn bei ihrer Arbeit das Steuergeheimnis nicht ausreichend beachtet wird, ist es deshalb schwierig, die dafür Verantwortlichen zu ermitteln.

Wer einer ”normalen” Straftat verdächtigt wird, gegen den ermitteln die Polizei und die Staatsanwaltschaften. Wer dagegen in den Verdacht gerät, Steuern hinterzogen zu haben, bekommt es mit einer ”Spezialpolizei”, der Steuerfahndung, zu tun. In Schleswig-Holstein sind derartige Dienststellen, in denen keine Polizisten, sondern speziell ausgebildete Steuerbeamte tätig sind, bei vier Finanzämtern eingerichtet. Ihre Aufgaben und Befugnisse werden durch § 208 AO festgelegt.

Danach haben sie eine Doppelfunktion: Sie haben einerseits dafür zu sorgen, dass die Besteuerungsgrundlagen richtig ermittelt und unbekannte Steuerfälle aufgedeckt werden. Insoweit werden ihr Handeln und ihre Befugnisse durch das steuerliche Verfahrensrecht (Abgabenordnung) geregelt. Andererseits haben sie auf der Grundlage der Strafprozessordnung Steuerstraftaten und Steuerordnungswidrigkeiten zu erforschen, und zwar sowohl in eigener Zuständigkeit als auch auf Weisung der Staatsanwaltschaft. Den Steuerfahndungsstellen sind nämlich auch Strafsachenstellen angegliedert, die Strafbefehle aussprechen können, ohne dass Staatsanwaltschaften und Gerichte eingeschaltet werden müssen. Hat eine Staatsanwaltschaft ein Steuerstrafverfahren eingeleitet oder von der Steuerfahndung übernommen, sind die Mitarbeiter des Finanzamtes insoweit Hilfsbeamte der Staatsanwaltschaft.

Bei den Ermittlungen der Steuerfahndungsstellen müssen im Rahmen der Datenerhebungen bei Dritten (Befragungen, schriftliche Auskunftsersuchen, Beiziehung von Unterlagen usw.) in einem gewissen Umfang steuerliche Verhältnisse offenbart werden, die grundsätzlich dem Steuergeheimnis unterliegen. Der Umfang der bekannt gegebenen Einzelheiten hat sich strikt an dem Erforderlichkeitsgrundsatz zu orientieren. Unabhängig von den notwendigen Ermittlungen zur Abklärung eines Anfangsverdachtes ist eine Steuerhinterziehung erst dann eine solche und nicht nur ein geschicktes Ausnutzen von Schlupflöchern im hochkomplizierten Steuerrecht, wenn der Strafbefehl oder das Urteil rechtskräftig ist. Bis dahin gilt die Unschuldsvermutung bzw. der Grundsatz ”in dubio pro reo”.

Die Problematik der Abgrenzung der Zuständigkeitsbereiche zeigte sich in einem Fall, in dem der Beschuldigte in zweiter Instanz von dem Vorwurf der Steuerhinterziehung rechtskräftig freigesprochen worden war. Als er im Rahmen des Strafverfahrens Einblick in die Ermittlungsakte erhielt, stellte er fest, dass die Steuerfahnder des Finanzamtes Datenerhebungen bei einer größeren Anzahl von Behörden und Unternehmen vorgenommen hatten und dabei in jedem Falle mitgeteilt hatten, dass gegen den Betroffenen wegen Steuerhinterziehung ermittelt werde. Dies hätte der Steuerpflichtige noch akzeptiert, nicht einverstanden war er aber damit, dass z. B. der Genehmigungsbehörde für Fluglizenzen Folgendes mitgeteilt wurde (Zitat): ”Im Zuge der Ermittlungen wurde festgestellt, dass Herr ... Inhaber einer Lizenz ist, die ihn zum Führen eines Sportflugzeuges berechtigt. Herr ... macht gegenüber der Finanzbehörde geltend, aufgrund einer asthmatischen Erkrankung erwerbsunfähig zu sein. Ich möchte Sie bitten, mir mitzuteilen, ... ob die von Herrn ... angegebene, zum Erwerb einer Erwerbsunfähigkeitsrente führende Erkrankung (Asthma) den Entzug der Fluglizenz zur Folge hätte.” Der Steuerpflichtige betrachtete diese Formulierung als Denunziation, da der Hinweis auf die Möglichkeit des Lizenzentzugs für das anhängige Steuerstrafverfahren völlig unerheblich sei. Auch in anderen Zusammenhängen habe die Steuerfahndung zu viele steuerliche Informationen über ihn preisgegeben.

Im Verlauf der Sachverhaltsaufklärung erwies sich dieser Fall als ein Vorgang von grundsätzlicher Bedeutung, bei dem bis heute ein Dissens zwischen der Oberfinanzdirektion und uns besteht. Bereits die Sachverhaltsaufklärung war schwierig, weil sich das Finanzamt zunächst darauf berief, nur im Auftrag der Staatsanwaltschaft gehandelt zu haben und somit datenschutzrechtlich nicht verantwortlich zu sein. Erst als die Staatsanwaltschaft uns mitteilte, dass sich aus der Ermittlungsakte keine Anhaltspunkte ergaben, ob die Nachforschungen auf eigene Initiative der Steuerfahndungsstelle oder auf Anforderung der Staatsanwaltschaften erfolgt waren, bezog das Finanzamt Position und schaltete die Oberfinanzdirektion ein. Letztlich blieb es aber bei der Feststellung (Zitat): ”Die handelnden Beamten der Steuerfahndung sind in ihrer Eigenschaft als Hilfsbeamte der Staatsanwaltschaft (§ 404 AO) tätig geworden. Die Ermittlungsmaßnahmen der Steuerfahndung sind deshalb nicht dem Finanzamt, sondern der Staatsanwaltschaft zuzurechnen.” Dennoch nahmen das Finanzamt und später die Oberfinanzdirektion zur Sache Stellung und hielten alle Offenbarungen der steuerlichen Verhältnisse für rechtmäßig.

Wir haben die Verfahrensweise dem Finanzamt gegenüber gleichwohl beanstandet, weil wir der Auffassung sind, dass

• trotz der Funktion seiner Mitarbeiter als ”Hilfsbeamte der Staatsanwaltschaft” das Finanzamt für den Teilaspekt ”Wahrung des Steuergeheimnisses” als im datenschutzrechtlichen Sinne verantwortliche Stelle anzusehen ist und

• im konkreten Fall die Ermittlungsmaßnahmen an sich gerechtfertigt gewesen sein mögen, in ihrem Verlauf tatsächlich aber zu viele steuerliche Verhältnisse offenbart worden sind.

Da die Oberfinanzdirektion den Beanstandungen widersprochen hat, ist die verfahrensrechtliche Grauzone nach wie vor nicht beseitigt. Es kann nicht befriedigen, dass für den Inhalt eines Schreibens, das den Briefkopf ”Gemeinsame Steuerfahndungsstelle beim Finanzamt ...” und die Anschrift des betreffenden Finanzamtes enthält, ein Staatsanwalt und nicht der Finanzamtsvorsteher die Verantwortung tragen soll. Desgleichen ist nicht nachzuvollziehen, dass die Steuerfahndung das Steuergeheimnis in diesem Zusammenhang sehr weit ausgelegt hat, während sie Erkenntnisse über sonstige Straftaten nur dann an die Staatsanwaltschaft weitergeben darf, wenn ein zwingendes öffentliches Interesse besteht (§ 30 Abs. 4 Nr. 5 AO).