07.03.2024

Gerichtlicher Prüfungsmaßstab nach Art. 78 Abs. 1 DSGVO; Tätigkeit und Mitteilung der Aufsichtsbehörde nach Art. 77 DSGVO

1. Art. 78 der Datenschutz-Grundverordnung (DSGVO) fordert zum Schutz der Rechte, die dem Einzelnen aus der Datenschutz-Grundverordnung erwachsen, einen wirksamen gerichtlichen Rechtsbehelf, der nach Maßgabe des nationalen Verfahrensrechts eine vollständige inhaltliche Überprüfung der Beschwerdeentscheidung der Aufsichtsbehörde durch das Gericht ermöglicht.
2. Maßstab für den Umfang der Ermittlungen im Rahmen einer Beschwerde nach Art. 77 DSGVO sind insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes.

Kurzbesprechung
BFH v. 12.1.2023 - IX R 33/21

AO § 93 Abs 7 S 1 Nr. 4
EUV 2016/679 Art 57 Abs 1 Buchst f, 2016/679 Art 77, 2016/679 Art 78 Abs 1
FGO § 102
AO § 29b, § 32i


Streitig ist die Rechtmäßigkeit eines Kontenabrufs nach § 93 Abs. 7 AO. Die Steuerpflichtigen wandten sich diesbezüglich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (Beklagter) mit einer Beschwerde. Sie trugen unter anderem vor, das FA habe die nicht rechtskräftig titulierten Säumniszuschläge beitreiben wollen, ohne den rechtskräftigen Ausgang eines eingelegten Rechtsmittels abzuwarten. Der Kontenabruf verletze ihre Datenschutzrechte. Das FA habe zunächst eine Vermögensauskunft bei ihnen einholen müssen.

Der Beklagte teilte nach Ermittlung des Sachverhalts den Steuerpflichtigen mit, er halte den durchgeführten Kontenabruf für plausibel und rechtmäßig. Es habe sich um eine nach Art. 6 Abs. 1 Satz 1 Buchst. e, Abs. 2, 3 der Datenschutz-Grundverordnung (DSGVO), § 29b Abs. 1 AO und § 85 AO zulässige Datenverarbeitung gehandelt. Entsprechend erließ er einen die Beschwerde der Steuerpflichtigen abweisenden Bescheid.

Die von den Steuerpflichtigen nachfolgend erhobene Klage, mit der sie die Aufhebung des Bescheids und die Festsetzung von Geldbußen begehrten, wies das FG als unbegründet zurück mit der Begründung, eine inhaltliche Überprüfung der Beschwerdeentscheidung einer datenschutzrechtlichen Aufsichtsbehörde sei in der Datenschutz-Grundverordnung nicht vorgesehen.

Dies sieht der BFH jedoch anders, er hob die Entscheidung des FG aus und verwies den Streitfall zur weiteren Sachverhaltsermittlung und erneuten Entscheidung an die Vorinstanz zurück.

Nach Art. 78 Abs. 1 DSGVO hat jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Dieses Recht besteht auch, wenn eine Beschwerde gemäß Art. 77 DSGVO zurückgewiesen wird (vgl. Art. 77 Abs. 2 DSGVO).

Art. 78 DSGVO fordert einen "wirksamen gerichtlichen Rechtsbehelf" gegen eine Aufsichtsbehörde. Die Regelung gewährleistet ein hohes Schutzniveau der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte. Dies hat anhand der nationalen Verfahrensvorschriften zu erfolgen.

Ziel der Datenschutz-Grundverordnung ist, ein gleichmäßiges und hohes Datenschutzniveau zu gewährleisten. Das Schutzniveau soll in allen Mitgliedstaaten gleichwertig sein (Erwägungsgrund 10 der DSGVO). Ein unionsweit wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden (Erwägungsgrund 11 der DSGVO).

Nach Erwägungsgrund 141 der DSGVO sollte jede betroffene Person das Recht haben, bei einer Aufsichtsbehörde eine Beschwerde einzureichen und einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten aus der Datenschutz-Grundverordnung verletzt sieht, die Aufsichtsbehörde auf ihre Beschwerde hin nicht tätig wird oder die Beschwerde ganz oder teilweise abweist. In dem gerichtlichen Verfahren gegen eine Aufsichtsbehörde soll das zuständige Gericht eine uneingeschränkte Zuständigkeit besitzen, was die Zuständigkeit, sämtliche für den anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen, einschließt.

Die Datenschutz-Grundverordnung legt mithin den Mitgliedstaaten die Verpflichtung auf, ein hohes Schutzniveau zu gewährleisten. Die Ausgestaltung des Rechtsschutzes darf dabei nicht weniger günstig ausgestaltet sein als für entsprechende innerstaatliche Rechtsbehelfe (Grundsatz der Äquivalenz) und die Ausübung der durch die Datenschutz-Grundverordnung gewährten Rechte nicht praktisch unmöglich machen oder übermäßig erschweren.

Daher kann Art. 78 DSGVO nicht dahin ausgelegt werden, dass die gerichtliche Überprüfung einer aufsichtsbehördlichen Beschwerdeentscheidung darauf beschränkt ist, ob die Behörde sich mit der Beschwerde befasst, den Gegenstand der Beschwerde in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung in Kenntnis setzt. Vielmehr muss die aufsichtsbehördliche Beschwerdeentscheidung, damit ein gerichtlicher Rechtsbehelf "wirksam" ist, einer vollständigen gerichtlichen Überprüfung durch ein Gericht unterliegen. Aus diesem Grund ist daher eine vollständige Überprüfung der Beschwerdeentscheidung des Beklagten nach Maßgabe des nationalen (deutschen) Prozessrechts erforderlich.

Im Streitfall hatte das FG nicht geprüft, ob der Beklagte zutreffend angenommen hat, dass der Kontenabruf nach Art. 6 Abs. 1 Satz 1 Buchst. e, Abs. 2, 3 DSGVO i.V.m. § 29b Abs. 1 AO datenschutzrechtlich zulässig ist, weshalb der BFH den Streitfall an die Vorinstanz zurückverwies.

Für den weiteren Fortgang im Verfahren hat der BFH das FG darauf hingewiesen, dass es die Beschwerdeentscheidung des Beklagten nach Art. 78 DSGVO auf der Grundlage des nationalen Verfahrensrechts vollumfänglich zu überprüfen hat. Es muss daher im zweiten Rechtszug darüber befinden, ob der Beklagte diese Pflichten bei der Bearbeitung der Beschwerde der Steuerpflichtigen erfüllt hat. Dazu gehört die Überprüfung, ob der Beklagte den Sachverhalt ermittelt, das Beschwerdevorbringen der Steuerpflichtigen zur Kenntnis genommen und anschließend den gesamten Sachverhalt in datenschutzrechtlicher Hinsicht geprüft und bewertet hat.

Dazu hat das FG zu prüfen, ob der Beklagte zutreffend die Vereinbarkeit der streitigen Verarbeitung personenbezogener Daten mit Art. 6 Abs. 1 Satz 1 Buchst. e, Abs. 2, 3 DSGVO i.V.m. § 29b Abs. 1 AO bejaht hat. Dies beinhaltet auch die Frage, ob die mit dem Kontenabruf einhergehende Verarbeitung personenbezogener Daten zur Erfüllung einer dem FA obliegenden Aufgabe erforderlich ist.
Verlag Dr. Otto Schmidt
Zurück